25Aug
Kai gaunate el. Laišką, yra daug daugiau nei akių.Nors paprastai jūs tik atkreipiate dėmesį į adresą, temos eilutę ir pranešimo kūną, yra daug daugiau informacijos, prieinamos kiekvieno el. Pašto adresu "po gaubtu", kuris gali suteikti jums daug papildomos informacijos.
Kodėl verta pasvarstyti el. Laiško antraštę?
Tai labai geras klausimas. Daugeliu atveju jums tikrai niekada nereikėtų, išskyrus atvejus, kai:
- Jūs įtariate, kad el. Laiškas yra sukčiavimo bandymas ar apgaulingas
- . Jūs norite peržiūrėti informaciją apie maršrutą el. Pašto keliu
- Jūs esate smalsus geek
Nepriklausomai nuo jūsų priežasčių skaitykiteEl. laiško antraštės iš tikrųjų yra gana paprasta ir gali būti labai atskleidžiamos.
straipsnio pastaba: mūsų ekrano kopijoms ir duomenims mes naudosime "Gmail", bet beveik kiekvienas kitas pašto klientas turėtų pateikti tą pačią informaciją.
El. Laiško antraštės
peržiūra "Gmail" peržiūrėkite el. Laišką.Šiame pavyzdyje mes naudosime el. Laišką žemiau.
Tada spustelėkite rodyklę viršutiniame dešiniajame kampe ir pasirinkite Rodyti originalą.
Gautame lange teksto antraštės duomenys bus pateikiami paprastu tekstu.
Pastaba: visais el. Pašto antraštės duomenimis, kuriuos aš parašiau žemiau, aš pakeitęs savo "Gmail" adresą, kad būtų rodomas kaip [email protected] ir mano išorinis el. Pašto adresas rodomas kaip [email protected] ir [email protected] taip pat užmaskojo mano el. Pašto serverių IP adresą.
Delivered-to: [email protected]
įstojo: iki 10.60.14.3 su SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
įstojo: 10.68.125.129 su SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected] & gt;
įstojo: iš exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
pateikė mx.google.com su SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Gautas-SPF: neutralus( google.com: 64.18.2.16 nėra nei leidžiamas, nei atmetamas geriausio įspėjamojo įrašo domeno [email protected]) kliento-ip = 64.18.2.16;
autentifikavimo rezultatai: mx.google.com;spf = neutral( google.com: 64.18.2.16 nėra nei leidžiama, nei atmetama geriausio įspėjamojo įrašo domenui iš [email protected]) [email protected]
įstojo: iš mail.externalemail.com( [XXX.XXX.XXX.XXX])( naudojant TLSv1) iš exprod7ob119.postini.com( [64.18.6.12]) su SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
įstojo: iš MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) pagal
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) su aplanke;Tue, 6 Mar
2012 11:30:48 -0500
Nuo: Jason Faulkner & lt; [email protected] & gt;
Kam: "[email protected]" & lt; [email protected] & gt;
Data: Tue, 6 Mar 2012 11:30:48 -0500
Tema: Tai teisėtas el. Pašto adresas
Teminė tema: tai teisėtas el. Pašto adresas
temos indeksas: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local & gt;
Accept-Language: en-US
Turinio kalba: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternate;
border = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-versija: 1.0
Kai skaitote el. Laiško antraštę, duomenys yra atvirkštine chronologine tvarka, taigi informacija viršuje yra naujausias įvykis. Todėl, jei norite atsekti el. Laišką nuo siuntėjo gavėjui, pradėkite apačioje. Išnagrinėję šio el. Laiško antraštes, galime pamatyti keletą dalykų.
Čia matome siuntėjo kliento sukurtą informaciją.Šiuo atveju el. Laiškas buvo išsiųstas iš "Outlook", taigi tai yra "Outlook" pridedamų metaduomenų.
Nuo: Jason Faulkner & lt; [email protected] & gt;
Kam: "[email protected]" & lt; [email protected]>
Data: Tue, 6 Mar 2012 11:30:48 -0500
Tema: Tai teisėtas el. Pašto adresas
Teminė tema: tai teisėtas el. Pašto adresas
temos indeksas: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local & gt;
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternate;
border = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-versija: 1.0
Į kitą dalį atsekamas kelias, kurį el. Laiškas siunčia iš siunčiančio serverio į paskirties serverį.Atminkite, kad šie veiksmai( arba apyniai) yra išvardyti atvirkščiai chronologine tvarka. Mes pridėjome atitinkamą numerį prie kiekvieno apynio, kad pademonstruotume užsakymą.Atkreipkite dėmesį, kad kiekvienas apynynas rodo išsamią informaciją apie IP adresą ir atitinkamą atvirkštinio DNS vardą.
