25Aug

Τι μπορείτε να βρείτε σε μια κεφαλίδα μηνύματος ηλεκτρονικού ταχυδρομείου;

Κάθε φορά που λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, υπάρχουν πολλά περισσότερα από αυτά που συναντούν το μάτι.Ενώ τυπικά δίνετε προσοχή μόνο στη διεύθυνση, τη γραμμή θέματος και το σώμα του μηνύματος, υπάρχουν πολλές περισσότερες πληροφορίες διαθέσιμες "κάτω από την κουκούλα" κάθε email που μπορεί να σας παρέχει πληθώρα πρόσθετων πληροφοριών.

Γιατί να ασχοληθούμε με την επικεφαλίδα μηνύματος ηλεκτρονικού ταχυδρομείου;

Αυτή είναι μια πολύ καλή ερώτηση.Ως επί το πλείστον, πραγματικά δεν θα χρειαστεί ποτέ, εκτός αν:

  • Υποψιάζεστε ότι ένα μήνυμα ηλεκτρονικού ταχυδρομείου είναι απόπειρα ηλεκτρονικού "ψαρέματος"( phishing) ή spoof
  • Θέλετε να δείτε πληροφορίες δρομολόγησης στη διαδρομή του ηλεκτρονικού ταχυδρομείου
  • Είστε περίεργος geek

Ανεξαρτήτως των λόγων σας,οι κεφαλίδες ηλεκτρονικού ταχυδρομείου είναι στην πραγματικότητα αρκετά εύκολες και μπορεί να είναι πολύ αποκαλυπτικές.

Σημείωση για το άρθρο: Για τα στιγμιότυπα και τα δεδομένα μας, θα χρησιμοποιήσουμε το Gmail, αλλά σχεδόν κάθε άλλος πελάτης αλληλογραφίας θα πρέπει να παρέχει και αυτές τις ίδιες πληροφορίες.

Προβολή της επικεφαλίδας μηνυμάτων ηλεκτρονικού ταχυδρομείου

Στο Gmail, δείτε το μήνυμα ηλεκτρονικού ταχυδρομείου.Για αυτό το παράδειγμα, θα χρησιμοποιήσουμε το παρακάτω μήνυμα ηλεκτρονικού ταχυδρομείου.

Στη συνέχεια, κάντε κλικ στο βέλος στην επάνω δεξιά γωνία και επιλέξτε Εμφάνιση πρωτότυπου.

Το παράθυρο που προκύπτει θα έχει τα δεδομένα κεφαλίδας email σε απλό κείμενο.

Σημείωση: Σε όλα τα δεδομένα κεφαλίδας email που εμφανίζονται παρακάτω έχω αλλάξει τη διεύθυνση Gmail μου για να εμφανιστεί ως [email protected] και η εξωτερική μου διεύθυνση ηλεκτρονικού ταχυδρομείου για να εμφανιστεί ως [email protected] και [email protected] καθώς και τη διεύθυνση IP των εξυπηρετητών email μου.

Παράδοση-προς: [email protected]
Λήψη: από 10.60.14.3 με id SMTP l3csp18666oec;
Τρι, 6 Μαρ 2012 08:30:51 -0800( PST)
Λήψη: από 10.68.125.129 με id SMTP mq1mr1963003pbb.21.1331051451044;
Τρι, 06 Μαρ 2012 08:30:51 -0800( PST)
Επιστροφή-Διαδρομή: & lt; [email protected]>
Λήψη: από exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
από mx.google.com με id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Τρι, 06 Μαρ 2012 08:30:50 -0800( PST)
Λήψη SPF: ουδέτερο( google.com: 64.18.2.16 δεν επιτρέπεται ούτε απαγορεύεται από την καλύτερη εικασία για τον τομέα [email protected])ip = 64.18.2.16;
έλεγχος ταυτότητας-αποτελέσματα: mx.google.com;spf = ουδέτερο( google.com: 64.18.2.16 δεν επιτρέπεται ούτε απαγορεύεται από την καλύτερη εικασία για τον τομέα [email protected]) [email protected]
Λήψη: από mail.externalemail.com( [XXX.XXX.XXX.XXX])( χρησιμοποιώντας TLSv1) από exprod7ob119.postini.com( [64.18.6.12]) με SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Τετάρτη, 06 Mar 2012 08:30:50 PST
Ληφθείσα: από MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) από
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) με mapi.Τετ, 6 Μαρ
2012 11:30:48 -0500
Από: Jason Faulkner & lt; [email protected]>
Προς: "[email protected]" & lt; [email protected]>
Ημερομηνία: Τρι, 6 Μαρ 2012 11:30:48 -0500
Θέμα: Αυτό είναι ένα legit email
Θέμα-Θέμα: Αυτό είναι ένα legit email
Θέμα-Δείκτης: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Μήνυμα-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>Γλώσσα: en-US

