25Aug

Apa yang Dapat Anda Temukan di Header Email?

Kapan pun Anda menerima email, ada lebih dari sekadar memenuhi mata. Meskipun Anda biasanya hanya memperhatikan alamat, subjek, dan isi pesan, ada lebih banyak informasi yang tersedia "di bawah tenda" dari setiap email yang dapat memberi Anda banyak informasi tambahan.

Mengapa Bother Melihat Header Email?

Ini adalah pertanyaan yang sangat bagus. Untuk sebagian besar, Anda benar-benar tidak akan pernah perlu kecuali:

  • Anda menduga email adalah usaha phishing atau spoof
  • Anda ingin melihat informasi routing di jalur email
  • Anda adalah seorang geek aneh.

Terlepas dari alasan Anda, membacaheader email sebenarnya cukup mudah dan bisa sangat mengungkap.

Catatan: Untuk tangkapan layar dan data kami, kami akan menggunakan Gmail namun hampir semua klien email lain juga harus memberikan informasi yang sama.

Melihat Header Email

Di Gmail, lihat emailnya. Untuk contoh ini, kita akan menggunakan email di bawah ini.

Kemudian klik tanda panah di sudut kanan atas dan pilih Show original.

Jendela yang dihasilkan akan memiliki data header email dalam teks biasa.

Catatan: Di semua data header email yang saya tunjukkan di bawah ini, saya telah mengubah alamat Gmail saya untuk ditunjukkan sebagai [email protected] dan alamat email eksternal saya untuk ditunjukkan sebagai [email protected] dan [email protected] serta bertopeng alamat IP dari server email saya.

Disampaikan-Kepada: [email protected]
Diterima: 10.60.14.3 dengan SMTP id l3csp18666oec;
Sel, 6 Mar 2012 08:30:51 -0800( PST)
Diterima: 10.68.125.129 dengan SMTP id mq1mr1963003pbb.21.1331051451044;
Sel, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected]>
Diterima: dari exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
oleh mx.google.com dengan ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Diterima-SPF: netral( google.com: 64.18.2.16 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected]) klien-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = netral( google.com: 64.18.2.16 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected]) [email protected]
Diterima: from mail.externalemail.com( [XXX.XXX.XXX.XXX])( menggunakan TLSv1) oleh exprod7ob119.postini.com( [64.18.6.12]) dengan ID SMTP
DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Diterima: dari MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) oleh
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) dengan mapi;Sel, 6 Mar
2012 11:30:48 -0500
Dari: Jason Faulkner & lt; [email protected]>
Ke: "[email protected]" & lt; [email protected]>
Tanggal: Tue, 6 Mar 2012 11:30:48 -0500
Subjek: Ini adalah email legit
Thread-Topic: Ini adalah email legit
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Isi-Bahasa: en-
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
batas = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Versi: 1.0

Saat membaca header email, datanya berurutan secara terbalik, yang berarti info di bagian atas adalah acara terbaru. Untuk itu jika Anda ingin melacak email dari pengirim ke penerima, mulailah dari bawah. Memeriksa header email ini kita bisa melihat beberapa hal.

Di sini kita melihat informasi yang dihasilkan oleh klien pengirim. Dalam kasus ini, email dikirim dari Outlook jadi ini adalah Outlook metadata yang ditambahkan.

Dari: Jason Faulkner & lt; [email protected]>
Kepada: "[email protected]" & lt; [email protected]>
Tanggal: Sel, 6 Mar 2012 11:30:48 -0500
Subjek: Ini adalah email legit
Thread-Topic: Ini adalah email legit
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Isi-Bahasa: en-
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Versi: 1.0

Bagian selanjutnya menelusuri jalur yang diambil email dari server pengirim ke server tujuan. Ingatlah langkah-langkah( atau hop) ini tercantum dalam urutan kronologis terbalik. Kami telah menempatkan nomor masing-masing di sebelah setiap hop untuk menggambarkan pesanan. Perhatikan bahwa setiap hop menunjukkan detail tentang alamat IP dan masing-masing nama DNS terbalik.

