25Aug

Шта можете наћи у заглављу за е-пошту?

click fraud protection

Кад год примите е-пошту, има много тога више него што се налази у очима.Док обично обраћате пажњу на адресу, адресу линије и тело поруке, на располагању је пуно више информација "испод поклопца" сваке е-поште која вам може пружити мноштво додатних информација.

Зашто се потрудите да погледате заглавље е-поште?

Ово је врло добро питање.У већини случајева стварно не бисте требали осим ако:

  • Претпостављате да је е-пошта покушај пхисхинг или превара
  • Желите да погледате информације о усмеривању на путању е-поште
  • Ви сте радознали геек

Без обзира на ваше разлоге, читањеемаил хеадерс је у ствари прилично једноставан и може бити врло откривајући.

чланак Напомена: За наше податке о снимању и податке ћемо користити Гмаил, али практично сваки други маил клијент би требало да пружи и ове исте информације.

Прегледање заглавља е-поште

У Гмаил-у, погледајте е-пошту.За овај примјер, користићемо емаил испод.

Затим кликните на стрелицу у горњем десном углу и изаберите Прикажи оригинал.

instagram viewer

Добијени прозор ће имати податке заглавља е-поште у обичном тексту.

Напомена: У свим подацима о заглављу е-поште који сам показао, промијенио сам своју Гмаил адресу како бих показао миемаил@гмаил.цом и моју спољашњу адресу е-поште која ће се приказати као јфаулкнер@ектерналемаил.цом и ​​јасон@миемаил.цом као и маскирала ИП адресу мојих емаил сервера.

Испоручено-То: миемаил@гмаил.цом
Примљено: 10.60.14.3 са СМТП ид л3цсп18666оец;
Туе, 6 Мар 2012 08:30:51 -0800( ПСТ)
Рецеивед: би 10.68.125.129 витх СМТП ид мк1мр1963003пбб.21.1331051451044;
Туе, 06 Мар 2012 08:30:51 -0800( ПСТ)
Повратни пут: & лт; јфаулкнер@ектерналемаил.цом&гт;
Рецеивед: фром екпрод7ог119.обсмтп.цом( екпрод7ог119.обсмтп.цом. [64.18.2.16])
би мк.гоогле.цом с СМТП ид л7си25161491пбд.80.2012.03.06.08.30.49;
Туе, 06 Мар 2012 08:30:50 -0800( ПСТ)
Рецеивед-СПФ: неутрално( гоогле.цом: 64.18.2.16 није допуштен нити одбијен од стране најбољег записника за домену јфаулкнер@ектерналемаил.цом) цлиент-ип = 64.18.2.16;
Аутхентицатион-Ресултс: мк.гоогле.цом;спф = неутрал( гоогле.цом: 64.18.2.16 није допуштен нити одбијен од стране најбољег записа за домену јфаулкнер@ектерналемаил.цом) смтп.маил=јфаулкнер@ектерналемаил.цом
Рецеивед: фром маил.ектерналемаил.цом( [КСКСКС.КСКСКС.КСКСКС.КСКСКС])( користећи ТЛСв1) екпрод7об119.постини.цом( [64.18.6.12]) са СМТП
ИД ДСНКТ1И7уСЕвирМЛцо/атцАоН+95ПМку3И/9@постини.цом;Туе, 06 Мар 2012 08:30:50 ПСТ
Рецеивед: фром МИСЕРВЕР.мисервер.лоцал( [фе80: : а805: ц335: 8ц71: цдб3]) би
МИСЕРВЕР.мисервер.лоцал( [фе80: : а805: ц335:8ц71: цдб3% 11]) са мапом;Туе, 6 Мар
2012 11:30:48 -0500
От: Јасон Фаулкнер & лт; јфаулкнер@ектерналемаил.цом&гт;
На: "миемаил@гмаил.цом" & лт; миемаил@гмаил.цом&гт;
Датум: Туе, 6 Мар 2012 11:30:48 -0500
Тема: Ово је легит е-пошта
Тема-тема: Ово је легит-е-пошта
Тхреад-Индекс: Ацз7тнУиКЗВВЦцрУК +++ КВд6авхл + К ==
Мессаге-ИД: & лт; 682А3А66Ц6ЕАЦ245Б3Б7Б088ЕФ360Е15А2Б30Б10Д5@МИСЕРВЕР.мисервер.лоцал&гт;
Аццепт-Лангуаге: ен-УС
Цонтент-Лангуаге: ен-УС
Кс-МС-Хас-Аттацх:
Кс-МС-ТНЕФ-Цоррелатор:
аццептлангуаге: ен-УС
Цонтент-Типе: мултипарт / алтернативе;
граница = "_ 000_682А3А66Ц6ЕАЦ245Б3Б7Б088ЕФ360Е15А2Б30Б10Д5ХАРДХАТ2хардх_"
МИМЕ-верзија: 1.0