Περιεχόμενο-Γλώσσα: en-US
X-MS-Has-Attach:
X-MS-TNEF-Συζητητής:
acceptdanguage: en-US
Τύπος περιεχομένου:
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Έκδοση: 1.0

Όταν διαβάζετε μια κεφαλίδα email, τα δεδομένα είναι σε αντίστροφη χρονολογική σειρά, πράγμα που σημαίνει ότι οι πληροφορίες στην κορυφή είναι το πιο πρόσφατο συμβάν.Επομένως, αν θέλετε να εντοπίσετε το μήνυμα ηλεκτρονικού ταχυδρομείου από τον αποστολέα στον παραλήπτη, ξεκινήστε από κάτω.Εξετάζοντας τις κεφαλίδες αυτού του ηλεκτρονικού ταχυδρομείου μπορούμε να δούμε πολλά πράγματα.

Εδώ βλέπουμε τις πληροφορίες που δημιουργούνται από τον πελάτη αποστολής.Σε αυτήν την περίπτωση, το μήνυμα ηλεκτρονικού ταχυδρομείου αποστέλλεται από το Outlook, επομένως αυτό είναι το μεταδεδομένα που προσθέτει το Outlook.

Από: Jason Faulkner & lt; [email protected]>
Προς: "[email protected]" & lt; [email protected]>
Ημερομηνία: Τρι, 6 Μαρ 2012 11:30:48 -0500
Θέμα: Αυτό είναι ένα legit email
Θέμα-Θέμα: Αυτό είναι ένα legit email
Θέμα-Ευρετήριο: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Μήνυμα-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Αποδοχή-Γλώσσα: en-US
Περιεχόμενο-Γλώσσα: en-US
X-MS-Έχει-επισυνάψει:
X-MS-TNEF-Συμφωνητής:
acceptlanguage: en-US
Τύπος περιεχομένου: multipart / εναλλακτική;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0

Το επόμενο τμήμα εντοπίζει τη διαδρομή που λαμβάνει το μήνυμα ηλεκτρονικού ταχυδρομείου από το διακομιστή αποστολής στον εξυπηρετητή προορισμού.Λάβετε υπόψη ότι αυτά τα βήματα( ή ο λυκίσκος) παρατίθενται με αντίστροφη χρονολογική σειρά.Έχουμε τοποθετήσει τον αντίστοιχο αριθμό δίπλα σε κάθε hop για να δείξει τη σειρά.Σημειώστε ότι κάθε λίστας εμφανίζει λεπτομέρειες σχετικά με τη διεύθυνση IP και το αντίστροφο όνομα DNS.

