25Aug

Was können Sie in einem E-Mail-Header finden?

Immer wenn Sie eine E-Mail erhalten, gibt es eine Menge mehr, als Ihnen auffällt. Während Sie normalerweise nur auf die Absenderadresse, die Betreffzeile und den Nachrichtentext achten, gibt es viele weitere Informationen "unter der Haube" jeder E-Mail, die Ihnen eine Fülle zusätzlicher Informationen bieten können.

Warum jemand einen E-Mail-Header betrachtet?

Das ist eine sehr gute Frage. In den meisten Fällen, würden Sie wirklich nie brauchen, wenn:

  • Sie vermuten, eine E-Mail ist ein Phishing-Versuch oder Spoof
  • Sie möchten Routing-Informationen auf dem Pfad der E-Mail anzeigen
  • Sie sind ein neugieriger Aussenseiter

Unabhängig von Ihren Gründen lesenE-Mail-Header ist eigentlich ziemlich einfach und kann sehr aufschlussreich sein.

Artikel Hinweis: Für unsere Screenshots und Daten werden wir Google Mail verwenden, aber praktisch jeder andere Mail-Client sollte diese Informationen ebenfalls bereitstellen.

Anzeigen der E-Mail-Kopfzeile

In Google Mail können Sie die E-Mail anzeigen. In diesem Beispiel verwenden wir die folgende E-Mail.

Klicken Sie dann auf den Pfeil in der oberen rechten Ecke und wählen Sie Original anzeigen aus.

Das resultierende Fenster enthält die E-Mail-Kopfdaten im Klartext.

Hinweis: In allen E-Mail-Header-Daten, die ich unten zeige, habe ich meine Gmail-Adresse so geändert, dass sie als [email protected] und meine externe E-Mail-Adresse als anzeigen [email protected] und [email protected] sowie maskierte die IP-Adresse meiner E-Mail-Server.

Delivered-To: [email protected]
Empfangen: von 10.60.14.3 mit SMTP ID l3csp18666oec;
Di, 6 Mar 2012 08:30:51 -0800( PST)
Empfangen: von 10.68.125.129 mit SMTP ID mq1mr1963003pbb.21.1331051451044;
Di, 06 Mar 2012 08:30:51 -0800( PST)
Rückweg: & lt; [email protected]>
empfangen: von exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
von mx.google.com mit SMTP-ID l7si25161491pb.80.2012.03.06.08.30.49;
Di, 06 Mar 2012 08:30:50 -0800( PST)
Empfangen-SPF: Neutral( google.com: 64.18.2.16 ist weder erlaubt noch verweigert durch den besten Rat für die Domäne von [email protected])IP = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutral( google.com: 64.18.2.16 ist weder zulässig noch wird es von der besten Schätzung für die Domain von [email protected] abgelehnt.) [email protected]
Erhalten: von mail.externalemail.com( [XXX.XXX.XXX.XXX])( mit TLSv1) von exprod7ob119.postini.com( [64.18.6.12]) mit SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Di, 06 Mar 2012 08:30:50 PST
Empfangen: von MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) von
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) mit mapi;Di, 6 Mär
2012 11:30:48 -0500
Von: Jason Faulkner & lt; [email protected]>
An: "[email protected]" & lt; [email protected]>
Datum: Di, 6 Mar 2012 11:30:48 -0500
Betreff: Dies ist eine legitime E-Mail
Thread-Thema: Dies ist eine legitime E-Mail
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.meinServer.local>
Accept-Language: de-DE
Inhalt-Sprache: de-DE
X-MS-Has-Anhang:
X-MS-TNEF-Korrelator:
acceptlanguage: de-DE
Content-Type: mehrteilig / alternativ;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0

Wenn Sie einen E-Mail-Header lesen, sind die Daten in umgekehrter chronologischer Reihenfolge, dh die Informationen oben sind die letzten Ereignisse. Wenn Sie die E-Mail vom Absender zum Empfänger verfolgen möchten, beginnen Sie unten. Wenn wir die Kopfzeilen dieser E-Mail untersuchen, können wir verschiedene Dinge sehen.

