25Aug

Što možete pronaći u zaglavlju e-pošte?

click fraud protection

Kad god primite e-mail, to je puno više od one koja zadovoljava oči. Dok obično obratite pozornost samo na adresu, redak predmeta i tijelo poruke, postoji puno više informacija koje su dostupne "ispod poklopca" svake e-pošte koja vam može pružiti bogatstvo dodatnih informacija.

Zašto se gnjaviti Pogled na zaglavlje e-pošte?

Ovo je vrlo dobro pitanje. Za veći dio, stvarno ne biste nikada trebali, osim ako:

  • Sumnjate da je e-pošte pokušaj krađe identiteta ili varanje
  • Želite vidjeti informacije o usmjeravanju na putu e-pošte
  • Zanosni geek

Bez obzira na vaše razloge,zaglavlja e-pošte zapravo su vrlo jednostavna i mogu biti vrlo otkriva.

Članak Napomena: za naše snimke zaslona i podatke koristit ćemo Gmail, ali gotovo svaki drugi klijent e-pošte trebao bi pružiti te iste podatke.

Pregledavanje zaglavlja e-pošte

Na Gmailu pogledajte e-poštu. Za ovaj primjer koristit ćemo poruku e-pošte u nastavku.

Zatim kliknite strelicu u gornjem desnom kutu i odaberite Prikaži original.

instagram viewer

Rezultat prozor će imati podatke zaglavlja e-pošte u običnom tekstu.

Napomena: U svim podacima o zaglavlju e-pošte koje prikazujem u nastavku promijenio sam Gmail adresu za prikazivanje kao [email protected] i moja vanjska adresa e-pošte koja se prikazuje kao [email protected] i [email protected] kao i maskirani IP adresa mojih poslužitelja e-pošte.

Isporučeno: [email protected]
Primljeno: do 10.60.14.3 sa SMTP id l3csp18666oec;
uto, 6 ožu 2012 08:30:51 -0800( PST)
primljeno: do 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Put za povrat: & lt; [email protected]>
primio: od exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com s SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Primljeno-SPF: neutralno( google.com: 64.18.2.16 nije dopušteno ni negirano po najboljoj rekciji za domenu [email protected])IP-64.18.2.16;
Provjera autentičnosti: mx.google.com;spf = neutral( google.com: 64.18.2.16 nije dopušten ni negiran po najboljoj reklami za domenu [email protected]) [email protected]
Primljeno: od mail.externalemail.com( [XXX.XXX.XXX.XXX])( pomoću TLSv1) putem adrese exprod7ob119.postini.com( [64.18.6.12]) s SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Sat, 06 Mar 2012 08:30:50 PST
primio: od MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) od strane
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) s mapi;Tue, 6 Mar
2012 11:30:48 -0500
Od: Jason Faulkner & lt; [email protected]>
Za: "[email protected]" & lt; [email protected]>
Tema: Ovo je legitna e-pošta
Indeks teme: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Poruka-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Jezici sa sadržajem: hr-US
X-MS-Has-Attach:
X-MS-TNEF-korelator:
acceptlanguage: en-US
Sadržajni tip: multipart / alternative;
granica = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-verzija: 1.0

Kad čitate zaglavlje e-pošte, podaci su obrnuto kronološki, što znači da je informacija na vrhu najnovija događaj. Stoga, ako želite pratiti e-poštu od pošiljatelja do primatelja, počnite na dnu. Ispitujući zaglavlja ove e-poruke možemo vidjeti nekoliko stvari.

Ovdje vidimo informacije koje generira klijent slanja. U ovom slučaju, e-pošta je poslana iz programa Outlook tako da je to metapodataka koji Outlook dodaje.

Od: Jason Faulkner & lt; [email protected]>
Za: "[email protected]" & lt; [email protected]>
Datum: Tue, 6 Mar 2012 11:30:48 -0500
Tema: Ovo je legitna e-pošta
Tema-Tema: Ovo je legit email
Indeks teme: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Prihvati jezik: hr-US
Jezik sadržaja: hr-US
X-MS-Has-Attach:
X-MS-TNEF-korelator:
acceptlanguage: hr-US
Vrsta sadržaja: multipart / alternative;
granica = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-verzija: 1.0

Sljedeći dio prati put koji e-mail prima od poslužitelja za slanje do odredišnog poslužitelja. Imajte na umu da su ti koraci( ili hmelj) navedeni u obrnutom kronološkom redoslijedu. Postavili smo odgovarajući broj pored svake skokove kako bismo ilustrirali redoslijed. Imajte na umu da svaki hop prikazuje detalje o IP adresi i odgovarajućem DNS nazivu.

