25Aug
Vsakič, ko prejmete e-poštno sporočilo, je veliko več, kot ustreza oko.Čeprav običajno posvečate pozornost le naslovu, liniji predmeta in teletu sporočila, je na voljo veliko več informacij »pod pokrovom« vsakega e-poštnega sporočila, ki vam lahko priskrbi veliko dodatnih informacij.
Zakaj se trudite pogledati naslove e-pošte?
To je zelo dobro vprašanje. Večinoma vam res ne bi nikoli potrebovali, razen če:
- Sumite, da je e-pošta poskus lažnega predstavljanja ali prevara
- Želite si ogledati informacije o poti na poti e-pošte
- Ste radovedni geek
Ne glede na vaše razloge, branjee-poštni naslovi so pravzaprav zelo enostavni in so lahko zelo razkrivajo. Navodilo za
Opomba: Za naše posnetke in podatke o posnetkih bomo uporabljali Gmail, vendar bi morali prav tako vsi drugi poštni odjemalci posredovati te iste podatke.
Prikaz glave e-pošte
V Gmailu si oglejte elektronsko pošto. V tem primeru bomo uporabili spodnji e-poštni naslov.
Potem kliknite puščico v zgornjem desnem kotu in izberite Prikaži izvirnik.
V oknu, ki je rezultat, bodo podatki o glavi e-pošte v navadnem besedilu.
Opomba: V vseh podatkih o glavi elektronske pošte, ki so prikazani spodaj, sem spremenil svoj naslov Gmail, da bi se prikazal kot [email protected] in moj zunanji e-poštni naslov, ki bo prikazan kot [email protected] in [email protected] kot tudi prikriti naslov IP mojih e-poštnih strežnikov.
Dobavljeno-To: [email protected]
Prejeto: do 10.60.14.3 z ID-jem SMTP l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
Prejeto: do 10.68.125.129 z SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Povratna pot: & lt; [email protected]>
Prejeto: od exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
z mx.google.com z ID-jem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
Prejeto-SPF: nevtralno( google.com: 64.18.2.16 ne dovoljuje niti ni zanikana po najboljših ugibanjih zapisov za domeno [email protected]) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = nevtralen( google.com: 64.18.2.16 ni dovoljen niti zanikan po najboljših zapisih za domeno [email protected]) [email protected]
Prejeto: od mail.externalemail.com( [XXX.XXX.XXX.XXX])( z uporabo TLSv1) s strani exprod7ob119.postini.com( [64.18.6.12]) s SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) s mapo;Tue, 6 Mar
2012 11:30:48 -0500
Od: Jason Faulkner & lt; [email protected]>
Za: "[email protected]" & lt; [email protected]>
Datum: Tue, 6 Mar 2012 11:30:48 -0500
Zadeva: To je zakonit e-poštni naslov
Thread-Topic: To je legit email
Thread-indeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Jezik: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-korelator:
acceptlanguage: en-US
Vrsta vsebine: večdelni /
meja = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-različica: 1.0
Ko preberete glavo glave, so podatki v obratnem kronološkem vrstnem redu, kar pomeni, da so informacije na vrhu najnovejši dogodek.Če želite slediti e-poštnemu sporočilu od pošiljatelja prejemniku, začnite na dnu. Preučevanje glave tega e-poštnega sporočila lahko vidimo več stvari.
Tukaj vidimo informacije, ki jih ustvari odjemalec. V tem primeru je bil e-poštni naslov poslan iz Outlooka, zato so to metapodatki, ki jih dodaja Outlook.
Od: Jason Faulkner & lt; [email protected]>
Za: "[email protected]" & lt; [email protected]>
Datum: Tue, 6 Mar 2012 11:30:48 -0500
Zadeva: To je zakonit e-poštni naslov
Thread-Topic: To je zakonit e-poštni naslov
Indeks navojev: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Jezik: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Vrsta vsebine: večdelni /
meja = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-različica: 1.0
Naslednji del sledi poti, ki jo e-poštni vzame s strežnika pošiljanja na ciljni strežnik. Upoštevajte, da so ti koraki( ali hmelj) navedeni v obratnem kronološkem vrstnem redu. Postavili smo ustrezno številko poleg vsakega hmelja, da ponazorimo naročilo. Upoštevajte, da vsak hm kaže podrobnosti o naslovu IP in ustreznem imenu povratnega imena.
