25Aug
كلما تلقيت رسالة بريد إلكتروني، هناك الكثير منها أكثر مما تراه العين.بينما كنت عادة ما تولي اهتماما فقط من العنوان، سطر الموضوع والجسم من الرسالة، وهناك الكثير من المعلومات المتاحة "تحت غطاء محرك السيارة" من كل البريد الإلكتروني التي يمكن أن توفر لك ثروة من المعلومات الإضافية.
لماذا عناء النظر إلى رأس البريد الإلكتروني؟
هذا سؤال جيد جدا.في معظم الأحيان، كنت حقا لن تحتاج من أي وقت مضى إلى ما يلي:
- كنت تشك في رسالة بريد إلكتروني هي محاولة التصيد أو محاكاة ساخرة
- تريد عرض معلومات التوجيه على مسار البريد الإلكتروني
- أنت المهوس فضولي
بغض النظر عن الأسباب الخاصة بك، والقراءةرؤوس البريد الإلكتروني هو في الواقع من السهل جدا، ويمكن أن تكون كاشفة جدا.
ملاحظة المادة: بالنسبة لقطاتنا وبياناتنا، سنستخدم غميل ولكن يجب أن يقدم كل عميل بريد آخر نفس هذه المعلومات أيضا.
عرض رأس البريد الإلكتروني
في غميل، عرض البريد الإلكتروني.في هذا المثال، سنستخدم البريد الإلكتروني أدناه.
ثم انقر فوق السهم في الزاوية اليمنى العليا وحدد إظهار الأصلي.
سوف تحتوي النافذة الناتجة على بيانات رأس البريد الإلكتروني في نص عادي.
ملاحظة: في جميع بيانات رأس البريد الإلكتروني التي أعرضها أدناه لقد غيرت عنوان غميل ليعرض ك [email protected] وعنوان بريدي الإلكتروني الخارجي ليعرض على النحو [email protected] و [email protected] وكذلك ملثمين عنوان إب من خوادم البريد الإلكتروني الخاص بي.
سلمت إلى: [email protected]
المستلمة: بواسطة 10.60.14.3 مع معرف سمتب l3csp18666oec؛
الثلاثاء، 6 مارس 2012 08:30:51 -0800( يست)
المستلمة: بواسطة 10.68.125.129 مع معرف سمتب mq1mr1963003pbb.21.1331051451044؛
الثلاثاء، 06 مارس 2012 08:30:51 -0800( يست)
ريتورن-باث: & لوت؛ [email protected]>؛
مستلمة: من exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
بواسطة mx.google.com مع معرف سمتب l7si25161491pbd.80.2012.03.06.08.30.49؛
الثلاثاء، 06 مارس 2012 08:30:50 -0800( يست)
ريسيفد-سف: محايد( google.com: 64.18.2.16 غير مسموح به ولا ينكره أفضل سجل تخمين لنطاق [email protected])الملكية الفكرية = 64.18.2.16.
مصادقة النتائج: mx.google.com؛سف = نيوترال( google.com: 64.18.2.16 غير مسموح به ولا ينكره أفضل سجل تخمين لنطاق [email protected]) [email protected]
المستلم: من mail.externalemail.com( [زس.XXX.XXX.XXX])( باستخدام TLSv1) بواسطة exprod7ob119.postini.com( [64.18.6.12]) مع سمتب
إد DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]؛الخميس، 06 مارس 2012 08:30:50 يست
المستلمة: من MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) بواسطة
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3٪ 11]) مع مابي؛تو، 6 مار
2012 11:30:48 -0500
فروم: جيسون فولكنر & لوت؛ [email protected]>؛
إلى: "[email protected]" & لوت؛ [email protected]>؛
ديت: تو، 6 مار 2012 11:30:48 -0500
الموضوع: هذا هو بريد إلكتروني شرعي
الموضوع الموضوع: هذا هو شرعي البريد الإلكتروني
مؤشر الترابط: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-إد: & لوت؛ 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>؛
أسيبت-لانغواد: إن-أوس
كونتنت-لانغواد: إن-أوس
X-مس-هاس-أتاش:
X-مس-تنيف-كوريلاتور:
أوسبتلانغواج: إن-أوس
كونتنت-تايب: مولتيبارت / ألترناتيف؛
الحدود = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
مايم-الإصدار: 1.0
عند قراءة رأس بريد إلكتروني، تكون البيانات بترتيب زمني عكسي، بمعنى أن المعلومات في الجزء العلوي هي أحدث حدث.لذلك إذا كنت تريد تتبع البريد الإلكتروني من المرسل إلى المستلم، ابدأ في الأسفل.وباستعراض رؤوس هذه الرسالة الإلكترونية يمكننا أن نرى عدة أشياء.
