25Aug
Kiedy otrzymujesz e-mail, jest o wiele więcej niż na pierwszy rzut oka. Podczas gdy zazwyczaj zwracasz uwagę tylko na adres, temat i treść wiadomości, istnieje wiele dodatkowych informacji "pod maską" każdego e-maila, które mogą dostarczyć Ci wielu dodatkowych informacji.
Po co martwić się nagłówkiem wiadomości e-mail?
To jest bardzo dobre pytanie. W przeważającej części, naprawdę nigdy byś tego nie potrzebował, chyba że:
- Podejrzewasz, że wiadomość e-mail jest próbą phishingu lub podróbką
- Chcesz zobaczyć informacje o routingu na ścieżce wiadomości e-mail
- Jesteś ciekawską maniakiem
Bez względu na powody, czytanienagłówki wiadomości e-mail są w rzeczywistości dość łatwe i mogą być bardzo odkrywcze.
Uwaga: Z naszych zrzutów ekranu i danych będziemy korzystać z Gmaila, ale praktycznie każdy inny klient poczty powinien również podać te same informacje.
Wyświetlanie nagłówka wiadomości
W Gmailu wyświetl wiadomość e-mail. W tym przykładzie użyjemy poniższego e-maila.
Następnie kliknij strzałkę w prawym górnym rogu i wybierz Pokaż oryginał.
Wynikowe okno będzie zawierało dane nagłówka wiadomości e-mail w postaci zwykłego tekstu.
Uwaga: we wszystkich danych nagłówka e-mail, które pokazuję poniżej, zmieniłem mój adres Gmaila, aby wyświetlać jako [email protected] i mój zewnętrzny adres e-mail, aby pokazać jako [email protected] i [email protected] oraz zamaskowany adres IP moich serwerów pocztowych.
Dostarczono: Do: [email protected]
Otrzymano: przez 10.60.14.3 z identyfikatorem SMTP l3csp18666oec;
Wt, 6 Mar 2012 08:30:51 -0800( PST)
Otrzymano: przez 10.68.125.129 z identyfikatorem SMTP mq1mr1963003pbb.21.1331051451044;
Wt, 06 marca 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected]>
Received: od exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com z identyfikatorem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Wt., 06 marca 2012 08:30:50 -0800( PST)
Otrzymane-SPF: neutralne( google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania domeny [email protected])ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutral( google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]
Otrzymano: from mail.externalemail.com( [XXX.XXX.XXX.XXX])( przy użyciu TLSv1) przez exprod7ob119.postini.com( [64.18.6.12]) z SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Wto, 06 Mar 2012 08:30:50 PST
Otrzymano: od MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) przez
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) z mapi;Wt, 6 Mar
2012 11:30:48 -0500
Od: Jason Faulkner & lt; [email protected]>
Do: "[email protected]" & lt; [email protected]>
Data: wtorek, 6 marca 2012 11:30:48 -0500
Temat: To jest legalny adres e-mail
Temat-wątek: To jest legalny adres e-mail
Indeks wątków: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Wiadomość-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Zaakceptuj język: en-US
Język treści: en-US
X-MS-has-Attach:
X-MS-TNEF-Korelator:
Akceptjjęzyk: en-US
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Wersja MIME: 1.0
Kiedy czytasz nagłówek wiadomości e-mail, dane są w odwrotnej kolejności chronologicznej, co oznacza, że informacje u góry są najnowszym wydarzeniem. Dlatego jeśli chcesz prześledzić pocztę od nadawcy do odbiorcy, zacznij od dołu. Analizując nagłówki tego e-maila, widzimy kilka rzeczy.
Tutaj widzimy informacje generowane przez klienta wysyłającego. W tym przypadku wiadomość e-mail została wysłana z programu Outlook, więc jest to metadane dodane przez program Outlook.
Od: Jason Faulkner & lt; [email protected]>
Do: "[email protected]" & lt; [email protected]>
Data: wtorek, 6 marca 2012 11:30:48 -0500
Temat: To jest legalny adres e-mail
Temat-wątek: To jest legalny adres e-mail
Indeks wątków: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Zaakceptuj język: en-US
Język treści: en-US
X-MS-Has-Attach:
X-MS-TNEF-Korelator:
Akceptjjęzyk: en-US
Content-Type: multipart / alternative;Granica
= "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0
Następna część śledzi ścieżkę, którą wiadomość e-mail odbiera z serwera wysyłającego do serwera docelowego. Należy pamiętać, że te kroki( lub chmiel) są wymienione w odwrotnej kolejności chronologicznej. Umieściliśmy odpowiedni numer przy każdym przeskoku, aby zilustrować zamówienie. Zauważ, że każdy skok pokazuje szczegóły dotyczące adresu IP i odpowiedniej odwrotnej nazwy DNS.
