Główna » jak » Co można znaleźć w nagłówku wiadomości e-mail?

    Co można znaleźć w nagłówku wiadomości e-mail?

    Kiedy otrzymujesz e-mail, jest o wiele więcej niż na pierwszy rzut oka. Podczas gdy zazwyczaj zwracasz uwagę jedynie na adres, temat i treść wiadomości, istnieje wiele dodatkowych informacji "pod maską" każdego e-maila, które mogą dostarczyć Ci wielu dodatkowych informacji..

    Po co zawracać sobie głowę nagłówkiem wiadomości e-mail?

    To jest bardzo dobre pytanie. W przeważającej części, naprawdę nigdy nie musiałbyś, chyba że:

    • Podejrzewasz, że wiadomość e-mail jest próbą wyłudzenia lub oszustwa
    • Chcesz wyświetlić informacje o trasie na ścieżce wiadomości e-mail
    • Jesteś ciekawskim maniakiem

    Bez względu na powody, czytanie nagłówków e-maili jest naprawdę łatwe i może być bardzo odkrywcze.

    Uwaga na temat artykułu: Z naszych zrzutów ekranu i danych będziemy korzystać z Gmaila, ale praktycznie każdy inny klient poczty powinien podać te same informacje.

    Wyświetlanie nagłówka wiadomości e-mail

    W Gmailu wyświetl wiadomość e-mail. W tym przykładzie użyjemy poniższego e-maila.

    Następnie kliknij strzałkę w prawym górnym rogu i wybierz Pokaż oryginał.

    Wynikowe okno będzie zawierało dane nagłówka wiadomości e-mail w postaci zwykłego tekstu.

    Uwaga: we wszystkich danych nagłówka e-mail, które poniżej pokazuję, zmieniłem mój adres Gmaila, aby wyświetlać jako [email protected] i mój zewnętrzny adres e-mail, aby pokazać jako [email protected] i [email protected] jak również zamaskowany adres IP moich serwerów pocztowych.

    Dostarczone do: [email protected]
    Otrzymano: do 10.60.14.3 z identyfikatorem SMTP l3csp18666oec;
    Wt, 6 marca 2012 08:30:51 -0800 (PST)
    Otrzymano: przez 10.68.125.129 z identyfikatorem SMTP mq1mr1963003pbb.21.1331051451044;
    Wt, 06 marca 2012 08:30:51 -0800 (PST)
    Ścieżka powrotna:
    Otrzymano: od exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    przez mx.google.com z identyfikatorem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Wt, 06 marca 2012 08:30:50 -0800 (PST)
    Received-SPF: neutral (google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) client-ip = 64.18.2.16;
    Uwierzytelnianie - wyniki: mx.google.com; spf = neutral (google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]
    Otrzymano: z mail.externalemail.com ([XXX.XXX.XXX.XXX]) (przy użyciu TLSv1) przez exprod7ob119.postini.com ([64.18.6.12]) z SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Wt, 06 marca 2012 08:30:50 PST
    Otrzymano: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) przez
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) z mapi; Wt, 6 marca
    2012 11:30:48 -0500
    Od: Jason Faulkner
    Do: "[email protected]"
    Data: wtorek, 6 marca 2012 r. 11:30:48 -0500
    Subject: To jest poprawny e-mail
    Temat wątku: To jest legalny adres e-mail
    Indeks wątków: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID wiadomości:
    Zaakceptuj język: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Correlator:
    acceptlanguage: en-US
    Typ treści: wieloczęściowy / alternatywny;
    boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    Wersja MIME: 1.0

    Kiedy czytasz nagłówek wiadomości e-mail, dane są w odwrotnej kolejności chronologicznej, co oznacza, że ​​informacje u góry są najnowszym wydarzeniem. Dlatego jeśli chcesz prześledzić pocztę od nadawcy do odbiorcy, zacznij od dołu. Analizując nagłówki tego e-maila, widzimy kilka rzeczy.

    Widzimy tutaj informacje generowane przez klienta wysyłającego. W tym przypadku wiadomość e-mail została wysłana z programu Outlook, więc jest to metadane dodane przez program Outlook.

