25Aug

מה אתה יכול למצוא בכותרת דוא"ל?

click fraud protection

בכל פעם שאתה מקבל הודעת דוא"ל, יש הרבה יותר ממה שהיא פוגשת את העין.בעוד שאתה בדרך כלל רק לשים לב לכתובת, שורת הנושא ואת הגוף של ההודעה, יש הרבה יותר מידע זמין "מתחת למכסה המנוע" של כל דוא"ל אשר יכול לספק לך שפע של מידע נוסף.

למה Bother מסתכל על כותרת דוא"ל?

זו שאלה טובה מאוד.על פי רוב, אתה באמת לא צריך אי פעם, אלא אם כן:

  • אתה חושד דוא"ל הוא ניסיון התחזות או לזייף
  • אתה רוצה להציג מידע ניתוב על הנתיב של הדוא"ל
  • אתה חנון סקרן

ללא קשר הסיבות שלך, קריאהכותרות דוא"ל הוא למעשה די קל והוא יכול להיות מאוד חושפני.

הערה המאמר: עבור צילומי מסך ונתונים שלנו, אנו נשתמש ב- Gmail אבל כמעט כל לקוח דואר אחר צריך לספק את אותו מידע גם כן.

הצגת כותרת הדואר האלקטרוני

ב- Gmail, הצג את הודעת האימייל.בדוגמה זו, נשתמש בדוא"ל למטה.

לאחר מכן לחץ על החץ בפינה הימנית העליונה ובחר באפשרות הצג מסמך מקור.

החלון המתקבל יכלול את נתוני כותרת הדוא"ל בטקסט רגיל.

הערה: בכל נתוני כותרת הדואר האלקטרוני שאני מציג למטה שיניתי את כתובת Gmail שלי כדי להציג [email protected] וכתובת הדוא"ל החיצונית שלי כדי להציג כ-

instagram viewer
[email protected] ו- [email protected] וכן מסווה את כתובת ה- IP של שרתי הדוא"ל שלי.

נשלח אל: [email protected]
התקבל: על ידי 10.60.14.3 עם מזהה SMTP l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
התקבל: על ידי 10.68.125.129 עם SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
נתיב החזרה: & lt; [email protected]>
שהתקבל: מתוך exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
על ידי mx.google.com עם מזהה SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 מרס 2012 08:30:50 -0800( PST)
Received-SPF: נייטרלי( google.com: 64.18.2.16 אינו מותר ולא נדחה על ידי שיא הניחוש הטוב ביותר עבור תחום של [email protected])ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutral( google.com: 64.18.2.16 אינו מותר או נמנע על ידי הרשומה הטובה ביותר לנחש עבור תחום של [email protected]) [email protected]
קיבל: מאת mail.externalemail.com( [XXX.XX.XXX.XXX])( באמצעות TLSv1) על ידי exprod7ob119.postini.com( [64.18.6.12]) עם SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];יום שלישי, 06 מרץ 2012 08:30:50 PST
התקבלו: מתוך MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) על ידי
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) עם Mapi;יום שלישי, 6 מרץ
2012 11:30:48 -0500
מאת: ג'ייסון פוקנר & lt; [email protected]>
אל: "[email protected]" & lt; [email protected]>
תאריך: יום שלישי, 6 מרץ 2012 11:30:48 -0500
נושא: זוהי הודעת דוא"ל לגיטימית
נושא ההודעה: זהו דוא"ל לגיטימי
נושא-אינדקס: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
הודעה-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
שפת AS: EN-US
שפה: en-USD
X-MS-Has-Attach:
X-MS-TNEF-קורלטור:
acceptlanguage: en-US
סוג תוכן: multipart / alternative;
border = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
גרסה: 1.0

בעת קריאת כותרת דוא"ל, הנתונים הם בסדר כרונולוגי הפוך, כלומר המידע בחלק העליון הוא האירוע האחרון.לכן אם אתה רוצה לעקוב אחר הדוא"ל משולח לנמען, להתחיל בתחתית.בבדיקת הכותרות של הודעת האימייל הזו אנו יכולים לראות מספר דברים.