dostarczone do: [email protected]
[6] odebrane: przez 10.60.14.3 z identyfikatorem SMTP l3csp18666oec;
Wt, 6 marca 2012 08:30:51 -0800( PST)
[5] Otrzymano: przez 10.68.125.129 z identyfikatorem SMTP mq1mr1963003pbb.21.1331051451044;
Wt., 06 marca 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected]>
[4] Received: od exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com z identyfikatorem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Wt, 06 marca 2012 08:30:50 -0800( PST)
[3] Otrzymane-SPF: neutralne( google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny jfaulkner @ externalemail.com) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutral( google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]
[2] Otrzymano: z mail.externalemail.com( [XXX.XXX.XXX.XXX])( przy użyciu TLSv1) przez exprod7ob119.postini.com( [64.18.6.12]) z SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Wt, 06 Mar 2012 08:30:50 PST
[1] Otrzymano: od MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) przez
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) z mapi;Wt., 6 Mar
2012 11:30:48 -0500
Chociaż jest to całkiem przyziemne ze względu na wiarygodny e-mail, informacje te mogą być całkiem przydatne, jeśli chodzi o zbieranie spamu lub phishingu.
Badanie wiadomości e-mail wyłudzających informacje - przykład 1
W przypadku naszego pierwszego przykładu wyłudzania informacji sprawdzimy wiadomość e-mail, która jest oczywistą próbą wyłudzenia informacji. W tym przypadku możemy zidentyfikować tę wiadomość jako oszustwo po prostu za pomocą wizualnych wskaźników, ale dla praktyki przyjrzymy się znakom ostrzegawczym w nagłówku.
dostarczone do: [email protected]
odebrane: przez 10.60.14.3 z identyfikatorem SMTP l3csp12958oec;
Pon., 5 Mar 2012 23:11:29 -0800( PST)
Otrzymano: przez 10.236.46.164 z identyfikatorem SMTP r24mr7411623yhb.101.1331017888982;
Pon., 05 marca 2012 23:11:28 -0800( PST)
Return-Path: & lt; [email protected]>
Odebrano: od ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
przez mx.google.com z identyfikatorem ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Pon., 05 marca 2012 23:11:28 -0800( PST)
Otrzymane-SPF: niepowodzenie( google.com: domena [email protected] nie oznacza XXX.XXX.XXX.XXX jako dozwolonego nadawcy)ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: domena [email protected] nie oznacza XXX.XXX.XXX.XXX jako dozwolonego nadawcy) [email protected]
Otrzymano: z MailEnable Postoffice Connector;Wt, 6 Mar 2012 02:11:20 -0500
Otrzymano: z mail.lovingtour.com( [211.166.9.218]) przez ms.externalemail.com z MailEnable ESMTP;Wt, 6 Mar 2012 02:11:10 -0500
Otrzymano: od Użytkownika( [118.142.76.58])
przez mail.lovingtour.com
;Pon., 5 marca 2012 21:38:11 +0800
Message-ID: & lt; [email protected]>
Reply-To: & lt; [email protected]>
Od: "[email protected]" & lt; [email protected]>
Temat: Powiadomienie
Data: Pon., 5 Mar 2012 21:20:57 +0800
Wersja MIME: 1.0
Treść-typ: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorytet X: 3
X-MSMail-Priority: Normalny
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Wyprodukowany przez Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Pierwsza czerwona flaga znajduje się w obszarze informacyjnym klienta. Zauważ, że metadane dodały odwołania do programu Outlook Express. Jest mało prawdopodobne, że Visa jest tak daleko w czasach, gdy ktoś ręcznie wysyła wiadomości e-mail za pomocą 12-letniego klienta poczty e-mail.
Reply-To: & lt; [email protected]>
Od: "[email protected]" & lt; [email protected]>
Temat: Powiadomienie
Data: Pon., 5 Mar 2012 21:20:57 +0800
Wersja MIME: 1.0
Treść-typ: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorytet X: 3
X-MSMail-Priority: Normalny
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produkcja Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Teraz badanie pierwszego przeskoku w routerze e-mailowym ujawniło, że nadawca znajdował się pod adresem IP 118.142.76.58, a jego wiadomość e-mail została przekazana za pośrednictwem serwera poczty mail.lovingtour.com.
Otrzymano: od użytkownika( [118.142.76.58])
przez mail.lovingtour.com
;Poniedziałek, 5 Mar 2012 21:38:11 +0800
Wyszukując informacje IP przy użyciu narzędzia IPNetInfo Nirsoft, widzimy, że nadawca znajdował się w Hongkongu, a serwer pocztowy znajduje się w Chinach.
Nie trzeba dodawać, że jest to trochę podejrzane.