Hier sehen wir Informationen, die vom sendenden Client generiert wurden. In diesem Fall wurde die E-Mail von Outlook gesendet. Dies sind die Metadaten, die Outlook hinzufügt.

Von: Jason Faulkner & lt; [email protected] >
An: "[email protected]" & lt; [email protected]>
Datum: Di, 6. März 2012 11.30.48 -0500
Betreff: Dies ist ein legitimes E-Mail-
Thema-Thema: Dies ist ein legitimer E-Mail-
Themen-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.meinServer.local>
Accept-Language: de-DE
Inhalt-Sprache: de-DE
X-MS-Has-Anhang:
X-MS-TNEF-Korrelator:
acceptlanguage: de-DE
Content-Type: multipart / alternative;
boundary =“_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_“
MIME-Version: 1.0

Der nächste Teil zeichnet den Weg der E-Mail von dem Sendeserver zum Zielserver nimmt. Beachten Sie, dass diese Schritte( oder Hops) in umgekehrter chronologischer Reihenfolge aufgeführt sind. Wir haben die jeweilige Nummer neben jedem Hop platziert, um die Reihenfolge zu veranschaulichen. Beachten Sie, dass jeder Hop Details über die IP-Adresse und den entsprechenden umgekehrten DNS-Namen anzeigt.

geliefert: [email protected]
[6] Empfangen: von 10.60.14.3 mit SMTP ID l3csp18666oec;
Di, 6 Mar 2012 08:30:51 -0800( PST)
[5] Empfangen: von 10.68.125.129 mit SMTP id mq1mr1963003pbb.21.1331051451044;
Di, 06 Mar 2012 08:30:51 -0800( PST)
Rückweg: & lt; [email protected]>
[4] Received: from exprod7og119.obsmtp.com( exprod7og119.obsmtp.com [64.18.2.16].)
durch mx.google.com mit SMTP ID l7si25161491pbd.80.2012.03.06.08.30.49;
Di, 06 Mar 2012 08:30:50 - 0800( PST)
[3] Received-SPF: neutral( google.com: 64.18.2.16 wird von der besten Schätzung für Domain von jfaulkner @ externalemail weder erlaubt noch abgelehnt.com) Client-IP = 64.18.2.16;
Authentication-Results: mx.google.com;SPF = Neutral( google.com: 64.18.2.16 ist weder erlaubt noch wird es von der besten Schätzung für die Domain von [email protected] abgelehnt) [email protected]
[2] Empfangen: von mail.externalemail.com( [XXX.XXX.XXX.XXX])( unter Verwendung von TLSv1) durch exprod7ob119.postini.com( [64.18.6.12]) mit SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Di, 6. März 2012 08.30.50 PST
[1] Received: from MYSERVER.myserver.local( [fe80: : A805: C335: 8c71: CDB3]) von
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) mit mapi;Di, 6 Mar
2012 11:30:48 -0500

Während dies für eine legitime E-Mail ziemlich alltäglich ist, können diese Informationen ziemlich aussagekräftig sein, wenn es um die Untersuchung von Spam- oder Phishing-E-Mails geht.

Untersuchung einer Phishing-E-Mail - Beispiel 1

Für unser erstes Phishing-Beispiel untersuchen wir eine E-Mail, bei der es sich um einen offensichtlichen Phishing-Versuch handelt. In diesem Fall könnten wir diese Nachricht einfach durch die visuellen Indikatoren als Betrug identifizieren, aber für die Praxis werden wir uns die Warnschilder in den Kopfzeilen ansehen.

