25Aug
Bir e-posta aldığınızda gözünüze kıyasla çok daha fazla şey var. Genellikle yalnızca mesajın adres, konu satırı ve gövdesine dikkat etmekle birlikte, her e-postanın "başlık altında" sunduğu daha fazla bilgi var ve bu ek bilgi zenginliği sağlayabilir.
Neden bir E-posta Üstüne Bakmak?
Bu çok güzel bir soru.
- Bir e-postanın bir kimlik avı girişimi ya da parodi olduğundan şüpheleniyorsanız
- E-posta yolundaki yönlendirme bilgilerini görmek istiyorsanız
- Neden merak etmeyin,
Nedenleri ne olursa olsun, okumake-posta başlıkları aslında oldukça kolaydır ve çok açıklayıcı olabilir.
Makale Not: Ekran görüntüleri ve verilerimiz için Gmail'i kullanacağız ancak hemen her diğer posta istemcisi de aynı bilgileri sağlamalıdır.
E-posta Üstbilgisini Görüntüleme
Gmail'de e-postayı görüntüleyin. Bu örnek için aşağıdaki e-postayı kullanacağız.
Sonra sağ üst köşedeki oku tıklayın ve Orijinali göster'i seçin.
Ortaya çıkan pencere, e-posta üstbilgisi verilerini düz metin halinde görüntüler.
Not: Aşağıda gösterilen tüm e-posta başlık verisinde Gmail adresim [email protected] ve dış e-posta adresim olarak göstermek üzere değiştirildi. [email protected] ve [email protected] yanı sıra e-posta sunucularımın IP adresini maskeledi.
Gönderildi-: [email protected]
Alınan: 10.60.14.3 ile SMTP kimliği l3csp18666oec;
Sal, 6 Mart 2012 08:30:51 -0800( PST)
Alınan: 10.68.125.129 ile SMTP id mq1mr1963003pbb.21.1331051451044;
Per, 06 Mar 2012 08:30:51 -0800( PST)
Dönüş Yol: & lt; [email protected] & gt;
Alınan: exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com tarafından SMTP kimliği ile l7si25161491pbd.80.2012.03.06.08.30.49;
Çarşamba, 06 Mar 2012 08:30:50 -0800( PST)
Alınan-SPF: tarafsız( google.com: 64.18.2.16, [email protected] etki alanı için en iyi tahmin kaydı tarafından izin verilmiyor veya reddedilmemiştir)iP = 64.18.2.16;
Doğrulama-Sonuçlar: mx.google.com;spf = tarafsız( google.com: 64.18.2.16, [email protected] etki alanı için en iyi tahminin yapıldığı rekora izin verilmez veya reddedilir) [email protected]
Received: mail.externalemail.com'dan( [XXX.XXX.XXX.XXX])( TLSv1 kullanarak) exprod7ob119.postini.com( [64.18.6.12]) ile SMTP
Kimliği DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Alınan:
tarafından MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) mapi ile;Tue, 6 Mar
2012 11:30:48 -0500
Kimden: Jason Faulkner & lt; [email protected] & gt;
Kime: "[email protected]" & lt; [email protected] & gt;
Tarih: Tue, 6 Mar 2012 11:30:48 -0500
Konu: Bu, yasal bir e-posta
konusudur Konu başlıklı bir konu: Bu, yasal bir e-posta
'dır Konuyu Başlığı: Acz7tnUyKZWWCcUq +++ QVd6awhl + Q ==
Mesaj-Kimlik numarası: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local & gt;
Kabul Dili: en-US
İçerik-Dili: en-US
X-MS-Has-Attach:
X-MS-TNEF-Korelatör:
acceptlanguage: en-US
İçerik Türü: çok parçalı / alternatif;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0
Bir e-posta başlığını okuduğunuzda, veriler ters kronolojik sırayla, yani en üstteki bilgi en son olaydır. Dolayısıyla e-postayı gönderenden alıcıya kadar izlemek isterseniz en alttan başlayın. Bu e-postanın başlığını inceleyerek çeşitli şeyler görebiliriz.