Када прочитате заглавље е-поште, подаци су у хронолошком редоследу, што значи да су информације на врху најновије догађаје.Због тога, ако желите да пратите е-пошту од пошиљаоца до примаоца, почните на дну.Испитивање заглавља ове е-поруке можемо видети неколико ствари.

Овде видимо информације које генерише клијент који шаље.У овом случају, е-пошта је послата из Оутлоока, тако да је ово Метадата Оутлоок додава.

Од: Јасон Фаулкнер & лт; јфаулкнер@ектерналемаил.цом&гт;
На: "миемаил@гмаил.цом" & лт; миемаил@гмаил.цом&гт;
Датум: Туе, 6 Мар 2012 11:30:48 -0500
Тема: Ово је легит е-пошта
Тхреад-Топиц: Ово је законски е-пошта
Тхреад-Индекс: Ацз7тнУиКЗВВЦцрУК +++ КВд6авхл + К ==
Мессаге-ИД: & лт; 682А3А66Ц6ЕАЦ245Б3Б7Б088ЕФ360Е15А2Б30Б10Д5@МИСЕРВЕР.мисервер.лоцал&гт;
Аццепт-Лангуаге: ен-УС
Цонтент-Лангуаге: ен-УС
Кс-МС-Хас-Аттацх:
Кс-МС-ТНЕФ-Цоррелатор:
аццептлангуаге: ен-УС
Цонтент-Типе: мултипарт / алтернативе;
боундари = "_ 000_682А3А66Ц6ЕАЦ245Б3Б7Б088ЕФ360Е15А2Б30Б10Д5ХАРДХАТ2хардх_"
МИМЕ-верзија: 1.0

Следећи део тражи пут који е-пошта узима са сервера за слање на одредишни послужитељ.Имајте на уму да су ти кораци( или хмељ) наведени у хронолошком реду.Поставили смо одговарајући број поред сваког хопа да илуструјемо ред.Имајте на уму да сваки хоп приказује детаље о ИП адреси и одговарајућем обрнутом ДНС називу.

Испоручено-То: миемаил@гмаил.цом
[6] Примљено: 10.60.14.3 са СМТП ид л3цсп18666оец;
Туе, 6 Мар 2012 08:30:51 -0800( ПСТ)
[5] Примљено: по 10.68.125.129 са СМТП ид мк1мр1963003пбб.21.1331051451044;
Туе, 06 Мар 2012 08:30:51 -0800( ПСТ)
Повратни пут: & лт; јфаулкнер@ектерналемаил.цом&гт;
[4] Рецеивед: фром екпрод7ог119.обсмтп.цом( екпрод7ог119.обсмтп.цом. [64.18.2.16])
би мк.гоогле.цом с СМТП ид л7си25161491пбд.80.2012.03.06.08.30.49;
Туе, 06 Мар 2012 08:30:50 -0800( ПСТ)
[3] Примљено-СПФ: неутрално( гоогле.цом: 64.18.2.16 није допуштено нити је негирано од најбољег записа за домену јфаулкнер @ ектерналемаил.цом) цлиент-ип = 64.18.2.16;
Аутхентицатион-Ресултс: мк.гоогле.цом;спф = неутрал( гоогле.цом: 64.18.2.16 није допуштен нити одбијен од стране најбољег записника за претпоставку за домен јфаулкнер@ектерналемаил.цом) смтп.маил=јфаулкнер@ектерналемаил.цом
[2] Примљено: из маил.ектерналемаил.цом( [КСКСКС.КСКСКС.КСКСКС.КСКСКС])( користећи ТЛСв1) екпрод7об119.постини.цом( [64.18.6.12]) са СМТП
ИД ДСНКТ1И7уСЕвирМЛцо/атцАоН+95ПМку3И/9@постини.цом;Туе, 06 Мар 2012 08:30:50 ПСТ
[1] Рецеивед: фром МИСЕРВЕР.мисервер.лоцал( [фе80: : а805: ц335: 8ц71: цдб3]) би
МИСЕРВЕР.мисервер.лоцал( [фе80: :а805: ц335: 8ц71: цдб3% 11]) са мапом;Туе, 6 Мар
2012 11:30:48 -0500

