• Strona główna
  • Zacznij tutaj
  • Kategorie
    • Hosting
    • Poczta
    • Domeny
    • Faktury i płatności
    • Pozostałe
  • Fachowe poradniki
  • Helpdesk 24h
  • Elastyczny Web Hosting →
  • Strona główna
  • Zacznij tutaj
  • Kategorie
    • Hosting
    • Poczta
    • Domeny
    • Faktury i płatności
    • Pozostałe
  • Fachowe poradniki
  • Helpdesk 24h
  • Elastyczny Web Hosting →
Strona główna/Baza wiedzy/Poczta/Webmail dPoczta.pl
Inni użytkownicy szukali:Czym jest Elastyczny Web Hosting? W jaki sposób aktywować serwer Redis? Czym jest i do czego służy dPanel?

Jak dokonać podstawowej analizy źródła wiadomości e-mail pod kątem nadawcy?

545 wyświetleń 1

W sytuacji gdy podejrzewasz, że wiadomość nie pochodzi od osoby widniejącej w polu nadawcy, możesz dokonać w prosty sposób analizy na podstawie źródła wiadomości. Aby wyświetlić źródło wiadomości, zaloguj się na swoją skrzynkę w dpoczta.pl po czym po otwarciu wybranej wiadomości na górnej belce kliknij w „przycisk z ikoną trzech kropek”, po czym z menu, które zostanie rozwinięte wybierz pozycję „Pokaż źródło”.

Po wybraniu opcji wyświetlenia źródła wiadomości, to na co zwrócimy uwagę to jej nagłówek. Ten zawiera ważne informacje oraz wskazówki pozwalające na dokonanie analizy.

Nagłówek wiadomości e-mail

Poniżej znajduje się nagłówek wiadomości będącej komunikacją między skrzynkami nadawca@dpoczta.pl oraz odbiorca@dpoczta.pl.

X-Spam-Checker-Version: SpamAssassin
Return-Path: <nadawca@dpoczta.pl>
X-Spam-Level: 
X-Spam-Status: No, score=0.1 required=6.0 tests=DH_SUBJECT_WEIRD_STRING,
	DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,HTML_MESSAGE
	autolearn=disabled version=3.4.2
Delivered-To: odbiorca@dpoczta.pl
Received: from mx-2.d ([10.12.105.22])
	by ipm-4.dpoczta.pl with LMTP id cILxAmDzb2EOcQAA4pA8cg
	for <odbiorca@dpoczta.pl>; Wed, 20 Oct 2021 12:45:57 +0200
Received: from mx-2.d
	by mx-2.d (Dovecot) with LMTP id ildIJo2WTWErMQAAA2lZFw
	; Wed, 20 Oct 2021 12:45:51 +0200
Received: from smtp-2.dpoczta.pl (smtp-2.dpoczta.pl [195.88.50.152])
	(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by mx-2.d (dpoczta.pl) with ESMTPS id 4HZ6hr62WzzwPGb
	for <odbiorca@dpoczta.pl>; Wed, 20 Oct 2021 12:45:48 +0200 (CEST)
Received: from roundcube (nimbus-office.dhosting.pl [195.88.50.10])
	(Authenticated sender: nadawca@dpoczta.pl)
	by smtp-2.dpoczta.pl (smtp-2.dpoczta.pl) with ESMTPA id 4HZ6hs10cszLlZZ
	for <odbiorca@dpoczta.pl>; Wed, 20 Oct 2021 12:45:49 +0200 (CEST)
MIME-Version: 1.0
Date: Wed, 20 Oct 2021 12:45:49 +0200
From: Jan Elastyczny <nadawca@dpoczta.pl>
To: Marek Elastyczny <odbiorca@dpoczta.pl>
Subject: Tytuł wiadomości
User-Agent: dPoczta.pl
Message-ID: <128390198293b8a0f05339990c4dcdda@dpoczta.pl>
X-Sender: nadawca@dpoczta.pl
Content-Type: multipart/alternative;
 boundary="=_0662e0167a896e7798ab25adc7bd2deb"
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=dpoczta.pl;
	s=dhosting; t=1634726749;
	bh=3kG1OBknLNvPGQewSgqjAGfr0OyBk2WxfzwqLUb8U+E=;
	h=Date:From:To:Subject;
	b=oeQ36fwa4F7zE33uzUcsmEeI91yZAoh/JX8jA03VZNyPuf76QT4nxwl7Dsnp4kzNX
	 K+ulIRXiuehIJ6HxNOMr/4DmcAyTGQi4lzn78GAJJZaVJraOmme8QgWPTd+nc7LFcz
	 TyE+KfvGQ6WHPoE7/b0skyMHPdpHkOn0ZLJqgYdc=
Authentication-Results: mx-1.dpoczta.pl/4HZ6hr62WzzwPGb;
	dkim=pass (1024-bit key) header.d=dpoczta.pl header.i=@dpoczta.pl header.b=oeQ36fwa
X-Virus-Status: Clean

Rozbijmy źródło na poszczególne elementy

Nie będziemy omawiać każdego z elementów, a jedynie te mające znaczenie w przypadku analizy kwestii nadawcy i odbiorcy wiadomości.

