25Aug

Ce puteți găsi într-o antet de e-mail?

click fraud protection

Ori de câte ori primiți un e-mail, este mult mai mult decât se întâlnește cu ochiul.În timp ce în mod obișnuit acordați atenție numai adresei, subiectului și corpului mesajului, există mai multe informații disponibile "sub capota" fiecărui e-mail, care vă poate oferi o mulțime de informații suplimentare.

De ce să ne gândim la o antet de e-mail?

Aceasta este o întrebare foarte bună.În cea mai mare parte, într-adevăr nu ați avea nevoie vreodată decât dacă:

  • Suspectați un e-mail este o încercare de phishing sau spoof
  • Doriți să vizualizați informații de rutare pe calea e-mailului
  • Sunteți un curios geek

Indiferent de motivele dvs.,anteturile de e-mail sunt de fapt destul de ușor și pot fi foarte revelatoare.

Notă articol: Pentru capturile de ecran și datele noastre, vom folosi Gmail, dar practic orice alt client de poștă electronică ar trebui să furnizeze aceleași informații.

Vizualizarea antetului de e-mail

În Gmail, vizualizați e-mailul. Pentru acest exemplu, vom folosi e-mailul de mai jos.

instagram viewer

Apoi faceți clic pe săgeata din colțul din dreapta sus și selectați Afișați originalul.

Fereastra rezultată va avea datele antetului de e-mail în text simplu.

Notă: În toate datele antetului de e-mail afișat mai jos am schimbat adresa mea Gmail pentru a afișa [email protected] și adresa de e-mail externă pentru a afișa [email protected] și [email protected] , precum și mascarea adresei IP a serverelor mele de e-mail.

Delivered-To: [email protected]
Primit: de 10.60.14.3 cu SMTP id l3csp18666oec;
Marți, 6 Mar 2012 08:30:51 -0800( PST)
Primit: de 10.68.125.129 cu id SMTP mq1mr1963003pbb.21.1331051451044;
Marți, 06 Mar 2012 08:30:51 -0800( PST) Calea de întoarcere
: & lt; [email protected]>
primit de la exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
de către mx.google.com cu id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Marți, 06 Mar 2012 08:30:50 -0800( PST)
Received-SPF: neutru( google.com: 64.18.2.16 nu este permis și nici refuzat de cea mai bună înregistrare pentru domeniul [email protected])ip = 64.18.2.16;
Autentificare-Rezultate: mx.google.com;spf = neutru( google.com: 64.18.2.16 nu este permisă și nici refuzată de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) [email protected]
primit de la mail.externalemail.com( [XXX.XXX.XXX.XXX])( utilizând TLSv1) de exprod7ob119.postini.com( [64.18.6.12]) cu SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Primit: de la MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) de
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) cu harta;Marți, 6 Mar
2012 11:30:48 -0500
De la: Jason Faulkner & lt; [email protected]>
Către: "[email protected]" & lt; [email protected]>
Data: Tue, 6 Mar 2012 11:30:48 -0500
Subiect: Acesta este un e-mail legit
Subiect-Subiect: Acesta este un e-mail legit
Index de Subiecte: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Limba: en-US
Limba conținutului: en-US
X-MS-Has-atașare:
X-MS-TNEF-Correlator:

boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Versiunea: 1.0

Când citiți un antet de e-mail, datele sunt în ordine cronologică inversă, ceea ce înseamnă că informațiile din partea de sus sunt cele mai recente. Prin urmare, dacă doriți să urmăriți e-mailul de la expeditor la destinatar, începeți din partea de jos. Examinând anteturile acestui e-mail, putem vedea mai multe lucruri.

Aici vedem informațiile generate de clientul trimis.În acest caz, e-mailul a fost trimis de la Outlook, astfel că acesta este metadatele pe care Outlook le adaugă.

De la: Jason Faulkner & lt; [email protected]>
Către: "[email protected]" & [email protected]>
Data: Tue, 6 Mar 2012 11:30:48 -0500
Subiect: Acesta este un e-mail legit
Subiect-Subiect: Acesta este un e-mail legit
Index de Subiecte: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Limba: en-US
Limba conținutului: en-US
X-MS-Has-atașați:
X-MS-TNEF-Correlator:
acceptați limba: en-US
Content-type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Versiunea MIME: 1.0

Următoarea parte urmărește calea pe care e-mailul o recepționează de la serverul de trimitere către serverul de destinație. Rețineți că acești pași( sau hamei) sunt enumerați în ordine cronologică inversă.Am plasat numărul respectiv de lângă fiecare hop pentru a ilustra ordinea. Rețineți că fiecare hop prezintă detalii despre adresa IP și numele DNS invers.

