25Aug
När du får ett mail, finns det mycket mer än det som möter ögat. Medan du vanligtvis bara uppmärksammar adress, ämnesrad och kropp i meddelandet finns det mycket mer information tillgänglig "under huven" i varje e-post som kan ge dig en mängd ytterligare information.
Varför bry sig om att titta på en e-postrubrik?
Detta är en mycket bra fråga. För det mesta skulle du verkligen aldrig behöva, om inte:
- Du misstänker att ett e-postmeddelande är ett phishing-försök eller spionprogram
- Du vill visa rutningsinformation på e-postens sökväg
- Du är en nyfiken geek
Oavsett dina skäl, läser duE-postrubriker är faktiskt ganska lätta och kan vara mycket avslöjande.
Artikelnota: För våra skärmdumpar och data använder vi Gmail, men nästan alla andra e-postklienter ska också ge samma information.
Visa e-postrubriken
Visa Gmail i Gmail. För det här exemplet använder vi e-postmeddelandet nedan.
Klicka sedan på pilen i övre högra hörnet och välj Visa original.
Det resulterande fönstret kommer att ha e-postrubrikdata i vanlig text.
Obs! I alla e-postrubrikdata som visas nedan har jag ändrat min Gmail-adress för att visa som [email protected] och min externa e-postadress ska visas som [email protected] och [email protected] samt maskerade IP-adressen till mina e-postservrar.
Levereras till: [email protected]
Mottagen: vid 10.60.14.3 med SMTP ID l3csp18666oec;
Tis, 6 Mar 2012 08:30:51 -0800( PST)
Mottagen: med 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
Tis, 06 Mar 2012 08:30:51 -0800( PST)
Returväg: & lt; [email protected]>
Mottagad: från exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30.49;
Tis, 06 Mar 2012 08:30:50 -0800( PST)
Mottagen-SPF: neutral( google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected])ip = 64.18.2.16;
Autentiseringsresultat: mx.google.com;spf = neutral( google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekordet för domänen [email protected]) [email protected]
Mottagad: från mail.externalemail.com( [XXX.XXX.XXX.XXX])( med TLSv1) av exprod7ob119.postini.com( [64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tis 06 mar 2012 08:30:50 PST
Mottagen: från MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) av
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) med mapi;Tis 6 mar
2012 11:30:48 -0500
Från: Jason Faulkner & lt; [email protected]>
Till: "[email protected]" & lt; [email protected]>
Datum: Tis, 6 Mar 2012 11:30:48 -0500
Ämne: Detta är ett legitimt e-mail
Trådämne: Detta är ett legitimt e-post
Tråd-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelande-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Acceptera språk: en-US
Innehållsspråk: en-US
X-MS-Has-Attach:
X-MS-TNEF-korrelator:
Accept-språk: en-US
Innehållstyp: multipart / alternativ;
gräns = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0
När du läser en e-postrubrik, är data i omvänd kronologisk ordning, vilket betyder att informationen högst upp är den senaste händelsen. Därför, om du vill spåra e-post från avsändare till mottagare, börja längst ner. Genom att undersöka rubrikerna i det här meddelandet kan vi se flera saker.
Här ser vi information som genereras av den skickande klienten. I det här fallet skickades e-postmeddelandet från Outlook så det här är metadatat Outlook lägger till.
Från: Jason Faulkner & lt; [email protected]>
Till: "[email protected]" & lt; [email protected]>
Datum: Tis, 6 Mar 2012 11:30:48 -0500
Ämne: Detta är ett legitimt e-mail
Trådämne: Detta är ett legitimt e-post
Tråd-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelande-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Acceptera språk: en-US
Innehållsspråk: en-US
X-MS-Has-Attach:
X-MS-TNEF-korrelator:
Accept Language: en-US
Innehållstyp: multipart / alternativ;
-gränsen = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0
Nästa del spårar sökvägen e-posten tar från sändningsservern till destinationsservern. Tänk på att dessa steg( eller humle) anges i omvänd kronologisk ordning. Vi har placerat respektive nummer bredvid varje hopp för att illustrera ordern. Observera att varje hopp visar detaljer om IP-adressen och respektive omvänd DNS-namn.