Иако је ово прилично чудно за легитимни е-пошту, ове информације могу бити прилично разјашњене када је у питању испитивање нежељене поште или е-поште са пхисхинг-ом.

Испитивање е-поште за лажирање - Пример 1

За наш први пхисхинг пример ћемо испитати е-пошту која је очигледан пхисхинг покушај.У овом случају можемо ову поруку препознати као превару једноставно по визуелним индикаторима, али у пракси ћемо погледати знаке упозорења унутар заглавља.

Испоручено-То: миемаил@гмаил.цом
Примљено: до 10.60.14.3 са СМТП ид л3цсп12958оец;
Мон, 5 Мар 2012 23:11:29 -0800( ПСТ)
Рецеивед: би 10.236.46.164 витх СМТП ид р24мр7411623ихб.101.1331017888982;
Мон, 05 Мар 2012 23:11:28 -0800( ПСТ)
Повратак-пут: & лт; сецуритиалерт@верифибивиса.цом&гт;
Рецеивед: фром мс.ектерналемаил.цом( мс.ектерналемаил.цом. [КСКСКС.КСКСКС.КСКСКС.КСКСКС])
би мк.гоогле.цом с ЕСМТП ид т19си8451178ани.110.2012.03.05.23.11.28;
Мон, 05 Мар 2012 23:11:28 -0800( ПСТ)
Рецеивед-СПФ: фаил( гоогле.цом: домен сецуритиалерт@верифибивиса.цом не означава КСКСКС.КСКСКС.КСКСКС.КСКСКС као дозвољени пошиљалац) цлиент-ип = КСКСКС.КСКСКС.КСКСКС.КСКСКС;
Аутхентицатион-Ресултс: мк.гоогле.цом;спф = хардфаил( гоогле.цом: домен сецуритиалерт@верифибивиса.цом не означава КСКСКС.КСКСКС.КСКСКС.КСКСКС као дозвољеног пошиљаоца) смтп.маил=сецуритиалерт@верифибивиса.цом
Примљено: са МаилЕнабле Постоффице Цоннецтор;Туе, 6 Мар 2012 02:11:20 -0500
Рецеивед: фром маил.ловингтоур.цом( [211.166.9.218]) од мс.ектерналемаил.цом са МаилЕнабле ЕСМТП;Туе, 6 Мар 2012 02:11:10 -0500
Рецеивед: фром Усер( [118.142.76.58])
по маил.ловингтоур.цом
;Мон, 5 Мар 2012 21:38:11 +0800
Мессаге-ИД: & лт; 6ДЦБ4366-3518-4Ц6Ц-Б66А-Ф541Ф32А4Ц4Ц@маил.ловингтоур.цом&гт;
Репли-То: & лт; сецуритиалерт@верифибивиса.цом&гт;
Од: "сецуритиалерт@верифибивиса.цом" & лт; сецуритиалерт@верифибивиса.цом&гт;
Предмет: Обавештење
Датум: Мон, 5 Мар 2012 21:20:57 +0800
МИМЕ-Верзија: 1.0
Цонтент-Типе: мултипарт / микед;
граница = "- = _ НектПарт_000_0055_01Ц2А9А6.1Ц1757Ц0"
Кс-Приорити: 3
Кс-МСМаил-Приорити: Нормал
Кс-Маилер: Мицрософт Оутлоок Екпресс 6.00.2600.0000
Кс-МимеОЛЕ: Произведено од Мицрософт МимеОЛЕ В6.00.2600.0000
Кс-МЕ-Баиесиан: 0.000000

