25Aug

O que você pode encontrar em um cabeçalho de e-mail?

click fraud protection

Sempre que você receber um e-mail, há muito mais do que atende o olho. Embora normalmente você apenas preste atenção ao endereço, à linha de assunto e ao corpo da mensagem, há muito mais informações disponíveis "sob o capô" de cada e-mail, o que pode fornecer uma grande quantidade de informações adicionais.

Por que incomodar Olhando para um cabeçalho de e-mail?

Esta é uma pergunta muito boa. Na maior parte, você realmente não precisaria, a menos que:

  • Você suspeita que um e-mail é uma tentativa de phishing ou spoof
  • Você deseja visualizar as informações de roteamento no caminho do e-mail
  • Você é um curioso geek

Independentemente dos seus motivos, lendocabeçalhos de e-mail é bastante fácil e pode ser muito revelador.

Artigo Nota: Para as nossas capturas de tela e dados, estaremos usando o Gmail, mas praticamente todos os outros clientes de correio devem fornecer essa mesma informação também.

Visualizando o cabeçalho do email

No Gmail, veja o e-mail. Para este exemplo, usaremos o email abaixo.

instagram viewer

Em seguida, clique na seta no canto superior direito e selecione Mostrar original.

A janela resultante terá os dados do cabeçalho de e-mail em texto simples.

Nota: Em todos os dados de cabeçalho de e-mail que eu mostro abaixo, alterei meu endereço do Gmail para mostrar como [email protected] e meu endereço de e-mail externo para mostrar como [email protected] e [email protected] , além de mascarar o endereço IP dos meus servidores de e-mail.

Entregue-Para: [email protected]
Recebido: por 10.60.14.3 com ID SMTP l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
Recebido: por 10.68.125.129 com identificação SMTP mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected]>
Recebido: de exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com com ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Recebido-SPF: neutro( google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para domínio de [email protected]) cliente-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutro( google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para domínio de [email protected]) [email protected]
Recebido: de mail.externalemail.com( [XXX.XXX.XXX.XXX])( usando TLSv1) por exprod7ob119.postini.com( [64.18.6.12]) com SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Recebido: de MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) com mapi;Tue, 6 Mar
2012 11:30:48 -0500
De: Jason Faulkner & lt; [email protected] & gt;
Para: "[email protected]" & lt; [email protected] & gt;
Data: Tue, 6 Mar 2012 11:30:48 -0500
Assunto: Este é um e-mail legível
Thread-Topic: Este é um e-mail legível
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Mensagem-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Aceitar-Língua: en-US
Conteúdo-Língua: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0

Quando você lê um cabeçalho de e-mail, os dados estão em ordem cronológica reversa, o que significa que a informação no topo é o evento mais recente. Por isso, se quiser rastrear o e-mail do remetente para o destinatário, comece pela parte inferior. Examinando os cabeçalhos deste e-mail, podemos ver várias coisas.

Aqui vemos informações geradas pelo cliente emissor. Nesse caso, o e-mail foi enviado do Outlook, então este é o metadado que o Outlook adiciona.

De: Jason Faulkner & lt; [email protected]>
Para: "[email protected]" & lt; [email protected]>
Data: Tue, 6 Mar 2012 11:30:48 -0500
Assunto: Este é um e-mail legível
Thread-Topic: Este é um e-mail legítimo
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Mensagem-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Aceitar-Língua: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Tipo de Conteúdo: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0

A próxima parte rastreia o caminho que o e-mail leva do servidor de envio para o servidor de destino. Tenha em mente que essas etapas( ou saltos) estão listadas em ordem cronológica reversa. Colocamos o respectivo número ao lado de cada salto para ilustrar o pedido. Observe que cada salto mostra detalhes sobre o endereço IP e o respectivo nome DNS reverso.

Entregue-Para: [email protected]
[6] Recebido: por 10.60.14.3 com ID SMTP l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
[5] Recebido: por 10.68.125.129 com identificação SMTP mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected]>
[4] Recebido: de exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com com id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Recebido-SPF: neutro( google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para o domínio do jfaulkner @ externalemail.com) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutro( google.com: 64.18.2.16 não é permitido nem recusado pelo melhor registro de suposições para domínio de [email protected]) [email protected]
[2] Recebido: de mail.externalemail.com( [XXX.XXX.XXX.XXX])( usando TLSv1) por exprod7ob119.postini.com( [64.18.6.12]) com SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Recebido: de MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) com mapi;Tue, 6 Mar
2012 11:30:48 -0500

Embora isso seja bastante banal para um e-mail legítimo, esta informação pode ser bastante reveladora quando se trata de examinar spam ou e-mails de phishing.

Examinando um e-mail de phishing - Exemplo 1

Para o nosso primeiro exemplo de phishing, examinaremos um e-mail que é uma tentativa de phishing óbvia. Neste caso, podemos identificar esta mensagem como uma fraude apenas pelos indicadores visuais, mas para a prática, veremos os sinais de alerta dentro dos cabeçalhos.

