25Aug
Kui saate e-kirja, on sellel palju rohkem, kui silma peal. Kuigi tavaliselt pöörake tähelepanu ainult sõnumi aadressile, teema reale ja kehale, on iga e-kirja all "kate" saadaval palju rohkem informatsiooni, mis annab teile hulgaliselt täiendavat teavet.
Miks on teil e-kirja peal vaadatav?
See on väga hea küsimus. Enamasti ei peaks te tegelikult kunagi vaja, välja arvatud juhul, kui:
- Teil on kahtlus, et e-posti aadress on andmepüügikoormus või rämpspank
- Sa tahad näha e-posti teel
- -i suunamisteavet Te olete uudishimulik geek
Olenemata teie põhjustest lugemineE-posti päised on tegelikult üsna lihtsad ja võivad olla väga paljastavad.
artikli märkus: meie ekraanipiltide ja andmete jaoks kasutame Gmaili, kuid peaaegu iga teine e-posti klient peaks seda teavet pakkuma.
E-kirja päise vaatamine
Gmailis vaadake e-kirju. Selle näite puhul kasutame allpool olevat meili.
. Seejärel klõpsake paremas ülanurgas oleval noolel ja valige käsk Kuva originaal.
Tulemuseks avatud aknas on kirjas pealkirja andmed tavalises tekstis.
Märkus: kõikides allpool olevas kirjaserveri andmetes olen muutnud oma Gmaili aadressi [email protected] ja minu välise e-posti aadressi näitamiseks [email protected] ja [email protected] samuti maskeeris minu e-posti serverite IP-aadressi.
Delivered-to: [email protected]
Saanud: 10.60.14.3 koos SMTP-idga l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
Saanud: 10.68.125.129, kasutades SMTP idi mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected] & gt;
Saadeti: alates exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
poolt mx.google.com koos SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Vastuvõetud SPF: neutraalne( google.com: 64.18.2.16 ei ole lubatud ega keelatud [email protected] domeeni parim etteaimatusrekord) kliendi-ip = 64,18,2.16;
autentimise tulemused: mx.google.com;spf = neutraalne( google.com: 64.18.2.16 ei ole [email protected] domeeni jaoks parima etteaimatava rekordiga lubatud ega keelatud) [email protected]
saadud: postiaadressist mail.externalemail.com( [XXX.XXX.XXX.XXX])( kasutades TLSv1) exprod7ob119.postini.com( [64.18.6.12]) koos SMTP
-ga DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Saadeti: alates MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) poolt
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) koos kaardiga;T, 6. märts
2012 11:30:48 -0500
Alates: Jason Faulkner & lt; [email protected] & gt;
To: "[email protected]" & lt; [email protected] & gt;
Kuupäev: Tue, 6 Mar 2012 11:30:48 -0500
Teema: See on legit email
Teema: See on legit e-posti aadress
Thread Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Sisu-Keel: en-US
X-MS-Has-Lisa:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
piir = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-versioon: 1.0
Kui loete e-kirja päise, on andmed pöördkronoloogilises järjekorras, mis tähendab, et ülaosas olev info on viimane sündmus. Selleks, kui soovite jälgida e-posti saatjalt adressaadile, alusta allservas. Selle e-kirja pealkirjade uurimisel näeme mitmeid asju.
Siin näeme saatva kliendi loodud teavet. Sellisel juhul saadeti Outlooki e-kiri, nii et see on metaandmed, mida Outlook lisab.
Alates: Jason Faulkner & lt; [email protected] & gt;
Kellele: "[email protected]" & lt; [email protected] & gt;
Kuupäev: Tue, 6 Mar 2012 11:30:48 -0500
Teema: See on legit e-posti aadress
Teema: see on legit email
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Sisu-Keel: en-US
X-MS-Has-Lisa:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
piir = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-versioon: 1.0
Järgmises osas jälgitakse seda rada, mida e-kiri saadab saatvas serverist sihtkoha serverisse. Pidage meeles, et need sammud( või humal) on loetletud pöördkronoloogilises järjekorras. Oleme paigutanud järjekorra illustreerimiseks vastava numbri iga hopi kõrval. Pidage meeles, et iga hop sisaldab üksikasju IP-aadressi ja vastava pöörd-DNS-i nime kohta.
