25Aug

Hva kan du finne i en e-post overskrift?

click fraud protection

Når du mottar en e-post, er det mye mer enn det som møter øyet. Mens du vanligvis bare holder oppmerksom på fra adresse, emnelinje og kropp av meldingen, er det mye mer informasjon tilgjengelig "under hetten" av hver e-post som kan gi deg et vell av tilleggsinformasjon.

Hvorfor bry deg om å se på en e-postadresse?

Dette er et veldig godt spørsmål. For det meste ville du egentlig aldri trenger å med mindre:

  • Du mistenker at en e-post er et phishing-forsøk eller spoof
  • Du vil vise rutefunksjoner på e-postens vei
  • Du er en nysgjerrig geek

Uavhengig av grunnene dine, leser due-postheader er faktisk ganske enkelt og kan være veldig avslørende.

Artikkel Note: For våre skjermbilder og data, bruker vi Gmail, men nesten alle andre e-postklienter bør også gi samme informasjon.

Vise e-post Header

I Gmail, se e-posten. For dette eksempelet bruker vi e-posten nedenfor.

Klikk deretter pilen øverst til høyre og velg Vis original.

Det resulterende vinduet vil ha e-post header data i ren tekst.

instagram viewer

Merk: I alle e-post header dataene jeg viser nedenfor har jeg endret Gmail-adressen min for å vise som [email protected] og min eksterne e-postadresse for å vise som [email protected] og [email protected] samt maskert IP-adressen til mine e-postservere.

Leveres til: [email protected]
Mottatt: ved 10.60.14.3 med SMTP ID l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
Mottatt: ved 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
tirsdag, 06 mars 2012 08:30:51 -0800( PST)
Returbane: & lt; [email protected]>
Mottatt: fra exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Mottatt-SPF: nøytral( google.com: 64.18.2.16 er verken tillatt eller nektet av beste gjetningspost for domene på [email protected])ip = 64.18.2.16;
Autentiseringsresultater: mx.google.com;spf = nøytral( google.com: 64.18.2.16 er ikke tillatt eller nektet av beste gjetningspost for domene på [email protected]) [email protected]
Mottatt: fra mail.externalemail.com( [XXX.XXX.XXX.XXX])( ved hjelp av TLSv1) av exprod7ob119.postini.com( [64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tirsdag, 06 mars 2012 08:30:50 PST
Mottatt: fra MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) av
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) med mapi;Tirsdag, 6 Mar
2012 11:30:48 -0500
Fra: Jason Faulkner & lt; [email protected]>
Til: "[email protected]" & lt; [email protected]>
Dato: Tue, 6 Mar 2012 11:30:48 -0500
Emne: Dette er en legitim e-post
Tråd-emne: Dette er en legitim e-post
Tråd-indeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Godkjenningsspråk: en-US
Innholdsspråk: en-US
X-MS-Has-Attach:
X-MS-TNEF-korrelator:
Accept-språk: en-US
Content Type: multipart / alternative;
grense = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-versjon: 1.0

Når du leser en e-post header, er dataene i omvendt kronologisk rekkefølge, noe som betyr at informasjonen øverst er den siste hendelsen. Derfor hvis du vil spore e-posten fra avsender til mottaker, starter du nederst. Ved å undersøke overskriftene i denne e-posten kan vi se flere ting.

Her ser vi informasjon generert av senderklienten. I dette tilfellet ble e-posten sendt fra Outlook, så dette er metadataen Outlook legger til.

Fra: Jason Faulkner & lt; [email protected]>
Til: "[email protected]" & lt; [email protected]>
Dato: Tue, 6 Mar 2012 11:30:48 -0500
Emne: Dette er en legitim e-post
Tråd-emne: Dette er en legitim e-post
Tråd-indeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Godta språk: en-US
Innholdsspråk: en-US
X-MS-har-vedlegg:
X-MS-TNEF-korrelator:
godkjennelsestype: en-US
Content Type: multipart / alternative;
grense = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-versjon: 1.0

Den neste delen sporer banen e-posten tar fra sendingsserveren til destinationsserveren. Husk at disse trinnene( eller humle) er oppført i omvendt kronologisk rekkefølge. Vi har plassert respektive nummer ved siden av hvert hopp for å illustrere bestillingen. Merk at hvert hopp viser detalj om IP-adressen og det respektive omvendte DNS-navnet.

