25Aug
Kedykoľvek dostanete e-mail, je o to omnoho viac, ako sa stretne s oko. Zatiaľ čo obvykle venujete pozornosť iba adresám, predmetom a telu správy, je k dispozícii veľa ďalších informácií "pod kapucňou" každého e-mailu, ktorý vám môže poskytnúť množstvo ďalších informácií.
Prečo sa baviť pri pohľade na hlavičku e-mailu?
Toto je veľmi dobrá otázka. Väčšinou by ste to nikdy nepotrebovali, ak:
- máte podozrenie, že e-mail je pokus o phishing alebo spoof
- Chcete zobraziť informácie o smerovaní na ceste e-mailu
- Ste zvedavý geek
Bez ohľadu na vaše dôvody, čítaniehlavičiek e-mailov je v skutočnosti pomerne jednoduché a môže byť veľmi odhaľujúce.
Článok Poznámka: Na naše screenshoty a dáta budeme používať službu Gmail, ale prakticky každý ďalší poštový klient by mal poskytnúť tie isté informácie.
Zobrazenie hlavičky e-mailu
V službe Gmail zobrazte e-mail. V tomto príklade použijeme nižšie uvedený e-mail.
Potom kliknite na šípku v pravom hornom rohu a vyberte Zobraziť pôvodný.
Výsledné okno bude obsahovať údaje o hlavičke e-mailu v obyčajnom texte.
Poznámka: Vo všetkých e-mailových hlavičkových dátach, ktoré zobrazujem nižšie, som zmenil svoju adresu v službe Gmail, aby sa zobrazil ako [email protected] a moja externá e-mailová adresa sa zobrazila ako [email protected] a [email protected] , rovnako ako maskovanie IP adresy môjho e-mailového servera.
Doručené: [email protected]
Prijaté: do 10.60.14.3 s SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
Prijaté: 10.68.125.129 s ID SMTP mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST) Cesta návratu
: & lt; [email protected]>
Prijaté: z exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com s SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Prijaté SPF: neutrálne( google.com: 64.18.2.16 nie je povolené ani odmietnuté podľa najlepšieho hádaného záznamu pre doménu [email protected])IP = 64.18.2.16;
autentifikácia-výsledky: mx.google.com;spf = neutrálny( google.com: 64.18.2.16 nie je ani povolený, ani poprel najlepší odhad pre doménu [email protected]) [email protected]
Prijaté: z mail.externalemail.com( [XXX.XXX.XXX.XXX])( pomocou TLSv1) exprod7ob119.postini.com( [64.18.6.12]) s SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
Prijaté: z MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3])
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) s mapi;Tue, 6 Mar
2012 11:30:48 -0500
Od: Jason Faulkner & lt; [email protected]>
Komu: "[email protected]" & [email protected]>
Dátum: Tue, 6 Mar 2012 11:30:48 -0500
Predmet: Toto je legitímny e-mail
Téma témy: Toto je legit email
Index vlákien: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Správa-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Jazyk: en-US
Jazyk: en-US
Obsah-jazyk: en-US
X-MS-Has-Attach:
Obsah-typ: multipart / alternatíva;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Verzia: 1.0
Keď čítate záhlavie e-mailu, údaje sú v obrátenom chronologickom poradí, čo znamená, že informácie v hornej časti sú poslednou udalosťou. Preto, ak chcete sledovať e-mail od odosielateľa k príjemcovi, začnite v spodnej časti. Pri preskúmaní záhlavia tohto e-mailu môžeme vidieť niekoľko vecí.
Tu vidíme informácie generované odosielajúcim klientom. V tomto prípade bol e-mail odoslaný z programu Outlook, takže ide o metadáta, ktorú program Outlook pridáva.
Od: Jason Faulkner & lt; [email protected]>
Do: "[email protected]" & [email protected]>
Dátum: Tue, 6 Mar 2012 11:30:48 -0500
Predmet: Toto je legitímny email
Téma-Téma: Toto je legitímny email
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Jazyk: en-US
Jazyk obsahu: en-US
X-MS-Has-Pripojiť:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Verzia MIME: 1.0
Nasledujúca časť určuje cestu, ktorú sa e-mail posiela z odosielajúceho servera na cieľový server. Majte na pamäti, že tieto kroky( alebo chmeľ) sú uvedené v obrátenom chronologickom poradí.Na zobrazenie poradia sme umiestnili príslušné číslo vedľa každého chmeľa. Všimnite si, že každý hop zobrazuje podrobnosti o adrese IP a príslušnom DNS názve.