Burada, gönderen istemci tarafından üretilen bilgileri görüyoruz. Outlook'un eklediği meta verilerden ötürü bu durumda, e-posta Outlook'dan gönderildi.
Kimden: Jason Faulkner & lt; [email protected] & gt;
Kime: "[email protected]" & lt; [email protected] & gt;
Tarih: Tue, 6 Mar 2012 11:30:48 -0500
Konu: Bu, yasal bir e-posta
konusudur Konu başlıklı: Bu, yasal bir e-posta
dizini endeksi: Acz7tnUyKZWWCcUQ +++ QVd6awhl + Q ==
Mesaj-Kimlik numarası: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local & gt;
X-MS-TNEF-Korelatör:
kabul dili: en-US
İçerik Türü: çok parçalı / alternatif;
sınır = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME Sürümü: 1.0
Sonraki bölüm e-postanın gönderen sunucudan hedef sunucuya giden yolu izler. Bu adımların( veya şerbetlerin) ters kronolojik sırayla listelendiğini unutmayın. Sayıyı göstermek için ilgili numarayı her atlamanın yanına yerleştirdik. Her bir atlamanın, IP adresi ve ilgili ters DNS adıyla ilgili ayrıntıları gösterdiğini unutmayın.
Gönderildi-: [email protected]
[6] Alınan: 10.60.14.3 ile SMTP kimliği l3csp18666oec;
Salı, 6 Mart 2012 08:30:51 -0800( PST)
[5] Alınan: 10.68.125.129 ile SMTP id mq1mr1963003pbb.21.1331051451044;
Per, 06 Mar 2012 08:30:51 -0800( PST)
Dönüş Yol: & lt; [email protected] & gt;
[4] Alınan: exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
tarafından mx.google.com tarafından SMTP kimliği l7si25161491pbd.80.2012.03.06.08.30.49; Alınan-SPF: tarafsız( google.com: 64.18.2.16, jfaulkner @ externalemail'in etki alanı için en iyi tahmin kaydıyla izin verilmez veya reddedilir.com) client-ip = 64.18.2.16;
Doğrulama-Sonuçlar: mx.google.com;spf = tarafsız( google.com: 64.18.2.16, [email protected] etki alanı için en iyi tahminin kaydına izin verilmez veya reddedilir) [email protected]
[2] Alınan: mail.externalemail. SMTP
Kimliğiyle exprod7ob119.postini.com( [64.18.6.12] tarafından TLSv1 kullanılarak) com( [XXX.XXX.XXX.XXX]) DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Alınan: MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3])
tarafından MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) mapi ile;Tue, 6 Mar
2012 11:30:48 -0500
Bu, meşru bir e-posta için oldukça sıradan olmakla birlikte, spam veya posta e-postalarını incelemek söz konusu olduğunda bu bilgiler oldukça ilginç olabilir.
Bir Kimlik Avı E-postasını İnceleme - Örnek 1
İlk kimlik avı örneğimiz için, açık bir kimlik avı denemesi olan bir e-postayı inceleyeceğiz. Bu durumda, bu mesajı sadece görsel göstergelerle dolandırıcılık olarak tanımlayabiliriz, ancak pratik yapmak için başlıklardaki uyarı işaretlerine göz atacağız.
