25Aug

Hvad kan du finde i en e-mail-overskrift?

Når du modtager en email, er der meget mere end det, der opfylder øjet. Mens du typisk kun er opmærksom på adressen, emnelinjen og emnet i meddelelsen, er der meget mere information tilgængelig "under emnet" i hver e-mail, som kan give dig et væld af yderligere oplysninger.

Hvorfor gider du kigger på en e-mailoverskrift?

Dette er et meget godt spørgsmål. For det meste vil du virkelig aldrig have brug for, medmindre:

  • Du har mistanke om, at en email er et phishing-forsøg eller en spoof.
  • Du vil se rutefyldningsoplysninger på e-mailens sti
  • Du er en nysgerrig geek

Uanset dine grunde læser due-mail overskrifter er faktisk ret nemt og kan være meget afslørende.

Artikel Note: For vores skærmbilleder og data bruger vi Gmail, men næsten alle andre postklienter skal også give de samme oplysninger.

Visning af e-mail-overskriften

I Gmail kan du se e-mailen. I dette eksempel bruger vi e-mailen nedenfor.

Klik derefter på pilen i øverste højre hjørne og vælg Vis original.

Det resulterende vindue vil have e-mail header data i almindelig tekst.

Bemærk: I alle e-mail header data jeg viser nedenfor har jeg ændret min Gmail-adresse for at vise som [email protected] og min eksterne e-mail-adresse at vise som [email protected] og [email protected] samt maskeret IP-adressen på mine e-mail-servere.

Leveret til: [email protected]
Modtaget: ved 10.60.14.3 med SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
Modtaget: ved 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Returvej: & lt; [email protected]>
Modtaget: fra exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
af mx.google.com med SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Modtaget-SPF: Neutral( google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected])ip = 64.18.2.16;
-godkendelsesresultater: mx.google.com;spf = neutral( google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess record for domæne af [email protected]) [email protected]
Modtaget: fra mail.externalemail.com( [XXX.XXX.XXX.XXX])( ved hjælp af TLSv1) af exprod7ob119.postini.com( [64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Modtaget: fra MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) af
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) med mapi;Tirsdag, 6 Mar
2012 11:30:48 -0500
Fra: Jason Faulkner & lt; [email protected]>
Til: "[email protected]" & lt; [email protected]>
Dato: Tue, 6 Mar 2012 11:30:48 -0500
Emne: Dette er en legitim email
Trådemne: Dette er en legitim email
Trådindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelelse-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-sprog: en-US
Indholdssprog: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Accept-sprog: En-US
Indholdstype: Multipart / Alternativ;
grænse = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D15HARDHAT2hardh_"
MIME-Version: 1.0

Når du læser en e-mailoverskrift, er dataene i omvendt kronologisk rækkefølge, hvilket betyder at informationen øverst er den seneste begivenhed. Derfor, hvis du vil spore e-mailen fra afsender til modtager, skal du starte i bunden. Ved at undersøge overskrifterne i denne email kan vi se flere ting.

Her ses informationer fra den afsendende klient. I dette tilfælde blev emailen sendt fra Outlook, så dette er metadata Outlook tilføjer.

Fra: Jason Faulkner & lt; [email protected]>
Til: "[email protected]" & lt; [email protected]>
Dato: Tue, 6 Mar 2012 11:30:48 -0500
Emne: Dette er en legitim email
Trådemne: Dette er en legitim email
Trådindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelelse-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Sprog: da-US
Indholdssprog: da-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Accept-sprog: En-US
Indholdstype: Multipart / Alternativ;
grænse = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0

Den næste del sporer den vej, e-mailen tager fra afsendelsesserveren til destinationsserveren. Husk på, at disse trin( eller humle) er angivet i omvendt kronologisk rækkefølge. Vi har placeret det respektive nummer ved siden af ​​hvert hop for at illustrere ordren. Bemærk at hvert hop viser detaljer om IP-adressen og det respektive omvendte DNS-navn.

Leveret til: [email protected]
[6] Modtaget: ved 10.60.14.3 med SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
[5] Modtaget: ved 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Returvej: & lt; [email protected]>
[4] Modtaget: fra exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
af mx.google.com med SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Modtaget-SPF: Neutral( google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess-record for domænet af jfaulkner @ externalemail.com) klient-ip = 64.18.2.16;
-godkendelsesresultater: mx.google.com;spf = neutral( google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess record for domæne af [email protected]) [email protected]
[2] Modtaget: fra mail.externalemail.com( [XXX.XXX.XXX.XXX])( ved hjælp af TLSv1) af exprod7ob119.postini.com( [64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Modtaget: fra MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) af
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) med mapi;Tue, 6 Mar
2012 11:30:48 -0500

Selvom dette er ret almindeligt for en legitim email, kan disse oplysninger ret fortælle, når det kommer til at undersøge spam- eller phishing-e-mails.

Undersøgelse af en phishing-mail - Eksempel 1

For vores første phishing-eksempel undersøger vi en e-mail, som er et oplagt phishing-forsøg. I dette tilfælde kunne vi identificere denne meddelelse som svindel blot ved de visuelle indikatorer, men for øvelse vil vi se på advarselsskiltene i overskrifterne.

