Cách truy xuất nguồn gốc thực của email

Chắc chắn rằng việc đầu tiên mà đa số chúng ta thường làm sau khi nhận được thông báo email đến đó là kiểm tra xem ai là người gửi. Đây là cách nhanh nhất giúp chúng ta bước đầu xác định được email này được gửi từ đâu, cũng như có thể giúp đoán trước được một phần nội dung trong mail.

Thế nhưng nhiều người lại không để ý rằng mỗi email thường chứa đựng nhiều thông tin khác nữa để sử dụng trong việc truy xuất lại nguồn gốc của email khi cần thiết.

Dưới đây là lý do và cách thức truy xuất nguồn gốc các email.

Tại sao phải truy xuất nguồn gốc email?

Trong thời đại công nghệ thông tin lên ngôi như hiện nay, thư điện tử là một tiện ích không thể thiếu. Tuy nhiên, mọi thứ đều có hai mặt, các email độc hại đã và đang gây phiền toái cho hàng trăm triệu người dùng email. Chúng được dùng để lừa đảo, spam, gửi những phần mềm độc hại và trong đó email lừa đảo là phổ biến nhất. Nếu bạn truy xuất được nguồn gốc các email. Bạn sẽ có cơ hội để phát hiện ra email đó đến từ đâu, do kẻ nào phát tán.

Mặt khác, bạn cũng có thể lần theo nguồn gốc của email để chặn nguồn spam hoặc những nội dung không phù hợp đang liên tục được gửi đến cho bạn đồng thời xóa vĩnh viễn nội dung đó khỏi hộp thư đến của bạn. Các quản trị viên máy chủ thực hiện truy xuất nguồn gốc email cũng vì lý do đó.

Cách thức truy xuất nguồn gốc các email

Bạn có thể truy xuất được địa chỉ email bằng cách phân tích kỹ tiêu đề đầy đủ của email. Tiêu đề email chứa thông tin định tuyến (routing information) và siêu dữ liệu email (email metadata). Đây là những thông tin mà đa số người dùng thường bỏ qua hoặc không để ý đến nhưng chúng lại đóng vai trò rất quan trọng trong việc truy tìm nguồn gốc của email.

Hầu hết các ứng dụng email đều không hiển thị đầy đủ tiêu đề email tiêu chuẩn vì tiêu đề này chứa đầy những dữ liệu kỹ thuật mang tính hơi chuyên ngành một chút và chỉ khiến những người dùng phổ thông thêm rối mắt hơn mà thôi. Tuy nhiên, hầu hết các ứng dụng email đều hỗ trợ tính năng kiểm tra tiêu đề email đầy đủ:

• Để xem tiêu đề email đầy đủ trong Gmail: Mở tài khoản Gmail của bạn, sau đó mở email bạn muốn truy xuất nguồn gốc. Di chuyển đến thanh menu cuộn ở góc trên cùng bên phải, sau đó chọn mục hiển thị bản gốc (Show original).
• Xem tiêu đề email đầy đủ trong Outlook: Nhấp đúp vào email bạn muốn truy xuất nguồn gốc, sau đó vào File chọn Properties. Thông tin xuất hiện trong tiêu đề internet (internet headers).
• Xem tiêu đề email đầy đủ trong Apple Mail: Mở email bạn muốn theo dõi, sau đó di chuyển chuyển đến View > Message > Raw Source.

Hiểu rõ ý nghĩa của dữ liệu trong tiêu đề email đầy đủ

Có rất nhiều thông tin được hiển thị trong một tiêu đề email đầy đủ, nhưng bạn chỉ cần chú ý những điều sau: Bạn đọc theo trình tự từ dưới lên trên, từ thông tin cũ đến thông tin mới (có nghĩa là thông tin cũ nhất sẽ ở dưới cùng). Hãy cùng xem một tiêu đề email mẫu lấy từ tài khoản Gmail trên trang MakeUseOf:

Tiêu đề email trong Gmail

Dưới đây là ý nghĩa của các nội dung được hiển thị trong một tiêu đề Gmail đầy đủ (đọc từ dưới lên trên):

• Reply-To: Địa chỉ email bạn gửi phản hồi tới.
• From: Hiển thị người gửi tin nhắn, thông tin này rất dễ bị giả mạo.
• Content type: Cung cấp thông tin cho trình duyệt hoặc ứng dụng email của bạn biết cách diễn giải nội dung của email. Các bộ ký tự phổ biến nhất là UTF-8 (xem trong ví dụ) và ISO-8859-1.
• MIME-Version: Hiển thi tiêu chuẩn định dạng mà email đang sử dụng. MIME-Version thường là “1.0”.
• Subject: Chủ đề của nội dung email.
• To: Người dự định sẽ nhận của email, có thể hiển thị thêm các địa chỉ người nhận khác nữa.
• DKIM-Signature: DomainKeys Identified Mail, xác thực tên miền mà email được gửi đi và giúp chống gian lận email và lừa đảo người gửi.
• Received: Dòng “Received” liệt kê từng máy chủ mà email di chuyển qua trước khi được gửi tới hộp thư đến của bạn. Bạn đọc dòng “Received” từ dưới lên trên; dòng dưới cùng là người khởi tạo email.
• Authentication-Results: Chứa hồ sơ kiểm tra xác thực đã được thực hiện; có thể chứa nhiều phương thức xác thực khác nhau.
• Received-SPF: The Sender Policy Framework (SPF) cấu thành một phần của quy trình xác thực email nhằm ngăn chặn hành vi giả mạo địa chỉ người gửi.
• Return-Path: Vị trí của các thư không gửi hoặc bị gửi trả lại.
• ARC-Authentication-Results: The Authenticated Receive Chain, là một tiêu chuẩn xác thực khác, ARC xác minh danh tính của các trung gian tiếp nhận email và máy chủ chuyển tiếp email của bạn cho đến đích cuối cùng là hộp thư đến của người nhận.
• ARC-Message-Signature: Ký hiệu ghi lại thông tin tiêu đề thư để xác thực, tương tự như DKIM.
• ARC-Seal: Có thể coi như là "Con dấu" cho kết quả xác thực ARC-Message-Signature, tương tự như DKIM.
• X-Received: Khác với “Received” ở chỗ nó được coi là thông tin phi tiêu chuẩn; có nghĩa là đó có thể không phải là địa chỉ cố định, chẳng hạn như transfer agent hoặc máy chủ SMTP của Gmail.
• X-Google-Smtp-Source: Hiển thị email đang được chuyển bằng cách sử dụng máy chủ SMTP của Gmail.
• Delivered-To: Người nhận cuối cùng của email này.