Прва црвена заставица налази се у подручју информације о клијенту.Напомена овде метаподаци су додали референце Оутлоок Екпресс.Мало је вероватно да је Виса толико далеко иза времена када им је неко ручно послао е-пошту помоћу 12-годишњег клијента е-поште.Одговор

: & лт; сецуритиалерт@верифибивиса.цом&гт;
Од: "сецуритиалерт@верифибивиса.цом" & лт; сецуритиалерт@верифибивиса.цом&гт;
​​Заглавие: Нотице
Дата: Пн, 5 Мар 2012 21:20:57 +0800
МИМЕ-Версион: 1.0
Цонтент-Типе: мултипарт / микед;
боундари = "- = _ НектПарт_000_0055_01Ц2А9А6.1Ц1757Ц0"
Кс-Приорити: 3
Кс-МСМаил-Приорити: Нормал
Кс-Маилер: Мицрософт Оутлоок Екпресс 6.00.2600.0000
Кс-МимеОЛЕ: Продуцед би Мицрософт МимеОЛЕ В6.00.2600.0000
Кс-МЕ-Баиесиан: 0.000000

Сада испитивање првог хоп-а у усмјеравању е-поште открива да је пошиљалац био смјештен на ИП адресу 118.142.76.58 и њихов е-маил је био прењен преко маил сервера маил.ловингтоур.цом.

Рецеивед: фром Усер( [118.142.76.58])
по маил.ловингтоур.цом
;Мон, 5 Мар 2012 21:38:11 +0800

У потрази за ИП информацијама помоћу Нирсофт-овог ИПНетИнфо корисничког програма, видимо да је пошиљалац био лоциран у Хонг Конгу, а маил сервер се налази у Кини.

Непотребно је рећи да је ово мало сумњиво.

Остали ови хмлови е-поште заиста нису релевантни у овом случају јер показују да е-пошта одбија легитимни саобраћај сервера пре него што је коначно испоручена.

Испитивање е-поште за пхисхинг - пример 2

За овај примјер, наш пхисхинг е-пошта је много убедљивије.Овде је неколико визуелних показатеља ако довољно изгледате, али опет у сврху овог чланка ограничићемо нашу истрагу на наслове е-поште.

Испоручено-То: миемаил@гмаил.цом
Примљено: 10.60.14.3 са СМТП ид л3цсп15619оец;
Туе, 6 Мар 2012 04:27:20 -0800( ПСТ)
Рецеивед: би 10.236.170.165 витх СМТП ид п25мр8672800ихл.123.1331036839870;
Туе, 06 Мар 2012 04:27:19 -0800( ПСТ)
Повратак-пут: & лт; сецурити@интуит.цом&гт;
Рецеивед: фром мс.ектерналемаил.цом( мс.ектерналемаил.цом. [КСКСКС.КСКСКС.КСКСКС.КСКСКС])
од мк.гоогле.цом са ЕСМТП ид о2си20048188ихн.34.2012.03.06.04.27.19;
Туе, 06 Мар 2012 04:27:19 -0800( ПСТ)
Рецеивед-СПФ: не успева( гоогле.цом: домен сецурити@интуит.цом не означава КСКСКС.КСКСКС.КСКСКС.КСКСКС као дозвољени пошиљалац) цлиент-ип = КСКСКС.КСКСКС.КСКСКС.КСКСКС;
Аутхентицатион-Ресултс: мк.гоогле.цом;спф = хардфаил( гоогле.цом: домен сецурити@интуит.цом не означава КСКСКС.КСКСКС.КСКСКС.КСКСКС као дозвољени пошиљалац) смтп.маил=сецурити@интуит.цом
Примљено: са МаилЕнабле Постоффице Цоннецтор;Туе, 6 Мар 2012 07:27:13 -0500
Примљено: фром динамиц-поол-ккк.хцм.фпт.вн( [118.68.152.212]) од мс.ектерналемаил.цом са МаилЕнабле ЕСМТП;Туе, 6 Мар 2012 07:27:08 -0500
Рецеивед: фром апацхе би интуит.цом витх лоцал( Еким 4.67)
( енвелопе-фром & сецурити@интуит.цом&гт;)
ид ГЈМВ8Н-8БЕРКВ-93
фор& лт; јасон@миемаил.цом&гт; ;Туе, 6 Мар 2012 19:27:05 +0700
То: & лт; јасон@миемаил.цом&гт;
Тема: Ваш Интуит.цом фактура.
Кс-ПХП-Сцрипт: интуит.цом/сендмаил.пхп за 118.68.152.212
Од: "ИНТУИТ ИНЦ." & Лт; сецурити@интуит.цом&гт;
Кс-Сендер: "ИНТУИТ ИНЦ." & Лт; сецурити@интуит.цом & гт;
Кс-Маилер: ПХП
​​Кс-Приорити: 1
МИМЕ-Верзија: 1.0
Цонтент-Типе: мултипарт / алтернативе;
граница = "---- 03060500702080404010506"
Мессаге-Ид: & лт; ЈКСОН1Х-5ГТПКВ-0Х@интуит.цом&гт;
Датум: Туе, 6 Мар 2012 19:27:05 +0700
Кс-МЕ-Баиесиан: 0.000000

