25Aug
Kdykoli obdržíte e-mail, je mnohem víc, než se setká s očima. Zatímco typicky věnujete pozornost pouze adresě, předmětu a textu zprávy, je k dispozici spousta dalších informací "pod kapucí" každého e-mailu, který vám může poskytnout mnoho dalších informací.
Proč se bavit při pohledu na hlavičku e-mailu?
To je velmi dobrá otázka. Z velké části byste opravdu nepotřebovali, pokud:
- Předpokládejme, že e-mail je pokus o phishing nebo spoof
- Chcete zobrazit informace směrování na cestě e-mailu
- Jste zvědavý geek
Bez ohledu na vaše důvody, čteníhlavičky e-mailů je ve skutečnosti poměrně snadné a může být velmi odhalující.
Poznámka k článku: Pro snímky obrazovky a data použijeme službu Gmail, ale prakticky každý jiný poštovní klient by měl poskytnout stejné informace.
Zobrazení záhlaví e-mailu
V Gmailu zobrazte e-mail. V tomto příkladu použijeme níže uvedený e-mail.
Poté klikněte na šipku v pravém horním rohu a vyberte Zobrazit původní.
Výsledné okno bude obsahovat údaje hlavičky e-mailu v prostém textu.
Poznámka: Ve všech e-mailových hlavičkových datech, které zobrazuji níže, jsem změnil svou adresu Gmail tak, aby se zobrazil jako [email protected] a moje externí e-mailová adresa se zobrazila jako [email protected] a [email protected] a maskovala IP adresu mých e-mailových serverů.
doručeno do: [email protected]
přijato: do 10.60.14.3 s SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
Přijato: 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
Út, 06 Mar 2012 08:30:51 -0800( PST) Zpětná cesta
: & lt; [email protected]>
přijato: z exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com s SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Přijaté SPF: neutrální( google.com: 64.18.2.16 není povolen ani odmítnut podle nejlepšího hádaného záznamu pro doménu [email protected])ip = 64.18.2.16;
autentizace-výsledky: mx.google.com;spf = neutrální( google.com: 64.18.2.16 není povolen ani odmítnut podle nejlepšího hádaného záznamu pro doménu [email protected]) [email protected]
přijato: z mail.externalemail.com( [XXX.XXX.XXX.XXX])( pomocí TLSv1) podle exprod7ob119.postini.com( [64.18.6.12]) pomocí protokolu SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Přijato: z MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3])
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) s mapi;Tue, 6 Mar
2012 11:30:48 -0500
Od: Jason Faulkner & lt; [email protected]>
Komu: "[email protected]" & [email protected]>
Datum: Tue, 6 Mar 2012 11:30:48 -0500
Předmět: Jedná se o legit email
Téma tématu: Jedná se o legit email
Index vlákna: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Zpráva-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Jazyk: en-US
Obsah-jazyk: en-US
X-MS-Has-Attach:
X-MS-TNEF-Koordinátor:
typ: multipart / alternativa;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Verze: 1.0
Když čtete hlavičku e-mailu, data jsou v obráceném chronologickém pořadí, což znamená, že informace v horní části jsou poslední událostí.Pokud chcete sledovat e-mail od odesílatele k příjemci, začněte v dolní části. Při zkoumání záhlaví tohoto e-mailu můžeme vidět několik věcí.
Zde vidíme informace generované odesílajícím klientem. V tomto případě byl e-mail odeslán z aplikace Outlook, takže se jedná o metadata aplikace Outlook přidává.
Od: Jason Faulkner & lt; [email protected]>
Komu: "[email protected]" & [email protected]>
Datum: Tue, 6 Mar 2012 11:30:48 -0500
Předmět: Toto je legitimní email
Téma-Téma: Jedná se o legit email
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Zpráva-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Jazyk: en-US
Jazyk obsahu: en-US
X-MS-Has-Attach:
X-MS-TNEF-Korelátor:
acceptlanguage: en-US
Typ obsahu: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Verze MIME: 1.0
Následující část sleduje cestu, kterou se e-mail odešle z odesílajícího serveru na cílový server. Mějte na paměti, že tyto kroky( nebo chmel) jsou uvedeny v obráceném chronologickém pořadí.Do objednávky jsme umístili příslušné číslo vedle každého chmele. Všimněte si, že každý hop zobrazuje podrobnosti o adrese IP a příslušném DNS názvu.