Gdzie trafi odpowiedź?

Return-Path wskazuje na jaki adres zostanie wysłana informacja zwrotna przede wszystkim ze strony serwera. Przykładowo gdyby skrzynka e-mail była przepełniona lub też gdyby taki adres już nie istniał. Oczywiście są to wyłącznie dwa przykłady, ponieważ powodów wiadomości zwrotnych ze strony serwera odbiorczego może być wiele. Wiadomości spamowe często takiego pola nie zawierają z uwagi na fakt wysyłania tysięcy wiadomości na często losowe adresy e-mail.

Return-Path: <nadawca@dpoczta.pl>

Gdzie wiadomość została dostarczona?

Delivered-To wskazuje na jaką skrzynkę faktycznie wiadomość została dostarczona

Delivered-To: odbiorca@dpoczta.pl

Jakie serwery otrzymaly wiadomość
i przez jakie serwery wiadomość była podawana?

Poniższe informacje będą wyglądały nieco inaczej w stosunku do każdej wiadomości, niemniej pola Recieved wskazują na to prez jakie serwery wiadomość została otrzymana lub ewentualnie przekazywana nim trafiła do skrzynki odbiorca@dpoczta.pl. Zwróć uwagę, że poszczególne pozycje zawierają zarówno nazwy serwerów pocztowych wraz z adresami IP, przez które wiadomość przechodziła oraz informację o tym kto jest nadawcą, a kto odbiorcą i czy wysyłka wiadomosci była autoryzowana – Authenticated sender: nadawca@dpoczta.pl

Received: from mx-2.d ([10.12.105.22])
	by ipm-4.dpoczta.pl with LMTP id cILxAmDzb2EOcQAA4pA8cg
	for <odbiorca@dpoczta.pl>; Wed, 20 Oct 2021 12:45:57 +0200
Received: from mx-2.d
	by mx-2.d (Dovecot) with LMTP id ildIJo2WTWErMQAAA2lZFw
	; Wed, 20 Oct 2021 12:45:51 +0200
Received: from smtp-2.dpoczta.pl (smtp-2.dpoczta.pl [195.88.50.152])
	(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by mx-2.d (dpoczta.pl) with ESMTPS id 4HZ6hr62WzzwPGb
	for <odbiorca@dpoczta.pl>; Wed, 20 Oct 2021 12:45:48 +0200 (CEST)
Received: from roundcube (nimbus-office.dhosting.pl [195.88.50.10])
	(Authenticated sender: nadawca@dpoczta.pl)
	by smtp-2.dpoczta.pl (smtp-2.dpoczta.pl) with ESMTPA id 4HZ6hs10cszLlZZ
	for <odbiorca@dpoczta.pl>; Wed, 20 Oct 2021 12:45:49 +0200 (CEST)

Kiedy wiadomość została wysłana?

Jeśli nie masz pewności kiedy wiadomość została wysłana. Pole Date wskaże Ci tę informację.

Date: Wed, 20 Oct 2021 12:45:49 +0200

Jak jest wskazany nadawca oraz odbiorca?

Kolejno pola From oraz To są dla Ciebie informacją kto był nadawcą wiadomości, czyli w naszym przykładzie nadawca@dpoczta.pl, a kto odbiorcą czyli w naszym przykładzie odbiorca@dpoczta.pl.

From: Jan Elastyczny <nadawca@dpoczta.pl>
To: Marek Elastyczny <odbiorca@dpoczta.pl>

Identyfikator wiadomości

Dość niepozorne i często pomijane pole Message-ID jest bardzo ważną wskazówką w sytuacji gdy wymagana jest dodatkowa analiza. Zawiera ono identyfikator wiadomości, który może ułatwić wyszukanie jej w logach lub na poziomie serwera. Wskazuje też w swoim drugim członie, czy wiadomość, która miała być wysłana z serwera dpoczta.pl faktycznie z takiego serwera pochodzi.