Gönderildi-: [email protected]
Alınan: 10.60.14.3 ile SMTP kimliği l3csp12958oec;
Pazartesi, 5 Mart 2012 23:11:29 -0800( PST)
Alınan: 10.236.46.164 ile SMTP id r24mr7411623yhb.101.1331017888982;
Pazartesi, 05 Mart 2012 23:11:28 -0800( PST)
Dönüş Yol: & lt; [email protected] & gt;
Alınır: ms.externalemail.com'dan( ms.externalemail.com. [XXX.XXX.XXX.XXX])
, mx.google.com tarafından ESMTP kimliği ile t19si8451178ani.110.2012.03.05.23.11.28;
Pazartesi, 05 Mart 2012 23:11:28 -0800( PST)
Alınan-SPF: başarısız( google.com: [email protected] alan adı, izin verilen gönderen olarak XXX.XXX.XXX.XXX belirtmiyor)iP = XXX.XXX.XXX.XXX;
Doğrulama-Sonuçlar: mx.google.com;spf = hardfail( google.com: [email protected] etki alanı, izin verilen gönderen olarak XXX.XXX.XXX.XXX atamıyor) [email protected]
Alınan: MailEnable Postanesi Bağlayıcı ile;Tue, 6 Mar 2012 02:11:20 -0500
Alınan: mail.lovingtour.com'tan( [211.166.9.218]) ms.externalemail.com tarafından MailEnable ESMTP ile;Tue, 6 Mar 2012 02:11:10 -0500
Alınan: Kullanıcıdan( [118.142.76.58])
mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
Mesaj-Kimliği: <[email protected]>
Yanıtlama Sayısı: & lt; [email protected]>
Kimden: "[email protected]" & lt; [email protected] & gt;
Konu: Uyarı
Tarih: Pz, 5 Mar 2012 21:20:57 +0800
MIME Sürüm: 1.0
İçerik Türü: çok parçalı / karışık;
sınır = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Önceliği: 3
X-MSMail Önceliği: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Microsoft tarafından Üretildi MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
İlk kırmızı bayrak müşteri bilgi alanındadır. Burada meta veriler eklendi Outlook Express bildirimi dikkat edin. Visa'nın 12 yaşındaki bir e-posta istemcisini kullanarak e-postaları manuel olarak gönderen birinin olması çok gerisinde değildir.
Yanıtla: & lt; [email protected] & gt;
Kimden: "[email protected]" & lt; [email protected] & gt;
Konu: Uyarı
Tarih: Pzt, 5 Mar 2012 21:20:57 +0800
MIME Sürüm: 1.0
İçerik Türü: çok parçalı / karışık;
sınır = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Önceliği: 3
X-MSMail Önceliği: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Microsoft MimeOLE V6.00.2600.0000 tarafından üretildi
X-ME-Bayesian: 0.000000
E-posta yönlendirmesindeki ilk atlamayı inceleyerek, gönderenin IP adresi 118.142.76.58'de olduğunu ve e-postalarının posta sunucusu mail.lovingtour.com aracılığıyla aktarıldığını ortaya koyuyor.
Alınan: Kullanıcıdan( [118.142.76.58])
mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
Nirsoft'un IPNetInfo yardımcı programını kullanarak IP bilgisine baktığımızda, gönderenin Hong Kong'da, posta sunucusunun Çin'de olduğunu görebilirsiniz.
Tabii ki bu biraz şüpheli.
Sonunda teslim edilmeden önce e-postanın meşru sunucu trafiği etrafında sıçrayan olduğunu göstermesi nedeniyle, bu durumda e-posta şerbetinin geri kalanı gerçekten alakalı değildir.
Bir Kimlik Avı E-postasını İnceleme - Örnek 2
Bu örnek için, kimlik avı e-postamız çok daha inandırıcıdır. Yeterince dikkatli görünüyorsanız burada birkaç görsel gösterge bulunmaktadır, ancak yine de bu makalenin amaçları doğrultusunda soruşturmamızı e-posta üstbilgileri ile sınırlayacağız.
