dhosting.pldhosting.pl
  • Strona główna
  • Zacznij tutaj
  • Kategorie
    • Hosting
    • Poczta
    • Domeny
    • Faktury i płatności
    • Pozostałe
  • Fachowe poradniki
  • Helpdesk 24h
  • Elastyczny Web Hosting →
  • Strona główna
  • Zacznij tutaj
  • Kategorie
    • Hosting
    • Poczta
    • Domeny
    • Faktury i płatności
    • Pozostałe
  • Fachowe poradniki
  • Helpdesk 24h
  • Elastyczny Web Hosting →
Strona główna/Baza wiedzy/Poczta/Webmail dPoczta.pl

Jak dokonać podstawowej analizy źródła wiadomości e-mail pod kątem nadawcy?

1599 wyświetleń 2

Autor: Jan Elastyczny
21.10.2021

W sytuacji gdy podejrzewasz, że wiadomość nie pochodzi od osoby widniejącej w polu nadawcy, możesz dokonać w prosty sposób analizy na podstawie źródła wiadomości. Aby wyświetlić źródło wiadomości, zaloguj się na swoją skrzynkę w dpoczta.pl po czym po otwarciu wybranej wiadomości na górnej belce kliknij w „przycisk z ikoną trzech kropek”, po czym z menu, które zostanie rozwinięte wybierz pozycję „Pokaż źródło”.

zrodlo wiadomosci gdzie

Po wybraniu opcji wyświetlenia źródła wiadomości, to na co zwrócimy uwagę to jej nagłówek. Ten zawiera ważne informacje oraz wskazówki pozwalające na dokonanie analizy.

Nagłówek wiadomości e-mail

Poniżej znajduje się nagłówek wiadomości będącej komunikacją między skrzynkami nadawca@dpoczta.pl oraz odbiorca@dpoczta.pl.

X-Spam-Checker-Version: SpamAssassin
Return-Path: nadawca@dpoczta.pl
X-Spam-Level: 
X-Spam-Status: No, score=0.1 required=6.0 tests=DH_SUBJECT_WEIRD_STRING,
	DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,HTML_MESSAGE
	autolearn=disabled version=3.4.2
Delivered-To: odbiorca@dpoczta.pl
Received: from mx-2.d ([10.12.105.22])
	by ipm-4.dpoczta.pl with LMTP id cILxAmDzb2EOcQAA4pA8cg
	for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:57 +0200
Received: from mx-2.d
	by mx-2.d (Dovecot) with LMTP id ildIJo2WTWErMQAAA2lZFw
	; Wed, 20 Oct 2021 12:45:51 +0200
Received: from smtp-2.dpoczta.pl (smtp-2.dpoczta.pl [195.88.50.152])
	(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by mx-2.d (dpoczta.pl) with ESMTPS id 4HZ6hr62WzzwPGb
	for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:48 +0200 (CEST)
Received: from roundcube (nimbus-office.dhosting.pl [195.88.50.10])
	(Authenticated sender: nadawca@dpoczta.pl)
	by smtp-2.dpoczta.pl (smtp-2.dpoczta.pl) with ESMTPA id 4HZ6hs10cszLlZZ
	for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:49 +0200 (CEST)
MIME-Version: 1.0
Date: Wed, 20 Oct 2021 12:45:49 +0200
From: Jan Elastyczny nadawca@dpoczta.pl
To: Marek Elastyczny odbiorca@dpoczta.pl
Subject: Tytuł wiadomości
User-Agent: dPoczta.pl
Message-ID: 128390198293b8a0f05339990c4dcdda@dpoczta.pl
X-Sender: nadawca@dpoczta.pl
Content-Type: multipart/alternative;
 boundary="=_0662e0167a896e7798ab25adc7bd2deb"
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=dpoczta.pl;
	s=dhosting; t=1634726749;
	bh=3kG1OBknLNvPGQewSgqjAGfr0OyBk2WxfzwqLUb8U+E=;
	h=Date:From:To:Subject;
	b=oeQ36fwa4F7zE33uzUcsmEeI91yZAoh/JX8jA03VZNyPuf76QT4nxwl7Dsnp4kzNX
	 K+ulIRXiuehIJ6HxNOMr/4DmcAyTGQi4lzn78GAJJZaVJraOmme8QgWPTd+nc7LFcz
	 TyE+KfvGQ6WHPoE7/b0skyMHPdpHkOn0ZLJqgYdc=
Authentication-Results: mx-1.dpoczta.pl/4HZ6hr62WzzwPGb;
	dkim=pass (1024-bit key) header.d=dpoczta.pl header.i=@dpoczta.pl header.b=oeQ36fwa
X-Virus-Status: Clean

Rozbijmy źródło na poszczególne elementy

Nie będziemy omawiać każdego z elementów, a jedynie te mające znaczenie w przypadku analizy kwestii nadawcy i odbiorcy wiadomości.