Delivered-To: [email protected]
Empfangen: von 10.60.14.3 mit SMTP ID l3csp12958oec;
Mo, 5 Mar 2012 23:11:29 - 0800( PST)
Empfangen: von 10.236.46.164 mit SMTP ID r24mr7411623yhb.101.1331017888982;
Mo, 05 Mar 2012 23:11:28 - 0800( PST)
Rückweg: & lt; [email protected] & gt;
Empfangen: von ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
von mx.google.com mit ESMTP-ID t19si8451178ani.110.2012.03.05.23.11.28;
Mo, 05 Mär 2012 23:11:28 - 0800( PST)
Received-SPF: fehlgeschlagen( google.com: domain of [email protected] bezeichnet XXX.XXX.XXX.XXX nicht als zulässigen Absender) client-IP = XXX.XXX.XXX.XXX;
-Authentifizierungsergebnisse: mx.google.com;spf = hardfail( google.com: domain of [email protected] bezeichnet XXX.XXX.XXX.XXX nicht als zulässigen Absender) smtp.mail = [email protected]
Empfangen: mit MailEnable Post Office Connector;Di, 6 Mar 2012 02:11:20 -0500
Empfangen: von mail.lovingtour.com( [211.166.9.218]) von ms.externalemail.com mit MailEnable ESMTP;Di, 6 Mar 2012 02:11:10 -0500
Empfangen: von Benutzer( [118.142.76.58])
von mail.lovingtour.com
;Mo, 5 Mar 2012 21:38:11 +0800
Message-ID: & lt; [email protected] & gt;
Antwort an: & lt; [email protected] & gt;
Von: "[email protected]" & lt; [email protected]>
Betreff: Benachrichtigung
Datum: Mo, 5 Mar 2012 21:20:57 +0800
MIME-Version: 1.0
Content-Type: mehrteilig / gemischt;
Grenze = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priorität: 3
X-MSMail-Priorität: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produziert von Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Die erste rote Flagge befindet sich im Client-Informationsbereich. Beachten Sie, dass die hinzugefügten Metadaten auf Outlook Express verweisen. Es ist unwahrscheinlich, dass Visa so weit hinter der Zeit zurückliegt, dass jemand per E-Mail manuell einen 12 Jahre alten E-Mail-Client sendet.

Antwort-To: & lt; [email protected] & gt;
Von: "[email protected]" & lt; [email protected]>
Betreff: Benachrichtigung
Datum: Mo, 5 Mar 2012 21:20:57 +0800
MIME-Version: 1.0
Inhaltstyp: multipart / gemischt;
Grenze = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priorität: 3
X-MSMail-Priorität: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Hergestellt von Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Die Untersuchung des ersten Hops im E-Mail-Routing zeigt, dass sich der Absender an der IP-Adresse 118.142.76.58 befand und seine E-Mail über den Mail-Server mail.lovingtour.com weitergeleitet wurde.

empfangen: von Benutzer( [118.142.76.58])
von mail.lovingtour.com
;Mo, 5 Mar 2012 21:38:11 +0800

Wenn Sie die IP-Informationen mit dem IPNetInfo-Dienstprogramm von Nirsoft nachschlagen, sehen wir, dass sich der Absender in Hongkong befindet und der Mail-Server sich in China befindet.

Es ist unnötig zu sagen, dass dies etwas verdächtig ist.

Der Rest der E-Mail-Hops ist in diesem Fall nicht wirklich relevant, da sie zeigen, dass die E-Mail um legitimen Serververkehr herumspringt, bevor sie schließlich zugestellt wird.

Untersuchung einer Phishing-E-Mail - Beispiel 2

In diesem Beispiel ist unsere Phishing-E-Mail viel überzeugender. Es gibt ein paar visuelle Indikatoren hier, wenn Sie hart genug suchen, aber für den Zweck dieses Artikels werden wir unsere Untersuchung auf E-Mail-Header beschränken.