Message-ID: <128390198293b8a0f05339990c4dcdda@dpoczta.pl>

Gdy wiadomość miała podanego dodatkowego odbiorcę
(CC – Carbon Copy).

Wysyłane wiadomości poza odbiorcą głównym mogą zawierać informację o tym, że nadawca oznaczył aby kopia wiadomości została przekazana również na inne adresy. Taka informacja znajdzie się w polu z adnotacją Cc.

Cc: Dorota Elastyczna <odbiorca-kopii@dpoczta.pl>

Jak rozpoznać gdy następuje próba podszycia się pod nadawcę?

Poniżej znajduje się część nagłówka wiadomości gdzie nadawca@podszywam-sie.com wysłał wiadomość podając się za nadawca@dpoczta.pl. Dokonamy razem analizy co świadczy o takim stanie rzeczy.

Received: from mx-2.d ([10.12.105.22])
       by ipm-4.dpoczta.pl with LMTP id KA6DCqIuaWGqIAAAFe+v2g
       for <odbiorca@dpoczta.pl>; Fri, 15 Oct 2021 09:32:50 +0200
Received: from mx-2.d
       by mx-2.d (Dovecot) with LMTP id nx4aFouWTWEyMQAAA2lZFw
       ; Fri, 15 Oct 2021 09:32:50 +0200
Received: from p3plwbeout13-01.prod.phx3.secureserver.net (p3plsmtp13-01-2.prod.phx3.secureserver.net [173.201.192.162])
       (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
       (No client certificate requested)
       by mx-2.d (dpoczta.pl) with ESMTPS id 4HVyfT60skzwPFD
       for <odbiorca@dpoczta.pl>; Fri, 15 Oct 2021 09:32:49 +0200 (CEST)
Received-SPF: none (podszywam-sie.com: No applicable sender policy available)
receiver=mx3.dpoczta.pl; 
identity=mailfrom; 
envelope-from="nadawca@podszywam-sie.com"; 
helo=p3plwbeout13-01.prod.phx3.secureserver.net; 
client-ip=173.201.192.162
Received: from p3plgemwbe13-04.prod.phx3.secureserver.net ([173.201.192.138])
       by :WBEOUT: with SMTP
       id bHhqmxRlKh62wbHhqmEU0T; Fri, 15 Oct 2021 00:32:42 -0700
X-CMAE-Analysis: v=2.4 cv=e6vD9Yl/ c=1 sm=1 tr=0 ts=61692e9a
a=7pclQsdl3t+UmZRjLKsDUQ==:117 a=gF-W1-T0RT0A:10 a=dmSCSAQeg4EA:10
a=IkcTkHD0fZMA:10 a=8gfv0ekSlNoA:10 a=5KLPUuaC_9wA:10 a=M51BFTxLslgA:10
a=jKLqcQWW5-E_atD3-hgA:9 a=aGuDArVsee2xSMsZ:21 a=_W_S_7VecoQA:10
a=QEXdDO2ut3YA:10
X-SECURESERVER-ACCT: nadawca@podszywam-sie.com
X-SID: bHhqmxRlKh62w
Received: (qmail 23066 invoked by uid 99); 15 Oct 2021 07:32:42 -0000
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="utf-8"
X-Originating-IP: 138.199.59.217
User-Agent: Workspace Webmail 6.12.9
Message-Id: <20211015003240.75234ab67224cea2030dee962839da49.b8fec8091c.wbe@e-mail13.godaddy.com>
From: "Marek Elastyczny" <nadawca@dpoczta.pl>
X-Sender: nadawca@podszywam-sie.com
Reply-To: "Marek Elastyczny" <nadawca@podszywam-sie.com>
To: "odbiorca@dpoczta.pl" <odbiorca@dpoczta.pl>

Ponownie rozbijmy źródło na to co w tej sytuacji ważne

Wybierzmy i przeanalizujmy elementy świadczące o tym, że wiadomość należy do grupy podejrzanych.

Wiadomość w aplikacji klienta e-mail podaje, że nadawcą jest ktoś inny

Pole Received-SPF wskazuje nam, że ochrona w postaci SPF (Sender Policy Framework), a więc potwierdzenie, że na serwerze i w domenie nadawcy znajdują się rekordy potwierdzające i uprawniające wysyłanie w danej domenie nie są obecne (none). Następnie co najważniejsze mamy tutaj element envelope-from co można przetłumaczyc jako kopertę, na której jest zapisany jest lub może być inny nadawca. Mamy tutaj również adres hosta serwera nadawczego oraz jego adres IP.