Pristatytas: [email protected]
[6] įstojo: iki 10.60.14.3 su SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
[5] įstojo: 10.68.125.129 su SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected] & gt;
[4] įstojo: iš exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
pateikė mx.google.com su SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Gauta -SPF: neutrali( google.com: 64.18.2.16 neigiama ir neleidžiama geriausio įspėjamojo įrašo apie jfaulkner @ externalemail domeną.com) client-ip = 64.18.2.16;
autentifikavimo rezultatai: mx.google.com;spf = neutral( google.com: 64.18.2.16 nėra nei leidžiama, nei atmetama geriausio įspėjamojo įrašo apie [email protected] domeną) [email protected]
[2] įstojo: iš mail.externalemail.com( [XXX.XXX.XXX.XXX])( naudojant TLSv1) iš exprod7ob119.postini.com( [64.18.6.12]) su SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] įstojo: iš MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) pagal
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) su aplanke;Tue, Mar 6, 2011
2012 11:30:48 -0500
Nors tai yra gana pagarbus teisėtam el. Laiškui, ši informacija gali būti gana pasakyta, kai kalbama apie šlamštą ar apgaulingus el. Laiškus.
Egzaminas apie sukčiavimo elektroninį laišką - 1 pavyzdys
Pirmame mūsų sukčiavimo pavyzdyje mes išnagrinėsime el. Laišką, kuris yra akivaizdus bandymas apginti. Tokiu atveju mes galime identifikuoti šį pranešimą kaip sukčiavimą tiesiog vizualiaisiais rodikliais, bet praktikoje mes pažvelgsime į įspėjamuosius ženklus antraštėse.
Pristatytas: [email protected]
įstojo: iki 10.60.14.3 su SMTP id l3csp12958oec;
Mon, 5 Mar 2012 23:11:29 -0800( PST)
įstojo: 10.236.46.164 su SMTP id r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Return-Path: & lt; [email protected] & gt;
įstojo: iš ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
pateikė mx.google.com su ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
gautas-SPF: failas( google.com: domenas [email protected] nenurodo XXX.XXX.XXX.XXX kaip leistinas siuntėjas) kliento-ip = XXX.XXX.XXX.XXX;
autentifikavimo rezultatai: mx.google.com;spf = hardfail( google.com: domenas [email protected] nenurodo XXX.XXX.XXX.XXX kaip leistinas siuntėjas) [email protected]
įstojo: su "MailEnable Postoffice Connector";Tue, 06 Mar 2012 02:11:20 -0500
įstojo: iš mail.lovingtour.com( [211.166.9.218]) ms.externalemail.com su MailEnable ESMTP;Tue, 06 Mar 2012 02:11:10 -0500
įstojo: iš Vartotojo( [118.142.76.58])
by mail.lovingtour.com
;Mon, 5 Kov 2012 21:38:11 +0800
Message-ID: & lt; [email protected]>
Atsakymas: & lt; [email protected] & gt;
Nuo: "[email protected]" & lt; [email protected] & gt;
Tema: Pranešimas
Data: Mon, 05 Mar 2012 21:20:57 +0800
MIME-versija: 1.0
Content-Type: multipart / mixed;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritetas: 3
X-MSMail prioritetas: įprastas
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: pagaminta Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Pirmoji raudona žyma yra kliento informacijos srityje. Atminkite, kad metaduomenys pridėjo nuorodas "Outlook Express".Mažai tikėtina, kad "Visa" yra taip toli nuo to laiko, kai kas nors rankiniu būdu siunčia el. Laiškus, naudodamas 12 metų el. Pašto klientą.
Atsakymas: & lt; [email protected] & gt;
Nuo: "[email protected]" & lt; [email protected] & gt;
Tema: Pranešimas
Data: Mon, 5 Mar 2012 21:20:57 +0800
MIME-versija: 1.0
Content-Type: multipart / mixed;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritetas: 3
X-MSMail prioritetas: įprastas
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: pagaminta Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Dabar tiriant pirmąjį eismo maršruto parinkimą aptikta, kad siuntėjas buvo IP adresu 118.142.76.58 ir jų el. Paštas buvo perduotas per pašto serverį mail.lovingtour.com.
įstojo: iš vartotojo( [118.142.76.58])
paštu.lovingtour.com
;Pirmadienis, 2011 m. Kovo 5 d. 21:38:11 +0800
Ieškodami informacijos apie IP, naudodami "Nirsoft" IPNetInfo įrankį, mes matome siuntėją Honkonge, o pašto serveris yra Kinijoje.
Nereikia nė sakyti, kad tai šiek tiek įtartinas.
Likusi elektroninio pašto apynių padėtis šiuo atveju nėra aktualu, nes jie rodo, kad elektroninis laiškas grįžta teisėtu serverio srautu, kol jis galutinai pristatomas.