Παραδόθηκε σε: [email protected]
[6] Λήψη: μέχρι 10.60.14.3 με id SMTP l3csp18666oec;
Τρι, 6 Μαρ 2012 08:30:51 -0800( PST)
[5] Λήψη: από 10.68.125.129 με id SMTP mq1mr1963003pbb.21.1331051451044;
Τρι, 06 Μαρ 2012 08:30:51 -0800( PST)
Επιστροφή-Διαδρομή: & lt; [email protected]>
[4] Λήψη: από exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
από mx.google.com με id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Τρι, 06 Μαρ 2012 08:30:50 -0800( PST)
[3] Ελήφθη-SPF: ουδέτερη( google.com: 64.18.2.16 ούτε επιτρέπεται ούτε απορρίπτεται από την καλύτερη εικασία για τον τομέα jfaulkner @ externalemail.com) client-ip = 64.18.2.16.
Έλεγχος ταυτότητας-αποτελέσματα: mx.google.com;spf = ουδέτερο( google.com: 64.18.2.16 δεν επιτρέπεται ούτε απαγορεύεται από την καλύτερη εικασία για τον τομέα [email protected]) [email protected]
[2] Λήψη: από mail.externalemail.com( [XXX.XXX.XXX.XXX])( χρησιμοποιώντας TLSv1) από exprod7ob119.postini.com( [64.18.6.12]) με SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Τετάρτη, 06 Μαρ 2012 08:30:50 PST
[1] Λήψη: από MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) από
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) με mapi.Τρίτη, 6 Μαρ
2012 11:30:48 -0500

Ενώ αυτό είναι αρκετά συνηθισμένο για ένα νόμιμο μήνυμα ηλεκτρονικού ταχυδρομείου, αυτές οι πληροφορίες μπορεί να είναι αρκετά ξεκάθαρες όταν πρόκειται για την εξέταση spam ή phishing emails.

Εξετάζοντας ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος"( phishing) - Παράδειγμα 1

Για το πρώτο παράδειγμα ηλεκτρονικού ψαρέματος, θα εξετάσουμε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που είναι μια προφανής απόπειρα ηλεκτρονικού "ψαρέματος"( phishing).Σε αυτή την περίπτωση θα μπορούσαμε να προσδιορίσουμε αυτό το μήνυμα ως απάτη απλώς από τους οπτικούς δείκτες, αλλά για πρακτική θα ρίξουμε μια ματιά στα προειδοποιητικά σημάδια μέσα στις κεφαλίδες.

Παραδόθηκε σε: [email protected]
Λήψη: από 10.60.14.3 με id SMTP l3csp12958oec;
Τετ, 5 Μαρ 2012 23:11:29 -0800( PST)
Λήψη: από 10.236.46.164 με SMTP id r24mr7411623yhb.101.1331017888982;
Κυρ, 05 Μαρ 2012 23:11:28 -0800( PST)
Επιστροφή-Διαδρομή: & lt; [email protected]>
Λήψη: από ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
από mx.google.com με το αναγνωριστικό ESMTP t19si8451178ani.110.2012.03.05.05. 3.11.28;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Received-SPF: αποτυχία( google.com: domain of [email protected] δεν ορίζει XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα)ip = XXX.XXX.XXX.XXX;
έλεγχος ταυτότητας-αποτελέσματα: mx.google.com;spf = hardfail( google.com: domain of [email protected] δεν ορίζει XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) [email protected]
Λήψη: με MailEnable Postoffice Connector?Τρι, 6 Μαρ 2012 02:11:20 -0500
Λήψη: από mail.lovingtour.com( [211.166.9.218]) από ms.externalemail.com με το MailEnable ESMTP.Τρι, 6 Μαρ 2012 02:11:10 -0500
Ληφθείσα: από χρήστη( [118.142.76.58])
από mail.lovingtour.com
;Δευ, 5 Μαρ 2012 21:38:11 +0800
Αναγνωριστικό μηνύματος: & lt; [email protected]>
Απάντηση σε: & lt; [email protected]>
Από: "[email protected]" & lt; [email protected]>
Θέμα: Ανακοίνωση
Ημερομηνία: Mon, 5 Mar 2012 21:20:57 +0800
MIME-Έκδοση: 1.0
Τύπος Περιεχομένου: πολλαπλή / μικτή;Μέγεθος
= "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Προτεραιότητα X: 3
X-MSMail-Προτεραιότητα: Κανονική
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Παραγόμενο από το Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Η πρώτη κόκκινη σημαία βρίσκεται στην περιοχή πληροφοριών του πελάτη.Παρατηρήστε εδώ τις αναφορές των μεταδεδομένων που προστέθηκαν στο Outlook Express.Είναι απίθανο η Visa να είναι τόσο πίσω από την εποχή που έχει κάποιον που στέλνει με το χέρι μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας ένα 12χρονο πελάτη ηλεκτρονικού ταχυδρομείου.