Disampaikan-Kepada: [email protected]
[6] Diterima: 10.60.14.3 dengan SMTP id l3csp18666oec;
Sel, 6 Mar 2012 08:30:51 -0800( PST)
[5] Diterima: oleh 10.68.125.129 dengan SMTP id mq1mr1963003pbb.21.1331051451044;
Sel, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected]>
[4] Diterima: dari exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
oleh mx.google.com dengan ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Diterima-SPF: netral( google.com: 64.18.2.16 tidak diijinkan atau ditolak oleh catatan tebakan terbaik untuk domain jfaulkner @ externalemail.com) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = netral( google.com: 64.18.2.16 tidak diijinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected]) [email protected]
[2] Diterima: dari mail.externalemail.com( [XXX.XXX.XXX.XXX])( menggunakan TLSv1) oleh exprod7ob119.postini.com( [64.18.6.12]) dengan SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Diterima: dari MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) oleh
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) dengan mapi;Tue, 6 Mar
2012 11:30:48 -0500

Meskipun ini sangat biasa untuk email yang sah, informasi ini bisa sangat diceritakan saat membahas email spam atau phishing.

Memeriksa Email Phishing - Contoh 1

Untuk contoh phishing pertama kami, kami akan memeriksa email yang merupakan upaya phishing yang jelas. Dalam hal ini kita bisa mengidentifikasi pesan ini sebagai penipuan hanya dengan indikator visual tapi untuk latihan kita akan melihat tanda peringatan di dalam header.

Disampaikan-Kepada: [email protected]
Diterima: 10.60.14.3 dengan SMTP id l3csp12958oec;
Mon, 5 Mar 2012 23:11:29 -0800( PST)
Diterima: 10.236.46.164 dengan SMTP id r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Return-Path: & lt; [email protected]>
Diterima: dari ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
oleh mx.google.com dengan ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Diterima-SPF: gagal( google.com: domain dari [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan)ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: domain dari [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) [email protected]
Diterima: dengan Konektor Postoffice MailEnable;Tue, 6 Mar 2012 02:11:20 -0500
Diterima: dari mail.lovingtour.com( [211.166.9.218]) oleh ms.externalemail.com dengan MailEnable ESMTP;Selasa, 6 Mar 2012 02:11:10 -0500
Diterima: dari Pengguna( [118.142.76.58])
oleh mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
ID pesan: & lt; [email protected]>
Balas-Ke: & lt; [email protected]>
Dari: "[email protected]" & lt; [email protected]>
Perihal: Pemberitahuan
Tanggal: Mon, 5 Mar 2012 21:20:57 +0800
MIME-Versi: 1.0
Content-Type: multipart / mixed;Batas
= "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Prioritas: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Diproduksi Oleh Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Bendera merah pertama ada di area informasi klien. Perhatikan di sini metadata menambahkan referensi Outlook Express. Hal ini tidak mungkin bahwa Visa begitu jauh di belakang kali bahwa mereka memiliki seseorang mengirim email secara manual menggunakan klien email berusia 12 tahun.

Reply-To: & lt; [email protected]>
Dari: "[email protected]" & lt; [email protected]>
Perihal: Pemberitahuan
Tanggal: Mon, 5 Mar 2012 21:20:57 +0800
MIME-Versi: 1.0
Tipe Isi: multipart / mixed;Batas
= "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Prioritas: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Diproduksi Oleh Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Sekarang memeriksa hop pertama dalam perutean email menunjukkan bahwa pengirim berada di alamat IP 118.142.76.58 dan email mereka dikirim melalui mail server mail.ovingtour.com.

Diterima: dari Pengguna( [118.142.76.58])
melalui mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800

Melihat informasi IP menggunakan utilitas IPNetInfo Nirsoft, kita dapat melihat pengirimnya berada di Hong Kong dan server suratnya berada di China.

Tak perlu dikatakan ini agak mencurigakan.

Sisa hop email tidak benar-benar relevan dalam kasus ini karena mereka menunjukkan bahwa email terpental di seputar lalu lintas server yang sah sebelum akhirnya dikirim.