Doručené: [email protected]
[6] Prijaté: do 10.60.14.3 s ID SMTP l3csp18666oec;
Utorok, 6 Mar 2012 08:30:51 -0800( PST)
[5] Prijaté: 10.68.125.129 s ID SMTP mq1mr1963003pbb.21.1331051451044;
Utorok, 06 Mar 2012 08:30:51 -0800( PST)
Cesta návratu: & lt; [email protected]>
[4] Prijaté: z exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com s ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Prijaté SPF: neutrálne( google.com: 64.18.2.16 nie je povolené ani odmietnuté najlepším záznamom pre doménu jfaulkner @ externalemail.com) klient-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutrál( google.com: 64.18.2.16 nie je ani povolený, ani odmietnutý podľa najlepšieho hádaného záznamu pre doménu [email protected]) [email protected]
[2] Prijaté: z mail.externalemail.com( [XXX.XXX.XXX.XXX])( pomocou TLSv1) pomocou exprod7ob119.postini.com( [64.18.6.12]) s SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Prijaté: z MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3])
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) s mapi;Tue, 6 Mar
2012 11:30:48 -0500
Zatiaľ čo toto je dosť bežné pre legitímny e-mail, tieto informácie môžu byť celkom jasné, pokiaľ ide o skúmanie spamu alebo phishingových e-mailov.
Skúmanie phishingového e-mailu - príklad 1
Pre prvý príklad phishingu budeme skúmať e-mail, ktorý je zjavným pokusom o phishing. V tomto prípade by sme túto správu mohli označiť ako podvod jednoducho vizuálnymi ukazovateľmi, ale pre prax sa pozrieme na varovné značky v hlavičkách.
Doručené: [email protected]
Prijaté: do 10.60.14.3 s SMTP id l3csp12958oec;
Po, 5 Mar 2012 23:11:29 -0800( PST)
Prijaté: 10.236.46.164 s SMTP id r24mr7411623yhb.101.1331017888982;
Po, 05 Mar 2012 23:11:28 -0800( PST)
Cesta návratu: & lt; [email protected]>
Prijaté: z ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
od mx.google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Pondelok, 05 Mar 2012 23:11:28 -0800( PST)
Prijaté SPF: neúspešné( google.com: doména [email protected] neoznačuje XXX.XXX.XXX.XXX ako povoleného odosielateľa)IP = XXX.XXX.XXX.XXX;Autentizácia
-výsledky: mx.google.com;spf = hardfail( google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX ako povoleného odosielateľa) [email protected]
prijaté: s MailEnable Postoffice Connector;Tue, 6 Mar 2012 02:11:20 -0500
Prijaté: z mail.lovingtour.com( [211.166.9.218]) ms.externalemail.com s MailEnable ESMTP;Tue, 6 Mar 2012 02:11:10 -0500
Prijaté: od užívateľa( [118.142.76.58])
podľa mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
ID správy: & [email protected]>
Odpovedať na: & lt; [email protected]>
Od: "[email protected]" & [email protected]>
Predmet: Upozornenie
Dátum: Mon, 5 Mar 2012 21:20:57 +0800
MIME-Verzia: 1.0
Obsahový typ: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorita X: 3
Priorita X-MSMail: Normálna
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Vyrobené Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Prvý červený príznak je v informačnej oblasti klienta. Všimnite si tu referencie pridanej metaúdaje Outlook Express. Je nepravdepodobné, že spoločnosť Visa je tak ďaleko za časom, keď niekto ručne posielal e-maily pomocou 12-ročného e-mailového klienta.
Odpovedať na: & lt; [email protected]>
Od: "[email protected]" & [email protected]>
Predmet: Upozornenie
Dátum: Mon, 5 Mar 2012 21:20:57 +0800
MIME-Verzia: 1.0
Obsahový typ: multipart / mixed;Rozhranie
= "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorita X: 3
Priorita X-MSMail: Normálna
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produkt Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Pri skúmaní prvého chmeľa v smerovaní e-mailu sa zistí, že odosielateľ bol umiestnený na IP adrese 118.142.76.58 a jeho e-mail bol odoslaný poštovým serverom mail.lovingtour.com.
prijal: od užívateľa( [118.142.76.58])
podľa mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
Pri vyhľadávaní informácií o IP pomocou nástroja IPNetInfo spoločnosti Nirsoft môžeme vidieť, že odosielateľ bol umiestnený v Hongkongu a poštový server sa nachádza v Číne.
