25Aug
Wanneer u een e-mail ontvangt, is er meer dan alleen op het eerste gezicht te zien. Hoewel u meestal alleen let op het adres van en naar de onderwerpregel en hoofdtekst van het bericht, is er veel meer informatie beschikbaar "onder de motorkap" van elke e-mail die u een schat aan aanvullende informatie kan bieden.
Waarom zou u een e-mailheader bekijken?
Dit is een zeer goede vraag. Voor het grootste deel zou je dat eigenlijk nooit hoeven doen, tenzij:
- Je vermoedt dat een e-mail een phishing-poging of spoof is
- Je wilt routeringsinformatie bekijken op het pad van de e-mail
- Je bent een nieuwsgierige geek
Ongeacht je redenen, lezene-mail headers is eigenlijk vrij eenvoudig en kan heel onthullend zijn.
-artikel Opmerking: voor onze schermafbeeldingen en gegevens gebruiken we Gmail, maar vrijwel elke andere e-mailclient moet dezelfde informatie ook verstrekken.
De e-mailheader weergeven
Bekijk de e-mail in Gmail. Voor dit voorbeeld gebruiken we de onderstaande e-mail.
Klik vervolgens op de pijl in de rechterbovenhoek en selecteer Origineel tonen.
Het resulterende venster bevat de e-mailheadergegevens in platte tekst.
Opmerking: In alle e-mailheadergegevens die ik hieronder laat zien, heb ik mijn Gmail-adres veranderd in [email protected] en mijn externe e-mailadres als [email protected] en [email protected] en maskeerde ook het IP-adres van mijn e-mailservers.
Delivered-To: [email protected]
Ontvangen: door 10.60.14.3 met SMTP id l3csp18666oec;
Tue, 6 mrt 2012 08:30:51 -0800( PST)
Ontvangen: door 10.68.125.129 met SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Retourpad: & lt; [email protected]>
ontvangen: van exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
door mx.google.com met SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 maart 2012 08:30:50 -0800( PST)
ontvangen-SPF: neutraal( google.com: 64.18.2.16 is niet toegestaan of geweigerd door de beste schatting van het domein van [email protected]) client-ip = 64.18.2.16;
-verificatie-resultaten: mx.google.com;spf = neutraal( google.com: 64.18.2.16 is niet toegestaan of ontkend door de beste gokrecord voor domein van [email protected]) [email protected]
ontvangen: van mail.externalemail.com( [XXX.XXX.XXX.XXX])( met behulp van TLSv1) van exprod7ob119.postini.com( [64.18.6.12]) met SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Ontvangen: van MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) door
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) met mapi;Tue, 6 Mar
2012 11:30:48 -0500
Van: Jason Faulkner & lt; [email protected]>
Aan: "[email protected]" & lt; [email protected]>
Datum: di, 6 maart 2012 11:30:48 -0500
Onderwerp: Dit is een legitieme e-mail
Thread-Topic: Dit is een legitieme e-mail
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Acceptatietaal: nl-US
Inhoud-taal: en-US
X-MS-has-attach:
X-MS-TNEF-Correlator:
acceptatietaal: nl-NL
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Versie: 1.0
Wanneer u een e-mailheader leest, zijn de gegevens in omgekeerde chronologische volgorde, wat betekent dat de informatie bovenaan de meest recente gebeurtenis is. Als u de e-mail van afzender naar ontvanger wilt traceren, begint u onderaan. Bij het bekijken van de kopteksten van deze e-mail kunnen we verschillende dingen zien.
Hier zien we informatie die is gegenereerd door de verzendende client. In dit geval is de e-mail verzonden vanuit Outlook, dus dit is de metagegevens die Outlook toevoegt.
Van: Jason Faulkner & lt; [email protected]>
Aan: "[email protected]" & lt; [email protected]>
Datum: di, 6 mrt 2012 11:30:48 -0500
Onderwerp: Dit is een legitieme e-mail
Thread-Topic: Dit is een legitieme e-mail
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Acceptatietaal: nl-US
Inhoud-taal: en-US
X-MS-has-attach:
X-MS-TNEF-Correlator:
acceptatietaal: nl-NL
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Versie: 1.0
Het volgende deel volgt het pad dat de e-mail van de verzendende server naar de doelserver voert. Houd er rekening mee dat deze stappen( of hops) in omgekeerde chronologische volgorde worden weergegeven. We hebben het respectieve nummer naast elke hop geplaatst om de bestelling te illustreren. Merk op dat elke hop details toont over het IP-adres en de respectievelijke omgekeerde DNS-naam.