Gönderildi-: [email protected]
Alınan: 10.60.14.3 ile SMTP kimliği l3csp15619oec;
Salı, 6 Mart 2012 04:27:20 -0800( PST)
Alınan: 10.236.170.165 ile SMTP kimliği p25mr8672800yhl.123.1331036839870;
Per, 06 Mar 2012 04:27:19 -0800( PST)
Dönüş Yol: & lt; [email protected]>
Alınır: ms.externalemail.com'tan( ms.externalemail.com. [XXX.XXX.XXX.XXX])
, mx.google.com tarafından ESMTP kimliği ile o2si20048188yhn.34.2012.03.06.04.27.19;
Salı, 06 Mart 2012 04:27:19 -0800( PST)
Alınan-SPF: başarısız( google.com: [email protected] alan adı, izin verilen gönderen olarak XXX.XXX.XXX.XXX adresini belirtmiyor)iP = XXX.XXX.XXX.XXX;
Doğrulama-Sonuçlar: mx.google.com;spf = hardfail( google.com: [email protected] etki alanı, izin verilen gönderen olarak XXX.XXX.XXX.XXX atamıyor) [email protected]
Received: MailEnable Postanesi Bağlayıcı ile;Tue, 6 Mar 2012 07:27:13 -0500
Alınan: dinamik-pool-xxx.hcm.fpt.vn adresinden( [118.68.152.212]) ms.externalemail.com tarafından MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Alınan: yerel( Exim 4.67)
ile intuit.com tarafından apache'den( zarf-from
için& lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
Kime: & lt; [email protected]>
Konu: Intuit.com'unuzun faturası.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
Kimden: "INTUIT INC." & Lt; [email protected] & gt;
X-Gönderen: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X Öncelik: 1
MIME Sürüm: 1.0
İçerik Türü: çok parçalı / alternatif;
sınır = "---- 03060500702080404010506"
İleti Kimliği:
X-ME-Bayesian: 0.000000
Bu örnekte, bir posta istemci uygulaması değil, 118.68.152.212 kaynak IP adresine sahip bir PHP betiği kullanılmıştır.
Kime:
X-PHP-Script: 118.68.152.212 için intuit.com/sendmail.php
Kimden: "INTUIT INC." & Lt; [email protected] & gt;
X-Gönderen: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X Öncelik: 1
MIME Sürüm: 1.0
İçerik Türü: çok parçalı / alternatif;
sınır = "---- 03060500702080404010506"
İleti Kimliği:
X-ME-Bayesian: 0.000000
Ancak, ilk e-posta atlamasına baktığımızda gönderen sunucunun etki alanı adı e-posta adresiyle eşleştiği için okunaklı görünmektedir. Bununla birlikte, bir spamcinin sunucularını kolayca "intuit.com" olarak adlandırabileceğinden, bunun için dikkatli olun.
Alınan: apuit'ten yerel( Exim 4.67)
( intuit.com'dan) ile & lt; [email protected] & gt; için
kimliği GJMV8N-8BERQW-93
;Tue, 6 Mar 2012 19:27:05 +0700
Bir sonraki adımın incelenmesi, bu kartların evini çökertti.İkinci hop'u( meşru bir e-posta sunucusu tarafından alındığı yerde) gönderen sunucuyu, aynı IP adresine sahip "intuit.com" değil "dinamik-pool-xxx.hcm.fpt.vn" etki alanına geri çevirdiğini görebilirsinizPHP betiğinde belirtilmiştir.
Alınan: dinamik-pool-xxx.hcm.fpt.vn'den( [118.68.152.212]) ms.externalemail.com tarafından MailEnable ESMTP ile;Tue, 6 Mar 2012 07:27:08 -0500
IP adres bilgilerini görüntüleme, posta sunucusunun konumu Viet Nam'a geri döndüğünden şüphe ediyorsa onaylar.
Bu örnek biraz daha akıllı olsa da dolandırıcılığın ne kadar çabuk gösterildiğini yalnızca hafif bir inceleme ile görebilirsiniz.
Sonuç
E-posta başlıklarını görüntüleme olasılığı günlük gereksinimlerinizin tipik bir parçası değildir, içerdikleri bilgilerin oldukça değerli olabileceği durumlar vardır. Yukarıda gösterildiği gibi, gönderenleri, olmadığı bir şey olarak maskeliyormuş gibi kolayca tanımlayabilirsiniz. Görsel ipuçlarının ikna edici olduğu çok iyi yürütülen bir aldatmaca için gerçek posta sunucularını taklit etmek ve e-posta üstbilgilerindeki bilgileri incelemek, herhangi bir çözümü hızlı bir şekilde ortaya çıkarmak son derece zor( imkansız değilse de) zordur.
Bağlantıları
Nirsoft
'dan IPNetInfo İndirin