Piktogramos tyrimas - 2 pavyzdys
Pavyzdžiui, mūsų sukčiavimo el. Laiškas yra daug labiau įtikinamas.Čia yra keletas vizualių rodiklių, jei atrodysite pakankamai sunkiai, bet dar kartą šiame straipsnyje mes ketiname apriboti mūsų tyrimą el. Pašto antraštėmis.
Pristatytas: [email protected]
įstojo: iki 10.60.14.3 su SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
įstojo: 10.236.170.165 su SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Return-Path: & lt; [email protected] & gt;
įstojo: iš ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
pateikė mx.google.com su ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST) Gauta
-SPF: failas( google.com: domenas [email protected] nenurodo XXX.XXX.XXX.XXX kaip leistinas siuntėjas) kliento-ip = XXX.XXX.XXX.XXX;
autentifikavimo rezultatai: mx.google.com;spf = hardfail( google.com: domenas [email protected] nenurodo XXX.XXX.XXX.XXX kaip leistinas siuntėjas) [email protected]
įstojo: su "MailEnable Postoffice Connector";Tue, 06 Mar 2012 07:27:13 -0500
įstojo: iš dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ms.externalemail.com su MailEnable ESMTP;Tue, 06 Mar 2012 07:27:08 -0500
įstojo: iš apache by intuit.com su vietiniu( Exim 4.67)
( voką-iš & lt; [email protected] & gt;)
id GJMV8N-8BERQW-93
už& lt; [email protected] & gt; ;Tue, 6 Mar 2012 19:27:05 +0700
Kam: & lt; [email protected] & gt;
Tema: Intuit.com sąskaita faktūra.
X-PHP-Script: intuit.com/sendmail.php už 118.68.152.212
Nuo: "INTUIT INC." & Lt; [email protected] & gt;
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-Prioritetas: 1
MIME-versija: 1.0
Content-Type: multipart / alternative;
border = "---- 03060500702080404010506"
Message-Id:
X-ME-Bayesian: 0.000000
Šiame pavyzdyje pašto kliento programa nebuvo naudojama, o PHP skriptas su šaltinio IP adresu 118.68.152.212.
Norėdami: & lt; [email protected] & gt;
Tema: Jūsų Intuit.com sąskaita faktūra.
X-PHP-Script: intuit.com/sendmail.php už 118.68.152.212
Nuo: "INTUIT INC." & Lt; [email protected] & gt;
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-Prioritetas: 1
MIME-versija: 1.0
Content-Type: multipart / alternative;
border = "---- 03060500702080404010506"
Message-Id:
X-ME-Bayesian: 0.000000
Tačiau, kai mes pažvelgime į pirmąjį elektroninio pašto varnele, atrodo, kad tai teisėtas, nes siunčiančio serverio domeno vardas atitinka el. Pašto adresą.Tačiau būk atsargus dėl to, kad šiukšlių dėžė galėtų lengvai įvardinti savo serverį "intuit.com".
įstojo: iš apache, intuit.com, su vietiniu( Exim 4.67)
( aplinka nuo & lt; [email protected] & gt;)
id GJMV8N-8BERQW-93
, skirtiems & lt; [email protected] & gt; ;Tue, 6 Mar 2012 19:27:05 +0700
Išnagrinėjamas kitas žingsnis sugriauna šį kortų namelį.Galite pamatyti antrąjį šuolį( kur jis yra gautas teisėtu el. Pašto serveriu) išsiųsdamas serverį atgal į domeną "dynamic-pool-xxx.hcm.fpt.vn", o ne "intuit.com" su tuo pačiu IP adresunurodytas PHP scenarijų.
įstojo: iš dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ms.externalemail.com su MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
IP adreso informacijos peržiūra patvirtina įtarimą, kad pašto serverio vieta sugrįžta į Vietnamą.
Nors šis pavyzdys yra šiek tiek protingesnis, galite pamatyti, kaip greitai sukčiavimas atskleidžiamas tik šiek tiek tyrimo metu.
Išvada
Peržiūrint el. Laiško antraštes tikriausiai nėra įprastų kasdienių poreikių, yra atvejų, kai juose esanti informacija gali būti gana vertinga. Kaip parodyta aukščiau, jūs galite visiškai lengvai identifikuoti siuntėjų maskuotą kaip kažką, ko jie nėra. Dėl labai gerai atlikto sukčiavimo, kai vizualūs ženklai yra įtikinami, labai sudėtinga( jei ne neįmanoma) įtakoti faktinius pašto serverius ir peržiūrinėti informaciją el. Pašto antraščių viduje gali greitai atskleisti bet kokią klaidą.
Nuorodos
Atsisiųsti IPNetInfo iš Nirsoft