Απάντηση σε: & lt; [email protected]>
Από: "[email protected]" & lt; [email protected]>
Θέμα: Ανακοίνωση
Ημερομηνία: Mon, 5 Mar 2012 21:20:57 +0800
MIME-Έκδοση: 1.0
Τύπος περιεχομένου: πολλαπλή / μικτή;
X-MimeOLE: Παράγεται από το Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Τώρα, εξετάζοντας το πρώτο hop στο δρομολόγιο ηλεκτρονικού ταχυδρομείου, αποκαλύπτεται ότι ο αποστολέας βρισκόταν στη διεύθυνση IP 118.142.76.58 και το ηλεκτρονικό ταχυδρομείο τους μεταδόθηκε μέσω του διακομιστή αλληλογραφίας mail.lovingtour.com.

Λήψη: από χρήστη( [118.142.76.58])
από mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800

Αναζητώντας τις πληροφορίες IP χρησιμοποιώντας το βοηθητικό πρόγραμμα IPNetInfo της Nirsoft, μπορούμε να δούμε ότι ο αποστολέας βρίσκεται στο Χονγκ Κονγκ και ο διακομιστής αλληλογραφίας βρίσκεται στην Κίνα.

Περιττό να πω ότι αυτό είναι λίγο ύποπτο.

Το υπόλοιπο της λίστας ηλεκτρονικού ταχυδρομείου δεν είναι πραγματικά σχετικό σε αυτή την περίπτωση δεδομένου ότι δείχνουν το μήνυμα ηλεκτρονικού ταχυδρομείου αναπήδηση γύρω από τη νόμιμη κίνηση του διακομιστή πριν τελικά παραδοθεί.

Εξετάζοντας ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος" - Παράδειγμα 2

Για αυτό το παράδειγμα, το ηλεκτρονικό μας ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος( phishing) είναι πολύ πιο πειστικό.Υπάρχουν κάποιες οπτικές ενδείξεις εδώ αν κοιτάξετε αρκετά σκληρά, αλλά και πάλι για τους σκοπούς αυτού του άρθρου πρόκειται να περιορίσουμε την έρευνά μας σε κεφαλίδες ηλεκτρονικού ταχυδρομείου.

Παραδόθηκε σε: [email protected]
Λήψη: από 10.60.14.3 με id SMTP l3csp15619oec;
Τρι, 6 Μαρ 2012 04:27:20 -0800( PST)
Λήψη: από 10.236.170.165 με SMTP id p25mr8672800yhl.123.1331036839870;
Τρι, 06 Μαρ 2012 04:27:19 -0800( PST)
Επιστροφή-Διαδρομή: & lt; [email protected]>
Λήψη: από ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
από mx.google.com με ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Τρι, 06 Μαρ 2012 04:27:19 -0800( PST)
Received-SPF: Αποτυχία( google.com: Ο τομέας της ασφάλειας@intuit.com δεν ορίζει XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα)ip = XXX.XXX.XXX.XXX;
έλεγχος ταυτότητας-αποτελέσματα: mx.google.com;spf = hardfail( google.com: ο τομέας της ασφάλειας@intuit.com δεν ορίζει XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) [email protected]
Λήψη: με τον MailEnable Postoffice Connector;Τρι, 6 Μαρ 2012 07:27:13 -0500
Λήψη: από dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) από ms.externalemail.com με το MailEnable ESMTP.Τετ, 6 Μαρ 2012 07:27:08 -0500
Λήψη: από apache από intuit.com με τοπικό( Exim 4.67)
( φάκελος από & lt; [email protected]>)
id GJMV8N-8BERQW-93
για& lt; [email protected]> ;Τρι, 6 Μαρ 2012 19:27:05 +0700
Προς: & lt; [email protected]>
Θέμα: Το τιμολόγιο Intuit.com.
X-PHP-Script: intuit.com/sendmail.php για 118.68.152.212
Από: "INTUIT INC." & Lt; [email protected]>
X-αποστολέας: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
Προτεραιότητα X: 1
MIME-Έκδοση: 1.0
Τύπος περιεχομένου: multipart / alternative;Όριο
= "---- 03060500702080404010506"
Μήνυμα-Id: Ημερομηνία: Τρι, 6 Μαρ 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Σε αυτό το παράδειγμα, δεν χρησιμοποιήθηκε μια εφαρμογή πελάτη αλληλογραφίας, αλλά μια δέσμη ενεργειών PHP με τη διεύθυνση IP πηγής 118.68.152.212.