כאן אנו רואים מידע שנוצר על ידי הלקוח השולח.במקרה זה, הדוא"ל נשלח מ- Outlook אז זה מטא נתונים Outlook מוסיף.

מאת: Jason Faulkner & lt; [email protected]>
אל: "[email protected]" & lt; [email protected]>
תאריך: יום שלישי, 6 מרץ 2012 11:30:48 -0500
נושא: זוהי הודעת דוא"ל לגיטימית
נושא ההודעה: זהו דוא"ל לגיטימי
אינדקס השרשור: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
הודעה-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
קבל את השפה: en-US
שפה: en-US
X-MS-has-Attach:
X-MS-TNEF-קורלרטור:
acceptlanguage: en-US
סוג תוכן: multipart / alternative;
borderary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
גרסה: 1.0

החלק הבא עוקב אחר הנתיב שהאימייל נוטל משרת השליחה אל שרת היעד.זכור כי שלבים אלה( או כשות) מופיעים בסדר כרונולוגי הפוך.יש לנו את המספר המתאים ליד כל הופ כדי להמחיש את הסדר.שים לב שכל הופ מציג פרטים על כתובת ה- IP ושם DNS הפוך בהתאמה.

נשלח אל: [email protected]
[6] התקבל: על ידי 10.60.14.3 עם מזהה SMTP l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
[5] התקבל: על ידי 10.68.125.129 עם SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
נתיב החזרה: & lt; [email protected]>
[4] קיבל: מ exprod7og119.obsmtp.com( 64.18.2.16)
על ידי mx.google.com עם מזהה SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 מרס 2012 08:30:50 -0800( PST)
[3] Received-SPF: נייטרלי( google.com: 64.18.2.16 אינו מותר ולא נדחה על ידי שיא הניחוש הטוב ביותר עבור תחום של jfaulkner @ Externalemail.com) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutral( google.com: 64.18.2.16 אינו מותר או נמנע על ידי הרשמת הניחושים הטובה ביותר עבור תחום של [email protected]) [email protected]
[2] התקבל: מאת mail.externalemail.com( [XXX.XXX.XXX.XXX])( באמצעות TLSv1) על ידי exprod7ob119.postini.com( [64.18.6.12]) עם SMTP
מזהה DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];יום שלישי, 06 מרץ 2012 08:30:50 PST
[1] התקבל: מתוך MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) על ידי
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) עם Mapi;יום שלישי, 6 מרס
2012 11:30:48 -0500

למרות שזה די משעמם עבור דוא"ל לגיטימי, מידע זה יכול להיות די מתי זה כשמדובר בבדיקת דואר זבל או הודעות דוא"ל התחזות.

בדיקת הודעת התחזות - דוגמה 1

עבור דגם ההתחזות הראשון שלנו, נבחן הודעת אימייל המהווה ניסיון פישינג ברור.במקרה זה אנו יכולים לזהות את המסר הזה כמו הונאה פשוט על ידי אינדיקטורים חזותיים אבל בפועל אנחנו נסתכל על סימני האזהרה בתוך כותרות.