Leveres til: [email protected]
[6] Mottatt: ved 10.60.14.3 med SMTP ID l3csp18666oec;
tirsdag, 6 mars 2012 08:30:51 -0800( PST)
[5] Mottatt: ved 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Returbane: & lt; [email protected]>
[4] Mottatt: fra exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP ID l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Mottatt-SPF: nøytral( google.com: 64.18.2.16 er ikke tillatt eller nektet av beste gjetningspost for domenet til jfaulkner @ externalemail.com) klient-ip = 64.18.2.16;
Autentiseringsresultater: mx.google.com;spf = nøytral( google.com: 64.18.2.16 er ikke tillatt eller nektet av beste gjetningspost for domenet til [email protected]) [email protected]
[2] Mottatt: fra mail.externalemail.com( [XXX.XXX.XXX.XXX])( ved hjelp av TLSv1) av exprod7ob119.postini.com( [64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Mottatt: fra MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) av
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) med mapi;Tirsdag, 6 Mar
2012 11:30:48 -0500

Selv om dette er ganske vanlig for en legitim e-post, kan denne informasjonen ganske fortell når det gjelder å undersøke e-postadresser for spam eller phishing.

Undersøk en Phishing-e-post - Eksempel 1

For vårt første phishing-eksempel, undersøker vi en e-post som er et tydelig phishing-forsøk. I dette tilfellet kunne vi identifisere denne meldingen som en svindel bare ved de visuelle indikatorene, men for øvelse vil vi se på advarselsskiltene i topptekstene.

Leveres til: [email protected]
Mottatt: ved 10.60.14.3 med SMTP ID l3csp12958oec;
ma, 5 mars 2012 23:11:29 -0800( PST)
Mottatt: ved 10.236.46.164 med SMTP ID r24mr7411623yhb.101.1331017888982;
ma, 05 mars 2012 23:11:28 -0800( PST)
Returbane: & lt; [email protected]>
Mottatt: fra ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx.google.com med ESMTP ID t19si8451178ani.110.2012.03.05.23.11.28;
ma, 05 mars 2012 23:11:28 -0800( PST)
Mottatt-SPF: mislykkes( google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) klient-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultater: mx.google.com;spf = hardfail( google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
Mottatt: med MailEnable Postoffice Connector;Tue, 6 Mar 2012 02:11:20 -0500
Mottatt: fra mail.lovingtour.com( [211.166.9.218]) av ms.externalemail.com med MailEnable ESMTP;Tue, 6 Mar 2012 02:11:10 -0500
Mottatt: fra bruker( [118.142.76.58])
ved mail.lovingtour.com
;Ma, 5 mars 2012 21:38:11 +0800
Meldings-ID: & lt; [email protected]>
Svar-til: & lt; [email protected]>
Fra: "[email protected]" & lt; [email protected]>
Emne: Melding
Dato: Måned, 5 Mar 2012 21:20:57 +0800
MIME-Versjon: 1.0
Content-Type: Multipart / Mixed;
grense = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-Prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Det første røde flagget er i klientinformasjonsområdet. Legg merke til at metadataene tilsier referanser til Outlook Express. Det er usannsynlig at Visa er så langt bak tiden de har noen manuelt å sende e-post med en 12 år gammel e-postklient.