هنا نرى المعلومات التي تم إنشاؤها بواسطة العميل المرسل.في هذه الحالة، تم إرسال البريد الإلكتروني من أوتلوك بحيث تكون هذه البيانات الوصفية التي يضيفها أوتلوك.
فروم: جاسون فولكنر & لوت؛ [email protected]>؛
إلى: "[email protected]" & لوت؛ [email protected]>؛
ديت: تو، 6 مار 2012 11:30:48 -0500
الموضوع: هذا هو بريد إلكتروني شرعي
الموضوع الموضوع: هذا هو شرعي البريد الإلكتروني
مؤشر الترابط: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
الرسالة-إد: & لوت؛ 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>؛
أسيبت-لانغواد: إن-أوس
كونتنت-لانغواد: إن-أوس
X-مس-هاس-أتاش:
X-مس-تنيف-كوريلاتور:
أسيبتابلانغواج: إن-أوس
كونتنت-تايب: مولتيبارت / ألترناتيف؛
الحدود = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
مايم الإصدار: 1.0
يتتبع الجزء التالي المسار الذي يستغرقه البريد الإلكتروني من خادم الإرسال إلى الملقم الوجهة.ضع في اعتبارك أن هذه الخطوات( أو القفزات) مدرجة بترتيب زمني عكسي.لقد وضعنا رقم كل بجانب قفزة لتوضيح النظام.لاحظ أن كل قفزة يظهر التفاصيل حول عنوان إب و دنس عكس اسم منها.
سلمت إلى: [email protected]
[6] المستلمة: بواسطة 10.60.14.3 مع معرف سمتب l3csp18666oec؛
الثلاثاء، 6 مارس 2012 08:30:51 -0800( يست)
[5] المستلمة: بواسطة 10.68.125.129 مع معرف سمتب mq1mr1963003pbb.21.1331051451044؛
الثلاثاء، 06 مارس 2012 08:30:51 -0800( يست)
ريتورن-باث: & لوت؛ [email protected]>؛
[4] مستلمة: من exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
بواسطة mx.google.com مع معرف سمتب l7si25161491pbd.80.2012.03.06.08.30.49؛
الثلاثاء، 06 مارس 2012 08:30:50 -0800( يست)
[3] ريسيفد-سف: محايد( google.com: 64.18.2.16 غير مسموح به ولا ينكره أفضل سجل تخمين لنطاق جفاكنر @ إكسترنالمايل.كوم) كلينت-إب = 64.18.2.16؛
مصادقة النتائج: mx.google.com؛سف = نيوترال( google.com: 64.18.2.16 غير مسموح به ولا ينكره أفضل سجل تخمين لنطاق [email protected]) [email protected]
[2] مستلمة: من mail.externalemail.كوم( [XXX.XXX.XXX.XXX])( باستخدام TLSv1) بواسطة exprod7ob119.postini.com( [64.18.6.12]) مع سمتب
إد DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]؛تو، 06 مار 2012 08:30:50 يست
[1] المستلمة: من MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) بواسطة
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3٪ 11]) مع مابي؛تو، 6 مار
2012 11:30:48 -0500
في حين أن هذا دنيوية جدا لرسالة بريد إلكتروني مشروعة، يمكن أن تكون هذه المعلومات قول تماما عندما يتعلق الأمر بفحص البريد المزعج أو رسائل البريد الإلكتروني التصيد.
فحص بريد إلكتروني للتصيد الاحتيالي - مثال 1
بالنسبة إلى مثال التصيد الأول، سنفحص رسالة إلكترونية تمثل محاولة تصيد واضحة.في هذه الحالة يمكننا تحديد هذه الرسالة على أنها مجرد احتيال من قبل المؤشرات البصرية ولكن للممارسة ونحن سوف نلقي نظرة على علامات التحذير داخل الرؤوس.
سلمت إلى: [email protected]
المستلمة: بواسطة 10.60.14.3 مع معرف سمتب l3csp12958oec؛
مون، 5 مار 2012 23:11:29 -0800( يست)
المستلمة: بواسطة 10.236.46.164 مع معرف سمتب r24mr7411623yhb.101.1331017888982؛
مون، 05 مار 2012 23:11:28 -0800( يست)
ريتورن-باث: & لوت؛ [email protected]>؛
مستلمة: من ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
بواسطة mx.google.com مع معرف إسمتب t19si8451178ani.110.2012.03.05.23.11.28؛
مون، 05 مار 2012 23:11:28 -0800( يست)
ريسيفد-سف: فيل( google.com: مجال [email protected] لا يعين XXX.XXX.XXX.XXX كمرسل مسموح به)الملكية الفكرية = XXX.XXX.XXX.XXX.