Dobavljeno-To: [email protected]
[6] Prejeto: do 10.60.14.3 z ID-jem SMTP l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800( PST)
[5] Prejeto: do 10.68.125.129 z SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800( PST)
Povratna pot: & lt; [email protected]>
[4] Prejeto: od exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
z mx.google.com z ID-jem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800( PST)
[3] Prejeto-SPF: nevtralen( google.com: 64.18.2.16 ni dovoljen niti zanikan po najboljših ugibanjih zapisov za domeno jfaulkner @ externalemail.com) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = nevtralno( google.com: 64.18.2.16 ne dovoljuje niti ni zanikana najboljša ugibajoča evidenca za domeno [email protected]) [email protected]
[2] Prejeto: od mail.externalemail.com( [XXX.XXX.XXX.XXX])( z uporabo TLSv1) z exprod7ob119.postini.com( [64.18.6.12]) s SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tue, 06 Mar 2012 08:30:50 PST
[1] Prejeto: od MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]), ki ga
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) s mapo;Torej, 6 mar
2012 11:30:48 -0500
Čeprav je to zelo prijeten za legitimen e-poštni naslov, lahko te informacije povedo, ko gre za preučevanje neželene elektronske pošte ali e-poštnih sporočil.
Preverjanje e-pošte z lažnim predstavljanjem - Primer 1
Za naš prvi primer lažnega predstavljanja bomo pregledali e-poštno sporočilo, ki je očitno lažnivski poskus. V tem primeru bi lahko to sporočilo označili kot goljufijo samo s pomočjo vizualnih kazalnikov, vendar bomo v praksi preučili opozorilne znake v glavi.
Dobavljeno-To: [email protected]
Prejeto: do 10.60.14.3 z ID-jem SMTP l3csp12958oec;
Pon, 5 Mar. 2012 23:11:29 -0800( PST)
Prejeto: z 10.236.46.164 z ID-jem SMTP r24mr7411623yhb.101.1331017888982;
Pon, 05 Mar 2012 23:11:28 -0800( PST)
Povratna pot: & lt; [email protected]>
Prejeto: od ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
z mx.google.com z ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Pon, 05 Mar 2012 23:11:28 -0800( PST)
Prejeto-SPF: ne uspe( google.com: domena [email protected] ne označuje XXX.XXX.XXX.XXX kot dovoljen pošiljatelj)ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: domena [email protected] ne imenuje XXX.XXX.XXX.XXX kot dovoljen pošiljatelj) [email protected]
Prejeto: s povezavo MailEnable Postoffice Connector;Tue, 6 Mar 2012 02:11:20 -0500
Prejeto: od mail.lovingtour.com( [211.166.9.218]) od ms.externalemail.com z MailEnable ESMTP;Tue, 6 Mar 2012 02:11:10 -0500
Prejeto: od uporabnika( [118.142.76.58])
po mail.lovingtour.com
;Pon, 5 Mar 2012 21:38:11 +0800
Message-ID: & lt; [email protected]>Odgovor
: & lt; [email protected]>
Od: "[email protected]" & lt; [email protected]>
Zadeva: Obvestilo
Datum: pon., 5 mar. 2012 21:20:57 +0800
MIME-različica: 1.0
Vrsta vsebine: večdelna / mešana;
meja = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prednostna naloga: 3
X-MSMail-Prioriteta: navadno
X-Mailer: Microsoft Outlook Express 6,00,2600,0000
X-MimeOLE: Proizveden s strani Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Prva rdeča zastava je na področju informacij o odjemalcu. Obvestilo sem, da so metapodatki dodali reference Outlook Express. Ni verjetno, da je Visa zaostajala za časom, da nekdo ročno pošilja e-pošto z 12-letnim e-poštnim odjemalcem. Odgovor
: & lt; [email protected]>
Od: "[email protected]" & lt; [email protected]>
Zadeva: Obvestilo
Datum: pon, 5 mar. 2012 21:20:57 +0800
MIME-različica: 1.0
Vrsta vsebine: večdelna / mešana;
meja = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prednostna naloga: 3
X-MSMail-Prioriteta: navadno
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Proizvedel Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Zdaj pregledovanje prvega hmelja v usmerjanju e-pošte razkriva, da je bil pošiljatelj nameščen na naslov IP 118.142.76.58 in njihov e-poštni naslov je bil posredovan preko poštnega strežnika mail.lovingtour.com.
Prejeto: od uporabnika( [118.142.76.58])
po mail.lovingtour.com
;Mon, 5 Mar 2012 21:38:11 +0800
Če pogledamo informacije o IP-ju z uporabo programa Nirsoft's IPNetInfo, lahko vidimo, da je bil pošiljatelj v Hongkongu, poštni strežnik pa je na Kitajskem.