Delivered-to: [email protected]
[6] Saanud: 10.60.14.3 koos SMTP idiga l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
[5] Saanud: 10.68.125.129, kasutades SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected] & gt;
[4] Saadeti: alates exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
poolt mx.google.com koos SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] saadud värskendatud SPF: neutraalne( google.com: 64.18.2.16 ei ole lubatud ega keelatud jfaulkner @ externalemail domeeni jaoks parima väidetava rekordiga.com) client-ip = 64.18.2.16;
autentimise tulemused: mx.google.com;spf = neutraalne( google.com: 64.18.2.16 ei ole lubatud ega keelatud [email protected] domeeni parima etteaimamiskontoga) [email protected]
[2] Vastu võetud: e-posti aadressilt externemail.com( [XXX.XXX.XXX.XXX])( kasutades TLSv1) exprod7ob119.postini.com( [64.18.6.12]) koos SMTP
-ga DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Vastu võetud: alates MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) poolt
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) koos kaardiga;T, 6. märts
2012 11:30:48 -0500
Kuigi see on õigustatud e-posti jaoks üsna tavaline, võib see teave rämpsposti või andmepüügi meilide uurimisel üsna rääkida.
Püüafirma uurimine - näide 1
Meie esimeseks andmepüügi näideks uurime meili, mis on ilmselgelt andmepüügikatse. Sel juhul võime tuvastada selle sõnumi kui pettuse lihtsalt visuaalsete näitajate abil, kuid praktikas vaatame päisesse hoiatusmärgid.
Delivered-to: [email protected]
Saadeti: 10.60.14.3 koos SMTP idiga l3csp12958oec;
Esmaspäev, 5. märts 2012 23:11:29 -0800( PST)
Saanud: 10.236.46.164 koos SMTP-ga id r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Return-Path: & lt; [email protected] & gt;
Saadeti: ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
poolt mx.google.com koos ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Esmaspäev, 05 märts 2012 23:11:28 -0800( PST)
Vastuvõetud SPF: fail( google.com: domeeninumber [email protected] ei tähista XXX.XXX.XXX.XXX kui lubatud saatja) klient-ip = XXX.XXX.XXX.XXX;
autentimise tulemused: mx.google.com;spf = hardfail( google.com: [email protected] domeen ei määra lubatud saatjaks XXX.XXX.XXX.XXX) [email protected]
Vastu võetud: MailEnable Postoffice Connector;Tue, 06 Mar 2012 02:11:20 -0500
Vastu võetud: posti mail.lovingtour.com( [211.166.9.218]) poolt ms.externalemail.com koos MailEnable ESMTP;Tue, 06 Mar 2012 02:11:10 -0500
Saanud: kasutaja( [118.142.76.58])
posti mail.lovingtour.com
;Mon, 5. märts 2012 21:38:11 +0800
Sõnumi ID: <[email protected]>
vastus: & lt; [email protected] & gt;
Alates: "[email protected]" & lt; [email protected] & gt;
Teema: Märkus
Kuupäev: Mon, 5 Mar 2012 21:20:57 +0800
MIME-versioon: 1.0
Content-Type: multipart / mixed;
piir = "- = _ JärgminePart_000_0055_01C2A9A6.1C1757C0"
X-prioriteet: 3
X-MSMail-prioriteet: tavaline
X-Mailer: Microsoft Outlook Express 6.00.2600.000000
X-MimeOLE: toodetud Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Esimene punane lipp on kliendi teabeala. Pange tähele, et metaandmetega on lisatud viited Outlook Expressi. On ebatõenäoline, et Visa on aegade taga, kui neil on 12-aastase e-posti kliendi käsitsi saatmine e-kirju.
vastus: & lt; [email protected] & gt;
Alates: "[email protected]" & lt; [email protected] & gt;
Teema: Märkus
Kuupäev: Mon, 5 Mar 2012 21:20:57 +0800
MIME-versioon: 1.0
Content-Type: multipart / mixed;
piir = "- = _ JärgminePart_000_0055_01C2A9A6.1C1757C0"
X-prioriteet: 3
X-MSMail-prioriteet: tavaline
X-Mailer: Microsoft Outlook Express 6.00.2600.000000
X-MimeOLE: toodetud Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Nüüd uurides e-posti suunamises esimest hüpet, ilmneb, et saatja asub IP-aadressil 118.142.76.58 ja nende e-posti aadress edastati posti serveri mail.lovingtour.com kaudu.
Saadeti kasutaja:( [118.142.76.58])
postiaadressil.lovingtour.com
;Mon, 5. märts 2012 21:38:11 +0800
Otsides IP-infot kasutades Nirsoft IPNetInfo utiliiti, näeme, et saatja asus Hongkongis ja posti server asub Hiinas.
Ütlematagi selge, et see on natuke kahtlane.
