25Aug
Ogni volta che ricevi un'e-mail, c'è molto di più di quanto non sembri. Mentre di solito presti attenzione solo all'indirizzo, alla riga dell'oggetto e al corpo del messaggio, ci sono molte più informazioni disponibili "sotto il cofano" di ciascuna e-mail che possono fornirti molte informazioni aggiuntive.
Perché preoccuparsi di guardare un'intestazione dell'email?
Questa è una domanda molto buona. Per la maggior parte, non avresti mai bisogno di a meno che:
- Sospetti che un'email sia un tentativo di phishing o una parodia di
- Vuoi visualizzare le informazioni di routing sul percorso della posta elettronica
- Sei un curioso geek
Indipendentemente dai tuoi motivi, leggendole intestazioni delle e-mail sono in realtà abbastanza semplici e possono essere molto rivelatrici.
Articolo Nota: per i nostri screenshot e dati, utilizzeremo Gmail, ma praticamente tutti gli altri client di posta dovrebbero fornire anche queste stesse informazioni.
Visualizzazione dell'intestazione dell'email
In Gmail, visualizza l'email. Per questo esempio, useremo l'email qui sotto.
Quindi fare clic sulla freccia nell'angolo in alto a destra e selezionare Mostra originale.
La finestra risultante avrà i dati dell'intestazione dell'email in testo normale.
Nota: in tutti i dati dell'intestazione dell'email che mostro di seguito ho cambiato il mio indirizzo Gmail per mostrare come [email protected] e il mio indirizzo email esterno per mostrare come [email protected] e [email protected] e mascherato l'indirizzo IP dei miei server di posta elettronica.
Delivered-To: [email protected]
Ricevuto: per 10.60.14.3 con ID SMTP l3csp18666oec;
Mar, 6 Mar 2012 08:30:51 -0800( PST)
Ricevuto: da 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044;
Mar, 06 Mar 2012 08:30:51 -0800( PST)
Percorso di restituzione: & lt; [email protected]>
ricevuto: da exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
di mx.google.com con ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Mar, 06 Mar 2012 08:30:50 -0800( PST)
Received-SPF: neutro( google.com: 64.18.2.16 non è consentito né negato dal record di ipotesi migliore per il dominio di [email protected]) client-ip = 64.18.2.16;Risultati di autenticazione
: mx.google.com;spf = neutro( google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) [email protected]
Ricevuto: da mail.externalemail.com( [XXX.XXX.XXX.XXX])( utilizzando TLSv1) di exprod7ob119.postini.com( [64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Mar, 06 mar 2012 08:30:50 PST
Ricevuto: da MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) di
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) con mapi;Mar, 6 Mar
2012 11:30:48 -0500
Da: Jason Faulkner & lt; [email protected]>
A: "[email protected]" & lt; [email protected]>
Data: Martedì, 6 Mar 2012 11:30:48 -0500
Oggetto: Questa è una email legittima
Thread-Topic: Questa è una email legittima
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlatore:
acceptlanguage: en-US
Content-Type: multipart / alternative;Limite
= "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Versione MIME: 1.0
Quando si legge un'intestazione email, i dati sono in ordine cronologico inverso, il che significa che le informazioni nella parte superiore sono l'evento più recente. Pertanto, se si desidera tracciare l'e-mail dal mittente al destinatario, iniziare nella parte inferiore. Esaminando le intestazioni di questa email possiamo vedere diverse cose.
Qui vediamo le informazioni generate dal client di invio. In questo caso, l'email è stata inviata da Outlook, quindi questo è il metadata aggiunto da Outlook.
Da: Jason Faulkner & lt; [email protected]>
A: "[email protected]" & lt; [email protected]>
Data: Martedì, 6 Mar 2012 11:30:48 -0500
Oggetto: Questa è una email legittima
Thread-Topic: Questa è una email legittima
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlatore:
acceptlanguage: en-US
Content-Type: multipart / alternative;Limite
= "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
versione MIME: 1.0
La parte successiva traccia il percorso che l'e-mail porta dal server mittente al server di destinazione. Tieni presente che questi passaggi( o hop) sono elencati in ordine cronologico inverso. Abbiamo posizionato il numero corrispondente accanto a ciascun salto per illustrare l'ordine. Si noti che ogni hop mostra dettagli sull'indirizzo IP e il rispettivo nome DNS inverso.