Delivered-To: [email protected]
[6] Primit: până la 10.60.14.3 cu id SMTP l3csp18666oec;
Marți, 6 Mar 2012 08:30:51 -0800( PST)
[5] Primit: de 10.68.125.129 cu id SMTP mq1mr1963003pbb.21.1331051451044;
Marți, 06 Mar 2012 08:30:51 -0800( PST)
Calea de întoarcere: & lt; [email protected]>
[4] Primit: de la exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
de către mx.google.com cu id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Marți, 06 Mar 2012 08:30:50 -0800( PST)
[3] Received-SPF: Neutru( google.com: 64.18.2.16 nu este nici permisă, nici refuzată de cea mai bună înregistrare de ghicire pentru domeniul jfaulkner @ externalemail.com) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutru( google.com: 64.18.2.16 nu este permisă și nici refuzată de cea mai bună înregistrare pentru domeniul [email protected]) [email protected]
[2] Primit: de la mail.externalemail.com( [XXX.XXX.XXX.XXX])( utilizând TLSv1) de exprod7ob119.postini.com( [64.18.6.12]) cu SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Primit: de la MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) de
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) cu mapi;Marți, 6 Mar
2012 11:30:48 -0500

În timp ce acest lucru este destul de banal pentru un e-mail legitim, aceste informații pot fi destul de telling atunci când este vorba de examinarea e-mail-uri spam sau phishing.

Examinarea unui e-mail de phishing - Exemplul 1

Pentru primul nostru exemplu de phishing, vom examina un e-mail care este o încercare evidentă de phishing.În acest caz, am putea identifica acest mesaj ca o fraudă pur și simplu prin indicatorii vizați, dar pentru practică vom examina semnele de avertizare din anteturi.

livrat-la: [email protected]
primit: de 10.60.14.3 cu SMTP id l3csp12958oec;
Luni, 5 Mar 2012 23:11:29 -0800( PST)
Primit: de 10.236.46.164 cu SMTP id r24mr7411623yhb.101.1331017888982;
Luni, 05 Mar 2012 23:11:28 -0800( PST)
Calea de returnare: & lt; [email protected]>
Primit: de la ms.externalemail.com( ms.externalemail.com [XXX.XXX.XXX.XXX])
de către mx.google.com cu codul ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Luni, 05 Mar 2012 23:11:28 -0800( PST)
Received-SPF: nu( google.com: domain of [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) client-ip = XXX.XXX.XXX.XXX;
Autentificare-Rezultate: mx.google.com;spf = hardfail( google.com: domain of [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) [email protected]
primit: cu MailEnable Postoffice Connector;Marți, 6 Mar 2012 02:11:20 -0500
Primit: de la mail.lovingtour.com( [211.166.9.218]) de către ms.externalemail.com cu MailEnable ESMTP;Tue, 6 Mar 2012 02:11:10 -0500
Primit: de la Utilizator( [118.142.76.58])
prin mail.lovingtour.com
;Luni, 5 Mar 2012 21:38:11 +0800
ID-ul mesajului: & lt; [email protected]>
Răspundeți la: & lt; [email protected]>
De la: "[email protected]" & [email protected]>
Subiect: Aviz
Data: Mon, 5 Mar 2012 21:20:57 +0800
Versiune: 1.0
Tip de conținut: multipart / mixt;Limba
= "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritate: 3
Prioritate X-MSMail: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produs de Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Primul steag roșu se află în zona de informații a clientului. Observați aici referințele de metadate adăugate Outlook Express. Este puțin probabil ca Visa să fie atât de departe de momentul în care au cineva să trimită manual mesaje e-mail utilizând un client de e-mail de 12 ani.

Răspundeți la: & lt; [email protected]>
De la: "[email protected]" & lt; [email protected]>
Subiect: Aviz
Data: Luni, 5 Mar 2012 21:20:57 +0800
Versiune: 1.0
Tip de conținut: multipart / mixt;Limba
= "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritate: 3
Prioritate X-MSMail: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced by Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Acum examinarea primului hop în rutarea e-mailurilor arată că expeditorul a fost localizat la adresa IP 118.142.76.58, iar e-mailul lor a fost transmis prin serverul de mail mail.lovingtour.com.

Primit: de la utilizator( [118.142.76.58])
prin mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800

Căutând informațiile despre IP utilizând utilitarul IPNetInfo al companiei Nirsoft, putem vedea că expeditorul a fost localizat în Hong Kong și serverul de poștă electronică este situat în China.