geliefert: [email protected]
Empfangen: von 10.60.14.3 mit SMTP ID l3csp15619oec;
Di, 6 Mar 2012 04:27:20 -0800( PST)
Empfangen: von 10.236.170.165 mit SMTP id p25mr8672800yhl.123.1331036839870;
Di, 06 Mar 2012 04:27:19 -0800( PST)
Rückweg: & lt; [email protected] & gt;
Empfangen: von ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
von mx.google.com mit ESMTP-ID o2si20048188yhn.34.2012.03.06.04.27.19;
Di, 06 Mär 2012 04:27:19 - 0800( PST)
Received-SPF: fehlgeschlagen( google.com: Domäne von [email protected] bezeichnet XXX.XXX.XXX.XXX nicht als zulässigen Absender) client-IP = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: domain of [email protected] bezeichnet XXX.XXX.XXX.XXX nicht als zulässigen Absender) [email protected]
Empfangen: mit MailEnable Post Office Connector;Di, 6 Mar 2012 07:27:13 -0500
Empfangen: von dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) von ms.externalemail.com mit MailEnable ESMTP;Di, 6 Mar 2012 07:27:08 -0500
Empfangen: von Apache von intuit.com mit lokalen( Exim 4.67)
( Umschlag von & lt; [email protected] & gt;)
ID GJMV8N-8BERQW-93
für& lt; [email protected]> ;Di, 6 Mar 2012 19:27:05 +0700
An: & lt; [email protected] & gt;
Betreff: Ihre Intuit.com-Rechnung.
X-PHP-Skript: intuit.com/sendmail.php für 118.68.152.212
Von: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-Priorität: 1
MIME-Version: 1.0
Content-Type: mehrteilig / alternativ;
boundary = "---- 03060500702080404010506"
Nachrichten-ID: & lt; [email protected]>
Datum: Di, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

In diesem Beispiel wurde keine Mail-Client-Anwendung verwendet, sondern ein PHP-Skript mit der Quell-IP-Adresse 118.68.152.212.

An: & lt; [email protected] & gt;
Betreff: Ihre Intuit.com-Rechnung.
X-PHP-Skript: intuit.com/sendmail.php für 118.68.152.212
Von: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-Priorität: 1
MIME-Version: 1.0
Content-Type: mehrteilig / alternativ;
boundary = "---- 03060500702080404010506"
Nachrichten-ID: & lt; [email protected]>
Datum: Di, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Wenn wir uns jedoch den ersten E-Mail-Hop ansehen, scheint er echt zu sein, da der Domain-Name des sendenden Servers mit der E-Mail-Adresse übereinstimmt. Seien Sie jedoch vorsichtig, da ein Spammer seinen Server leicht "intuit.com" nennen könnte.

Empfangen: von Apache von intuit.com mit lokalen( Exim 4.67)
( Umschlag von & lt; [email protected] & gt;)
ID GJMV8N-8BERQW-93
für & lt; [email protected] & g; ;Di, 6 Mar 2012 19:27:05 +0700

Die Untersuchung des nächsten Schritts bringt dieses Kartenhaus zum Zerplatzen. Sie können sehen, dass der zweite Hop( wo er von einem seriösen E-Mail-Server empfangen wird) den sendenden Server mit der gleichen IP-Adresse zurück in die Domäne "dynamic-pool-xxx.hcm.fpt.vn" und nicht "intuit.com" auflöstangegeben im PHP-Skript.

Empfangen: von dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) von ms.externalemail.com mit MailEnable ESMTP;Di, 6 Mar 2012 07:27:08 -0500

Das Anzeigen der IP-Adressinformationen bestätigt den Verdacht, dass der Standort des Mail-Servers wieder in Vietnam aufgelöst wird.

Während dieses Beispiel ein wenig schlauer ist, können Sie sehen, wie schnell der Betrug mit nur ein bisschen Nachforschung aufgedeckt wird.

Schlussfolgerung

Während das Anzeigen von E-Mail-Headern wahrscheinlich nicht zu Ihren alltäglichen Bedürfnissen gehört, gibt es Fälle, in denen die darin enthaltenen Informationen sehr wertvoll sein können. Wie wir oben gezeigt haben, können Sie ganz leicht Absender identifizieren, die sich als etwas ausstellen, das sie nicht sind. Für einen sehr gut ausgeführten Betrug, bei dem visuelle Hinweise überzeugend sind, ist es äußerst schwierig( wenn nicht unmöglich), tatsächliche Mail-Server zu verfälschen und die Informationen in den E-Mail-Kopfzeilen zu überprüfen, kann jede Schikane schnell aufdecken.

Links

Herunterladen von IPNetInfo von NIRsoft