Entregue-Para: [email protected]
Recebido: por 10.60.14.3 com ID SMTP l3csp12958oec;
Seg, 5 Mar 2012 23:11:29 -0800( PST)
Recebido: por 10.236.46.164 com identificação SMTP r24mr7411623yhb.101.1331017888982;
Seg, 05 Mar 2012 23:11:28 -0800( PST)
Return-Path: & lt; [email protected]>
Recebido: de ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx.google.com com ID ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Seg, 05 Mar 2012 23:11:28 -0800( PST)
Recebido-SPF: falha( google.com: domínio de [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) cliente-ip = XXX.XXX.XXX.XXX;
Autenticação-Resultados: mx.google.com;spf = hardfail( google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected]
Recebido: com MailEnable Postoffice Connector;Tue, 6 Mar 2012 02:11:20 -0500
Recebido: de mail.lovingtour.com( [211.166.9.218]) por ms.externalemail.com com MailEnable ESMTP;Tue, 6 Mar 2012 02:11:10 -0500
Recebido: do Usuário( [118.142.76.58])
por mail.lovingtour.com
;Seg, 5 Mar 2012 21:38:11 +0800
ID da mensagem: & lt; [email protected]>
Reply-To: & lt; [email protected]>
De: "[email protected]" & lt; [email protected] & gt;
Assunto: Aviso
Data: Seg, 5 Mar 2012 21:20:57 +0800
Versão MIME: 1.0
Content-Type: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioridade: 3
X-MSMail-Prioridade: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produzido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

A primeira bandeira vermelha está na área de informações do cliente. Observe aqui que os metadados adicionaram referências do Outlook Express.É improvável que a Visa esteja tão atrasada nos horários em que eles mandam enviando emails manualmente usando um cliente de e-mail de 12 anos.

Reply-To: & lt; [email protected]>
De: "[email protected]" & lt; [email protected]>
Assunto: Aviso
Data: Seg, 5 Mar 2012 21:20:57 +0800
Versão MIME: 1.0
Content-Type: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioridade: 3
X-MSMail-Prioridade: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produzido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Agora, examinar o primeiro salto no roteamento de e-mail revela que o remetente estava localizado no endereço IP 118.142.76.58 e seu e-mail foi transmitido através do servidor de correio mail.lovingtour.com.

Recebido: do Usuário( [118.142.76.58])
por mail.lovingtour.com
;Seg, 5 Mar 2012 21:38:11 +0800

Procurando as informações de IP usando o utilitário IPNetInfo da Nirsoft, podemos ver que o remetente estava localizado em Hong Kong e o servidor de email está localizado na China.

Desnecessário dizer que isso é um pouco desconfiado.

O resto do lúpulo de e-mail não é realmente relevante neste caso, pois eles mostram o e-mail saltando em torno do tráfego do servidor legítimo antes de ser finalmente entregue.

Examinando um e-mail de phishing - Exemplo 2

Para este exemplo, nosso e-mail de phishing é muito mais convincente. Há alguns indicadores visuais aqui se você olhar duro o suficiente, mas novamente para os propósitos deste artigo, vamos limitar a nossa investigação aos cabeçalhos de e-mail.

Entregue-Para: [email protected]
Recebido: por 10.60.14.3 com ID SMTP l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
Recebido: por 10.236.170.165 com identificação SMTP p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Return-Path: & lt; [email protected] & gt;
Recebido: de ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx.google.com com ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Recebido-SPF: falha( google.com: domínio de seguranç[email protected] não designa XXX.XXX.XXX.XXX como remetente autorizado) cliente-ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected]
Recebido: com MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
Recebido: de dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) por ms.externalemail.com com MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Recebido: de apache por intuit.com com local( Exim 4.67)
( envelope-from & lt; [email protected]>)
ID GJMV8N-8BERQW-93
para& lt; [email protected] & gt; ;Tue, 6 Mar 2012 19:27:05 +0700
Para: & lt; [email protected] & gt;
Assunto: Sua fatura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-Prioridade: 1
MIME-Versão: 1.0
Tipo de Conteúdo: multipart / alternative;
boundary = "---- 03060500702080404010506"
Message-Id: & lt; [email protected]>
Data: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Neste exemplo, um aplicativo de cliente de email não foi usado, em vez de um script PHP com o endereço IP de origem de 118.68.152.212.

Para: & lt; [email protected]>
Assunto: sua fatura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: "INTUIT INC." & Lt; [email protected] & gt;
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-Prioridade: 1
Versão MIME: 1.0
Tipo de Conteúdo: multipart / alternative;
boundary = "---- 03060500702080404010506"
Message-Id: & lt; [email protected] & gt;
Data: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

No entanto, quando olhamos para o primeiro e-mail, parece que ele é legítimo, pois o nome do domínio do servidor que envia corresponde ao endereço de e-mail. No entanto, tenha cuidado com isso, pois um spammer poderia facilmente nomear o servidor "intuit.com".

Recebido: de apache por intuit.com com local( Exim 4.67)
( envelope-from & lt; [email protected]>)
ID GJMV8N-8BERQW-93
para & lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700

Examinar o próximo passo desmorona esta casa de cartas. Você pode ver o segundo salto( onde é recebido por um servidor de e-mail legítimo) resolve o servidor de envio de volta para o domínio "dynamic-pool-xxx.hcm.fpt.vn", não "intuit.com" com o mesmo endereço IPindicado no script PHP.

Recebido: de dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) por ms.externalemail.com com MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500

A visualização das informações do endereço IP confirma a suspeita à medida que a localização do servidor de correio resolva de volta ao Vietnã.

Embora este exemplo seja um pouco mais esperto, você pode ver a rapidez com que a fraude é revelada com apenas um pouco de investigação.

Conclusão

Embora a visualização de cabeçalhos de e-mail provavelmente não seja parte das suas necessidades típicas do dia a dia, existem casos em que as informações contidas neles podem ser bastante valiosas. Como mostramos acima, você pode identificar facilmente os remetentes que se escondem como algo que não são. Para uma fraude muito bem executada, onde as pistas visuais são convincentes, é extremamente difícil( se não impossível) representar os servidores de correio reais e revisar as informações dentro dos cabeçalhos de e-mail pode revelar rapidamente qualquer chicanaria.

Links

Baixe IPNetInfo do Nirsoft