Gdzie trafi odpowiedź?

Return-Path wskazuje na jaki adres zostanie wysłana informacja zwrotna przede wszystkim ze strony serwera. Przykładowo gdyby skrzynka e-mail była przepełniona lub też gdyby taki adres już nie istniał. Oczywiście są to wyłącznie dwa przykłady, ponieważ powodów wiadomości zwrotnych ze strony serwera odbiorczego może być wiele. Wiadomości spamowe często takiego pola nie zawierają z uwagi na fakt wysyłania tysięcy wiadomości na często losowe adresy e-mail.

Return-Path: nadawca@dpoczta.pl

Gdzie wiadomość została dostarczona?

Delivered-To wskazuje na jaką skrzynkę faktycznie wiadomość została dostarczona

Delivered-To: odbiorca@dpoczta.pl

Jakie serwery otrzymaly wiadomość
i przez jakie serwery wiadomość była podawana?

Poniższe informacje będą wyglądały nieco inaczej w stosunku do każdej wiadomości, niemniej pola Recieved wskazują na to prez jakie serwery wiadomość została otrzymana lub ewentualnie przekazywana nim trafiła do skrzynki odbiorca@dpoczta.pl. Zwróć uwagę, że poszczególne pozycje zawierają zarówno nazwy serwerów pocztowych wraz z adresami IP, przez które wiadomość przechodziła oraz informację o tym kto jest nadawcą, a kto odbiorcą i czy wysyłka wiadomosci była autoryzowana – Authenticated sender: nadawca@dpoczta.pl

Received: from mx-2.d ([10.12.105.22])
	by ipm-4.dpoczta.pl with LMTP id cILxAmDzb2EOcQAA4pA8cg
	for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:57 +0200
Received: from mx-2.d
	by mx-2.d (Dovecot) with LMTP id ildIJo2WTWErMQAAA2lZFw
	; Wed, 20 Oct 2021 12:45:51 +0200
Received: from smtp-2.dpoczta.pl (smtp-2.dpoczta.pl [195.88.50.152])
	(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by mx-2.d (dpoczta.pl) with ESMTPS id 4HZ6hr62WzzwPGb
	for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:48 +0200 (CEST)
Received: from roundcube (nimbus-office.dhosting.pl [195.88.50.10])
	(Authenticated sender: nadawca@dpoczta.pl)
	by smtp-2.dpoczta.pl (smtp-2.dpoczta.pl) with ESMTPA id 4HZ6hs10cszLlZZ
	for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:49 +0200 (CEST)

Kiedy wiadomość została wysłana?

Jeśli nie masz pewności kiedy wiadomość została wysłana. Pole Date wskaże Ci tę informację.

Date: Wed, 20 Oct 2021 12:45:49 +0200

Jak jest wskazany nadawca oraz odbiorca?

Kolejno pola From oraz To są dla Ciebie informacją kto był nadawcą wiadomości, czyli w naszym przykładzie nadawca@dpoczta.pl, a kto odbiorcą czyli w naszym przykładzie odbiorca@dpoczta.pl.

From: Jan Elastyczny nadawca@dpoczta.pl
To: Marek Elastyczny odbiorca@dpoczta.pl

Identyfikator wiadomości

Dość niepozorne i często pomijane pole Message-ID jest bardzo ważną wskazówką w sytuacji gdy wymagana jest dodatkowa analiza. Zawiera ono identyfikator wiadomości, który może ułatwić wyszukanie jej w logach lub na poziomie serwera. Wskazuje też w swoim drugim członie, czy wiadomość, która miała być wysłana z serwera dpoczta.pl faktycznie z takiego serwera pochodzi.

Message-ID: 128390198293b8a0f05339990c4dcdda@dpoczta.pl

Gdy wiadomość miała podanego dodatkowego odbiorcę
(CC – Carbon Copy).