Memeriksa Email Phishing - Contoh 2

Untuk contoh ini, email phishing kami jauh lebih meyakinkan. Ada beberapa indikator visual di sini jika Anda melihat cukup keras, tapi sekali lagi untuk tujuan artikel ini kita akan membatasi penyelidikan kami ke header email.

Disampaikan-Kepada: [email protected]
Diterima: 10.60.14.3 dengan SMTP id l3csp15619oec;
Sel, 6 Mar 2012 04:27:20 -0800( PST)
Diterima: 10.236.170.165 dengan SMTP id p25mr8672800yhl.123.1331036839870;
Sel, 06 Mar 2012 04:27:19 -0800( PST)
Return-Path: & lt; [email protected]>
Diterima: dari ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
oleh mx.google.com dengan ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Diterima-SPF: gagal( google.com: domain [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan)ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: domain [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) [email protected]
Diterima: dengan Konektor Postoffice MailEnable;Tue, 6 Mar 2012 07:27:13 -0500
Diterima: dari dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) oleh ms.externalemail.com dengan MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Diterima: dari apache oleh intuit.com dengan lokal( Exim 4.67)
( envelope-from & lt; [email protected]>)
id GJMV8N-8BERQW-93
untuk& lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
Kepada: & lt; [email protected]>Subjek
: Faktur Intuit.com Anda.
X-PHP-Script: intuit.com/sendmail.php untuk 118.68.152.212
Dari: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Priority: 1
MIME-Versi: 1.0
Content-Type: multipart / alternative;Batas
= "---- 03060500702080404010506"
Message-Id: & lt; [email protected]>
Tanggal: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Dalam contoh ini, aplikasi klien email tidak digunakan, bukan naskah PHP dengan alamat IP sumber 118.68.152.212.

Ke: & lt; [email protected]>Subjek
: Faktur Intuit.com Anda.
X-PHP-Script: intuit.com/sendmail.php untuk 118.68.152.212
Dari: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Priority: 1
MIME-Versi: 1.0
Content-Type: multipart / alternative;Batas
= "---- 03060500702080404010506" ID Pesan
: & lt; [email protected]>
Tanggal: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Namun, ketika kita melihat hop email pertama tampaknya legit karena nama domain server pengirim sesuai dengan alamat emailnya. Namun, waspadalah terhadap ini karena spammer bisa dengan mudah menamai server mereka "intuit.com".

Diterima: dari apache oleh intuit.com dengan lokal( Exim 4.67)
( envelope-from & lt; [email protected]>)
id GJMV8N-8BERQW-93
for & lt; [email protected]> ;Selasa, 6 Mar 2012 19:27:05 +0700

Mengkaji langkah selanjutnya merobek rumah kartu ini. Anda dapat melihat hop kedua( di mana ia diterima oleh server email yang sah) menyelesaikan server pengirim kembali ke domain "dynamic-pool-xxx.hcm.fpt.vn", bukan "intuit.com" dengan alamat IP yang sama.ditunjukkan dalam naskah PHP.

Diterima: dari dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) oleh ms.externalemail.com dengan MailEnable ESMTP;Selasa, 6 Mar 2012 07:27:08 -0500

Melihat informasi alamat IP memastikan kecurigaan karena lokasi server surat tersebut berhasil diputuskan kembali ke Viet Nam.

Meskipun contoh ini sedikit lebih pintar, Anda bisa melihat seberapa cepat kecurangan tersebut diungkap hanya dengan sedikit sedikit penyelidikan.

Kesimpulan

Saat melihat header email mungkin bukan bagian dari kebutuhan sehari-hari Anda sehari-hari, ada beberapa kasus di mana informasi yang terkandung di dalamnya bisa sangat berharga. Seperti yang kami tunjukkan di atas, Anda dapat dengan mudah mengidentifikasi pengirim yang menyamar sebagai sesuatu yang tidak mereka inginkan. Untuk penipuan yang teruji dengan baik di mana isyarat visual meyakinkan, sangat sulit( jika tidak mungkin) meniru server surat sebenarnya dan meninjau informasi di dalam header email dapat dengan cepat mengungkapkan kecurangan apapun.

Links

Download IPNetInfo dari Nirsoft