Dodáno-do: [email protected]
[6] přijato: 10.60.14.3 s SMTP id l3csp18666oec;
Út, 6 Bře 2012 08:30:51 -0800( PST)
[5] přijato: 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Návratová cesta: & lt; [email protected]>
[4] přijato: z exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com s identifikátorem SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Přijaté-SPF: neutrální( google.com: 64.18.2.16 není dovoleno ani odmítnut podle nejlepšího hádaného záznamu pro doménu jfaulkner @ externalemail.com) klient-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutrální( google.com: 64.18.2.16 není povolen ani odmítnut podle nejlepšího hádaného záznamu pro doménu [email protected]) [email protected]
[2] Přijato: z mail.externalemail.com( [XXX.XXX.XXX.XXX])( pomocí TLSv1) pomocí exprod7ob119.postini.com( [64.18.6.12]) s SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] přijato: z MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3])
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) s mapi;Tue, 6 Mar
2012 11:30:48 -0500
Zatímco toto je docela normální pro legitimní e-mail, tyto informace mohou být velmi řečeno, pokud jde o zkoumání spamu nebo phishing e-maily.
Zkoumání phishingového e-mailu - Příklad 1
Pro náš první příklad phishingu budeme zkoumat e-mail, který je zjevným pokusem o phishing. V tomto případě bychom tuto zprávu mohli označit jako podvod jednoduše vizuálními ukazateli, ale pro praxi se podíváme na varovné značky v hlavičkách.
Doručeno do: [email protected]
přijato: do 10.60.14.3 s SMTP id l3csp12958oec;
Po, 5 Mar 2012 23:11:29 -0800( PST)
Received: o 10.236.46.164 s SMTP id r24mr7411623yhb.101.1331017888982;
Po, 05 Mar 2012 23:11:28 -0800( PST) Návratová cesta
: & lt; [email protected]>
přijata: z ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
od mx.google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Pondělí, 05. března 2012 23:11:28 -0800( PST)
Received-SPF: selhání( google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX jako povoleného odesílatele)ip = XXX.XXX.XXX.XXX;
autentizace-výsledky: mx.google.com;spf = hardfail( google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX jako povoleného odesílatele) [email protected]
přijato: s MailEnable Postoffice Connector;Tue, 6 Mar 2012 02:11:20 -0500
přijato: z mail.lovingtour.com( [211.166.9.218]) ms.externalemail.com s MailEnable ESMTP;Tue, 6 Mar 2012 02:11:10 -0500
přijato: od uživatele( [118.142.76.58])
by mail.lovingtour.com
;Po, 5 Mar 2012 21:38:11 +0800
ID zprávy: & lt; [email protected]>
Odpovědět na: & lt; [email protected]>
Od: "[email protected]" & [email protected]>
Předmět: Oznámení
Datum: Po, 5 Mar 2012 21:20:57 +0800
MIME-Verze: 1.0
Obsahový typ: vícenásobný / smíšený;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorita X: 3
Priorita X-MSMail: Normální
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Vyrobeno společností Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
První červená vlajka je v oblasti informací o klientovi. Všimněte si, že reference přidané metadata odkazuje na aplikaci Outlook Express. Je nepravděpodobné, že Visa je tak daleko za časy, kdy někdo ručně posílá e-maily pomocí 12letého e-mailového klienta.
odpověď na: & lt; [email protected]>
Od: "[email protected]" & [email protected]>
Předmět: Oznámení
Datum: Po, 5 Mar 2012 21:20:57 +0800
MIME-Verze: 1.0
Obsahový typ: vícenásobný / smíšený;Rozhraní
= "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorita X: 3
Priorita X-MSMail: Normální
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Vyrobeno společností Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Při zkoumání prvního chmelu v směrování e-mailu se zjistí, že odesílatel byl umístěn na adrese IP 118.142.76.58 a jeho e-mail byl předán poštovním serverem mail.lovingtour.com.
přijato: od uživatele( [118.142.76.58])
podle mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
Hledáním informací o IP pomocí nástroje IPNetInfo společnosti Nirsoft můžeme vidět, že odesílatel se nachází v Hong Kongu a poštovní server se nachází v Číně.