Delivered-To: [email protected]
[6] Ontvangen: door 10.60.14.3 met SMTP id l3csp18666oec;
Tue, 6 mrt 2012 08:30:51 -0800( PST)
[5] Ontvangen: door 10.68.125.129 met SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Retourpad: & lt; [email protected]>
[4] ontvangen: van exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
door mx.google.com met SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] ontvangen-SPF: neutraal( google.com: 64.18.2.16 is niet toegestaan of geweigerd door de beste schatting van het domein van jfaulkner @ externalemail.com) client-ip = 64.18.2.16;
verificatie-resultaten: mx.google.com;spf = neutraal( google.com: 64.18.2.16 is niet toegestaan of geweigerd door de beste schatting van het domein van [email protected]) [email protected]
[2] ontvangen: van mail.externalailail.com( [XXX.XXX.XXX.XXX])( met behulp van TLSv1) door exprod7ob119.postini.com( [64.18.6.12]) met SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Ontvangen: van MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) door
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) met mapi;Tue, 6 Mar
2012 11:30:48 -0500
Hoewel dit vrij alledaags is voor een legitieme e-mail, kan deze informatie behoorlijk veelzeggend zijn als het gaat om het onderzoeken van spam of phishing-e-mails.
Een phishing-e-mail onderzoeken - Voorbeeld 1
Voor ons eerste phishing-voorbeeld zullen we een e-mail onderzoeken die een voor de hand liggende phishing-poging is. In dit geval zouden we deze boodschap kunnen identificeren als een fraude eenvoudigweg door de visuele indicatoren, maar voor de praktijk zullen we de waarschuwingssignalen binnen de headers bekijken.
Delivered-To: [email protected]
Ontvangen: door 10.60.14.3 met SMTP id l3csp12958oec;
maa, 5 maart 2012 23:11:29 -0800( PST)
ontvangen: door 10.236.46.164 met SMTP id r24mr7411623yhb.101.1331017888982;
ma, 05 maart 2012 23:11:28 -0800( PST)
Retourpad: & lt; [email protected]>
ontvangen: van ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
door mx.google.com met ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
ma, 05 maart 2012 23:11:28 -0800( PST)
ontvangen-SPF: mislukt( google.com: domein van [email protected] wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) client-ip = XXX.XXX.XXX.XXX;
Authenticatie-resultaten: mx.google.com;spf = hardfail( google.com: domein van [email protected] wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) [email protected]
ontvangen: met MailEnable Postoffice Connector;Tue, 6 Mar 2012 02:11:20 -0500
Ontvangen: van mail.lovingtour.com( [211.166.9.218]) door ms.externalemail.com met MailEnable ESMTP;Din, 6 mrt 2012 02:11:10 -0500
ontvangen: van gebruiker( [118.142.76.58])
door mail.lovingtour.com
;Ma, 5 mrt 2012 21:38:11 +0800
Bericht-ID: & lt; [email protected]>Antwoord van
: & lt; [email protected]>
Van: "[email protected]" & lt; [email protected]>
Onderwerp: Opmerking
Datum: ma, 5 maart 2012 21:20:57 +0800
MIME-versie: 1.0
Inhoudstype: multipart / gemengd;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioriteit: 3
X-MSMail-Prioriteit: Normaal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Geproduceerd door Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
De eerste rode vlag bevindt zich in het clientinformatiegebied. Merk hier op dat de toegevoegde metadata verwijst naar Outlook Express. Het is onwaarschijnlijk dat Visa zo ver achterloopt op het moment dat iemand iemand handmatig e-mails stuurt met een 12-jarige e-mailclient.
Antwoord aan: & lt; [email protected]>
Van: "[email protected]" & lt; [email protected]>
Onderwerp: Opmerking
Datum: ma, 5 maart 2012 21:20:57 +0800
MIME-versie: 1.0
Inhoudstype: multipart / gemengd;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioriteit: 3
X-MSMail-Priority: Normaal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Geproduceerd door Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Nu onderzoek van de eerste hop in de e-mailroutering leert dat de afzender zich op IP-adres 118.142.76.58 bevond en dat hun e-mail werd doorgestuurd via de mailserver mail.lovingtour.com.
ontvangen: van gebruiker( [118.142.76.58])
door mail.lovingtour.com
;Mon, 5 mrt 2012 21:38:11 +0800
Als we de IP-informatie opzoeken met het IPNetInfo-hulpprogramma van Nirsoft, zien we dat de afzender zich in Hong Kong bevond en de e-mailserver zich in China bevindt.
