www.adsltips.dk

- Hovedside - Hardware guides - Software guides - Links - Kontakt - Søg -

 

Links:

Min blog
MineProgrammer
Guides til god IT sikkerhed

Sidste Nyt:

Andre routere p? en Cybercity ADSL linie

Zyxel router som ADSL modem

Login til fullrate routere

Andre routere p? cybercity linier

Kun lokal adgang i Windows Vista



Cisco 827 router

 

Alt p� denne side er mine egne personlige meninger med mindre andet tydeligt er angivet.

Sporing af falske e-mails

 

Dette er en guide til hvordan man spore e-mail med forfalskede afsender adresser som fx SPAM eller virus e-mail.

Måden man sporer e-mail på er ved at kigge i den header som enhver e-mail har. Denne header er nogle tekst linier som bliver skrevet ind både af det program der sender e-mailen, serverende det kommer igennem samt det modtagende e-mail program.

Disse linier gør det muligt at følge e-mailen tilbage igennem den vej den har taget før den har nået dig.

Hvordan man ser disse header variere fra program til program:

I Microsoft Outlook skal man højre klikke på e-mailen og vælge indstillinger.
I Outlook Express skal man højreklikke på e-mailen og egenskaber. Derefter skal man så over på fanebladet detaljer.

Her kommer et eksempel på en e-mail jeg har sendt fra en cybercity e-mail adresse til min adsltips.dk adresse. Jeg har ændret lidt på e-mail adresserne for at undgå at de bliver spammet.

[email protected] Er den adresse som jeg har sendt e-mailen fra.

[email protected] Er den adresse som e-mailen er sendt til.

000.000.000.000 er min egen offentlige IP adresse på min hjemmemaskine.

 

Return-Path: <[email protected]>

Delivered-To: [email protected]

Received: from cicero0.cybercity.dk (cicero0.cybercity.dk [212.242.40.52])

by hexagon.adsltips.dk (Postfix) with ESMTP id 1D64B24FA04A

for <[email protected]>; Mon, 2 Aug 2004 10:00:07 -0400 (EDT)

Received: from user5.cybercity.dk (user5.cybercity.dk [212.242.41.51])

by cicero0.cybercity.dk (Postfix) with ESMTP id 035EA29378

for <[email protected]>; Mon, 2 Aug 2004 16:00:06 +0200 (CEST)

Received: from [10.0.0.2] ([000.000.000.000])

by user5.cybercity.dk (Postfix) with ESMTP id C4E6A3A20A6

for <[email protected]>; Mon, 2 Aug 2004 16:00:05 +0200 (CEST)

Reply-To: [email protected]

From: [email protected] ( Martin Schultz)

To: [email protected]

Subject: Sporing af spam

Date: Mon, 2 Aug 2004 15:03:39 +0200

Message-Id: <410e3bab501d73.11216925@not right>

 

Første linie i headeren er:

Return-Path: <[email protected]>

Denne linie er skrevet ind af den afsende e-mail program/server og er ikke pålidelig, den kan meget nemt forfalskes.

Så kommer Delivered-To: [email protected] som er den adresse som e-mailen er afleveret til lokalt på din e-mail server. Den behøver ikke at være identisk med den adresse der står i to. Den kan man som regel godt stole på.

Nu kommer det egentlige kød i headeren:

Received: from cicero1.cybercity.dk (cicero1.cybercity.dk [212.242.40.4])

by hexagon.adsltips.dk (Postfix) with ESMTP id D07DA24FA04A

for <[email protected]>; Mon, 2 Aug 2004 09:03:40 -0400 (EDT)

Denne linie fortæller at min e-mail server (hexagon.adsltips.dk) har modtaget e-mailen fra serveren cicero1.cybercity.dk [212.242.40.4]. Man kan roligt vælge at stole på denne første recived linie da den er tilføjet af ens egen mail server. Hvis man ikke stoler på sin egen mailserver bør man skifte ;) Når der står (postfix) angiver det navnet på det program mail serveren kører.

Det spændende her er at min mail server har modtaget e-mailen fra serveren (cicero0.cybercity.dk [212.242.40.52]). Da maskinen kan have oplyst et forkert domænenavn vil jeg anbefale at man slår ip adressen op. Hvis man ikke lige har en eller anden form for Unix maskine ved hånden kan man gøre det på http://www.geektools.com/whois.php

Her viser det sig at maskinen korrekt tilhører cybercity og der er også en kontakt e-mail i tilfælde af misbrug (fx. hvis den er blevet brugt til at sende spam eller virus).

 

Næste recived linie er:

Received: from user5.cybercity.dk (user5.cybercity.dk [212.242.41.51])

by cicero0.cybercity.dk (Postfix) with ESMTP id 035EA29378

for <[email protected]>; Mon, 2 Aug 2004 16:00:06 +0200 (CEST)

Den er kun pålidelig hvis den server vi fandt overfor er. Hvis serveren tilhører en stører Internet udbyder eller virksomhed kan man som regel godt stole på den (Tjek det på samme måde som overfor).

 

Sidste recived linie er:

Received: from [10.0.0.2] ([000.000.000.000])

by user5.cybercity.dk (Postfix) with ESMTP id C4E6A3A20A6

for <[email protected]>; Mon, 2 Aug 2004 16:00:05 +0200 (CEST)

Denne linie fortæller os at afsendende maskine har den offentlige IP adresse 000.000.000.000 og den lokale IP 10.0.0.2. Den lokale IP kan man ikke bruge til noget med mindre man selv administrere det afsendende netværk. Lokale IP adresser kan være i følgende puljer: 10.x.x.x eller 168.x.x.x eller 192.x.x.x

Hvis linien ikke er forfalsket har man afsenderen af e-mailen og man kan klage til den udbyder der ejer [000.000.000.000])

 

Hvis du har kommentarer osv. klik her