Leveret til: [email protected]
Modtaget: ved 10.60.14.3 med SMTP id l3csp12958oec;
ma, 5 mar 2012 23:11:29 -0800( PST)
Modtaget: ved 10.236.46.164 med SMTP id r24mr7411623yhb.101.1331017888982;
ma, 05 mar 2012 23:11:28 -0800( PST)
Returvej: & lt; [email protected]>
Modtaget: fra ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
af mx.google.com med ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Modtaget-SPF: fail( google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender)ip = XXX.XXX.XXX.XXX;
-godkendelsesresultater: mx.google.com;spf = hardfail( google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) [email protected]
Modtaget: med MailEnable Postoffice Connector;Tue, 6 Mar 2012 02:11:20 -0500
Modtaget: fra mail.lovingtour.com( [211.166.9.218]) af ms.externalemail.com med MailEnable ESMTP;Tue, 6 Mar 2012 02:11:10 -0500
Modtaget: fra bruger( [118.142.76.58])
ved mail.lovingtour.com
;Ma, 5 mar 2012 21:38:11 +0800
Meddelelses-id: & lt; [email protected]>
Svar-til: & lt; [email protected]>
Fra: "[email protected]" & lt; [email protected]>
Emne: Meddelelse
Dato: Måned, 5 Mar 2012 21:20:57 +0800
MIME-Version: 1.0
Indholdstype: Multipart / Mixed;
grænse = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produceret af Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Det første røde flag er i klientinformationsområdet. Bemærk, at metadata tilføjede referencer til Outlook Express. Det er usandsynligt, at Visa er så langt bag de gange, at de har nogen manuelt at sende e-mails ved hjælp af en 12-årig e-mail-klient.

Svar-til: & lt; [email protected]>
Fra: "[email protected]" & lt; [email protected]>
Emne: Meddelelse
Dato: Måned, 5 Mar 2012 21:20:57 +0800
MIME-Version: 1.0
Indholdstype: Multipart / Mixed;
-grænse = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produceret af Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Nu undersøger det første hop i e-mail routing afslører, at afsenderen var placeret på IP-adressen 118.142.76.58, og deres email blev videresendt via mail-serveren mail.lovingtour.com.

Modtaget: fra bruger( [118.142.76.58])
ved mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800

Når du ser IP-informationen ved hjælp af Nirsoft's IPNetInfo-værktøj, kan vi se afsenderen i Hong Kong, og mail-serveren er placeret i Kina.

Det er overflødigt at sige, at dette er lidt mistænkeligt.

Resten af ​​e-mail-humle er ikke særlig relevante i dette tilfælde, da de viser e-mailen, der hopper rundt om legitim servertrafik, inden de endelig bliver leveret.

Undersøgelse af en phishing-mail - Eksempel 2

I dette eksempel er vores phishing-email meget mere overbevisende. Der er et par visuelle indikatorer her, hvis du ser hårdt ud, men igen med henblik på denne artikel vil vi begrænse vores undersøgelse til e-mailoverskrifter.

Leveret til: [email protected]
Modtaget: ved 10.60.14.3 med SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
Modtaget: ved 10.236.170.165 med SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Returvej: & lt; [email protected]>
Modtaget: fra ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
af mx.google.com med ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Modtaget-SPF: fail( google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender)ip = XXX.XXX.XXX.XXX;
-godkendelsesresultater: mx.google.com;spf = hardfail( google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) [email protected]
Modtaget: med MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
Modtaget: fra dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) af ms.externalemail.com med MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Modtaget: fra apache af intuit.com med lokale( Exim 4.67)
( konvolut-fra & lt; [email protected]>)
id GJMV8N-8BERQW-93
for& lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
Til: & lt; [email protected]>
Emne: Din Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php til 118.68.152.212
Fra: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioritet: 1
MIME-Version: 1.0
Indholdstype: Multipart / Alternativ;
grænse = "---- 03060500702080404010506"
Meddelelses-id: & lt; [email protected]>
Dato: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

I dette eksempel blev en mail-klient-applikation ikke brugt, snarere et PHP-script med kilde-IP-adressen på 118.68.152.212.

Til: & lt; [email protected]>
Emne: Din Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php til 118.68.152.212
Fra: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioritet: 1
MIME-Version: 1.0
Indholdstype: Multipart / Alternativ;
grænse = "---- 03060500702080404010506"
Message-Id: & lt; [email protected]>
Dato: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Men når vi ser på det første e-mail-hop, ser det ud til at være legitimt, da afsendelsesserverens domænenavn matcher e-mail-adressen. Men vær forsigtig med dette, da en spammer nemt kunne navngive deres server "intuit.com".

Modtaget: fra apache af intuit.com med lokal( Exim 4.67)
( konvolut-fra & lt; [email protected]>)
id GJMV8N-8BERQW-93
for & lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700

Undersøgelse af det næste trin smuldrer dette korthus. Du kan se det andet hop( hvor det er modtaget af en legitim email server) løser afsendelsesserveren tilbage til domænet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresseangivet i PHP scriptet.

Modtaget: fra dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) af ms.externalemail.com med MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500

Visning af IP-adresseoplysninger bekræfter mistanken, da postserverens placering løser tilbage til Viet Nam.

Mens dette eksempel er lidt mere klogt, kan du se, hvor hurtigt bedrageriet afsløres med kun en lille smule undersøgelse.

Konklusion

Mens visning af e-mail-overskrifter sandsynligvis ikke er en del af dine typiske daglige behov, er der tilfælde, hvor oplysningerne i dem kan være ret værdifulde. Som vi viste ovenfor, kan du let identificere afsendere masquerading som noget de ikke er. For en meget godt udført fidus, hvor visuelle signaler er overbevisende, er det ekstremt vanskeligt( hvis ikke umuligt) at efterligne faktiske mail-servere og gennemse oplysningerne inden for e-mailoverskrifter, kan hurtigt afsløre ethvert chicanery.

Links

Download IPNetInfo fra Nirsoft