У овом примјеру апликација за поштанску клијенту није кориштена, већ ПХП скрипт са изворном ИП адресом од 118.68.152.212.

То: & лт; јасон@миемаил.цом&гт;
Тема: Ваш Интуит.цом фактура.
Кс-ПХП-Сцрипт: интуит.цом/сендмаил.пхп за 118.68.152.212
Од: "ИНТУИТ ИНЦ." & Лт; сецурити@интуит.цом&гт;
Кс-Сендер: "ИНТУИТ ИНЦ." & Лт; сецурити@интуит.цом & гт;
Кс-Маилер: ПХП
Кс-Приорити: 1
МИМЕ-Версион: 1.0
Цонтент-Типе: мултипарт / алтернативе;
граница = "---- 03060500702080404010506"
Мессаге-Ид: & лт; ЈКСОН1Х-5ГТПКВ-0Х@интуит.цом&гт;
Датум: Туе, 6 Мар 2012 19:27:05 +0700
Кс-МЕ-Баиесиан: 0.000000

Међутим, када погледамо први емаил хоп, изгледа да је легитимно пошто име домена послужитеља слања одговара е-маил адреси.Међутим, будите пажљиви у вези с тим јер спамер може једноставно назвати свој сервер "интуит.цом".

Рецеивед: фром апацхе би интуит.цом витх лоцал( Еким 4.67)
( енвелопе-фром & сецурити@интуит.цом&гт;)
ид ГЈМВ8Н-8БЕРКВ-93
фор & лт; јасон@миемаил.цом&гт; ;Туе, 6 Мар 2012 19:27:05 +0700

Испитивање следећег корака крхари ову кућу карата.Можете видети други хоп( гдје га прими легитимни сервер за е-пошту) решава сервер за слање назад на домен "динамиц-поол-ккк.хцм.фпт.вн", а не "интуит.цом" са истом ИП адресомназначено у ПХП скрипту.

Примљено: фром динамиц-поол-ккк.хцм.фпт.вн( [118.68.152.212]) од мс.ектерналемаил.цом са МаилЕнабле ЕСМТП;Туе, 6 Мар 2012 07:27:08 -0500

Прегледавање информација о ИП адресама потврдјује сумњу пошто се локација поштанског сервера поново враћа у Вијетнам.

Док је овај пример мало паметнији, можете видети колико брзо се превара открива само са малим истраживањем.

Закључак

Док гледате заглавље е-поште вероватно није део ваших типичних свакодневних потреба, постоје случајеви у којима информације садржане у њима могу бити врло вриједне.Као што смо показали изнад, можете сасвим лако идентификовати пошиљатеље како се не слажу.За изузетно добро изведену превара где су визуелни знаци убедљиви, изузетно је тешко( ако не и немогуће) да се представљате стварним поштанским серверима и прегледавање информација унутар заглавља е-поште може брзо открити било какву штету.

Линкови

Преузмите ИПНетИнфо из Нирсофт