Isporučeno: [email protected]
[6] Primljeno: do 10.60.14.3 sa SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
[5] Primljeno: do 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Put za povrat: & lt; [email protected]>
[4] primio: od exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com s SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Primljen SPF: neutral( google.com: 64.18.2.16 nije dopušten ni negiran najbolji rekord pogoditi za domenu jfaulkner @ externalemail.com) klijent-ip = 64.18.2.16;
Provjera autentičnosti: mx.google.com;spf = neutral( google.com: 64.18.2.16 nije dopušten ni negiran najboljim recenziranim zapisom za domenu [email protected]) [email protected]
[2] Primljeno: od mail.externalemail.com( [XXX.XXX.XXX.XXX])( pomoću TLSv1) putem adrese exprod7ob119.postini.com( [64.18.6.12]) s SMTP-om
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Primljen: od MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) od strane
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) s mapi;Tue, 6 Mar
2012 11:30:48 -0500

Iako je to prilično svjetovno za legitimnu poruku e-pošte, te informacije mogu biti vrlo dojmljive kada se radi o ispitivanju neželjene e-pošte ili e-pošte za krađu identiteta.

Ispitivanje e-adrese za krađu identiteta - primjer 1

Prvi primjer za phishing prikazat ćemo e-poruku koja je očiti pokušaj krađe identiteta. U ovom slučaju ovu poruku možemo identificirati kao prijevaru jednostavno vizualnim pokazateljima, ali za praksu ćemo pogledati znakove upozorenja unutar zaglavlja.

Isporučeno: [email protected]
Primljeno: do 10.60.14.3 sa SMTP id l3csp12958oec;
Mon, 5 Mar 2012 23:11:29 -0800( PST)
Primljeno: do 10.236.46.164 s SMTP id r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Put za povrat: & lt; [email protected]>
primio: od ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
od mx.google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;(Google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) klijent-IP-XXX.XXX.XXX.XXX;
Provjera autentičnosti: mx.google.com;spf = hardfail( google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected]
Primljeno: s MailEnable Postoffice Connector;Tue, 6 Mar 2012 02:11:20 -0500
Primljeno: od mail.lovingtour.com( [211.166.9.218]) ms.externalemail.com s MailEnable ESMTP;Tue, 6 Mar 2012 02:11:10 -0500
Primljeno: od korisnika( [118.142.76.58])
po mail.lovingtour.com
;Pon, 5 ožu 2012 21:38:11 +0800
Poruka-poruka: & lt; [email protected]>Odgovor:
: & lt; [email protected]>
Od: "[email protected]" & lt; [email protected]>
Predmet: Obavijest
Datum: Mon, 5 Mar 2012 21:20:57 +0800
MIME-verzija: 1,0
Vrsta sadržaja: multipart / mixed;
granica = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Prioritet X: 3
X-MSMail Prioritet: Normalan
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Proizvodio Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Prva crvena zastava nalazi se u informacijskom području klijenta. Ovdje primijetite da metapodaci dodaju reference na Outlook Express. Malo je vjerojatno da je Visa tako daleko iza vremena da im netko ručno šalje poruke e-pošte pomoću 12-godišnjeg klijenta e-pošte. Odgovor:

: & lt; [email protected]>
Od: "[email protected]" & lt; [email protected]>
Predmet: Obavijest
Datum: pon, 5 oľujak 2012 21:20:57 +0800
MIME-verzija: 1,0
Vrsta sadržaja: multipart / mixed;
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Proizvedeno od strane tvrtke Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Sada ispitivanje prve skok u usmjeravanju e-pošte otkriva da je pošiljatelj bio smješten na IP adresi 118.142.76.58, a njihova e-pošta prenesena je putem mail servera mail.lovingtour.com.

primljen: od korisnika( [118.142.76.58])
po mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800

Traženje IP podataka pomoću Nirsoftovog IPNetInfo uslužnog programa, možemo vidjeti da je pošiljatelj bio smješten u Hong Kongu, a poslužitelj pošte nalazi se u Kini. Znači, ovo je pomalo sumnjivo.