Ni treba reči, da je to malo sumljivo.
Preostali del hmelja e-pošte v tem primeru v resnici ni pomemben, saj kažejo, da se e-poštna sporočila, ki oddajajo okoli legitimnega prometa strežnika, pred končno dostavo.
Preverjanje e-pošte z lažnim predstavljanjem - Primer 2
V tem primeru je naše lažno e-poštno sporočilo veliko bolj prepričljivo. Tukaj je nekaj vizualnih kazalnikov, če ste dovolj trdni, vendar bomo v tem članku za namene tega članka omejili preiskavo na naslove e-pošte.
Dobavljeno-To: [email protected]
Prejeto: do 10.60.14.3 z SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800( PST)
Prejeto: do 10.236.170.165 z SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Povratna pot: & lt; [email protected]>
Prejeto: od ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
z mx.google.com z ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Prejeto-SPF: ne uspe( google.com: domena [email protected] ne imenuje XXX.XXX.XXX.XXX kot dovoljen pošiljatelj)ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: domena [email protected] ne imenuje XXX.XXX.XXX.XXX kot dovoljen pošiljatelj) [email protected]
Prejeto: s povezavo MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
Prejeto: from dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) z ms.externalemail.com z MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Prejeto: od apache z intuit.com z lokalno( Exim 4.67)
( ovojnica od & lt; [email protected] & gt;)
id GJMV8N-8BERQW-93
za& lt; [email protected] & gt; ;Tue, 6 Mar 2012 19:27:05 +0700
Za: & lt; [email protected]>
Zadeva: račun Intuit.com.
X-PHP-Script: intuit.com/sendmail.php za 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected] & gt;
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-Prioriteta: 1
MIME-različica: 1,0
Vrsta vsebine: večdelni / alternativni;
meja = "---- 03060500702080404010506"
Message Id: & lt; [email protected]>
Datum: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
V tem primeru ni bila uporabljena aplikacija poštnega odjemalca, temveč skripta PHP z izvirnim naslovom IP 118.68.152.212.
Za: & lt; [email protected] & gt;
Zadeva: Vaš Intuit.com račun.
X-PHP-Script: intuit.com/sendmail.php za 118.68.152.212
Od: "INTUIT INC." & Lt; [email protected] & gt;
X-Sender: "INTUIT INC." & Lt; [email protected] & gt;
X-Mailer: PHP
X-prednostna naloga: 1
MIME-različica: 1,0
Content-Type: večdelni / alternativni;
meja = "---- 03060500702080404010506"
Message Id: & lt; [email protected] & gt;
Datum: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
Ko pogledamo prvi e-poštni nabiralnik, se zdi legitimen, ker se ime domene strežnika za pošiljanje ujema z e-poštnim naslovom. Vendar pa bodite previdni glede tega, ker lahko neželeni program preprosto imenuje svoj strežnik "intuit.com".
Prejeto: od apache z intuit.com z lokalno( Exim 4.67)
( ovojnica od & lt; [email protected]>)
id GJMV8N-8BERQW-93
za & lt; [email protected]> ;Tue, 6 Mar 2012 19:27:05 +0700
Preučevanje naslednjega koraka krči to hišo kart. Drugi hmelj si lahko ogledate( če ga prejme zakoniti strežnik e-pošte) rešuje strežnik pošiljanja nazaj na domeno "dynamic-pool-xxx.hcm.fpt.vn", ne pa "intuit.com" z istim naslovom IPnaveden v skriptu PHP.
Prejeto: od dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) z ms.externalemail.com z MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Pregledovanje informacij o naslovu IP potrjuje sum, saj se lokacija poštnega strežnika vrne v Vietnam.
Čeprav je ta primer nekoliko bolj pameten, si lahko ogledate, kako hitro se goljufija razkrije z rahlim delom preiskave.
Zaključek
Med pregledovanjem glave e-pošte verjetno ni del vaših običajnih dnevnih potreb, obstajajo primeri, ko so lahko informacije, ki jih vsebujejo, precej dragocene. Kot smo prikazali zgoraj, lahko preprosto prepoznate pošiljatelje, ki se maskirajo kot nekaj, kar niso. Za zelo dobro izveden prevara, kjer so prepričljivi vizualni znaki, je zelo težko( če ne celo nemogoče), da se predstavljate dejanske poštne strežnike in pregledate informacije znotraj naslovov e-poštnih sporočil, lahko hitro odkrijejo kakršnokoli goljufijo.
Povezave
Prenesite IPNetInfo iz Nirsoft