נשלח אל: [email protected]
התקבל: על ידי 10.60.14.3 עם מזהה SMTP l3csp12958oec;
ראשון, 5 מרץ 2012 23:11:29 -0800( PST)
התקבל: על ידי 10.236.46.164 עם מזהה SMTP r24mr7411623yhb.101.1331017888982;
שני, 05 מרץ 2012 23:11:28 -0800( PST)
נתיב החזרה: & lt; [email protected]>
התקבל: מ- ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
מאת mx.google.com עם מזהה ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
יום שני, 05 מרס 2012 23:11:28 -0800( PST)
Received-SPF: נכשל( google.com: דומיין של [email protected] אינו מציין את XXX.XXX.XXX.XXX כשולח מורשה)ip = XXX.XXX.XXX.XXX;
אימות - תוצאות: mx.google.com;spf = hardfail( google.com: דומיין של [email protected] אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) [email protected]
התקבל: עם מחבר Post Mailice של MailEnice;יום שני, 6 מרץ 2012 02:11:20 -0500
התקבל: מ mail.lovingtour.com( [211.166.9.218]) על ידי ms.externalemail.com עם MailEnable ESMTP;יום שני, 6 מרץ 2012 02:11:10 -0500
התקבל: מ משתמש( [118.142.76.58])
by mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
מזהה הודעה: & lt; [email protected]>
השב ל: & lt; [email protected]>
מאת: "[email protected]" & lt; [email protected]>
נושא: שים לב
תאריך: שני, 5 מרס 2012 21:20:57 +0800
גרסת MIME: 1.0
סוג תוכן: multipart / mix;
גבול = "- = _ NextDart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Priority: רגיל
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: מיוצר על-ידי Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

הדגל האדום הראשון נמצא באזור מידע הלקוח.שים לב כאן המטא נתונים הוסיף הפניות Outlook Express.אין זה סביר כי ויזה הוא כה רחוק מאחורי פעמים כי יש להם מישהו באופן ידני שליחת הודעות דוא"ל באמצעות לקוח הדוא"ל בן 12 שנה.

השב ל: & lt; [email protected]>
מ: "[email protected]" & lt; [email protected]>
נושא: שים לב
תאריך: שני, 5 מרץ 2012 21:20:57 +0800
גרסה: 1.0
סוג תוכן: multipart / mix;
גבול = "- = _ NextDart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Priority: רגיל
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
 X-MimeOLE: מיוצר על-ידי Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

כעת בוחנים את ההופ הראשון בניתוב הדואר האלקטרוני מגלה כי השולח היה ממוקם בכתובת ה- IP 118.142.76.58 והאימייל שלהם הועבר באמצעות שרת הדואר mail.lovingtour.com.

שהתקבל: מאת משתמש( [118.142.76.58])
מאת mail.lovingtour.com
;יום שני, 5 מרס 2012 21:38:11 +0800

מחפש את מידע ה- IP באמצעות השירות של Nirsoft IPNetInfo, אנו יכולים לראות את השולח היה ממוקם בהונג קונג ואת שרת הדואר ממוקם בסין.

אין צורך לומר שזה קצת חשוד.

את שאר הדלילות דוא"ל אינם רלוונטיים באמת במקרה זה כפי שהם מראים את הדוא"ל מקפץ סביב תעבורת שרת לגיטימי לפני סוף סוף נמסר.

בדיקת הודעת התחזות - דוגמה 2

עבור דוגמה זו, הודעת ההתחזות שלנו היא הרבה יותר משכנעת.ישנם כמה אינדיקטורים חזותיים כאן אם אתה מסתכל מספיק חזק, אבל שוב למטרות מאמר זה אנחנו הולכים להגביל את החקירה שלנו כותרות דוא"ל.

