Cách thức truy xuất nguồn gốc các email Bạn có thể truy xuất được địa chỉ email bằng cách phân tích kỹ tiêu đề đầy đủ của email. Tiêu đề ema...
Cách thức truy xuất nguồn gốc các email
Bạn có thể truy xuất được địa chỉ email bằng cách phân tích kỹ tiêu đề đầy đủ của email. Tiêu đề email chứa thông tin định tuyến (routing information) và siêu dữ liệu email (email metadata). Đây là là những thông tin mà đa số người dùng thường bỏ qua hoặc không để ý đến nhưng chúng lại đóng vai trò rất quan trọng trong việc truy tìm nguồn gốc của email.
Hầu hết các ứng dụng email đều không hiển thị đầy đủ tiêu đề email tiêu chuẩn vì tiêu đề này chứa đầy những dữ liệu kỹ thuật mang tính hơi chuyên ngành một chút và chỉ khiến những người dùng phổ thông thêm rối mắt hơn mà thôi. Tuy nhiên, hầu hết các ứng dụng email đều hỗ trợ tính năng kiểm tra tiêu đề email đầy đủ:
Để xem tiêu đề email đầy đủ trong Gmail: Mở tài khoản Gmail của bạn, sau đó mở email bạn muốn truy xuất nguồn gốc. Di chuyển đến thanh menu cuộn ở góc trên cùng bên phải, sau đó chọn mục hiển thị bản gốc (Show original).
Xem tiêu đề email đầy đủ trong Outlook: Nhấp đúp vào email bạn muốn truy xuất nguồn gốc, sau đó vào File chọn Properties. Thông tin xuất hiện trong tiêu đề internet (internet headers).
Xem tiêu đề email đầy đủ trong Apple Mail: Mở email bạn muốn theo dõi, sau đó di chuyển chuyển đến View > Message > Raw Source.
Hiểu rõ ý nghĩa của dữ liệu trong tiêu đề email đầy đủ
Có rất nhiều thông tin được hiển thị trong một tiêu đề email đầy đủ, nhưng bạn chỉ cần chú ý những điều sau: Bạn đọc theo trình tự từ dưới lên trên, từ thông tin cũ đến thông tin mới (có nghĩa là thông tin cũ nhất sẽ ở dưới cùng). Hãy cùng xem một tiêu đề email mẫu lấy từ tài khoản Gmail trên trang MakeUseOf:
Tiêu đề email trong Gmail Dưới đây là ý nghĩa của các nội dung được hiển thị trong một tiêu đề Gmail đầy đủ (đọc từ dưới lên trên):
Tiêu đề email trong Gmail Dưới đây là ý nghĩa của các nội dung được hiển thị trong một tiêu đề Gmail đầy đủ (đọc từ dưới lên trên):
- Reply-To: Địa chỉ email bạn gửi phản hồi tới.
- From: Hiển thị người gửi tin nhắn, thông tin này rất dễ bị giả mạo.
- Content type: Cung cấp thông tin cho trình duyệt hoặc ứng dụng email của bạn biết cách diễn giải nội dung của email.
- Các bộ ký tự phổ biến nhất là UTF-8 (xem trong ví dụ) và ISO-8859-1. MIME-Version: Hiển thi tiêu chuẩn định dạng mà email đang sử dụng. MIME-Version thường là “1.0”.
- Subject: Chủ đề của nội dung email.
- To: Người dự định sẽ nhận của email, có thể hiển thị thêm các địa chỉ người nhận khác nữa.
- DKIM-Signature: DomainKeys Identified Mail, xác thực tên miền mà email được gửi đi và giúp chống gian lận email và lừa đảo người gửi.
- Received: Dòng “Received” liệt kê từng máy chủ mà email di chuyển qua trước khi được gửi tới hộp thư đến của bạn. Bạn đọc dòng “Received” từ dưới lên trên; dòng dưới cùng là người khởi tạo email.