Svar-til: & lt; [email protected]>
Fra: "[email protected]" & lt; [email protected]>
Emne: Melding
Dato: Måned, 5 Mar 2012 21:20:57 +0800
MIME-Versjon: 1.0
Content-Type: Multipart / Mixed;
grense = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Ved å undersøke det første hoppet i e-routingen avsløres det at avsenderen var lokalisert på IP-adressen 118.142.76.58, og e-posten ble videreformidlet via e-postserveren mail.lovingtour.com.

Mottatt: fra bruker( [118.142.76.58])
ved mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800

Ser opp IP-informasjonen ved hjelp av Nirsoft's IPNetInfo verktøy, vi kan se avsenderen var lokalisert i Hong Kong og postserveren ligger i Kina.

Det er unødvendig å si at dette er litt mistenkelig.

Resten av e-posthoppen er ikke særlig relevant i dette tilfellet da de viser e-posten som hopper rundt legitim servertrafikk før den endelig blir levert.

Undersøk en phishing-e-post - Eksempel 2

For dette eksempelet er phishing-e-posten mye mer overbevisende. Det er noen visuelle indikatorer her hvis du ser hardt ut, men igjen for denne artiklens formål skal vi begrense vår undersøkelse til e-postheader.

Leveres til: [email protected]
Mottatt: ved 10.60.14.3 med SMTP ID l3csp15619oec;
tirsdag, 6 mars 2012 04:27:20 -0800( PST)
Mottatt: ved 10.236.170.165 med SMTP-ID p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Returbane: & lt; [email protected]>
Mottatt: fra ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx.google.com med ESMTP ID o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Mottatt-SPF: mislykkes( google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) klient-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultater: mx.google.com;spf = hardfail( google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
Mottatt: med MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Mottatt: fra apache av intuit.com med lokale( Exim 4.67)
( konvolutt fra & lt; [email protected]>)
id GJMV8N-8BERQW-93
for& lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
Til: & lt; [email protected]>
Emne: Din Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
Fra: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioritet: 1
MIME-Versjon: 1.0
Innholdstype: Multipart / Alternativ;
grense = "---- 03060500702080404010506"
Meldings-ID: & lt; [email protected]>
Dato: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

I dette eksemplet ble det ikke brukt et postklientprogram, heller et PHP-skript med kilde-IP-adressen til 118.68.152.212.

Til: & lt; [email protected]>
Emne: Din Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
Fra: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioritet: 1
MIME-Versjon: 1.0
Innholdstype: Multipart / Alternativ;
grense = "---- 03060500702080404010506"
Meldings-ID: & lt; [email protected]>
Dato: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Men når vi ser på den første e-posthoppet, ser det ut til at det er legitimt som sendingens servernavn matcher e-postadressen. Vær imidlertid skeptisk til dette som en spammer kunne lett nevne serveren deres "intuit.com".

Mottatt: fra apache av intuit.com med lokale( Exim 4.67)
( konvolutt fra & lt; [email protected]>)
id GJMV8N-8BERQW-93
for & lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700

Ved å undersøke neste trinn smuldrer dette korthuset. Du kan se det andre hoppet( hvor det mottas av en legitim e-postserver) løser sendingsserveren tilbake til domenet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresseangitt i PHP-skriptet.

Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500

Vise IP-adressens informasjon bekrefter mistanken da posisjonsserverens plassering løser tilbake til Viet Nam.

Selv om dette eksemplet er litt mer smart, kan du se hvor fort svindelen blir avslørt med bare en liten undersøkelse.

Konklusjon

Mens du ser på e-postoverskrifter, sannsynligvis ikke er en del av de typiske daglige behovene dine, er det tilfeller hvor informasjonen i dem kan være ganske verdifull. Som vi viste over, kan du ganske enkelt identifisere avsendere masquerading som noe de ikke er. For en veldig godt utført svindel der visuelle signaler er overbevisende, er det ekstremt vanskelig( om ikke umulig) å etterligne faktiske e-postservere og gjennomgå informasjonen inne i e-postoverskrifter, kan raskt avsløre noen chicanery.

Lenker

Last ned IPNetInfo fra Nirsoft