Netřeba říkat, že je to trochu podezřelé.
Zbytek e-mailového chmelu není v tomto případě opravdu důležitý, protože před odesláním e-mailu před odposlechem zobrazuje e-mail, který se skáče kolem legitimní návštěvy serveru.
Zkoumání phishingového e-mailu - Příklad 2
Pro tento příklad je náš phishing e-mail mnohem přesvědčivější.Zde je několik vizuálních indikátorů, pokud se budete dívat dost tvrdě, ale opět pro účely tohoto článku budeme omezovat naše vyšetřování na e-mailové záhlaví.
doručeno do: [email protected]
přijato: do 10.60.14.3 s SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
Přijato: 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870;
Út, 06 Mar 2012 04:27:19 -0800( PST) Návratová cesta
: & lt; [email protected]>
přijata: z ms.externalemail.com( ms.externalemail.com [XXX.XXX.XXX.XXX])
od mx.google.com s ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Received-SPF: selhání( google.com: doména [email protected] nenahlásí XXX.XXX.XXX.XXX jako povoleného odesílatele)ip = XXX.XXX.XXX.XXX;
autentizace-výsledky: mx.google.com;spf = hardfail( google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX jako povoleného odesílatele) [email protected]
přijato: s MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
přijato: z dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ms.externalemail.com s MailEnable ESMTP;Tue, 06 Mar 2012 07:27:08 -0500
Přijato: z apache od intuit.com s lokální( Exim 4.67)
( obálka-od & lt; [email protected]>)
id GJMV8N-8BERQW-93
pro& lt; [email protected] & gt; ;Tue, 6 Mar 2012 19:27:05 +0700
Komu: & lt; [email protected]>
Předmět: Vaše faktura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pro 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected]>
X-odesílatel: "INTUIT INC." & [email protected]>
X-Mailer: PHP
Priorita X: 1
MIME-Verze: 1.0
Obsahový typ: multipart / alternativa;
boundary = "---- 03060500702080404010506"
Message-Id:
X-ME-Bayesian: 0.000000
V tomto příkladu nebyla aplikace poštovního klienta použita, spíše skript PHP se zdrojovou adresou IP 118.68.152.212.
Komu: & lt; [email protected]>
Předmět: Vaše faktura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pro 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected]>
X-odesílatel: "INTUIT INC." & [email protected]>
X-Mailer: PHP
Priorita X: 1
Verze MIME: 1.0
Obsahový typ: vícenásobný / alternativní;
hranice = "---- 03060500702080404010506"
Message-Id:
X-ME-Bayesian: 0.000000
Když se však podíváme na první e-mailový hop, zdá se, že je legit jako název domény odesílajícího serveru, který odpovídá e-mailové adrese. Buďte však opatrní, protože spammer mohl snadno pojmenovat svůj server "intuit.com".
Přijato: z apache od intuit.com s lokální( Exim 4.67) Zkoumání dalšího kroku rozpadá tento dům z karet. Můžete vidět, že druhý hop( kde je přijat legitimním e-mailovým serverem) přenáší odesílající server zpět na doménu "dynamic-pool-xxx.hcm.fpt.vn", nikoliv "intuit.com" se stejnou IP adresouuvedeno v PHP skriptu. přijato: z dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ms.externalemail.com s MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500 Zobrazení informací o adrese IP potvrzuje podezření, protože umístění poštovního serveru se vyřeší zpět do Vietnamu. Zatímco tento příklad je trochu chytřejší, můžete vidět, jak rychle je podvod odhalen, a to jen s trochou šetření. Zatímco prohlížení hlaviček e-mailů pravděpodobně není součástí vašich typických každodenních potřeb, existují případy, kdy informace obsažené v nich mohou být velmi cenné.Jak jsme ukázali výše, můžete snadno identifikovat odesílatele, kteří se skládají za něco, co nejsou. Pro velmi dobře provedený podvod, kdy jsou vizuální názory přesvědčivé, je extrémně obtížné( ne-li nemožné) vydávat se za skutečné poštovní servery a prohlížení informací uvnitř hlaviček e-mailů může rychle odhalit jakoukoli šikanost. Stáhnout IPNetInfo od společnosti Nirsoft
( obálka-od & lt; [email protected]>)
id GJMV8N-8BERQW-93
pro Závěr
Odkazy