25Aug

Ko jūs varat atrast e-pasta galvenē?

Kad jūs saņemat e-pastu, tam ir daudz vairāk nekā acs. Kamēr jūs parasti pievēršat uzmanību tikai vēstules adresei, tēmas līnijai un ķermenim, katras e-pasta ziņas ir pieejamas daudz vairāk informācijas, kas var sniegt jums daudz papildu informācijas.

Kāpēc nomodā aplūkot e-pasta galveni?

Šis ir ļoti labs jautājums. Lielākoties jums patiešām nekad nebūtu nepieciešams, ja vien:

  • Jums ir aizdomas, ka e-pasts ir pikšķerēšanas mēģinājums vai spoofs.
  • Jūs vēlaties aplūkot maršrutēšanas informāciju uz e-pasta ceļa
  • Jūs esat ziņkārīgs meklētājs

neatkarīgi no jūsu iemesliem, lasotE-pasta galvenes patiesībā ir diezgan viegli un var būt ļoti atklāt.

Piezīme: mūsu ekrānuzņēmumiem un datiem mēs izmantosim pakalpojumu Gmail, taču gandrīz katram citam pasta klientam vajadzētu sniegt šo pašu informāciju.

E-pasta galvenes apskate

Pakalpojumā Gmail skatiet e-pastu.Šajā piemērā mēs izmantosim e-pastu zemāk.

Tad noklikšķiniet augšējā labajā stūrī esošajā bultiņā un atlasiet Rādīt oriģinālu.

Iegūtais logs parāda e-pasta galvenes datus vienkāršā tekstā.

Piezīme. Visos tālāk norādītajos e-pasta galvenes datos esmu nomainījis savu Gmail adresi, lai parādītu kā [email protected] un manu ārējo e-pasta adresi, lai parādītu kā [email protected] un [email protected] , kā arī maskēja manu e-pasta serveru IP adresi.

Piegādāts-to: [email protected]
Saņemts: ar 10.60.14.3 ar SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
Saņemts: ar 10.68.125.129 ar SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected] & gt;
Saņemts: no exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
ar mx.google.com ar SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Saņemts-SPF: neitrāls( google.com: 64.18.2.16 nav ne atļauts, ne noraidīts ar vislabāko mines ierakstu domēnam [email protected]) klienta-ip = 64.18.2.16;
autentifikācijas rezultāti: mx.google.com;spf = neitrāls( google.com: 64.18.2.16 nav ne atļauts, ne noliedzams ar labāko mines ierakstu domēnam [email protected]) [email protected]
saņemts: no mail.externalemail.com( [XXX.XXX.XXX.XXX])( izmantojot TLSv1) ar exprod7ob119.postini.com( [64.18.6.12]) ar SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Saņemts: no MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) ar
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) ar mapi;T, 6. marts
2012 11:30:48 -0500
No: Jason Faulkner & lt; [email protected] & gt;
Kam: "[email protected]" & lt; [email protected] & gt;
Datums: Tue, 06 Mar 2012 11:30:48 -0500
Subject: Šī ir legit e-pasta adrese
Thread Topic: Šis ir legit e-pasts
Thread Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Pieņemšanas valoda: en-US
Saturs-valoda: en-US
X-MS-Pievienots:
X-MS-TNEF-korelators:
acceptlanguage: en-US
Content-Type: multipart / alternative;
robeža = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-versija: 1.0

Kad jūs lasāt e-pasta galveni, dati tiek apgriezti sakārtoti hronoloģiskā secībā, kas nozīmē, ka informācija augšpusē ir visjaunākais notikums. Tādēļ, ja vēlaties izsekot e-pastu no sūtītāja saņēmējam, sāciet no apakšas. Aplūkojot šī e-pasta galvenes, mēs varam redzēt vairākas lietas.

Šeit redzam sūtītāja klienta izveidoto informāciju.Šajā gadījumā e-pasta ziņojums tika nosūtīts no Outlook, tāpēc tas ir metadatu pakotne Outlook.

No: Jason Faulkner & lt; [email protected] & gt;
Kam: "[email protected]" & lt; [email protected]>
Datums: Tue, 6 Mar 2012 11:30:48 -0500
Subject: Šī ir legit e-pasta adrese
Thread-topic: Šī ir legit e-pasta adrese
Thread Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Pieņemšanas valoda: en-US
Saturs-valoda: en-US
X-MS-Pievienots:
X-MS-TNEF-korelators:
acceptlanguage: en-US
Content-Type: multipart / alternative;
robeža = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME versija: 1.0

Nākamajā daļā ir redzams ceļš, kuru e-pasts ņem no nosūtīšanas servera uz galamērķa serveri. Paturiet prātā, ka šīs darbības( vai apiņi) ir uzskaitītas apgrieztā hronoloģiskā secībā.Mēs esam novietojuši attiecīgo numuru blakus katram aprakstam, lai ilustrētu pasūtījumu.Ņemiet vērā, ka katrs aplems parāda IP adresi un attiecīgo reverso DNS nosaukumu.