Wysyłane wiadomości poza odbiorcą głównym mogą zawierać informację o tym, że nadawca oznaczył aby kopia wiadomości została przekazana również na inne adresy. Taka informacja znajdzie się w polu z adnotacją Cc.

Cc: Dorota Elastyczna odbiorca-kopii@dpoczta.pl

Jak rozpoznać gdy następuje próba podszycia się pod nadawcę?

Poniżej znajduje się część nagłówka wiadomości gdzie nadawca@podszywam-sie.com wysłał wiadomość podając się za nadawca@dpoczta.pl. Dokonamy razem analizy co świadczy o takim stanie rzeczy.

Received: from mx-2.d ([10.12.105.22])
       by ipm-4.dpoczta.pl with LMTP id KA6DCqIuaWGqIAAAFe+v2g
       for odbiorca@dpoczta.pl; Fri, 15 Oct 2021 09:32:50 +0200
Received: from mx-2.d
       by mx-2.d (Dovecot) with LMTP id nx4aFouWTWEyMQAAA2lZFw
       ; Fri, 15 Oct 2021 09:32:50 +0200
Received: from p3plwbeout13-01.prod.phx3.secureserver.net (p3plsmtp13-01-2.prod.phx3.secureserver.net [173.201.192.162])
       (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
       (No client certificate requested)
       by mx-2.d (dpoczta.pl) with ESMTPS id 4HVyfT60skzwPFD
       for odbiorca@dpoczta.pl; Fri, 15 Oct 2021 09:32:49 +0200 (CEST)
Received-SPF: none (podszywam-sie.com: No applicable sender policy available)
receiver=mx3.dpoczta.pl; 
identity=mailfrom; 
envelope-from="nadawca@podszywam-sie.com"; 
helo=p3plwbeout13-01.prod.phx3.secureserver.net; 
client-ip=173.201.192.162
Received: from p3plgemwbe13-04.prod.phx3.secureserver.net ([173.201.192.138])
       by :WBEOUT: with SMTP
       id bHhqmxRlKh62wbHhqmEU0T; Fri, 15 Oct 2021 00:32:42 -0700
X-CMAE-Analysis: v=2.4 cv=e6vD9Yl/ c=1 sm=1 tr=0 ts=61692e9a
a=7pclQsdl3t+UmZRjLKsDUQ==:117 a=gF-W1-T0RT0A:10 a=dmSCSAQeg4EA:10
a=IkcTkHD0fZMA:10 a=8gfv0ekSlNoA:10 a=5KLPUuaC_9wA:10 a=M51BFTxLslgA:10
a=jKLqcQWW5-E_atD3-hgA:9 a=aGuDArVsee2xSMsZ:21 a=_W_S_7VecoQA:10
a=QEXdDO2ut3YA:10
X-SECURESERVER-ACCT: nadawca@podszywam-sie.com
X-SID: bHhqmxRlKh62w
Received: (qmail 23066 invoked by uid 99); 15 Oct 2021 07:32:42 -0000
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="utf-8"
X-Originating-IP: 138.199.59.217
User-Agent: Workspace Webmail 6.12.9
Message-Id: 20211015003240.75234ab67224cea2030dee962839da49.b8fec8091c.wbe@email13.godaddy.com
From: "Marek Elastyczny" nadawca@dpoczta.pl
X-Sender: nadawca@podszywam-sie.com
Reply-To: "Marek Elastyczny" nadawca@podszywam-sie.com
To: "odbiorca@dpoczta.pl" odbiorca@dpoczta.pl

Ponownie rozbijmy źródło na to co w tej sytuacji ważne

Wybierzmy i przeanalizujmy elementy świadczące o tym, że wiadomość należy do grupy podejrzanych.

Wiadomość w aplikacji klienta e-mail podaje, że nadawcą jest ktoś inny

Pole Received-SPF wskazuje nam, że ochrona w postaci SPF (Sender Policy Framework), a więc potwierdzenie, że na serwerze i w domenie nadawcy znajdują się rekordy potwierdzające i uprawniające wysyłanie w danej domenie nie są obecne (none). Następnie co najważniejsze mamy tutaj element envelope-from co można przetłumaczyc jako kopertę, na której jest zapisany jest lub może być inny nadawca. Mamy tutaj również adres hosta serwera nadawczego oraz jego adres IP.

