25Aug

Mitä voit löytää sähköpostin otsikossa?

Aina kun saat sähköpostia, siihen on paljon enemmän kuin silmään. Kun tyypillisesti kiinnität vain huomiota viestin osoitteeseen, aiheen riviin ja rungon tietoihin, on olemassa paljon enemmän tietoa jokaisen sähköpostiosoitteen alla, joka voi tarjota sinulle runsaasti lisätietoja.

Miksi vaivautua Tarkasteltaessa sähköpostin otsikkoa?

Tämä on erittäin hyvä kysymys. Useimmiten et todellakaan tarvitsisi, jos:

  • Epäilet, että sähköpostiosoite on tietojenkalasteluyritys tai huijaus
  • Haluat tarkastella reititystietoja sähköpostin polulla
  • Olet utelias geek

Riippumatta syistä, lukemallaemail headers on todella melko helppoa ja voi olla hyvin paljastava.

Artikkeli Huomaa: Kuvakaappauksistamme ja tiedoistamme käytämme Gmailia, mutta käytännöllisesti katsoen jokainen muu sähköpostiyritys toimittaa samat tiedot.

Sähköpostin otsikon tarkasteleminen

Tarkastele sähköpostia Gmailissa. Tätä esimerkkiä varten käytämme alla olevaa sähköpostia.

Napsauta sitten oikeassa yläkulmassa olevaa nuolta ja valitse Näytä alkuperäinen.

Tuloksena olevassa ikkunassa on sähköpostiotsikon tiedot selväkielisenä.

Huomaa: Kaikissa sähköpostin otsikkotiedoissa, jotka näytän alla, olen muuttanut Gmail-osoitettani osoittamaan [email protected] ja ulkoisen sähköpostiosoiteni näyttääksesi [email protected] ja [email protected] sekä naamioinut sähköpostipalvelimeni IP-osoitteen.

Toimitettu: [email protected]
Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
Vastaanotettu: 10.68.125.129 SMTP-tunnuksella mq1mr1963003pbb.21.1331051451044;
Tue, 06 maaliskuu 2012 08:30:51 -0800( PST)
Palautuspolku: & lt; [email protected]>
Vastaanotettu: osoitteesta exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com SMTP-tunnuksella l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 maaliskuu 2012 08:30:50 -0800( PST)
Vastaanotettu-SPF: neutraali( google.com: 64.18.2.16 ei ole sallittu eikä kielletty parhaalla arvauksella verkkotunnuksessa [email protected])IP = 64.18.2.16;
Todennus-tulokset: mx.google.com;spf = neutraali( google.com: 64.18.2.16 ei ole sallittu eikä kielletty parhaalla arvauksella verkkotunnuksessa [email protected]) [email protected]
Vastaanotettu: osoitteesta mail.externalemail.com( [XXX.XXX.XXX.XXX])( käyttäen TLSv1: tä) osoitteesta exprod7ob119.postini.com( [64.18.6.12]) SMTP-palvelimella
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Vastaanotettu: MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3])
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) mapi;Tue, 6 Mar
2012 11:30:48 -0500
Lähettäjä: Jason Faulkner & lt; [email protected]>
Vastaanottaja: "[email protected]" & lt; [email protected]>
Päivämäärä: ti, 6 maaliskuu 2012 11:30:48 -0500
Aihe: Tämä on legit email
Aihe-aihe: Tämä on legit-sähköposti
Kierre-indeksi: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Hyväksy-kieli: fi-US
Sisältö-Kieli: fi-US
X-MS-Has-Attach:
X-MS-TNEF-korrelaattori:
acceptlanguage: en-US

raja = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-versio: 1.0

Kun luet sähköpostin otsikon, tiedot ovat päinvastaisessa aikajärjestyksessä, eli yläosassa oleva tieto on viimeisin tapahtuma. Siksi jos haluat jäljittää sähköpostin lähettäjältä vastaanottajalle, aloita alareunasta. Tarkastelemalla tämän sähköpostiviestin otsikoita näemme useita asioita.

Täällä näemme lähettävän asiakkaan tuottamaa tietoa. Tällöin sähköposti lähetettiin Outlookilta, joten tämä on metatieto, jonka Outlook lisää.

Lähettäjä: Jason Faulkner & lt; [email protected]>
Vastaanottaja: "[email protected]" & lt; [email protected]>
Aihe: Tämä on legit-sähköposti
Aihe-aihe: Tämä on oikea sähköposti
Kierre-indeksi: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Kieli: fi-US
Sisältö-Kieli: fi-US
X-MS-Has-Kiinnitys:
X-MS-TNEF-Korrelaattori:
acceptlanguage: it-US
Sisältötyyppi:
raja = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-versio: 1.0

Seuraavassa osassa jäljitetään polku, jonka sähköposti ottaa lähettävän palvelimen kohdepalvelimelta. Muista, että nämä vaiheet( tai humalat) on lueteltu päinvastaisessa aikajärjestyksessä.Olemme asettaneet jokaisen hopin vieressä olevan numeron järjestyksen havainnollistamiseksi. Huomaa, että jokainen hop näyttää yksityiskohdat IP-osoitteesta ja vastaavasta käänteisen DNS-nimen.