Ülejäänud e-posti humid ei ole käesoleval juhul tegelikult asjakohased, sest need näitavad e-kirja, mis kopeerib seadusliku serveri liikluse enne lõplikku edastamist.
Püüafirma uurimine - näide 2
Selle näite puhul on meie andmepüügi e-kirju palju veenvam. Siin on paar nägemisnäidikut, kui vaatate piisavalt kõvasti, kuid uuesti käesoleva artikli eesmärgil piirame meie uurimist e-posti pealkirjadesse.
Delivered-to: [email protected]
Vastu võetud: 10.60.14.3 koos SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
Saanud: 10.236.170.165, kasutades SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Return-Path: & lt; [email protected]>
Saadeti: ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
poolt mx.google.com koos ESMTP-ga id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Vastu võetud SPF: fail( google.com: [email protected] domeen ei määra lubatavat saatjat XXX.XXX.XXX.XXX) klient-ip = XXX.XXX.XXX.XXX;
autentimise tulemused: mx.google.com;spf = hardfail( google.com: turvalisuse @ intuit.com domeen ei määra lubatud saatjaks XXX.XXX.XXX.XXX) [email protected]
Vastu võetud: MailEnable Postoffice Connector;T, 06 Mar 2012 07:27:13 -0500
Saadeti: dünaamilisest --pool-xxx.hcm.fpt.vn( [118.68.152.212]) poolt ms.externalemail.com koos MailEnable ESMTP;Tue, 06 Mar 2012 07:27:08 -0500
saanud: alates apache poolt intuit.com koos kohaliku( Exim 4.67)
( ümbrik alates & lt; [email protected] & gt;)
id GJMV8N-8BERQW-93
jaoks& lt; [email protected] & gt; ;T, 6. märts 2012 19:27:05 +0700
To: & lt; [email protected] & gt;
Teema: teie Intuit.com arve.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
From: "INTUIT INC." & Lt; [email protected] & gt;
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-prioriteet: 1
MIME-versioon: 1.0
Content-Type: multipart / alternative;
piir = "---- 03060500702080404010506"
Message-Id:
X-ME-Bayesian: 0.000000
Selles näites ei kasutata e-posti klientrakendust, vaid PHP-skript koos lähtepunkti IP-aadressiga 118.68.152.212.
aadressile: & lt; [email protected] & gt;
Teema: teie Intuit.com arve.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
From: "INTUIT INC." & Lt; [email protected] & gt;
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-prioriteet: 1
MIME-versioon: 1.0
Content-Type: multipart / alternative;
piir = "---- 03060500702080404010506"
Message-Id:
X-ME-Bayesian: 0.00000000
Kuid kui vaatame esimest meilihoogu, tundub see olevat legitiivne, kuna saatja serveri domeeninimi vastab e-posti aadressile. Kuid ole ettevaatlik selle pärast, et rämpspost võiks hõlpsasti nimeks oma serveri "intuit.com".
Saadeti: alates apache poolt intuit.com koos kohaliku( Exim 4.67) Järgmise sammuna uurib see kaart maja. Te võite näha, et teine hop( kui see on saanud õigustatud meiliserver) lahendab saatvasse serverisse domeeni "dünaamiline -pool-xxx.hcm.fpt.vn", mitte "intuit.com" sama IP-aadressigamärgitud PHP skriptis. Saadeti: from dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) by ms.externalemail.com koos MailEnable ESMTP;Tue, 06 Mar 2012 07:27:08 -0500 IP-aadressi andmete vaatamine kinnitab kahtlust, et postiserveri asukoht lahendab Vietnami tagasi. Kuigi see näide on mõnevõrra targem, näete, kui kiiresti pettus ilmneb vaid mõnevõrra uurimisega. E-posti päiste vaatamine ilmselt ei ole osa tavapärasest igapäevasest vajadusest, on juhtumeid, kus nendes sisalduv teave võib olla üsna väärtuslik. Nagu eespool näitasime, saate saare masqueradingu päris lihtsaks identifitseerida kui midagi, mida nad ei ole. Väga hästi teostatud kelmuse puhul, kus visuaalsed jooned on veenvad, on väga raske( kui mitte võimatu) tegelike e-posti serverite esinemine ja e-posti päisetes sisalduva teabe läbivaatamine võib kiiresti avastada igasugust viirust. Laadige IPNetInfo alla Nirsoft
( ümbrik alates & lt; [email protected] & gt;)
id GJMV8N-8BERQW-93
jaoks Kokkuvõte
Lingid