Piegādāts-to: [email protected]
[6] Saņemts: ar 10.60.14.3 ar SMTP id l3csp18666oec;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
[5] Saņemts: ar 10.68.125.129 ar SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected] & gt;
[4] Saņemts: no exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
ar mx.google.com ar SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Saņemts -SPF: neitrāls( google.com: 64.18.2.16 nav atļauts vai noraidīts ar labāko mines ierakstu jfaulkner @ externalemail domēnam.com) client-ip = 64.18.2.16;
autentifikācijas rezultāti: mx.google.com;spf = neitrāls( google.com: 64.18.2.16 nav ne atļauts, ne noliedzams ar vislabāko mines ierakstu domēnam [email protected]) [email protected]
[2] Saņemts: no mail.externalemail.com( [XXX.XXX.XXX.XXX])( izmantojot TLSv1) ar exprod7ob119.postini.com( [64.18.6.12]) ar SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Saņemts: no MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) ar
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) ar mapi;T, 6. marts
2012 11:30:48 -0500

Lai gan tas ir diezgan ikdienišķs par likumīgu e-pastu, šī informācija var būt diezgan stāsta, kad runa ir par surogātpasta vai pikšķerēšanas e-pasta ziņojumu pārbaudi.

Pārbaudot pikšķerēšanas e-pastu - 1. piemērs

Mūsu pirmajam pikšķerēšanas paraugam mēs pārbaudīsim e-pastu, kas ir acīmredzams pikšķerēšanas mēģinājums.Šajā gadījumā mēs varam identificēt šo ziņojumu kā krāpšanu, vienkārši izmantojot vizuālos rādītājus, bet praksē mēs apskatīsim brīdinājuma zīmes virsrakstos.

Piegādāts-to: [email protected]
Saņemts: ar 10.60.14.3 ar SMTP id l3csp12958oec;
Pirmdiena, 5 marts 2012 23:11:29 -0800( PST)
Saņemts: ar 10.236.46.164 ar SMTP id r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800( PST)
Return-Path: & lt; [email protected] & gt;
Saņemts: no ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
ar mx.google.com ar ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Pirmdiena, 05 marts 2012 23:11:28 -0800( PST)
saņemtie SPF: faili( google.com: domēna [email protected] nenosaka XXX.XXX.XXX.XXX kā atļautais sūtītājs) klienta-ip = XXX.XXX.XXX.XXX;
autentifikācijas rezultāti: mx.google.com;spf = hardfail( google.com: domēna [email protected] nenosaka XXX.XXX.XXX.XXX kā atļautais sūtītājs) [email protected]
Saņemts: ar MailEnable Postoffice Connector;T, 06 Mar 2012 02:11:20 -0500
Saņemts: no mail.lovingtour.com( [211.166.9.218]) ar ms.externalemail.com ar MailEnable ESMTP;Tue, 06 Mar 2012 02:11:10 -0500
Saņemts: no Lietotāja( [118.142.76.58])
pa mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
Ziņojuma ID: & lt; [email protected]>
Atbildēt uz: & lt; [email protected] & gt;
No: "[email protected]" & lt; [email protected] & gt;
Temats: Paziņojums
Datums: Mon, 05 Mar 2012 21:20:57 +0800
MIME versija: 1.0
Content-Type: multipart / mixed;
robeža = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X prioritāte: 3
X-MSMail prioritāte: parasts
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: ražo Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Pirmais sarkans karogs ir klienta informācijas apgabalā.Piezīme šeit metadatu pievienotās atsauces Outlook Express. Maz ticams, ka Visa ir tik tālu aiz laikiem, kad viņiem ir kāds manuāli sūtīt e-pastus, izmantojot 12 gadu veco e-pasta klientu.

Atbildēt uz: & lt; [email protected] & gt;
No: "[email protected]" & lt; [email protected] & gt;
Temats: Paziņojums
Datums: Mon, 5 Mar 2012 21:20:57 +0800
MIME versija: 1.0
Content-Type: multipart / mixed;
robeža = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X prioritāte: 3
X-MSMail prioritāte: parasts
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: ražo Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Tagad, aplūkojot pirmo e-pasta maršrutēšanu, tiek atklāts, ka sūtītājs atrodas IP adresē 118.142.76.58, un to e-pasts tika nosūtīts pa pasta serveri mail.lovingtour.com.

Saņemts: no lietotāja( [118.142.76.58])
pa mail.lovingtour.com
;Mon, 05 Mar 2012 21:38:11 +0800

Pārbaudot IP informāciju, izmantojot Nirsoft IPNetInfo lietderību, varam redzēt, ka sūtītājs atrodas Honkongā un pasta serveris atrodas Ķīnā.

Lieki teikt, ka tas ir mazliet aizdomīgs.

Pārējās e-pasta apiņus šajā gadījumā patiešām neattiecas, jo tie parāda, ka e-pasta ziņojums par leģitīmo servera datplūsmu tiek parādīts, pirms to beidzot piegādā.