Netreba dodávať, že je to trochu podozrivé.
Zvyšok e-mailového chmeľu nie je v tomto prípade skutočne dôležitý, pretože zobrazuje e-mail, ktorý sa skrýva pred legitímnym prenosom na serveri skôr, než sa konečne doručí.
Skúmanie phishingového e-mailu - príklad 2
Pre tento príklad je náš phishing e-mail oveľa presvedčivejší.Tu je niekoľko vizuálnych ukazovateľov, ak sa pozriete dostatočne tvrdo, ale znova pre účely tohto článku budeme obmedzovať naše vyšetrovanie na e-mailové hlavičky.
Doručené: [email protected]
Prijaté: do 10.60.14.3 s SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
Prijaté: 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST) Návratová cesta
: & lt; [email protected]>
Prijaté: z ms.externalemail.com( ms.externalemail.com [XXX.XXX.XXX.XXX])
od mx.google.com s ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Prijaté SPF: zlyhanie( google.com: doména [email protected] neoznačuje XXX.XXX.XXX.XXX ako povoleného odosielateľa)IP = XXX.XXX.XXX.XXX;
autentifikácia-výsledky: mx.google.com;spf = hardfail( google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX ako povoleného odosielateľa) [email protected]
prijaté: s MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
Prijaté: z dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ms.externalemail.com s MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Prijaté: z apache od intuit.com s lokálnym( Exim 4.67)
( obálka od & lt; [email protected]>)
id GJMV8N-8BERQW-93
pre& lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
Komu: & lt; [email protected]>
Predmet: Vaša faktúra Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pre 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & [email protected]>
X-Mailer: PHP
Priorita X: 1
MIME-Verzia: 1.0
Obsahový typ: multipart / alternatíva;
hranica = "---- 03060500702080404010506"
Message-Id:
X-ME-Bayesian: 0.000000
V tomto príklade sa aplikácia poštového klienta nepoužila, skôr skript PHP so zdrojovou adresou IP 118.68.152.212.
Komu: & lt; [email protected] & gg;
Predmet: Vaša faktúra Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pre 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected]>
X-odosielateľ: "INTUIT INC." & [email protected]>
X-Mailer: PHP
Priorita X: 1
MIME-Verzia: 1.0
Obsahový typ: multipart / alternatíva;
hranica = "---- 03060500702080404010506"
Message-Id:
X-ME-Bayesian: 0.000000
Keď sa však pozrieme na prvý e-mail hop, zdá sa byť legitím, pretože názov domény vysielajúceho servera zodpovedá e-mailovej adrese. Buďte však opatrní, pretože spammer by mohol ľahko pomenovať svoj server "intuit.com".
Prijaté: z apache od intuit.com s lokálnym( Exim 4.67) Skúmanie ďalšieho kroku rozpadá tento dom kariet. Môžete vidieť, že druhý hop( kde je prijatý legitímnym e-mailovým serverom) rieši odosielajúci server späť na doménu "dynamic-pool-xxx.hcm.fpt.vn", nie na "intuit.com" s rovnakou IP adresouuvedené v PHP skripte. Prijaté: z dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) ms.externalemail.com s MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500 Zobrazenie informácií o adresách IP potvrdzuje podozrenie, pretože umiestnenie poštového servera sa vráti späť do Vietnamu. Zatiaľ čo tento príklad je o niečo šikovnejší, môžete vidieť, ako rýchlo sa odhalí podvod s len miernym vyšetrením. Zatiaľ čo zobrazenie hlavičiek e-mailov pravdepodobne nie je súčasťou vašich bežných každodenných potrieb, existujú prípady, keď informácie, ktoré sú v nich obsiahnuté, môžu byť dosť cenné.Ako sme ukázali vyššie, môžete pomerne ľahko identifikovať odosielateľov maškarujúcich ako niečo, čo nie sú.Pri veľmi dobre vykonávanom podvode, kde sú vizuálne pokyny presvedčivé, je mimoriadne ťažké( ak nie nemožné) zosobňovať skutočné poštové servery a prezeranie informácií vnútri hlavičiek e-mailov môže rýchlo odhaliť nejaké šikanovanie. Stiahnite si IPNetInfo od spoločnosti Nirsoft
( obálka od & lt; [email protected]>)
id GJMV8N-8BERQW-93
pre Záver
Odkazy