- Authentication-Results: Chứa hồ sơ kiểm tra xác thực đã được thực hiện; có thể chứa nhiều phương thức xác thực khác nhau.
- Received-SPF: The Sender Policy Framework (SPF) cấu thành một phần của quy trình xác thực email nhằm ngăn chặn hành vi giả mạo địa chỉ người gửi.
- Return-Path: Vị trí của các thư không gửi hoặc bị gửi trả lại.
- ARC-Authentication-Results: The Authenticated Receive Chain, là một tiêu chuẩn xác thực khác, ARC xác minh danh tính của các trung gian tiếp nhận email và máy chủ chuyển tiếp email của bạn cho đến đích cuối cùng là hộp thư đến của người nhận. ARC-Message-Signature: Ký hiệu ghi lại thông tin tiêu đề thư để xác thực, tương tự như DKIM. ARC-Seal: Có thể coi như là "Con dấu" cho kết quả xác thực ARC-Message-Signature, tương tự như DKIM. X-Received: Khác với “Received” ở chỗ nó được coi là thông tin phi tiêu chuẩn; có nghĩa là đó có thể không phải là địa chỉ cố định, chẳng hạn như transfer agent hoặc máy chủ SMTP của Gmail. X-Google-Smtp-Source: Hiển thị email đang được chuyển bằng cách sử dụng máy chủ SMTP của Gmail. Delivered-To: Người nhận cuối cùng của email này. Truy tìm địa chỉ gốc nơi email được gửi đi Để truy xuất được địa chỉ IP của người gửi email, hãy chú ý đến “Received” đầu tiên trong tiêu đề email đầy đủ. Bên cạnh dòng “Received” đầu tiên chính là địa chỉ IP của máy chủ đã gửi email. Đôi khi, nội dung này hiển thị dưới dạng X-Originating-IP hoặc Original-IP. Tìm địa chỉ IP, sau đó di chuyển đến hộp công cụ MX Toolbox. Nhập địa chỉ IP này vào trong hộp thoại, thay đổi phương thức tìm kiếm thành Reverse Lookup, sau đó nhấn enter. Kết quả tìm kiếm sẽ hiển thị nhiều thông tin liên quan đến máy chủ gửi email đi.
Trừ khi địa chỉ IP gốc là một địa chỉ IP riêng tư, còn không, bạn sẽ nhận được thông báo sau:
Miền IP 10.0.0.0-10.255.255.255, 172.16.00-172.31.255.255, 192.168.0.0-192.168.255.255 và 224.0.0.0-239.255.255.255 là các miền IP riêng tư. Sẽ không có bất kỳ kết quả nào được trả về khi bạn tra cứu các địa chỉ IP này.
3 công cụ hữu ích trong phân tích tiêu đề email và truy xuất địa chỉ IP
Bạn có thể sử dụng một số công cụ sau để phân tích tiêu đề email:
- GSuite Toolbox Messageheader
- MX Toolbox Email Header Analyzer
- IP-Address Email Header Trace (phân tích được cả tiêu đề email lẫn truy xuất địa chỉ IP gửi email)
Tuy nhiên đôi khi kết quả trả về không phải lúc nào cũng phù hợp. Trong ví dụ dưới đây, người gửi không ở gần vị trí được trả về là Ashburn, Virginia:
Bạn có thể thực sự tìm thấy địa chỉ IP của ai đó không?
Có, và trong nhiều trường hợp việc truy tìm địa chỉ IP thông qua tiêu đề email đem lại khá nhiều hiệu quả. Tuy nhiên, điều gây khó chịu cho chúng ta có lẽ là bởi nguồn của các email lừa đảo thường rất hỗn loạn. Thông thường các email nhất định sẽ chỉ đến từ một số địa chỉ nhất định; Ví dụ, các email từ PayPal sẽ không thể được gửi đi từ Trung Quốc