Pikšķerēšanas e-pasta pārbaude - 2. piemērs

Šajā piemērā mūsu pikšķerēšanas e-pasts ir daudz pārliecinošāks.Šeit ir daži vizuāli indikatori, ja jūs izskatāties pietiekami stingri, bet atkal šī panta mērķiem mēs ierobežosim izmeklēšanu uz e-pasta galvenēm.

Piegādāts-to: [email protected]
Saņemts: ar 10.60.14.3 ar SMTP id l3csp15619oec;
Tue, 06 Mar 2012 04:27:20 -0800( PST)
Saņemts: 10.236.170.165 ar SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Atpakaļceļš: & lt; [email protected] & gt;
Saņemts: no ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
ar mx.google.com ar ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Saņemtie-SPF: faili( google.com: domēns [email protected] nenosaka XXX.XXX.XXX.XXX kā atļautais sūtītājs) klienta-ip = XXX.XXX.XXX.XXX;
autentifikācijas rezultāti: mx.google.com;spf = hardfail( google.com: domēns [email protected] nenosaka XXX.XXX.XXX.XXX kā atļautais sūtītājs) [email protected]
Saņemts: ar MailEnable Postoffice Connector;T, 06 Mar 2012 07:27:13 -0500
Saņemts: no dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ar ms.externalemail.com ar MailEnable ESMTP;Tue, 06 Mar 2012 07:27:08 -0500
Saņemts: no apache ar intuit.com ar vietējo( Exim 4.67)
( aploksne no & lt; [email protected] & gt;)
id GJMV8N-8BERQW-93
& lt; [email protected] & gt; ;Tue, Mar 6, 2012 19:27:05 +0700
Kam: & lt; [email protected] & gt;
Temats: jūsu Intuit.com rēķins.
X-PHP-Script: intuit.com/sendmail.php par 118.68.152.212
No: "INTUIT INC." & Lt; [email protected] & gt;
X-Sūtītājs: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-Prioritāte: 1
MIME versija: 1.0
Content-Type: multipart / alternative;
robeža = "---- 03060500702080404010506"
ziņojuma ID: & lt; [email protected] & gt;
Datums: Tue, 06 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Šajā piemērā pasta servera lietojumprogramma netika izmantota, bet gan PHP skripts ar avota IP adresi 118.68.152.212.

Lai: & lt; [email protected] & gt;
Temats: jūsu Intuit.com rēķins.
X-PHP-Script: intuit.com/sendmail.php par 118.68.152.212
No: "INTUIT INC." & Lt; [email protected] & gt;
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-Prioritāte: 1
MIME-versija: 1.0
Content-Type: multipart / alternative;
robeža = "---- 03060500702080404010506"
ziņojuma ID: & lt; [email protected] & gt;
Datums: T, 06 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Tomēr, aplūkojot pirmo e-pasta apiņu, šķiet, ka tas ir likumīgs, jo nosūtīšanas servera domēna nosaukums atbilst e-pasta adresei. Tomēr, esiet piesardzīgs par to, kā surogātpasta izplatītājs varētu viegli norādīt savu serveri "intuit.com".

Saņemts: no apache ar intuit.com ar vietējo( Exim 4.67)
( aploksne no & lt; [email protected] & gt;)
id GJMV8N-8BERQW-93
par & lt; [email protected] & gt; ;Tue, 06 Mar 2012 19:27:05 +0700

Pārbaudot nākamo soli, šī kāršu māja tiek iznīcināta. Jūs varat redzēt otro apiņu( ja to saņem likumīgs e-pasta serveris) atdala nosūtīšanas serveri atpakaļ domēnā "dynamic -pool-xxx.hcm.fpt.vn", nevis "intuit.com" ar to pašu IP adresinorādīts PHP skriptā.

Saņemts: no dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ar ms.externalemail.com ar MailEnable ESMTP;Tue, 06 Mar 2012 07:27:08 -0500

IP adreses informācijas skatīšana apstiprina aizdomas, ka pasta servera atrašanās vieta atgriežas Vjetnamā.

Lai gan šis piemērs ir nedaudz gudrāks, jūs varat redzēt, cik ātri krāpšana tiek atklāta tikai nedaudz izmeklēšanas.

Secinājums

Lai gan apskates e-pasta galvenes, iespējams, nav daļa no jūsu ikdienas vajadzībām, ir gadījumi, kad tajās esošā informācija var būt diezgan vērtīga. Kā mēs parādījām iepriekš, jūs viegli varat viegli identificēt sūtītājus, kuri maskējas, jo tie nav. Par ļoti labi izpildītu scam, kur vizuālie norādījumi ir pārliecinoši, ir ārkārtīgi grūti( ja ne neiespējami) uzdoties par faktiskajiem pasta serveriem un pārskatīt e-pasta galvenes informāciju, var ātri atklāt jebkuru kļūdu.

Saites

Lejupielādējiet IPNetInfo no Nirsoft