25Aug

Mit tud találni egy e-mail fejlécben?

Amikor megkapja az e-mailt, sokkal több van hozzá, mint a szemnek. Miközben általában csak az üzenet címéről, tárgysoráról és testeiről figyelj, sokkal több információ áll rendelkezésre az egyes e-mailek alatt "a motorháztető alatt", ami rengeteg kiegészítő információt nyújt.

Miért zavarja az e-mail fejlécet?

Ez egy nagyon jó kérdés. A legtöbb esetben tényleg nem kell, hacsak nem:

  • Gyanítod, hogy egy e-mail egy adathalász kísérlet vagy spoof
  • Meg szeretné tekinteni az útválasztási információkat az e-mail útvonala során
  • Ön kíváncsi geek

Az okoktól függetlenül olvasniAz e-mail fejlécek valójában nagyon egyszerűek és nagyon feltűnőek lehetnek.

cikk Megjegyzés: Képernyőképünkre és adatainkra a Gmailt használjuk, de gyakorlatilag minden más levelező ügyfélnek ugyanazt az információt kell megadnia.

Az e-mail fejléc megtekintése

A Gmailben tekintse meg az e-mailt. Ehhez a példához az alábbi e-mailt használjuk.

Ezután kattintson a jobb felső sarokban lévő nyílra, és válassza az Eredeti megjelenítése lehetőséget.

Az eredményül kapott ablakban az e-mail fejléc adatai egyszerű szöveges formában lesznek láthatóak.

Megjegyzés: Az alábbiakban ismertetett összes e-mail fejlécadatban megváltozott a Gmail-címem [email protected] és külső e-mail címem megjelenítéséhez [email protected] és [email protected] , valamint maszkolja az e-mail kiszolgálók IP címét.

Kézbesítve: [email protected]
Fogadott: 10.60.14.3-ig SMTP id l3csp18666oec;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Fogadott: 10.68.125.129-ig SMTP azonosítóval mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Visszatérési útvonal: & lt; [email protected]>
beérkezett: a exprod7og119.obsmtp.com webhelyről( exprod7og119.obsmtp.com. [64.18.2.16])
a mx.google.com SMTP azonosítóval l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Fogadott-SPF: semleges( a google.com: 64.18.2.16 nem engedélyezett és nem tagadható a [email protected] domain legjobb találgatás rekordja esetén)ip = 64.18.2.16;
hitelesítési eredmények: mx.google.com;spf = semleges( a google.com: 64.18.2.16 nem engedélyezett és nem tagadható meg a [email protected] domain legjobb találati rekordja esetén) [email protected]
Fogadva: mail.externalemail.com( [XXX.XXX.XXX.XXX])( TLSv1 használatával) a következő címen: exprod7ob119.postini.com( [64.18.6.12]) SMTP
azonosítóval DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Megkapta: a MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) által
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) mapi;Tue, 6 Mar
2012 11:30:48 -0500
Feladó: Jason Faulkner & lt; [email protected]>
Címzett: "[email protected]" & lt; [email protected]>
Dátum: Tue, 6 Mar 2012 11:30:48 -0500
Tárgy: Ez egy legitim e-mail
Téma: Ez egy legitim e-mail
Témaindex: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: hu-US
Tartalom-nyelv: hu-US
X-MS-Has-Attach:
X-MS-TNEF-Korrelátor:
acceptlanguage: en-US
Tartalomtípus: több rész / alternatív;
határ = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-verzió: 1.0

Egy e-mail fejléc olvasásakor az adatok fordított sorrendben vannak, ami azt jelenti, hogy a tetején lévő információ a legutóbbi esemény. Ezért ha el szeretné nyomni az e-mailt a feladótól a címzettig, akkor kezdjen alul. Az e-mail fejlécének vizsgálatával több dolgot is láthatunk.

Itt láthatjuk a küldő kliens által generált információkat. Ebben az esetben az e-mailt elküldtük az Outlookból, így ez az Outlook által hozzáadott metaadatok.

Feladó: Jason Faulkner & lt; [email protected]>
Címzett: "[email protected]" & lt; [email protected]>
Dátum: Tue, 6 Mar 2012 11:30:48 -0500
Tárgy: Ez egy legitim e-mail
Témakör: Ez egy legális e-mail
Témaindex: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: hu-US
Tartalom-nyelv: hu-US
X-MS-Has-Attach:
X-MS-TNEF-Korrelátor:
acceptlanguage: en-US
Tartalomtípus:
határ = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-verzió: 1.0