Inutil să spun că este un pic suspicios.

Restul hamei de e-mail nu sunt cu adevărat relevante în acest caz, deoarece arată e-mailul care cade în jurul traficului legat de server înainte de a fi livrat în cele din urmă.

Examinarea unui e-mail de phishing - Exemplul 2

Pentru acest exemplu, e-mailul nostru de phishing este mult mai convingător. Există câțiva indicatori vizați aici, dacă arăți destul de greu, dar din nou în scopul acestui articol vom limita investigația noastră la e-mailuri.

Delivered-To: [email protected]
Primit: de 10.60.14.3 cu SMTP id l3csp15619oec;
Marți, 6 Mar 2012 04:27:20 -0800( PST)
Primit: de 10.236.170.165 cu SMTP id p25mr8672800yhl.123.1331036839870;
Marți, 06 Mar 2012 04:27:19 -0800( PST) Calea de întoarcere
: & lt; [email protected]>
Primit: de la ms.externalemail.com( ms.externalemail.com [XXX.XXX.XXX.XXX])
de către mx.google.com cu codul ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Received-SPF: eșuează( google.com: domain of [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) client-ip = XXX.XXX.XXX.XXX;Rezultatele de autentificare
: mx.google.com;spf = hardfail( google.com: domeniul de [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) [email protected]
primit: cu MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
Primit: din dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) de către ms.externalemail.com cu MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Primit: de la apache de la intuit.com cu local( Exim 4.67)
( plicul din & lt; [email protected]>)
id GJMV8N-8BERQW-93
pentru& lt; [email protected]> ;Marți, 6 Mar 2012 19:27:05 +0700
Către: & lt; [email protected]>
Subiect: factura dvs. Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pentru 118.68.152.212
De la: "INTUIT INC." & Lt; [email protected]>
X-expeditor: "INTUIT INC" & lt; [email protected]>
X-Mailer: PHP
Prioritate X: 1
MIME-Versiune: 1.0
Tip de conținut: multipart / alternativă;Limita
= "---- 03060500702080404010506"
Message-Id: Data: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

În acest exemplu, nu a fost utilizată o aplicație client de mail, mai degrabă un script PHP cu adresa IP sursă de 118.68.152.212.

Către: & lt; [email protected]>
Subiect: factura dvs. Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pentru 118.68.152.212
De la: "INTUIT INC." & Lt; [email protected]>
X-expeditor: "INTUIT INC" & lt; [email protected]>
X-Mailer: PHP
X-Prioritate: 1
Versiunea MIME: 1.0
Tip de conținut: multipart / alternativă;Limita
= "---- 03060500702080404010506"
mesaj-Id: Data: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Cu toate acestea, atunci când ne uităm la primul e-mail hop, pare legit ca numele de domeniu al serverului de trimitere se potrivește cu adresa de e-mail. Cu toate acestea, fiți atenți la acest lucru ca un spammer ar putea numi cu ușurință serverul lor "intuit.com".

Primit: de la apache de la intuit.com cu local( Exim 4.67)
( plic de la & lt; [email protected]>)
id GJMV8N-8BERQW-93
pentru & lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700

Examinând următorul pas, se rupe această casă de cărți. Puteți vedea al doilea hack( în cazul în care acesta este primit de un server de e-mail legitim) rezolvă serverul de trimitere înapoi la domeniul "dynamic-pool-xxx.hcm.fpt.vn", nu "intuit.com" cu aceeași adresă IPindicat în scriptul PHP.

Primit: din dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) de către ms.externalemail.com cu MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500

Vizualizarea informațiilor despre adresa IP confirmă suspiciunea că locația serverului de poștă electronică se rezolvă înapoi în Vietnam.

În timp ce acest exemplu este un pic mai deștept, puteți vedea cât de repede se dezvăluie frauda cu doar o mică anchetă.

Concluzie

În timp ce vizualizați anteturile de e-mail, probabil că nu face parte din nevoile obișnuite de zi cu zi, există cazuri în care informațiile conținute în ele pot fi destul de valoroase. Așa cum am arătat mai sus, puteți identifica cu ușurință expeditorii care se comportă ca ceva ce nu sunt. Pentru o înșelătorie foarte bine executată, în care indicațiile vizuale sunt convingătoare, este extrem de dificil( dacă nu chiar imposibil) să se imortalizeze serverele de mail actuale, iar examinarea informațiilor din interiorul anteturilor de e-mail poate dezvălui rapid orice șoc.

Linkuri

Descărcați IPNetInfo de la Nirsoft