Προς: & lt; [email protected]>
Θέμα: Το τιμολόγιο Intuit.com.
X-PHP-Script: intuit.com/sendmail.php για 118.68.152.212
Από: "INTUIT INC." & Lt; [email protected]>
Χ-αποστολέας: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
Προτεραιότητα X: 1
MIME-Έκδοση: 1.0
Τύπος Περιεχομένου: πολλαπλή / εναλλακτική;Όριο
= "---- 03060500702080404010506"
Μήνυμα-Id: Ημερομηνία: Τρι, 6 Μαρ 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Ωστόσο, όταν εξετάζουμε το πρώτο μήνυμα ηλεκτρονικού ταχυδρομείου, φαίνεται ότι είναι νόμιμο, καθώς το όνομα τομέα του διακομιστή αποστολής ταιριάζει με τη διεύθυνση ηλεκτρονικού ταχυδρομείου.Ωστόσο, να είστε προσεκτικοί σε αυτό, καθώς ένας spammer θα μπορούσε εύκολα να ονομάσει το διακομιστή τους "intuit.com".

Λήψη: από apache από intuit.com με τοπικό( Exim 4.67)
( φακέλος-από & lt; [email protected]>)
id GJMV8N-8BERQW-93
για & lt; [email protected]> ;Τρι, 6 Μαρ 2012 19:27:05 +0700

Εξετάζοντας το επόμενο βήμα, καταστρέφεται αυτό το σπίτι των καρτών.Μπορείτε να δείτε το δεύτερο hop( όπου λαμβάνεται από ένα νόμιμο διακομιστή ηλεκτρονικού ταχυδρομείου) επιλύει το διακομιστή αποστολής πίσω στον τομέα "dynamic-pool-xxx.hcm.fpt.vn", όχι "intuit.com" με την ίδια διεύθυνση IPπου αναφέρεται στη δέσμη ενεργειών PHP.

Λήψη: από dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) από ms.externalemail.com με το MailEnable ESMTP.Τρι, 6 Μαρ 2012 07:27:08 -0500

Η προβολή των πληροφοριών της διεύθυνσης IP επιβεβαιώνει την υποψία, καθώς η τοποθεσία του διακομιστή αλληλογραφίας επιλύεται ξανά στο Βιετνάμ.

Ενώ αυτό το παράδειγμα είναι λίγο πιο έξυπνο, μπορείτε να δείτε πόσο γρήγορα αποκαλύπτεται η απάτη με ένα μικρό κομμάτι έρευνας.

Συμπέρασμα

Ενώ η προβολή των κεφαλίδων email πιθανότατα δεν αποτελεί μέρος των τυπικών καθημερινών αναγκών σας, υπάρχουν περιπτώσεις όπου οι πληροφορίες που περιέχονται σε αυτές μπορούν να είναι πολύτιμες.Όπως παρουσιάσαμε παραπάνω, μπορείτε εύκολα να εντοπίσετε τους αποστολείς που μεταμφιέζονται ως κάτι που δεν είναι.Για μια εξαιρετικά εκτεταμένη απάτη, όπου τα οπτικά στοιχεία είναι πειστικά, είναι εξαιρετικά δύσκολο( αν όχι αδύνατο) να μιμηθούμε τους πραγματικούς διακομιστές αλληλογραφίας και η ανασκόπηση των πληροφοριών μέσα στις κεφαλίδες του ηλεκτρονικού ταχυδρομείου μπορεί γρήγορα να αποκαλύψει τυχόν σκανδαλισμούς.

Σύνδεσμοι

Κατεβάστε το IPNetInfo από το Nirsoft