Lähetetty: [email protected]
[6] Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
[5] Vastaanotettu: 10.68.125.129 SMTP-tunnuksella mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Palautuspolku: & lt; [email protected]>
[4] Vastaanotettu: osoitteesta exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com SMTP-tunnuksella l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06.03.2012 08:30:50 -0800( PST)
[3] Vastaanotettu-SPF: neutraali( google.com: 64.18.2.16 ei ole sallittua eikä kielletty parhaalla arvauksella verkkotunnuksessa jfaulkner @ externalemail.com) client-ip = 64.18.2.16;
Todennus-tulokset: mx.google.com;spf = neutraali( google.com: 64.18.2.16 ei ole sallittua eikä kielletty parhaalla arvauksella verkkotunnuksen [email protected]) [email protected]
[2] Vastaanotettu: mail.externalemail.com( [XXX.XXX.XXX.XXX])( käyttäen TLSv1: tä) osoitteessa exprod7ob119.postini.com( [64.18.6.12]) SMTP: llä
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Vastaanotettu: MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) lähettäjä
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) mapilla;Tue, 6 Mar
2012 11:30:48 -0500

Vaikka tämä on melko arkipäiväinen lailliselle sähköpostille, nämä tiedot voivat olla varsin selkeitä, kun tarkastellaan roskaposti- tai phishing-sähköpostiviestejä.

Phishing-sähköpostin tarkastelu - esimerkki 1

Ensimmäistä phishing-esimerkkiä tarkastelemme sähköpostin, joka on selvä tietojenkalasteluyritys. Tässä tapauksessa voisimme tunnistaa tämän viestin petoksena pelkästään visuaalisilla indikaattoreilla, mutta käytännössä me tarkastelemme otsikoiden varoitusmerkeitä.

Lähetetty: [email protected]
Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp12958oec;
Mon, 5 Mar 2012 23:11:29 -0800( PST)
Vastaanotettu: 10.236.46.164 SMTP-tunnuksella r24mr7411623yhb.101.1331017888982;
Mon, 05 maalis 2012 23:11:28 -0800( PST)
Palautuspolku: & lt; [email protected]>
Vastaanotettu: ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
mx.google.com kanssa ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 maalis 2012 23:11:28 -0800( PST)
Vastaanotettu-SPF: epäonnistui( google.com: domain [email protected] ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjänä)IP = XXX.XXX.XXX.XXX;
Todennus-tulokset: mx.google.com;spf = hardfail( google.com: domain [email protected] ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjänä) [email protected]
Vastaanotettu: MailEnable-keskikonsoliin;Tue, 06 Mar 2012 02:11:20 -0500
Saatu: osoitteesta mail.lovingtour.com( [211.166.9.218]) ms.externalemail.com kanssa MailEnable ESMTP;Tue, 06 Mar 2012 02:11:10 -0500
Vastaanotettu: käyttäjältä( [118.142.76.58])
by mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
Viestin tunnus: & lt; [email protected]>
Vastaus: & lt; [email protected]>
Lähettäjä: "[email protected]" & lt; [email protected]>
Aihe: Ilmoitus
Päivämäärä: Mon, 5 Mar 2012 21:20:57 +0800
MIME-versio: 1.0
Sisältötyyppi: multipart / mixed;
raja = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioriteetti: 3
X-MSMail-prioriteetti: Normaali
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Tuottaa Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000

Ensimmäinen punainen lippu on asiakkaan tiedot-alueella. Huomaa metatiedot lisätään viitteisiin Outlook Express. On epätodennäköistä, että Visa on niin kaukana, että heillä on joku lähettämällä sähköposteja manuaalisesti 12 vuoden ikäisellä sähköpostiohjelmalla.

Vastaus: & lt; [email protected]>
Lähettäjä: "[email protected]" & lt; [email protected]>
Aihe: Ilmoitus
Päivämäärä: ma, 05 maalis 2012 21:20:57 +0800
MIME-versio: 1.0
Sisältötyyppi: multipart / mixed;
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Microsoft MimeOLE V6.00.2600.0000 Valmistaja Microsoft MIMEOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Tarkastelemalla ensimmäistä hop-ohjelmaa sähköpostin reitityksessä paljastuu, että lähettäjä oli IP-osoitteessa 118.142.76.58 ja heidän sähköpostinsa välitettiin sähköpostipalvelimen mail.lovingtour.com kautta.

Vastaanotettu: Käyttäjältä( [118.142.76.58])
by mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800

Nirsoftin IPNetInfo-apuohjelman IP-tietojen etsiminen näemme, että lähettäjä oli Hongkongissa ja postipalvelin sijaitsee Kiinassa.

Tarpeetonta sanoa, että tämä on hieman epäilyttävää.