consegnato a: [email protected]
[6] ricevuto: da 10.60.14.3 con ID SMTP l3csp18666oec;
Mar, 6 Mar 2012 08:30:51 -0800( PST)
[5] Ricevuto: da 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044;
Mar, 06 Mar 2012 08:30:51 -0800( PST)
Percorso di restituzione: & lt; [email protected]>
[4] ricevuto: da exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
di mx.google.com con ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Mar, 06 Mar 2012 08:30:50 -0800( PST)
[3] Received-SPF: neutro( google.com: 64.18.2.16 non è consentito né negato dal record di ipotesi migliore per il dominio di jfaulkner @ externalemail.com) client-ip = 64.18.2.16;Risultati dell'autenticazione
: mx.google.com;spf = neutro( google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) [email protected]
[2] Ricevuto: da mail.externalemail.it( [XXX.XXX.XXX.XXX])( utilizzando TLSv1) di exprod7ob119.postini.com( [64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Mar, 06 Mar 2012 08:30:50 PST
[1] Ricevuto: da MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) da
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) con mapi;Mar, 6 mar
2012 11:30:48 -0500
Mentre questo è piuttosto banale per una e-mail legittima, questa informazione può essere abbastanza indicativa quando si tratta di esaminare spam o e-mail di phishing.
Esaminare una e-mail di phishing - Esempio 1
Per il nostro primo esempio di phishing, esamineremo un'e-mail che è un evidente tentativo di phishing. In questo caso, potremmo identificare questo messaggio come una frode semplicemente tramite gli indicatori visivi, ma per fare pratica daremo un'occhiata ai segnali di allarme all'interno delle intestazioni.
consegnato a: [email protected]
ricevuto: entro il 10.60.14.3 con ID SMTP l3csp12958oec;
Lun, 5 Mar 2012 23:11:29 -0800( PST)
Ricevuto: da 10.236.46.164 con SMTP id r24mr7411623yhb.101.1331017888982;
Lun, 05 Mar 2012 23:11:28 -0800( PST)
Return-Path: & lt; [email protected]>
ricevuto: da ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
di mx.google.com con ID ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Lun, 05 Mar 2012 23:11:28 -0800( PST)
Received-SPF: fail( google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) client-ip = XXX.XXX.XXX.XXX;Risultati dell'autenticazione
: mx.google.com;spf = hardfail( google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) [email protected]
Ricevuto: con MailEnable Postoffice Connector;Mar, 6 mar 2012 02:11:20 -0500
Ricevuto: da mail.lovingtour.com( [211.166.9.218]) da ms.externalemail.com con MailEnable ESMTP;Mar 6 Mar 2012 02:11:10 -0500
Ricevuto: da Utente( [118.142.76.58])
da mail.lovingtour.com
;Lun, 5 Mar 2012 21:38:11 +0800 ID messaggio
: & lt; [email protected]>
Reply-To: & lt; [email protected]>
Da: "[email protected]" & lt; [email protected]>
Oggetto: Avviso
Data: Lun, 5 Mar 2012 21:20:57 +0800
Versione MIME: 1.0
Content-Type: multipart / mixed;Limite
= "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorità X: 3
Priorità X-MSMail: Normale
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: prodotto da Microsoft Mimeole V6.00.2600.0000
X-ME-Bayesian: 0,000000
La prima bandiera rossa si trova nell'area delle informazioni del client. Si noti qui i metadati aggiunti riferimenti a Outlook Express.È improbabile che Visa sia così indietro rispetto ai tempi in cui qualcuno invia manualmente le email utilizzando un client di posta elettronica di 12 anni.
Reply-To: & lt; [email protected]>
Da: "[email protected]" & lt; [email protected]>
Oggetto: Avviso
Data: Lun 5 Mar 2012 21:20:57 +0800
Versione MIME: 1.0
Content-Type: multipart / mixed;Limite
= "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorità X: 3
X-MSMail-Priorità: Normale
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: prodotto da Microsoft Mimeole V6.00.2600.0000
X-ME-bayesiano: 0,000000
Ora esaminando il primo hop nell'instradamento della posta elettronica rivela che il mittente si trovava all'indirizzo IP 118.142.76.58 e che la loro e-mail è stata inoltrata tramite il server di posta mail.lovingtour.com.
Ricevuto: da Utente( [118.142.76.58])
da mail.lovingtour.com
;Lun, 5 Mar 2012 21:38:11 +0800
Guardando le informazioni IP usando l'utility IPNetInfo di Nirsoft, possiamo vedere che il mittente si trovava a Hong Kong e il server di posta si trova in Cina.