مصادقة النتائج: mx.google.com؛سف = هاردفيل( google.com: مجال [email protected] لا يعين XXX.XXX.XXX.XXX كمرسل مسموح به) [email protected]
المستلم: مع مايلنابل بوستوفيس كونكتور؛تو، 6 مار 2012 02:11:20 -0500
تلقى: من mail.lovingtour.com( [211.166.9.218]) بواسطة ms.externalemail.com مع مايلنابل إسمتب؛تو، 6 مار 2012 02:11:10 -0500
تلقى: من المستخدم( [118.142.76.58])
بواسطة mail.lovingtour.com
؛مون، 5 مار 2012 21:38:11 +0800
مساج-إد: & لوت؛ [email protected]>؛
ريبلي-تو: & لوت؛ [email protected]>؛
فروم: "[email protected]" & لوت؛ [email protected]>؛
الموضوع: إشعار
التاريخ: الاثنين، 5 مارس 2012 21:20:57 +0800
مايم الإصدار: 1.0
نوع المحتوى: مولتيبارت / مختلطة؛حدود
= "- = = _ NextPart_000_0055_01C2A9A6.1C1757C0"
أولوية X: 3
X-MSMail- الأولوية: عادي
X-ميلر: ميكروسوفت أوتلوك إكسبريس 6.00.2600.0000
X-ميمول: التي تنتجها ميكروسوفت ميمول V6.00.2600.0000
X-مي-بايسيان: 0.000000
أول علم أحمر في منطقة معلومات العميل.لاحظ هنا أن البيانات الوصفية أضفت مراجع أوتلوك إكسبريس.ومن غير المرجح أن تأشيرة حتى الآن وراء الأوقات التي لديهم شخص يدويا إرسال رسائل البريد الإلكتروني باستخدام عميل البريد الإلكتروني عمره 12 عاما.
ريبلي-تو: & لوت؛ [email protected]>؛
فروم: "[email protected]" & لوت؛ [email protected]>؛
الموضوع: لاحظ
التاريخ: الإثنين، 5 مارس 2012 21:20:57 +0800
مايم الإصدار: 1.0
نوع المحتوى: مولتيبارت / مختلطة؛
الحدود = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
الأولوية X: 3
X-MSMail- الأولوية: عادي
X-ميلر: ميكروسوفت أوتلوك إكسبريس 6.00.2600.0000
X-ميمول: التي تنتجها ميكروسوفت ميمول V6.00.2600.0000
X-مي-بايسيان: 0.000000
الآن فحص القفزة الأولى في توجيه البريد الإلكتروني يكشف أن المرسل كان موجودا على عنوان إب 118.142.76.58 وتم ترحيل البريد الإلكتروني الخاص بهم من خلال البريد الإلكتروني mail.lovingtour.com.
المستلمة: من المستخدم( [118.142.76.58])
بواسطة mail.lovingtour.com
؛مون، 5 مار 2012 21:38:11 +0800
تبحث عن معلومات إب باستخدام الأداة المساعدة نيرسوفت إبنيتينفو، يمكننا أن نرى يقع المرسل في هونغ كونغ ويقع خادم البريد في الصين.
وغني عن القول هذا هو المشبوهة بعض الشيء.
بقية القفزات البريد الإلكتروني ليست ذات صلة حقا في هذه الحالة لأنها تظهر كذاب البريد الإلكتروني حول حركة مرور الملقم المشروعة قبل أن يتم تسليمها أخيرا.
فحص بريد إلكتروني للتصيد الاحتيالي - مثال 2
في هذا المثال، يكون البريد الإلكتروني للتصيد الاحتيالي أكثر إقناعا.هناك عدد قليل من المؤشرات البصرية هنا إذا كنت تبدو من الصعب بما فيه الكفاية، ولكن مرة أخرى لأغراض هذه المادة ونحن سوف تحد من تحقيقنا لرؤوس البريد الإلكتروني.
المسلمة إلى: [email protected]
المستلمة: بواسطة 10.60.14.3 مع معرف سمتب l3csp15619oec؛
الثلاثاء، 6 مارس 2012 04:27:20 -0800( يست)
المستلمة: بواسطة 10.236.170.165 مع معرف سمتب p25mr8672800yhl.123.1331036839870؛
الثلاثاء، 06 آذار / مارس 2012 04:27:19 -0800( يست)
ريتورن-باث: & لوت؛ [email protected]>؛
مستلمة: من ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
بواسطة mx.google.com مع معرف إسمتب o2si20048188yhn.34.2012.03.06.04.27.19؛
الثلاثاء، 06 آذار( مارس) 2012 04:27:19 -0800( يست)
ريسيفد-سف: فيل( google.com: مجال [email protected] لا يعين XXX.XXX.XXX.XXX كمرسل مسموح به)الملكية الفكرية = XXX.XXX.XXX.XXX.