Received-SPF: none (podszywam-sie.com: No applicable sender policy available)
receiver=mx3.dpoczta.pl; identity=mailfrom;
envelope-from="nadawca@podszywam-sie.com";
helo=p3plwbeout13-01.prod.phx3.secureserver.net;
client-ip=173.201.192.162

Po odpytaniu adresu IP komendą whois mamy informację, że należy on w naszym przykładzie do GoDaddy, a nie do dhosting.pl na co pozornie wskazuje wiadomość.

NetRange:       173.201.0.0 - 173.201.255.255
CIDR:           173.201.0.0/16
NetName:        GO-DADDY-COM-LLC
NetHandle:      NET-173-201-0-0-1
Parent:         NET173 (NET-173-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS26496
Organization:   GoDaddy.com, LLC (GODAD)
RegDate:        2009-09-18
Updated:        2012-02-24
Comment:        Please send abuse complaints to abuse@godaddy.com
Ref:            https://rdap.arin.net/registry/ip/173.201.0.0

Z jakiej skrzynki pochodzi wiadomość?

X-SECURESERVER-ACCT jest polem gdzie znajdziesz prawdziwy adres nadawcy wiadomości. Jak widać, w naszym przykładzie jest to skrzynka nadawca@podszywam-sie.com.

X-SECURESERVER-ACCT: nadawca@podszywam-sie.com

Prawdziwy nadawca wiadomości

Pole X-Originating-IP wskazuje adres IP nadawcy wiadomości. Przy czym nie jest to IP serwera, a dostawcy usług internetowych, z których korzysta osoba wysyłająca wiadomość.

X-Originating-IP: 138.199.59.217

Odpytując adres IP komendą whois dowiadujemy się, że w naszym przykładzie dostawcą usług internetowych lub niekiedy siecią CDN / VPN, z której skorzystał nadawca należy do DataCamp Limited z siedzibą w Londynie. Tak więc możesz zweryfikować czy nadawca wiadomości faktycznie obecnie znajduje się na terenie Anglii. Jeśli jest to Twój współpracownik siedzący kilka biurek dalej lub z innego miasta w Polsce, masz pewność, że ta wiadomosć nie pochodzi od niego.


inetnum: 138.199.59.0 - 138.199.59.255
netname: CDN77-WAR
country: PL
admin-c: DLTS1-RIPE
tech-c: DLTS1-RIPE
status: ASSIGNED PA
mnt-by: DATACAMP-MNT
created: 2021-01-26T09:39:09Z
last-modified: 2021-01-26T09:39:09Z
source: RIPE

role: Datacamp Ltd. technical staff
address: DataCamp Limited
address: 207 Regent Street
address: London
address: United Kingdom
nic-hdl: DLTS1-RIPE
abuse-mailbox: abuse@datacamp.co.uk
mnt-by: DATACAMP-MNT
tech-c: JP4750-RIPE
admin-c: JP4750-RIPE
created: 2014-06-23T09:09:30Z
last-modified: 2021-03-19T13:12:55Z
source: RIPE # Filtered

Identyfikator wiadomości

Pole Message-ID o czym wspomnieliśmy wcześniej, zawiera unikalny identyfikator wiadomości. Gdyby ta została nadana faktycznie z serwerów dhosting.pl, a konkretniej dpoczta.pl na co pozornie wskazuje wiadomość, nie mielibyśmy w drugim członie informacji o
email13.godaddy.com.

Message-Id: 20211015003240.75234ab67224cea2030dee962839da49.b8fec8091c.wbe@email13.godaddy.com

Od kogo naprawdę i dla kogo jest skierowana wiadomość?

Ostatnim elementem są trzy pola gdzie jak widzisz From wskazuje informację, że nadawcą jest pozornie nadawca@dpoczta.pl przy czym jest to wyłącznie pole tekstowe odczytywane przez aplikację e-mail. Nie mówi ono o prawdziwym nadawcy. Prawdziwym nadawcą jest adres wskazany w polu X-Sender, a więc w naszym przykładzie nadawca@podszywam-sie.com i wreszcie pole Reply-To, czyli adres na który trafi wiadomość gdy odbiorca zdecyduje się na nią udzielić odpowiedzi. Jak widzisz nie jest to wcale nadawca@dpoczta.pl.