נשלח אל: [email protected]
התקבל: על ידי 10.60.14.3 עם מזהה SMTP l3csp15619oec;
יום שלישי, 6 מרץ 2012 04:27:20 -0800( PST)
התקבל: על ידי 10.236.170.165 עם מזהה SMTP p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
נתיב ההחזרה: & lt; [email protected]>
התקבל: מ- ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
מאת mx.google.com עם מזהה ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 מרס 2012 04:27:19 -0800( PST)
Received-SPF: נכשל( google.com: דומיין של אבטחה @intuit.com אינו מציין את XXX.XXX.XXX.XXX כשולח מורשה)ip = XXX.XXX.XXX.XXX;
אימות - תוצאות: mx.google.com;spf = hardfail( google.com: דומיין של אבטחה @intuit.com אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) [email protected]
התקבל: עם מחבר Post Mailice MailEnice;יום שלישי, 6 מרץ 2012 07:27:13 -0500
התקבל: מ Dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) על ידי ms.externalemail.com עם MailEnable ESMTP;יום שלישי, 6 מרץ 2012 07:27:08 -0500
התקבל: מ- Apache על ידי intuit.com עם מקומי( Exim 4.67)
( מעטפה-מאת & lt; אבטחה @intuit.com>)
מזהה GJMV8N-8BERQW-93
עבור& lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
אל: & lt; [email protected]>
נושא: חשבונית Intuit.com שלך.
X-PHP-Script: intuit.com/sendmail.php עבור 118.68.152.212
מתוך: "INTUIT INC" & lt; [email protected]>
X-Sender: "INTUIT INC" & lt; [email protected]>
X-Mailer: PHP
X-Priority: 1
גרסה: 1.0
סוג תוכן: multipart / alternative;
גבול = "---- 03060500702080404010506"
מזהה הודעה: & lt; [email protected]>
תאריך: יום שלישי, 6 מרץ 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

בדוגמה זו, יישום לקוח דואר לא נמצא בשימוש, אלא סקריפט PHP עם כתובת ה- IP של המקור של 118.68.152.212.

אל: & lt; [email protected]>
נושא: חשבונית Intuit.com שלך.
X-PHP-Script: intuit.com/sendmail.php עבור 118.68.152.212
מתוך: "INTUIT INC" & lt; [email protected]>
X-Sender: "INTUIT INC" & lt; [email protected]>
X-Mailer: PHP
X-Priority: 1
גרסה: 1.0
סוג תוכן: multipart / alternative;
גבול = "---- 03060500702080404010506"
מזהה הודעה: & lt; [email protected]>
תאריך: יום שלישי, 6 מרס 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

עם זאת, כאשר אנו מסתכלים על האימייל הראשון הופ נראה שזה חוקי כמו שם השרת של השרת שולח את כתובת הדוא"ל.עם זאת, להיזהר זה בתור מפיץ דואר זבל יכול בקלות שם השרת שלהם "intuit.com".

התקבל: מ- apache על-ידי intuit.com עם הקובץ המקומי( Exim 4.67)
( מעטפה-מאת & lt; [email protected]>)
מזהה GJMV8N-8BERQW-93
עבור & lt; [email protected]> ;יום שלישי, 6 מרס 2012 19:27:05 +0700

בדיקת השלב הבא מתפורר זה בית קלפים.אתה יכול לראות את הופ השני( שם הוא התקבל על ידי שרת דוא"ל לגיטימי) פותר את שליחת השרת בחזרה לתחום "Dynamic-pool-xxx.hcm.fpt.vn", לא "intuit.com" עם אותה כתובת IPשצוין ב PHP סקריפט.

התקבל: מ- Dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) על ידי ms.externalemail.com עם MailEnable ESMTP;יום שלישי, 6 מרס 2012 07:27:08 -0500

הצגת פרטי כתובת ה- IP מאשרת את החשד מפני שמיקום שרת הדואר חוזר לווייטנאם.

בעוד דוגמה זו היא קצת יותר חכם, אתה יכול לראות כמה מהר הונאה מתגלה רק עם קצת חקירה.

מסקנה

בעת הצגת כותרות דוא"ל כנראה לא חלק מהצורך היומי שלך ליום, יש מקרים שבהם המידע הכלול בהם יכול להיות בעל ערך רב.כפי שהראנו לעיל, אתה יכול בקלות לזהות שולחים מתחזים כמו משהו שהם לא.עבור הונאה להורג היטב שבו רמזים חזותיים משכנעים, זה קשה מאוד( אם לא בלתי אפשרי) לחקות את שרתי הדואר בפועל ולסקור את המידע בתוך כותרות דוא"ל יכול במהירות לחשוף כל checery.

קישורים

הורד את IPNetInfo מ- Nirsoft