    Od: Jason Faulkner
    Do: "[email protected]"
    Data: wtorek, 6 marca 2012 r. 11:30:48 -0500
    Subject: To jest poprawny e-mail
    Temat wątku: To jest legalny adres e-mail
    Indeks wątków: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID wiadomości:
    Zaakceptuj język: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Correlator:
    acceptlanguage: en-US
    Typ treści: wieloczęściowy / alternatywny;
    boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    Wersja MIME: 1.0

    Następna część śledzi ścieżkę, którą wiadomość e-mail odbiera z serwera wysyłającego na serwer docelowy. Należy pamiętać, że te kroki (lub chmiel) są wymienione w odwrotnej kolejności chronologicznej. Umieściliśmy odpowiedni numer przy każdym przeskoku, aby zilustrować zamówienie. Zauważ, że każdy skok pokazuje szczegóły dotyczące adresu IP i odpowiedniej odwrotnej nazwy DNS.

    Dostarczone do: [email protected]
    [6] Otrzymano: do 10.60.14.3 z identyfikatorem SMTP l3csp18666oec;
    Wt, 6 marca 2012 08:30:51 -0800 (PST)
    [5] Otrzymano: przez 10.68.125.129 z identyfikatorem SMTP mq1mr1963003pbb.21.1331051451044;
    Wt, 06 marca 2012 08:30:51 -0800 (PST)
    Ścieżka powrotna:
    [4] Otrzymano: od exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    przez mx.google.com z identyfikatorem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Wt, 06 marca 2012 08:30:50 -0800 (PST)
    [3] Received-SPF: neutral (google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) client-ip = 64.18.2.16;
    Uwierzytelnianie - wyniki: mx.google.com; spf = neutral (google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]
    [2] Otrzymano: z mail.externalemail.com ([XXX.XXX.XXX.XXX]) (przy użyciu TLSv1) przez exprod7ob119.postini.com ([64.18.6.12]) z SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Wt, 06 marca 2012 08:30:50 PST
    [1] Otrzymano: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) przez
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) z mapi; Wt, 6 marca
    2012 11:30:48 -0500

    Chociaż jest to całkiem przyziemne ze względu na wiarygodny adres e-mail, informacje te mogą być bardzo przydatne, jeśli chodzi o zbieranie spamu lub wiadomości phishingowych.

    Analiza e-maila wyłudzającego informacje - przykład 1

    Nasz pierwszy przykład phishingu sprawdzi wiadomość e-mail, która jest oczywistą próbą phishingu. W tym przypadku możemy zidentyfikować tę wiadomość jako oszustwo po prostu za pomocą wizualnych wskaźników, ale dla praktyki przyjrzymy się znakom ostrzegawczym w nagłówkach.

    Dostarczone do: [email protected]
    Otrzymano: do 10.60.14.3 z identyfikatorem SMTP l3csp12958oec;
    Pon., 5 marca 2012 23:11:29 -0800 (PST)
    Otrzymano: 10.236.46.164 z identyfikatorem SMTP r24mr7411623yhb.101.1331017888982;
    Pon., 05 marca 2012 23:11:28 -0800 (PST)
    Ścieżka powrotna:
    Otrzymano: od ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    przez mx.google.com z identyfikatorem ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
    Pon., 05 marca 2012 23:11:28 -0800 (PST)
    Received-SPF: fail (google.com: domain of [email protected] nie określa XXX.XXX.XXX.XXX jako dozwolonego nadawcy) client-ip = XXX.XXX.XXX.XXX;
    Uwierzytelnianie - wyniki: mx.google.com; spf = hardfail (google.com: domena [email protected] nie określa XXX.XXX.XXX.XXX jako dozwolonego nadawcy) [email protected]
    Otrzymano: za pomocą MailEnable Postoffice Connector; Wt, 6 marca 2012 02:11:20 -0500
    Otrzymano: z mail.lovingtour.com ([211.166.9.218]) przez ms.externalemail.com z MailEnable ESMTP; Wt, 6 marca 2012 02:11:10 -0500
    Otrzymano: od użytkownika ([118.142.76.58])
    przez mail.lovingtour.com
    ; Pon., 5 marca 2012 21:38:11 +0800
    ID wiadomości:
    Odpowiedzieć do:
    Od: "[email protected]"
    Temat: Uwaga
    Data: pon., 5 marca 2012 21:20:57 +0800
    Wersja MIME: 1.0
    Typ treści: wieloczęściowy / mieszany;
    boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Priorytet X: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: wyprodukowany przez Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Pierwsza czerwona flaga znajduje się w obszarze informacji o kliencie. Zauważ, że metadane dodały odwołania do programu Outlook Express. Jest mało prawdopodobne, że Visa jest tak daleko w czasach, gdy ktoś ręcznie wysyła wiadomości e-mail za pomocą 12-letniego klienta poczty e-mail.