Received-SPF: none (podszywam-sie.com: No applicable sender policy available)
receiver=mx3.dpoczta.pl; identity=mailfrom;
envelope-from="nadawca@podszywam-sie.com";
helo=p3plwbeout13-01.prod.phx3.secureserver.net;
client-ip=173.201.192.162

Po odpytaniu adresu IP komendą whois mamy informację, że należy on w naszym przykładzie do GoDaddy, a nie do dhosting.pl na co pozornie wskazuje wiadomość.

NetRange:       173.201.0.0 - 173.201.255.255
CIDR:           173.201.0.0/16
NetName:        GO-DADDY-COM-LLC
NetHandle:      NET-173-201-0-0-1
Parent:         NET173 (NET-173-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS26496
Organization:   GoDaddy.com, LLC (GODAD)
RegDate:        2009-09-18
Updated:        2012-02-24
Comment:        Please send abuse complaints to abuse@godaddy.com
Ref:            https://rdap.arin.net/registry/ip/173.201.0.0

Z jakiej skrzynki pochodzi wiadomość?

X-SECURESERVER-ACCT jest polem gdzie znajdziesz prawdziwy adres nadawcy wiadomości. Jak widać, w naszym przykładzie jest to skrzynka nadawca@podszywam-sie.com.

X-SECURESERVER-ACCT: nadawca@podszywam-sie.com

Prawdziwy nadawca wiadomości

Pole X-Originating-IP wskazuje adres IP nadawcy wiadomości. Przy czym nie jest to IP serwera, a dostawcy usług internetowych, z których korzysta osoba wysyłająca wiadomość.

X-Originating-IP: 138.199.59.217

Odpytując adres IP komendą whois dowiadujemy się, że w naszym przykładzie dostawcą usług internetowych lub niekiedy siecią CDN / VPN, z której skorzystał nadawca należy do DataCamp Limited z siedzibą w Londynie. Tak więc możesz zweryfikować czy nadawca wiadomości faktycznie obecnie znajduje się na terenie Anglii. Jeśli jest to Twój współpracownik siedzący kilka biurek dalej lub z innego miasta w Polsce, masz pewność, że ta wiadomosć nie pochodzi od niego.


inetnum: 138.199.59.0 - 138.199.59.255
netname: CDN77-WAR
country: PL
admin-c: DLTS1-RIPE
tech-c: DLTS1-RIPE
status: ASSIGNED PA
mnt-by: DATACAMP-MNT
created: 2021-01-26T09:39:09Z
last-modified: 2021-01-26T09:39:09Z
source: RIPE

role: Datacamp Ltd. technical staff
address: DataCamp Limited
address: 207 Regent Street
address: London
address: United Kingdom
nic-hdl: DLTS1-RIPE
abuse-mailbox: abuse@datacamp.co.uk
mnt-by: DATACAMP-MNT
tech-c: JP4750-RIPE
admin-c: JP4750-RIPE
created: 2014-06-23T09:09:30Z
last-modified: 2021-03-19T13:12:55Z
source: RIPE # Filtered

Identyfikator wiadomości

Pole Message-ID o czym wspomnieliśmy wcześniej, zawiera unikalny identyfikator wiadomości. Gdyby ta została nadana faktycznie z serwerów dhosting.pl, a konkretniej dpoczta.pl na co pozornie wskazuje wiadomość, nie mielibyśmy w drugim członie informacji o
e-mail13.godaddy.com.

Message-Id: <20211015003240.75234ab67224cea2030dee962839da49.b8fec8091c.wbe@e-mail13.godaddy.com>

Od kogo naprawdę i dla kogo jest skierowana wiadomość?

Ostatnim elementem są trzy pola gdzie jak widzisz From wskazuje informację, że nadawcą jest pozornie nadawca@dpoczta.pl przy czym jest to wyłącznie pole tekstowe odczytywane przez aplikację e-mail. Nie mówi ono o prawdziwym nadawcy. Prawdziwym nadawcą jest adres wskazany w polu X-Sender, a więc w naszym przykładzie nadawca@podszywam-sie.com i wreszcie pole Reply-To, czyli adres na który trafi wiadomość gdy odbiorca zdecyduje się na nią udzielić odpowiedzi. Jak widzisz nie jest to wcale nadawca@dpoczta.pl.

