我们的邮箱账户“被黑客破解了” 该怎么办？通过 Internet 邮件头来找到真正的邮件发送人

Outlook 2023-01-11

我们在工作过程中处理过多起客户遇到的各种类型的电子邮箱诈骗或者病毒的案例。在此逐一分享给大家。避免更多的人上当受骗。

所有案例均为真实事件。为了客户隐私。我们会隐藏客户信息。

这篇文章主要讲述如果通过 Internet 邮件头来找到真正的邮件发送人。

第一问题描述：

我们的一个客户反映，怀疑自己的邮箱账户被黑客破解了。因为他收到一封自己发给自己的邮件。

邮件内容如下：（全是英文，截图展示，便于大家作为参考识别自己收到的可疑邮件）

大体意思就是说：

我是一个黑客，大约半年前就破解了你的邮箱密码。同时你再修改密码也没用，还是可以分分钟破解。同时也黑了你的电脑。了解到你访问了不健康的网站，同时通过控制你的摄像头拍摄了你的私密照片。限期48小时内支付 884 美金。只收比特币。。。。等等。

邮件截图如下：

乍一看到，确实是会吓一跳，因为发送邮件地址确实和自己的完全一样。真的会担心是否是自己的邮箱密码被盗了。

第二进一步分析：

找到邮件的真正发件地址和IP.

在此以OUTLOOK 2007为例。

2.在这里，红色标识区域，就是 Internet 邮件头，里面信息可以帮助我们找到邮件的真正发件人。

红色区域的Internet 邮件头文件，可以帮助我们找到真正的邮件发件人，我们只需要看最开始的一段。举两个栗子。

范例1：以下信息中邮件是来自IP为： [223.176.22.150]的服务器，

Received:from 后面跟着的就是真正的发件人IP或者服务器。

Received: from [223.176.22.150] (223.176.22.150) by xxxx.mail.com

(xx.xx.xx.xx 是客户邮件服务器IP) with Microsoft SMTP Server id 14.0.639.21; Sun, 28 Oct 2018 18:41:33 +0800

Message-ID: <004101d46ed9$02591c35$59fa9c8e@cbokaf>

如果到百度中搜索这个IP地址，可以看到它是一个来自印度的IP.

范例2：邮件是来自IP为：(74.14.16.189)的服务器，

服务器域名为
bas2-toronto47-74-14-16-189.dsl.bell.ca

Received:from 后面跟着的就是真正的发件人IP或者服务器。

Received: from bas2-toronto47-74-14-16-189.dsl.bell.ca (74.14.16.189) by

by xxxx.mail.com

(xx.xx.xx.xx客户邮件服务器IP) with Microsoft SMTP Server id 14.0.639.21;

Fri, 26 Oct 2018 00:37:19 +0800

从百度里查询IP地址，发现这个地址来自加拿大。

这样我们就可以确定这两个邮件绝对不是客户自己账户发出的。一定是诈骗邮件。

由于邮件本身没有带病毒或者其他可以附件，单纯靠内容恐吓诈骗。因此有时不会被杀毒软件报警或者删除。

如果下次我们不想再收到类似的邮件，该怎么办呢？

第一，通知公司IT或者邮箱管理员，他们会通过修改邮件服务器设置来过滤类似邮件。

第二自己本地也可以对OUTLOOK设置规则。屏蔽这些邮件。

我们的邮箱账户“被黑客破解了” 该怎么办？通过 Internet 邮件头 来找到真正的邮件发送人