A következő rész az útvonalat követi, amelyet az e-mail a küldőkiszolgálótól a célkiszolgálóhoz visz. Ne feledje, hogy ezek a lépések( vagy a komló) fordított időrendi sorrendben vannak felsorolva. Az egyes hopok melletti számot a megrendelés illusztrálására helyeztük el. Ne feledje, hogy minden egyes hop megmutatja az IP cím és a megfelelő fordított DNS nevét.

továbbítva: [email protected]
[6] Fogadva: 10.60.14.3-ig SMTP id l3csp18666oec;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
[5] Fogadott: 10.68.125.129-ig SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Visszatérési útvonal: & lt; [email protected]>
[4] kapott: a exprod7og119.obsmtp.com-ból( exprod7og119.obsmtp.com. [64.18.2.16])
a mx.google.com SMTP azonosítóval l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Fogadott-SPF: semleges( a google.com: 64.18.2.16 nem engedélyezett és nem tagadható a jfaulkner @ externalemail tartomány legjobb találati rekordjától.com) client-ip = 64.18.2.16;
hitelesítési eredmények: mx.google.com;spf = semleges( a google.com: 64.18.2.16 nem engedélyezett és nem tagadható meg a [email protected] domain legjobb találati rekordja esetén) [email protected]
[2] Fogadva: mail.externalemail.com( [XXX.XXX.XXX.XXX])( TLSv1 használatával) a következő címen: exprod7ob119.postini.com( [64.18.6.12]) SMTP
azonosítóval DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Fogadott: a MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) által
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) mapi;Tue, 6 Mar
2012 11:30:48 -0500

Bár ez elég hétköznapi a törvényes e-mailek számára, ez az információ meglehetősen tisztában van a spam vagy phishing e-mailek vizsgálatával kapcsolatban.

Phishing e-mail vizsgálata - 1. példa

Az első adathalász példánkban megvizsgáljuk az e-mailt, amely nyilvánvaló adathalász kísérlet. Ebben az esetben ezt az üzenetet csalásként azonosítanánk egyszerűen a vizuális mutatók, de a gyakorlatban megnézzük a fejlécek figyelmeztető jelzéseit.

Kézbesítve: [email protected]
Fogadott: 10.60.14.3-ig SMTP id l3csp12958oec;
szerda, március 5, 2012 23:11:29 -0800( PST)
Fogadott: 10.236.46.164-ig SMTP azonosítóval r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Visszatérési útvonal: & lt; [email protected]>
kapott: ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
által mx.google.com ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Fogadott-SPF: nem( google.com: domain [email protected] nem jelöli meg a XXX.XXX.XXX.XXX engedélyezett küldőnek)ip = XXX.XXX.XXX.XXX;
hitelesítési eredmények: mx.google.com;spf = hardfail( google.com: domain [email protected] nem jelöli meg a XXX.XXX.XXX.XXX engedélyezett küldőnek) [email protected]
Fogadott: a MailEnable Központos csatlakozóval;Tue, 06 Mar 2012 02:11:20 -0500
Fogadott: mail.lovingtour.com( [211.166.9.218]) által ms.externalemail.com a MailEnable ESMTP programmal;Tue, 06 Mar 2012 02:11:10 -0500
Fogadott: a felhasználótól( [118.142.76.58])
by mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
Üzenet-azonosító: & lt; [email protected]>
Válasz: & lt; [email protected]>
Feladó: "[email protected]" & lt; [email protected]>
Tárgy: Közlemény
Dátum: Mon, 5 Mar 2012 21:20:57 +0800
MIME-verzió: 1.0
Tartalomtípus: több rész / vegyes;
határ = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X prioritás: 3
X-MSMail prioritás: Normál
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Gyártó: Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Az első vörös zászló az ügyfélinformációs területen található.Vegye figyelembe, hogy a metaadatok hivatkoznak az Outlook Expressre. Nem valószínű, hogy a Visa eddig elmarad az időktől, hogy valaki kézi e-maileket küldött egy 12 éves e-mail kliens használatával.

Válasz: & lt; [email protected]>
Feladó: "[email protected]" & lt; [email protected]>
Tárgy: Notice
Dátum: Mon, 5 Mar 2012 21:20:57 +0800
MIME-verzió: 1.0
Tartalomtípus: multipart / mixed;Az
határa = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X prioritás: 3
X-MSMail prioritás: Normál
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Az X-MimeOLE: Gyártója: Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Az e-mail útválasztás első hopjának vizsgálata azt mutatja, hogy a feladó a 118.142.76.58 címen található, és e-mailjüket az mail.lovingtour.com mail szerverrel továbbították.

Fogadott: a felhasználótól( [118.142.76.58])
a mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800

A Nirsoft IPNetInfo segédprogramjával felfelé keresve az IP-adatokat, láthatjuk, hogy a küldő Hongkongban található, és a levélkiszolgáló Kínában található.