From: "Marek Elastyczny" <nadawca@dpoczta.pl>
X-Sender: nadawca@podszywam-sie.com
Reply-To: "Marek Elastyczny" <nadawca@podszywam-sie.com

Podsumowując

W sytuacji gdy wiadomość wydaje Ci się podejrzana, dobrą praktyką jest spojrzenie na źródło wiadomości. Wyżej zawarte informacje pozwolą Ci w formie podstawowej dokonać weryfikacji czy wiadomość pochodzi faktycznie od osoby, która widnieje pozornie jako jej nadawca.

Jeśli nie masz pewności co do nadawcy otrzymanej wiadomości, nie odpowiadaj na nią. W razie potrzeby zgłoś się do naszego działu obsługi, a my pomożemy Ci w analizie wiadomości.

Tags:źródło wiadomościanaliza źródłapodszywanie się pod nadawcęsenderx-sendernagłówekczytanie naglówkaheader

Czy ten artykuł był pomocy?

1 Tak  Nie
Powiązane artykuły
  • Jak przenieść skrzynkę z icloud?
  • Jak przenieść skrzynkę z zoho.com?
  • Jak przenieść skrzynkę z outlook.com?
  • Jak przenieść skrzynkę z gmail.com?
  • Jak przenieść skrzynkę z int.pl?
  • Jak przenieść skrzynkę z yahoo.com?
Elastyczny Web Hosting
Fachowe poradniki
  • Drzewo kategorii i tagi – jak zarządzać strukturą serwisu contentowego
  • Headless CMS – WordPress jako backend Twojego serwisu
  • Jak stworzyć wtyczkę do WordPressa? Poradnik dla początkujących
  • Jak założyć bloga? Kompletny przewodnik instalacji WordPressa dla początkujących
  • Jekyll, generator stron statycznych, alternatywą dla WordPressa
  • Tailwind CSS – utility-first framework alternatywą dla Bootstrap
  • Vue.js jako wtyczka do WordPressa
  • Wielojęzyczna strona w WordPressie bez użycia wtyczek – jak ją stworzyć?
  • WordPress MultiSite – omówienie, instalacja oraz konfiguracja
Webmail dPoczta.pl
  • Jak dokonać podstawowej analizy źródła wiadomości e-mail pod kątem nadawcy?
  • Jak dodać i korzystać z szablonów odpowiedzi w dpoczta.pl?
  • Zmiana hasła do skrzynki e-mail z poziomu dpoczta.pl
  • Czy wiadomości e-mail są skanowane pod kątem wirusów?
  • Jak zmienić widok listy wiadomości w katalogu na dpoczta.pl
  • Jak mogę sortować wiadomości w dpoczta.pl?
Pokaż wszystko 30  
Najpopularniejsze
  • W jaki sposób skonfigurować program pocztowy?
  • Czym różni się CC od BCC podczas wysyłania wiadomości e-mail?
  • Jak wykonać polecenie traceroute w systemie Windows?
  • Konfiguracja poczty na Microsoft Outlook (Android)
  • Jak przenieść domenę do dhosting.pl
Kategorie
  • Domeny
    • Registry Lock
    • Rejestracja i odnowienia domen
    • Transfery domen
    • Zarządzanie domenami w dPanelu
  • Hosting
    • Aplikacje internetowe (CMS
    • Bazy danych
    • Certyfikaty SSL
    • Cloudflare
    • CRON
    • Elastyczny Web Hosting
    • FTP
    • dKonta / dVPS
    • Operacje PHP
    • Problemy z działaniem stron WWW
    • Redis
    • Rodzaje błędów HTTP
    • SSH
    • Strony WWW
    • Zacznij tutaj
    • Inne
    • Kooperacja
  • Poczta
    • Aliasy pocztowe
    • Filtry antyspamowe
    • Gmail
    • Konfiguracja programów pocztowych
    • Webmail dPoczta.pl
    • Zarządzanie pocztą w dPanelu
    • Problemy z odbiorem wiadomości
    • Problemy z wysyłką wiadomości
    • Migracja skrzynek
  • Pozostałe
    • Program Partnerski
    • Zarządzanie kontem
    • Inne
  • Faktury i płatności
    • Faktury VAT
    • Inne
    • Metody i płatności
    • Problemy z płatnością
    • RODO
    • Zarządzanie fakturami i płatnościami w dPanelu
  • Kalendarz
  • Strona główna
  • Zacznij tutaj
  • Status usług
  • Fachowe poradniki
  • Helpdesk 24h
  • Elastyczny Web Hosting →
  • Copyright © 2022 dhosting.pl Sp. z o.o.

Inni użytkownicy szukali:Czym jest Elastyczny Web Hosting? W jaki sposób aktywować serwer Redis? Czym jest i do czego służy dPanel?