Levereras till: [email protected]
[6] Mottagen: vid 10.60.14.3 med SMTP ID l3csp18666oec;
Tis, 6 Mar 2012 08:30:51 -0800( PST)
[5] Mottagen: med 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
Tis, 06 Mar 2012 08:30:51 -0800( PST)
Returväg: & lt; [email protected]>
[4] Mottagen: från exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30.49;
Tis, 06 Mar 2012 08:30:50 -0800( PST)
[3] Mottagen-SPF: neutral( google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekord för domänen jfaulkner @ externalemail.com) klient-ip = 64.18.2.16;
Autentiseringsresultat: mx.google.com;spf = neutral( google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekordet för domänen [email protected]) [email protected]
[2] Mottagen: från mail.externalemail.com( [XXX.XXX.XXX.XXX])( med TLSv1) av exprod7ob119.postini.com( [64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Tis 06 mar 2012 08:30:50 PST
[1] Mottagen: från MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) av
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) med mapi;Tis, 6 Mar
2012 11:30:48 -0500
Även om detta är ganska vardagligt för ett legitimt e-postmeddelande, kan den här informationen vara ganska stor när det gäller att undersöka spam- eller phishing-e-postmeddelanden.
Granska ett Phishing-e-postmeddelande - Exempel 1
För vårt första phishing-exempel undersöker vi ett e-postmeddelande som är ett uppenbart phishing-försök. I det här fallet kunde vi identifiera detta meddelande som ett bedrägeri helt enkelt av de visuella indikatorerna, men för övning kommer vi att titta på varningsskyltarna inom rubriken.
Levereras till: [email protected]
Mottagen: vid 10.60.14.3 med SMTP ID l3csp12958oec;
må, 5 mar 2012 23:11:29 -0800( PST)
Mottagen: med 10.236.46.164 med SMTP ID r24mr7411623yhb.101.1331017888982;
mån, 05 mar 2012 23:11:28 -0800( PST)
Returväg: & lt; [email protected]>
Mottagad: från ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx.google.com med ESMTP-ID t19si8451178ani.110.2012.03.05.23.11.28;
mån 05 mar 2012 23:11:28 -0800( PST)
Mottagen-SPF: misslyckas( google.com: domain of [email protected] designerar inte XXX.XXX.XXX.XXX som tillåten avsändare)ip = XXX.XXX.XXX.XXX;
Autentiseringsresultat: mx.google.com;spf = hardfail( google.com: domain of [email protected] designerar inte XXX.XXX.XXX.XXX som tillåten avsändare) [email protected]
Mottagad: med MailEnable Postoffice Connector;Tis, 6 Mar 2012 02:11:20 -0500
Mottagen: från mail.lovingtour.com( [211.166.9.218]) av ms.externalemail.com med MailEnable ESMTP;Tue, 6 Mar 2012 02:11:10 -0500
Mottaget: från Användare( [118.142.76.58])
via mail.lovingtour.com
;Mån, 5 mar 2012 21:38:11 +0800
Meddelande-ID: & lt; [email protected]>
Svara-till: & lt; [email protected]>
Från: "[email protected]" & lt; [email protected]>
Ämne: Meddelande
Datum: må 5 mars 2012 21:20:57 +0800
MIME-Version: 1.0
Innehållstyp: multipart / mixed;
-gränsen = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-Prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Producerad av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Den första röda flaggan finns i klientinformationsområdet. Observera här metadata som har lagt till referenser för Outlook Express. Det är osannolikt att Visa är så långt efter de tider som de har någon manuellt att skicka e-post med en 12-årig e-postklient.
Svara-till: & lt; [email protected]>
Från: "[email protected]" & lt; [email protected]>
Ämne: Meddelande
Datum: må 5 mars 2012 21:20:57 +0800
MIME-Version: 1.0
Innehållstyp: multipart / mixed;
-gränsen = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-Prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Producerad av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Genom att undersöka den första hoppen i e-postrutingen avslöjs att avsändaren var belägen på IP-adressen 118.142.76.58 och deras e-postmeddelanden vidarebefordrades via mail-servern mail.lovingtour.com.
Mottagad: från användaren( [118.142.76.58])
via mail.lovingtour.com
;Mån, 5 mar 2012 21:38:11 +0800
Titta på IP-informationen med hjälp av Nirsoft's IPNetInfo-verktyg, vi kan se avsändaren var belägen i Hong Kong och postservern ligger i Kina.