Truy tìm địa chỉ gốc nơi email được gửi đi

Để truy xuất được địa chỉ IP của người gửi email, hãy chú ý đến “Received” đầu tiên trong tiêu đề email đầy đủ. Bên cạnh dòng “Received” đầu tiên chính là địa chỉ IP của máy chủ đã gửi email. Đôi khi, nội dung này hiển thị dưới dạng X-Originating-IP hoặc Original-IP.

Tìm địa chỉ IP, sau đó di chuyển đến hộp công cụ MX Toolbox. Nhập địa chỉ IP này vào trong hộp thoại, thay đổi phương thức tìm kiếm thành Reverse Lookup, sau đó nhấn enter. Kết quả tìm kiếm sẽ hiển thị nhiều thông tin liên quan đến máy chủ gửi email đi.

Trừ khi địa chỉ IP gốc là một địa chỉ IP riêng tư, còn không, bạn sẽ nhận được thông báo sau:

Miền IP 10.0.0.0-10.255.255.255, 172.16.00-172.31.255.255, 192.168.0.0-192.168.255.255 và 224.0.0.0-239.255.255.255 là các miền IP riêng tư. Sẽ không có bất kỳ kết quả nào được trả về khi bạn tra cứu các địa chỉ IP này.

3 công cụ hữu ích trong phân tích tiêu đề email và truy xuất địa chỉ IP

Bạn có thể sử dụng một số công cụ sau để phân tích tiêu đề email:

• GSuite Toolbox Messageheader
• MX Toolbox Email Header Analyzer
• IP-Address Email Header Trace (phân tích được cả tiêu đề email lẫn truy xuất địa chỉ IP gửi email)

Tuy nhiên đôi khi kết quả trả về không phải lúc nào cũng phù hợp. Trong ví dụ dưới đây, người gửi không ở gần vị trí được trả về là Ashburn, Virginia:

Có thể truy xuất người gửi email bằng mạng xã hội không?

Mạng xã hội là một tùy chọn khác để theo dõi người gửi email, nhưng giống như các phương pháp khác, không có gì đảm bảo cách này sẽ hoạt động 100%. Truy xuất người gửi email qua mạng xã hội dựa trên việc người gửi thêm cùng một địa chỉ email vào tài khoản của họ và để thông tin đó ở chế độ công khai.

Ví dụ, bạn có thể sử dụng công cụ tìm kiếm của Facebook để tìm kiếm địa chỉ email trên trang web, nhưng nếu người bạn đang tìm kiếm chưa thêm địa chỉ email cụ thể đó vào tài khoản, thì cách này sẽ không có tác dụng. Truy xuất email thông qua mạng xã hội có thể hoạt động với một dịch vụ cụ thể hơn, chẳng hạn như LinkedIn, nơi người dùng có nhiều khả năng để lại địa chỉ email chuyển tiếp.

Một lần nữa, điều này phụ thuộc vào lý do tại sao bạn bắt đầu truy xuất địa chỉ email. Bạn rất khó có thể theo dõi tài khoản của kẻ lừa đảo thông qua tài khoản LinkedIn, nhưng việc tìm hiểu OSINT cho các trang mạng xã hội nói chung là hữu ích.

Bạn có thể thực sự truy xuất địa chỉ IP từ email không?

Có những trường hợp truy xuất địa chỉ IP thông qua tiêu đề email là hữu ích - có thể là một người gửi thư rác đặc biệt khó chịu hoặc nguồn gốc của các email phishing thông thường.

Một số email sẽ chỉ đến từ một số địa điểm nhất định; chẳng hạn như email PayPal của bạn sẽ không bắt nguồn từ Trung Quốc. Không có các công cụ dễ tiếp cận để truy tìm nguồn gốc của một email. Vì số lượng lớn người sử dụng các dịch vụ email miễn phí như Gmail, Outlook và Yahoo, việc truy tìm email được gửi từ những dịch vụ đó hoặc địa chỉ IP liên quan đến người gửi sẽ cực kỳ khó khăn, nếu không muốn nói là không thể, đối với người dùng Internet thông thường.

Hơn nữa, nếu người gửi đang sử dụng VPN hoặc dịch vụ ẩn danh khác (có thể là proxy server hoặc được gửi từ tài khoản email trên mạng Tor), bạn sẽ không bao giờ truy xuất được người gửi email.

Xem thêm:

• Cách tự động chuyển tiếp email trong Outlook
• Tuyệt chiêu tìm kiếm Gmail, lục được những thứ siêu hay
• 10 mánh khóe lừa đảo qua email
• Cách kiểm tra hoạt động đăng nhập của Gmail