Muut sähköpostin humalat eivät ole tosiasiallisesti merkityksellisiä tässä tapauksessa, koska ne osoittavat sähköpostin pyörimisen legitiimiä palveluliikennettä ennen lopullista toimittamista.

Phishing-sähköpostin tarkastelu - esimerkki 2

Tässä esimerkissä phishing-sähköpostiosoitteemme on paljon vakuuttavampi. Tässä on muutamia visuaalisia indikaattoreita, jos näytät tarpeeksi kovaa, mutta tämän artikkelin tarkoituksena on rajoittaa tutkimustemme sähköpostin otsikoihin.

Lähetetty: [email protected]
Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
Vastaanotettu: 10.236.170.165 SMTP-tunnuksella p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Palautuspolku: & lt; [email protected]>
vastaanotettu: ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
mx.google.com kanssa ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Vastaanotettu-SPF: epäonnistui( google.com: domain [email protected] ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjänä)IP = XXX.XXX.XXX.XXX;
-todennus-tulokset: mx.google.com;spf = hardfail( google.com: domain [email protected] ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjänä) [email protected]
Vastaanotettu: MailEnable-keskikonsoliin;Tue, 06 Mar 2012 07:27:13 -0500
Vastaanotettu: from dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ms.externalemail.com kanssa MailEnable ESMTP;Tue, 06 Mar 2012 07:27:08 -0500
Vastaanotettu: paikalliselta( Exim 4.67)
( kirjekuori-from & lt; [email protected])
id GJMV8N-8BERQW-93
& lt; [email protected]> ;Tue, 06 Mar 2012 19:27:05 +0700
Lähettäjä: & lt; [email protected]>
Aihe: Intuit.com-lasku.
X-PHP-Script: intuit.com/sendmail.php 118.68.152.212
Lähettäjä: "INTUIT INC." & Lt; [email protected]>
X-Lähettäjä: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioriteetti: 1
MIME-versio: 1.0
Sisältötyyppi: multipart / vaihtoehto;
raja = "---- 03060500702080404010506"
Viesti-Id: & lt; [email protected]>
Päivämäärä: ti, 6 maalis 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Tässä esimerkissä ei käytetä sähköpostiohjelmasovellusta, vaan PHP-komentosarjaa, jonka lähdekoodin osoite on 118.68.152.212.

Vastaanottaja: & lt; [email protected]>
Aihe: Intuit.com-lasku.
X-PHP-Script: intuit.com/sendmail.php 118.68.152.212
Lähettäjä: "INTUIT INC." & Lt; [email protected]>
X-Lähettäjä: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Priority: 1
MIME-versio: 1.0
Sisältötyyppi: multipart / vaihtoehto;
raja = "---- 03060500702080404010506"
Viesti-tunnus: & lt; [email protected]>
Päivämäärä: ti, 6 maaliskuu 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Kuitenkin, kun tarkastelemme ensimmäistä sähköpostin hopia, se näyttää olevan legit, koska lähettävän palvelimen verkkotunnus vastaa sähköpostiosoitetta. Ole varovainen tästä, koska roskapostittaja voisi helposti nimetä palvelimen "intuit.com".

vastaanotettu: paikalliselta( Exim 4.67)
( kirjekuoresta & lt; [email protected]>)
id GJMV8N-8BERQW-93
for & lt; [email protected]> ;Tue, 06 Mar 2012 19:27:05 +0700

Seuraavan vaiheen tutkiminen murentaa tämän korttitalon. Voit nähdä toisen hopin( jossa se vastaanottaa oikeutettua sähköpostipalvelinta) ratkaisee lähettävän palvelimen takaisin verkkotunnukseen "dynamic-pool-xxx.hcm.fpt.vn" eikä "intuit.com", jolla on sama IP-osoiteilmoitettu PHP-skripti.

Vastaanotettu: ms.externalemail.com: n dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) kautta MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500

IP-osoitetiedon tarkasteleminen vahvistaa epäluulon, kun postipalvelimen sijainti palaa takaisin Vietnamiin.

Vaikka tämä esimerkki on hieman älykkäämpi, näet, kuinka nopeasti petos paljastuu vain vähäisellä tutkimuksella.

Johtopäätös

Vaikka sähköpostin otsikot eivät todennäköisesti ole osa tyypillisiä päivittäisiä tarpeita, on olemassa tapauksia, joissa niiden sisältämät tiedot voivat olla varsin arvokkaita. Kuten edellä olemme osoittaneet, voit helposti tunnistaa lähettäjät masquerading kuin jotain he eivät ole. Hyvin suoritettu huijaus, jossa visuaaliset vihjeet ovat vakuuttavia, on äärimmäisen vaikeaa( jos ei mahdotonta) esiintyä varsinaisia ​​sähköpostipalvelimia ja tarkistaa sähköpostin otsikoiden sisältämät tiedot voivat nopeasti paljastaa kaikenlaiset haittaohjelmat.

Linkit

Lataa IPNetInfo Nirsoft

: stä