Det är naturligtvis lite misstänksamt att säga.
Resten av e-posthoppen är inte särskilt relevant i det här fallet eftersom de visar e-posten studsar om legitim servertrafik innan den äntligen levereras.
Granskning av ett phishing-e-postmeddelande - Exempel 2
I det här exemplet är vårt phishing-mail mycket övertygande. Det finns några visuella indikatorer här om du ser tillräckligt hårt ut, men igen i den här artikeln ska vi begränsa vår undersökning till e-postrubriker.
Levereras till: [email protected]
Mottagen: vid 10.60.14.3 med SMTP ID l3csp15619oec;
Tis, 6 Mar 2012 04:27:20 -0800( PST)
Mottagen: med 10.236.170.165 med SMTP-ID p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800( PST)
Returväg: & lt; [email protected]>
Mottagad: från ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx.google.com med ESMTP-ID o2si20048188yhn.34.2012.03.06.04.27.19;
Tis, 06 Mar 2012 04:27:19 -0800( PST)
Mottagen-SPF: misslyckas( google.com: domain of [email protected] utpekar inte XXX.XXX.XXX.XXX som tillåten avsändare)ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: domain of [email protected] designerar inte XXX.XXX.XXX.XXX som tillåten avsändare) [email protected]
Mottagad: med MailEnable Postoffice Connector;Tue, 6 Mar 2012 07:27:13 -0500
Mottagen: från dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Mottagen: från apache av intuit.com med lokal( Exim 4.67)
( kuvert från & lt; [email protected]>)
id GJMV8N-8BERQW-93
för& lt; [email protected]> ;Tis 6 mar 2012 19:27:05 +0700
Till: & lt; [email protected]>
Ämne: Din Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php för 118.68.152.212
Från: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioritet: 1
MIME-Version: 1.0
Innehållstyp: Multipart / Alternativ;
gränsen = "---- 03060500702080404010506"
Meddelande-Id: & lt; [email protected]>
Datum: Tis, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
I det här exemplet användes inte ett mailprogram, snarare ett PHP-skript med käll-IP-adressen till 118.68.152.212.
Till: & lt; [email protected]>
Ämne: Din Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php för 118.68.152.212
Från: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioritet: 1
MIME-Version: 1.0
Innehållstyp: Multipart / Alternativ;
gränsen = "---- 03060500702080404010506"
Meddelande-Id: & lt; [email protected]>
Datum: Tis, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
Men när vi tittar på den första e-posthoppet verkar det vara legitimt som sändarserverns domännamn matchar e-postadressen. Men var försiktig med detta eftersom en spammare lätt skulle kunna namnge sin server "intuit.com".
Mottagad: från apache av intuit.com med lokal( Exim 4.67)
( kuvert från & lt; [email protected]>)
id GJMV8N-8BERQW-93
för & lt; [email protected]> ;Tis, 6 Mar 2012 19:27:05 +0700
Genom att undersöka nästa steg smuler detta korthus. Du kan se den andra hoppen( där den mottas av en legitim e-postserver) löser den sändande servern tillbaka till domänen "dynamic-pool-xxx.hcm.fpt.vn", inte "intuit.com" med samma IP-adressanges i PHP-skriptet.
Mottagen: från dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP;Tue, 6 Mar 2012 07:27:08 -0500
Visa IP-adressinformationen bekräftar misstanken eftersom postserverens plats löser tillbaka till Viet Nam.
Även om det här exemplet är lite smartare kan du se hur snabbt bedrägerierna avslöjas med endast en liten undersökning.
Slutsats
Även om du tittar på e-postrubriker är det inte en del av dina typiska dagliga behov finns det fall där informationen i dem kan vara ganska värdefull. Som vi visade ovan kan du ganska enkelt identifiera avsändare masquerading som något de inte är. För en mycket bra exekverad bluff där visuella ledtrådar är övertygande är det extremt svårt( om inte omöjligt) att efterlikna faktiska postservrar och genom att granska informationen inom e-postrubriker kan man snabbt avslöja någon chicanery.
Länkar
Hämta IPNetInfo från Nirsoft