مصادقة النتائج: mx.google.com؛سف = هاردفيل( google.com: مجال [email protected] لا يعين XXX.XXX.XXX.XXX كمرسل مسموح به) [email protected]
المستلم: مع مايلنابل بوستوفيس كونكتور؛تو، 6 مار 2012 07:27:13 -0500
تلقى: من dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) بواسطة ms.externalemail.com مع مايلنابل إسمتب؛الخميس، 6 مارس 2012 07:27:08 -0500
تلقى: من أباتشي من intuit.com مع المحلية( إكسيم 4.67)
( المغلف من & لوت؛ [email protected]>؛)
معرف GJMV8N-8BERQW-93
لالعلامة & lt؛ [email protected]> ؛؛تو، 6 مار 2012 19:27:05 +0700
تو: & لوت؛ [email protected]>؛
الموضوع: فاتورة Intuit.com الخاصة بك.
X-فب-سكريبت: intuit.com/sendmail.php فور 118.68.152.212
فروم: "إنتوت إنك." & لوت؛ [email protected]>؛
X-سيندر: "إنتوت إنك." & لوت؛ [email protected]>؛
X-ميلر: فب
أولوية X: 1
مايم-الإصدار: 1.0
نوع المحتوى: مولتيبارت / بديل؛
بوندري = "---- 03060500702080404010506"
مساج-إد: & لوت؛ [email protected]>؛
ديت: تو، 6 مار 2012 19:27:05 +0700
X-مي-بايسيان: 0.000000
في هذا المثال، لم يتم استخدام تطبيق عميل البريد، بدلا من البرنامج النصي فب مع عنوان إب المصدر 118.68.152.212.
إلى: & لوت؛ [email protected]>؛
الموضوع: فاتورة Intuit.com الخاصة بك.
X-فب-سكريبت: intuit.com/sendmail.php فور 118.68.152.212
فروم: "إنتوت إنك." & لوت؛ [email protected]>؛
X-سيندر: "إنتوت إنك." & لوت؛ [email protected]>؛
X-ميلر: فب
أولوية X: 1
مايم-الإصدار: 1.0
نوع المحتوى: مولتيبارت / بديل؛
بوندري = "---- 03060500702080404010506"
مساج-إد: & لوت؛ [email protected]>؛
التاريخ: الثلاثاء، 6 مارس 2012 19:27:05 +0700
X-مي-بايسيان: 0.000000
ومع ذلك، عندما ننظر إلى أول البريد الإلكتروني هوب يبدو أن شرعي باسم اسم الخادم الملقم المرسل يطابق عنوان البريد الإلكتروني.ومع ذلك، يجب أن نكون حذرين من هذا كمرسل البريد المزعج يمكن بسهولة اسم الخادم "intuit.com".
مستلمة: من أباتشي بواسطة intuit.com مع المحلية( إكسيم 4.67)
( المغلف من & لوت؛ [email protected]>؛)
معرف GJMV8N-8BERQW-93
ل & لوت؛ [email protected]> ؛؛تو، 6 مار 2012 19:27:05 +0700
دراسة الخطوة التالية ينهار هذا البيت من البطاقات.يمكنك أن ترى القفزة الثانية( حيث يتم تلقيها من قبل خادم البريد الإلكتروني الشرعي) يحل خادم الإرسال مرة أخرى إلى المجال "dynamic-pool-xxx.hcm.fpt.vn"، وليس "intuit.com" مع نفس عنوان إبالمشار إليها في البرنامج النصي فب.
مستلمة: من dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) بواسطة ms.externalemail.com مع مايلنابل إسمتب؛تو، 6 مار 2012 07:27:08 -0500
عرض معلومات عنوان إب يؤكد الشك حيث أن موقع خادم البريد يعود إلى فييتنام.
في حين أن هذا المثال أكثر ذكاء قليلا، يمكنك أن ترى مدى سرعة الكشف عن الاحتيال مع سوى قليلا قليلا من التحقيق.
الاستنتاج
في حين أن رؤوس عناوين البريد الإلكتروني ربما ليست جزءا من احتياجاتك النموذجية اليومية، إلا أن هناك حالات تكون فيها المعلومات الواردة فيها ذات قيمة كبيرة.وكما أشرنا أعلاه، يمكنك بسهولة تحديد المرسلين الذين يتنكرون كشيء ليسوا عليه.ل عملية احتيال نفذت بشكل جيد جدا حيث الإشارات البصرية مقنعة، فإنه من الصعب للغاية( إن لم يكن من المستحيل) لانتحال خوادم البريد الفعلية ومراجعة المعلومات داخل رؤوس البريد الإلكتروني يمكن أن تكشف بسرعة أي تشيكيري.
وصلات
تحميل إبنيتينفو من نيرسوفت