Inutile dire che questo è un po 'sospetto.
Il resto degli hop di posta elettronica non sono realmente rilevanti in questo caso poiché mostrano che l'e-mail rimbalza attorno al traffico legittimo del server prima di essere finalmente consegnato.
Esame di un'email di phishing - Esempio 2
Per questo esempio, la nostra e-mail di phishing è molto più convincente. Ci sono alcuni indicatori visivi qui se sembri abbastanza duro, ma ancora una volta, ai fini di questo articolo, limiteremo le nostre indagini alle intestazioni delle email.
consegnato a: [email protected]
ricevuto: da 10.60.14.3 con ID SMTP l3csp15619oec;
Mar, 6 Mar 2012 04:27:20 -0800( PST)
Ricevuto: da 10.236.170.165 con ID SMTP p25mr8672800yhl.123.1331036839870;
Mar, 06 Mar 2012 04:27:19 -0800( PST)
Return-Path: & lt; [email protected]>
ricevuto: da ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
di mx.google.com con ID ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Mar, 06 Mar 2012 04:27:19 -0800( PST)
Received-SPF: fail( google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) client-ip = XXX.XXX.XXX.XXX;Risultati dell'autenticazione
: mx.google.com;spf = hardfail( google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) [email protected]
Ricevuto: con MailEnable Postoffice Connector;Mar 6 Mar 2012 07:27:13 -0500
Ricevuto: da dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) da ms.externalemail.com con MailEnable ESMTP;Mar 6 Mar 2012 07:27:08 -0500
Ricevuto: da apache da intuit.com con locale( Exim 4.67)
( envelope-from & lt; [email protected]>)
id GJMV8N-8BERQW-93
per& lt; [email protected]> ;Mar 6 Mar 2012 19:27:05 +0700
A: & lt; [email protected]>
Oggetto: la fattura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php per 118.68.152.212
Da: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
Priorità X: 1
Versione MIME: 1.0
Content-Type: multipart / alternative;Confine
= "---- 03060500702080404010506" ID messaggio
: & lt; [email protected]>
Data: Mar 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
In questo esempio, non è stata utilizzata un'applicazione client di posta, piuttosto uno script PHP con l'indirizzo IP di origine di 118.68.152.212.
A: & lt; [email protected]>
Oggetto: la fattura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php per 118.68.152.212
Da: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
Priorità X: 1
Versione MIME: 1.0
Content-Type: multipart / alternative;Limite
= "---- 03060500702080404010506" ID messaggio
: & lt; [email protected]>
Data: Martedì, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Tuttavia, quando guardiamo il primo hop della posta elettronica sembra legittimo in quanto il nome di dominio del server di invio corrisponde all'indirizzo email. Tuttavia, diffidare di questo come uno spammer potrebbe facilmente denominare il loro server "intuit.com".
Ricevuto: da apache da intuit.com con local( Exim 4.67)
( envelope-from & lt; [email protected]>)
id GJMV8N-8BERQW-93
per & lt; [email protected]> ;Mar 6 Mar 2012 19:27:05 +0700
Esaminando il prossimo passo si sbriciola questo castello di carte.È possibile vedere il secondo salto( dove viene ricevuto da un server di posta legittimo) risolve il server di invio al dominio "dynamic-pool-xxx.hcm.fpt.vn", non "intuit.com" con lo stesso indirizzo IPindicato nello script PHP.
ricevuto: da dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) da ms.externalemail.com con MailEnable ESMTP;Mar 6 Mar 2012 07:27:08 -0500
La visualizzazione delle informazioni sull'indirizzo IP conferma il sospetto che la posizione del server di posta si risolva in Viet Nam.
Mentre questo esempio è un po 'più intelligente, puoi vedere quanto velocemente la frode viene rivelata con solo un po' di indagine. Conclusione
Anche se la visualizzazione delle intestazioni delle e-mail probabilmente non fa parte delle normali esigenze quotidiane, ci sono casi in cui le informazioni in esse contenute possono essere piuttosto preziose. Come abbiamo mostrato sopra, puoi facilmente identificare i mittenti che si mascherano come qualcosa che non sono. Per una truffa molto ben eseguita in cui i riferimenti visivi sono convincenti, è estremamente difficile( se non impossibile) impersonare i server di posta reali e rivedere le informazioni all'interno delle intestazioni delle e-mail può rivelare rapidamente qualsiasi imbroglio. Collegamenti
Scarica IPNetInfo da Nirsoft