Ostatak e-pošte za hranu nije zaista relevantan u ovom slučaju jer prikazuje e-poštu koja odbija prijedlog prometa legitimnog poslužitelja prije no što se isporučuje.

Ispitivanje e-pošte za krađu identiteta - primjer 2

U ovom je primjeru e-poruka o krađi identiteta mnogo uvjerljivija. Ovdje postoji nekoliko vizualnih pokazatelja ako vam je dovoljno teško, ali za svrhe ovog članka ograničit ćemo istragu na zaglavlja e-pošte.

Isporučeno: [email protected]
Primljeno: do 10.60.14.3 sa SMTP id l3csp15619oec;
uto, 6 ožu 2012 04:27:20 -0800( PST)
primljeno: do 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Povratni put: & lt; [email protected]>
primio: od ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
od mx.google.com s ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Primljeno-SPF: fail( google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj)IP-XXX.XXX.XXX.XXX;
Provjera autentičnosti: mx.google.com;spf = hardfail( google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected]
Primljeno: s MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
Primljen: od dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ms.externalemail.com s MailEnable ESMTP;Tue, 06 Mar 2012 07:27:08 -0500
Primljeno: od apachea intuit.com s lokalnim( Exim 4.67)
( omotnica-od & lt; [email protected]>)
id GJMV8N-8BERQW-93
za& lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
Za: & lt; [email protected]>
Predmet: Vaš račun Intuit.com.
X-PHP-Script: intuit.com/sendmail.php za 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected]>
X-pošiljatelj: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-prioritet: 1
MIME-verzija: 1,0
Vrsta sadržaja: multipart / alternative;
granica = "---- 03060500702080404010506"
ID poruke: & lt; [email protected]>
Datum: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

U ovom primjeru nije primijenjena aplikacija klijenta za poštu, već PHP skripta s izvornom IP adresom od 118.68.152.212.

Za: & lt; [email protected]>
Predmet: Vaša Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php za 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected]>
X-pošiljatelj: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-prioritet: 1
MIME-verzija: 1,0
Vrsta sadržaja: multipart / alternative;
granica = "---- 03060500702080404010506"
ID poruke: & lt; [email protected]>
Datum: utorak, 6. ožujka 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Međutim, kada pogledamo prvu poruku e-pošte, čini se da je legit kao ime poslužitelja za slanje poslužitelja odgovara e-adresi. Međutim, budite oprezni s time što bi spameri mogli lako imenovati svoje poslužitelje "intuit.com".

Primljeno: od apachea intuit.com s lokalnim( Exim 4.67)
( omotnica-od & lt; [email protected]>)
id GJMV8N-8BERQW-93
za & lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700

Ispitujući sljedeći korak crplje ovu kuću kartica. Možete vidjeti drugu skok( gdje ga prima legitiman poslužitelj e-pošte) rješava poslužitelj za slanje natrag na domenu "dynamic-pool-xxx.hcm.fpt.vn", a ne "intuit.com" s istom IP adresomnaznačeno u PHP skripti.

Primljen: od dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ms.externalemail.com s MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500

Pregled informacija o IP adresi potvrđuje sumnju jer se mjesto poslužitelja e-pošte vratilo u Viet Nam. Iako ovaj primjer je pomalo pametniji, možete vidjeti kako se brzo otkriva prijevara samo uz neznatnu istragu.

Zaključak

Dok gledate zaglavlja e-pošte vjerojatno nisu dio vaših tipičnih svakodnevnih potreba, postoje slučajevi u kojima informacije sadržane u njima mogu biti vrlo vrijedne. Kao što smo ranije pokazali, možete jednostavno identificirati pošiljatelje koji se masquerading kao nešto što oni nisu. Za vrlo dobro izvršene prijevare gdje su vizualni znakovi uvjerljivi, iznimno je teško( ako ne i nemoguće) lažno predstavljati stvarne poslužitelje e-pošte i pregledavanje informacija unutar zaglavlja e-pošte mogu brzo otkriti bilo kakve poteškoće.

Linkovi

Preuzmite IPNetInfo od Nirsofta