Mondanom sem kell, ez kicsit gyanakvó.

Az e-mail komló többi része ebben az esetben nem igazán releváns, mivel az e-mailt a legitim szerverforgalom körül pattogja, mielőtt végül eljutna.

Az adathalász e-mail vizsgálata - 2. példa

A példában az adathalász e-mailünk sokkal meggyőzőbb. Van itt néhány vizuális mutató, ha eléggé megnézted, de ennek a cikknek a célját is korlátozzuk az e-mail fejlécekre.

Szállítás: [email protected]
Fogadott: 10.60.14.3-ig SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
Fogadott: 10.236.170.165-ig SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Visszatérési útvonal: & lt; [email protected]>
kapott: a ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
által mx.google.com ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Fogadott-SPF: nem( google.com: domain [email protected] nem jelöli meg a XXX.XXX.XXX.XXX engedélyezett küldőnek)ip = XXX.XXX.XXX.XXX;
hitelesítési eredmények: mx.google.com;spf = hardfail( google.com: domain [email protected] nem jelöli meg a XXX.XXX.XXX.XXX-t engedélyezett küldőnek) [email protected]
Fogadott: a MailEnable Központos csatlakozóval;Tue, 06 Mar 2012 07:27:13 -0500
Fogadva: a dynamic.com webhelyen a ms.externalemail.com címről a dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]), a MailEnable ESMTP segítségével;Tue, 06 Mar 2012 07:27:08 -0500
Fogadott: az intuit.com apache-tól helyi( Exim 4.67)
( boríték -tól: & lt; [email protected])
id GJMV8N-8BERQW-93
for& lt; [email protected]> ;Tue, 06 Mar 2012 19:27:05 +0700
Címzett: & lt; [email protected]>
Tárgy: Az Intuit.com számlája.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
Feladó: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-prioritás: 1
MIME-verzió: 1.0
Tartalomtípus: több rész / alternatív;
határ = "---- 03060500702080404010506"
Üzenet-azonosító: & lt; [email protected]>
Dátum: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Ebben a példában nem használt egy levélkliens-alkalmazást, hanem egy PHP-kódot, amelynek forráskódja a 118.68.152.212.

Címzett: & lt; [email protected]>
Tárgy: Az Ön Intuit.com számlája.
X-PHP-Script: intuit.com/sendmail.php 118.68.152.212-hez
Feladó: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-prioritás: 1
MIME-verzió: 1.0
Tartalomtípus: több rész / alternatív;
határ = "---- 03060500702080404010506"
Üzenet-azonosító: & lt; [email protected]>
Dátum: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Az első e-mail hopra tekintve azonban legitimnek tűnik, mivel a küldő kiszolgáló domainnevének megegyezik az e-mail címmel. Ugyanakkor ne feledkezzen meg róla, mert a spammer könnyen megnevezheti szerverét "intuit.com".

Megkapott: Apache-tól az intuit.com helyi( Exim 4.67)
( boríték -ból & lt; [email protected]>)
id GJMV8N-8BERQW-93
a & lt; [email protected]> ;Tue, 06 Mar 2012 19:27:05 +0700

A következő lépés vizsgálata megdönti ezt a kártyaházat. Láthatja a második ugrást( ahol a jogosító e-mail szerver megkapja), a kiszolgáló visszaállítja a "dynamic-pool-xxx.hcm.fpt.vn" domainet, és nem ugyanazt az IP-címet "intuit.com"amit a PHP szkriptben jelez.

Fogadott: a dynamic -pool-xxx.hcm.fpt.vn( [118.68.152.212]) által a ms.externalemail.com a MailEnable ESMTP-vel;Tue, 6 Mar 2012 07:27:08 -0500

Az IP-cím információinak megnézése megerősíti a gyanúját, mivel a levélkiszolgáló helyzete visszakerül Vietnamba.

Bár ez a példa egy kicsit okosabb, láthatja, hogy a csalás hamarosan kiderül-e enyhe nyomozással.

Következtetés

Az e-mail fejlécek megtekintése közben valószínűleg nem része a tipikus napi szükségleteknek, vannak olyan esetek, amikor a benne tárolt információ meglehetősen értékes lehet. Amint azt a fentiekben bemutattuk, könnyen azonosítani tudják azokat a feladókat, akiket maszkolnak, mint valami nem. Egy nagyon jól végrehajtott átverés, ahol a vizuális jelek meggyőzőek, rendkívül nehéz( ha nem lehetetlen) a tényleges levélkiszolgálók megszemélyesítése, és az e-mail fejléceken belüli információk áttekintése gyorsan felfedheti a csalást.

Linkek

A Nirsoft

IPNetInfo letöltése