From: "Marek Elastyczny" nadawca@dpoczta.pl
X-Sender: nadawca@podszywam-sie.com
Reply-To: "Marek Elastyczny" nadawca@podszywam-sie.com

Podsumowując

W sytuacji gdy wiadomość wydaje Ci się podejrzana, dobrą praktyką jest spojrzenie na źródło wiadomości. Wyżej zawarte informacje pozwolą Ci w formie podstawowej dokonać weryfikacji czy wiadomość pochodzi faktycznie od osoby, która widnieje pozornie jako jej nadawca.

Tags:źródło wiadomościnagłówekanaliza źródłaczytanie naglówkapodszywanie się pod nadawcęheadersenderx-sender

Czy ten artykuł był pomocy?

2 Tak  Nie
Powiązane artykuły
  • Jak zaimportować skrzynkę Gmail?
  • Jak aktywować dwuetapową weryfikacje i wygenerować hasło dla aplikacji w Google Gmail?
  • Zadania w dpoczta.pl
  • Obsługa gestów w dpoczta.pl
  • Jak zaimportować/wyeksportować listę zadań?
  • Jak przenieść zadanie pomiędzy listami?
Elastyczny Web Hosting
Fachowe poradniki
  • Drzewo kategorii i tagi – jak zarządzać strukturą serwisu contentowego
  • Headless CMS – WordPress jako backend Twojego serwisu
  • Jak stworzyć wtyczkę do WordPressa? Poradnik dla początkujących
  • Jak założyć bloga? Kompletny przewodnik instalacji WordPressa dla początkujących
  • Jekyll, generator stron statycznych, alternatywą dla WordPressa
  • Tailwind CSS – utility-first framework alternatywą dla Bootstrap
  • Vue.js jako wtyczka do WordPressa
  • Wielojęzyczna strona w WordPressie bez użycia wtyczek – jak ją stworzyć?
  • WordPress MultiSite – omówienie, instalacja oraz konfiguracja
Webmail dPoczta.pl
  • Jak dokonać podstawowej analizy źródła wiadomości e-mail pod kątem nadawcy?
  • Zadania w dpoczta.pl
  • Obsługa gestów w dpoczta.pl
  • Jak zaimportować/wyeksportować listę zadań?
  • Jak przenieść zadanie pomiędzy listami?
  • Jak założyć listę zadań?
Pokaż wszystko 42  
Najpopularniejsze
  • W jaki sposób skonfigurować program pocztowy?
  • Czym różni się CC od BCC podczas wysyłania wiadomości e-mail?
  • Jak wykonać polecenie traceroute w systemie Windows?
  • Jak skonfigurować pocztę w Outlook 365?
  • Jak odbierać pocztę ze swojej skrzynki na Gmailu?
Kategorie
  • Hosting
    • Zacznij tutaj
    • Aplikacje internetowe (CMS
    • Bazy danych
    • Certyfikaty SSL
    • Cloudflare
    • CRON
    • Inne
    • Elastyczny Web Hosting
    • Kooperacja
    • FTP
    • dKonta / dVPS
    • Operacje PHP
    • Problemy z działaniem stron WWW
    • Redis
    • Rodzaje błędów HTTP
    • SSH
    • Strony WWW
  • Poczta
    • Aliasy pocztowe
    • Filtry antyspamowe
    • Problemy z odbiorem wiadomości
    • Gmail
    • Problemy z wysyłką wiadomości
    • Konfiguracja programów pocztowych
    • Webmail dPoczta.pl
    • Zarządzanie pocztą w dPanelu
    • Migracja skrzynek
  • Kalendarz
  • Pozostałe
    • Program Partnerski
    • Bezpieczeństwo
    • Zarządzanie kontem
    • Inne
  • Domeny
    • Zarządzanie domenami w dPanelu
    • Registry Lock
    • Rejestracja i odnowienia domen
    • Transfery domen
  • Faktury i płatności
    • Problemy z płatnością
    • RODO
    • Zarządzanie fakturami i płatnościami w dPanelu
    • Faktury VAT
    • Inne
    • Metody i płatności
  • Strona główna
  • Zacznij tutaj
  • Status usług
  • Fachowe poradniki
  • Helpdesk 24h
  • Elastyczny Web Hosting →
  • Copyright © 2023 dhosting.pl Sp. z o.o.