Reszta przeskoków wiadomości e-mail nie jest tak naprawdę istotna w tym przypadku, ponieważ pokazują one wiadomości e-mail odbijające się od prawidłowego ruchu na serwerze, zanim zostaną ostatecznie dostarczone.
Badanie wiadomości e-mail wyłudzających informacje - przykład 2
W tym przykładzie nasza wiadomość e-mail wyłudzająca informacje jest znacznie bardziej przekonująca. Jest kilka wskaźników wizualnych, jeśli spojrzysz wystarczająco mocno, ale ponownie dla celów tego artykułu ograniczymy nasze dochodzenie do nagłówków e-mail.
dostarczone do: [email protected]
odebrane: przez 10.60.14.3 z identyfikatorem SMTP l3csp15619oec;
Wt, 6 marca 2012 04:27:20 -0800( PST)
Otrzymano: przez 10.236.170.165 z identyfikatorem SMTP p25mr8672800yhl.123.1331036839870;
Wt, 06 marca 2012 04:27:19 -0800( PST)
Return-Path: & lt; [email protected]>
Odebrano: od ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
przez mx.google.com z identyfikatorem ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Wt, 06 marca 2012 04:27:19 -0800( PST)
Odebrano-SPF: niepowodzenie( google.com: domena [email protected] nie oznacza XXX.XXX.XXX.XXX jako dozwolonego nadawcy)ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: domena [email protected] nie oznacza XXX.XXX.XXX.XXX jako dozwolonego nadawcy) [email protected]
Otrzymano: z MailEnable Postoffice Connector;Wt, 6 marca 2012 07:27:13 -0500
Odebrano: od dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) przez ms.externalemail.com z MailEnable ESMTP;Wt, 6 Mar 2012 07:27:08 -0500
Otrzymano: od apache przez intuit.com z lokalnym( Exim 4.67)
( koperta z & lt; [email protected]>)
id GJMV8N-8BERQW-93
dla& lt; [email protected]> ;Wt, 6 Mar 2012 19:27:05 +0700
Do: & lt; [email protected]>
Temat: Twoja faktura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php dla 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Priority: 1
MIME-Version: 1.0
Content-Type: multipart / alternative;
boundary = "---- 03060500702080404010506"
Message-Id: & lt; [email protected]>
Data: wtorek, 6 marca 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
W tym przykładzie aplikacja klienta poczty nie była używana, a raczej skrypt PHP ze źródłowym adresem IP 118.68.152.212.
Do: & lt; [email protected]>
Temat: Twoja faktura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php dla 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
Priorytet X: 1
Wersja MIME: 1.0
Content-Type: multipart / alternative;
boundary = "---- 03060500702080404010506"
Message-Id: & lt; [email protected]>
Data: wtorek, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
Jednak, gdy patrzymy na pierwszy e-mail, wydaje się, że jest to uzasadnione, ponieważ nazwa domeny serwera wysyłającego jest zgodna z adresem e-mail. Bądź jednak ostrożny, ponieważ spamer może z łatwością nazwać swój serwer "intuit.com".
Otrzymano: od apache przez intuit.com z lokalnym( Exim 4.67)
( koperta z & lt; [email protected]>)
id GJMV8N-8BERQW-93
dla & lt; [email protected]> ;Wt, 6 Mar 2012 19:27:05 +0700
Badanie następnego kroku rozpada ten dom z kart. Możesz zobaczyć, że drugi przeskok( gdzie jest odbierany przez legalny serwer e-mail) rozwiązuje serwer wysyłający z powrotem do domeny "dynamic-pool-xxx.hcm.fpt.vn", a nie "intuit.com" z tym samym adresem IPwskazane w skrypcie PHP.
Received: from dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) przez ms.externalemail.com z MailEnable ESMTP;Wt, 6 Mar 2012 07:27:08 -0500
Wyświetlenie informacji o adresie IP potwierdza podejrzenie, gdy lokalizacja serwera pocztowego zostanie zwrócona z powrotem do Wietnamu.
Chociaż ten przykład jest nieco bardziej sprytny, możesz zobaczyć, jak szybko ujawnia się oszustwo z niewielkim tylko dociekaniem.
Wniosek
Podczas przeglądania nagłówków e-mail prawdopodobnie nie jest częścią typowych codziennych potrzeb, są przypadki, w których zawarte w nich informacje mogą być dość cenne. Jak pokazaliśmy powyżej, można dość łatwo zidentyfikować nadawców, którzy podszywają się pod coś, czym nie są.W przypadku bardzo dobrze zrealizowanego oszustwa, w którym przekonujące są sygnały wizualne, niezwykle trudne( jeśli nie niemożliwe) jest podszywanie się pod rzeczywiste serwery pocztowe, a przeglądanie informacji w nagłówkach wiadomości e-mail może szybko ujawnić wszelkie szykany.
Łącza
Pobierz IPNetInfo z Nirsoft