Onnodig te zeggen dat dit een beetje achterdochtig is.
De rest van de e-mailhops zijn in dit geval niet echt relevant, omdat ze laten zien dat e-mail botst rond legitiem serververkeer voordat ze uiteindelijk worden afgeleverd.
Een phishing-e-mail onderzoeken - voorbeeld 2
Voor dit voorbeeld is onze phishing-e-mail veel overtuigender. Er zijn een paar visuele indicatoren hier als u hard genoeg kijkt, maar nogmaals voor de doeleinden van dit artikel gaan we ons onderzoek beperken tot e-mailheaders.
Delivered-To: [email protected]
Ontvangen: door 10.60.14.3 met SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
Ontvangen: door 10.236.170.165 met SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Retourpad: & lt; [email protected]>
ontvangen: van ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
door mx.google.com met ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Received-SPF: fail( google.com: domein van [email protected] wijst XXX.XXX.XXX.XXX niet aan als gemachtigde afzender) client-ip = XXX.XXX.XXX.XXX;
Authenticatie-resultaten: mx.google.com;spf = hardfail( google.com: domein van [email protected] wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) [email protected]
ontvangen: met MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
Ontvangen: van dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) door ms.externalemail.com met MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
ontvangen: van apache door intuit.com met lokale( Exim 4.67)
( enveloppe van & lt; [email protected]>)
id GJMV8N-8BERQW-93
voor& lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
Aan: & lt; [email protected]>
Onderwerp: uw Intuit.com-factuur.
X-PHP-Script: intuit.com/sendmail.php voor 118.68.152.212
Van: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioriteit: 1
MIME-versie: 1.0
Inhoudstype: multipart / alternatief;
boundary = "---- 03060500702080404010506"
Bericht-ID: & lt; [email protected]>
Datum: di, 6 maart 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
In dit voorbeeld is een mailclienttoepassing niet gebruikt, in plaats daarvan een PHP-script met het bron-IP-adres van 118.68.152.212.
Aan: & lt; [email protected]>
Onderwerp: uw Intuit.com-factuur.
X-PHP-Script: intuit.com/sendmail.php voor 118.68.152.212
Van: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-prioriteit: 1
MIME-versie: 1.0
Inhoudstype: multipart / alternatief;
boundary = "---- 03060500702080404010506"
Bericht-ID: & lt; [email protected]>
Datum: di, 6 maart 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
Als we echter naar de eerste e-mailhoppen kijken, lijkt het legitiem als de domeinnaam van de verzendende server overeenkomt met het e-mailadres. Wees hier echter op bedacht, want een spammer kan zijn server "intuit.com" noemen.
ontvangen: van apache door intuit.com met lokaal( Exim 4.67)
( envelop van & lt; [email protected]>)
id GJMV8N-8BERQW-93
voor & lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
Als je de volgende stap onderzoekt, stort dit kaartenhuis in. U ziet dat de tweede hop( waar deze wordt ontvangen door een legitieme e-mailserver) de verzendende server terugbrengt naar het domein "dynamic-pool-xxx.hcm.fpt.vn", niet "intuit.com" met hetzelfde IP-adresaangegeven in het PHP-script.
ontvangen: van dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) door ms.externalemail.com met MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Het bekijken van de IP-adresinformatie bevestigt het vermoeden dat de locatie van de mailserver terugvalt naar Viet Nam.
Hoewel dit voorbeeld een beetje slimmer is, kun je zien hoe snel de fraude wordt onthuld met slechts een klein beetje onderzoek.
Conclusie
Hoewel het bekijken van e-mailheaders waarschijnlijk geen deel uitmaakt van uw dagelijkse dagelijkse behoeften, zijn er gevallen waarin de informatie die erin staat behoorlijk waardevol kan zijn. Zoals we hierboven hebben laten zien, kun je gemakkelijk afzenders identificeren die zich voordoen als iets wat ze niet zijn. Voor een zeer goed uitgevoerde oplichterij waarbij visuele aanwijzingen overtuigend zijn, is het uiterst moeilijk( zo niet onmogelijk) om zich als echte e-mailservers na te doen en het bekijken van de informatie in e-mailheaders kan snel alle chicanes onthullen.
Links
Download IPNetInfo van Nirsoft