    Odpowiedzieć do:
    Od: "[email protected]"
    Temat: Uwaga
    Data: pon., 5 marca 2012 21:20:57 +0800
    Wersja MIME: 1.0
    Typ treści: wieloczęściowy / mieszany;
    boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Priorytet X: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: wyprodukowany przez Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Analizując pierwszy skok w routerze e-mailowym, okazało się, że nadawca znajdował się pod adresem IP 118.142.76.58, a jego adres e-mail został przekazany za pośrednictwem serwera poczty mail.lovingtour.com.

    Otrzymano: od użytkownika ([118.142.76.58])
    przez mail.lovingtour.com
    ; Pon., 5 marca 2012 21:38:11 +0800

    Przeglądając informacje IP przy użyciu narzędzia IPNetInfo firmy Nirsoft, widzimy, że nadawca znajdował się w Hongkongu, a serwer poczty znajduje się w Chinach.

    Nie trzeba dodawać, że jest to trochę podejrzane.

    Pozostała część przeskoków wiadomości e-mail nie jest tak naprawdę istotna w tym przypadku, ponieważ pokazują one wiadomości e-mail odbijające się od prawidłowego ruchu na serwerze, zanim ostatecznie zostaną dostarczone.

    Badanie wiadomości e-mail z phishingiem - przykład 2

    W tym przykładzie nasz e-mail phishingowy jest znacznie bardziej przekonujący. Jeśli spojrzysz wystarczająco mocno, jest kilka wskaźników wizualnych, ale ponownie dla celów tego artykułu ograniczymy nasze dochodzenie do nagłówków e-maili.

    Dostarczone do: [email protected]
    Otrzymano: do 10.60.14.3 z identyfikatorem SMTP l3csp15619oec;
    Wt, 6 marca 2012 04:27:20 -0800 (PST)
    Otrzymano: 10.236.170.165 z identyfikatorem SMTP p25mr8672800yhl.123.1331036839870;
    Wt, 06 marca 2012 04:27:19 -0800 (PST)
    Ścieżka powrotna:
    Otrzymano: od ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    przez mx.google.com z identyfikatorem ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
    Wt, 06 marca 2012 04:27:19 -0800 (PST)
    Received-SPF: fail (domena google.com: domain of [email protected] nie określa XXX.XXX.XXX.XXX jako dozwolonego nadawcy) client-ip = XXX.XXX.XXX.XXX;
    Uwierzytelnianie - wyniki: mx.google.com; spf = hardfail (google.com: domena [email protected] nie określa XXX.XXX.XXX.XXX jako dozwolonego nadawcy) [email protected]
    Otrzymano: za pomocą MailEnable Postoffice Connector; Wt, 6 marca 2012 07:27:13 -0500
    Otrzymano: od dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) przez ms.externalemail.com z MailEnable ESMTP; Wt, 6 marca 2012 07:27:08 -0500
    Otrzymano: od apache przez intuit.com z lokalnym (Exim 4.67)
    (koperta z)
    id GJMV8N-8BERQW-93
    dla ; Wt, 6 marca 2012 19:27:05 +0700
    Do:
    Subject: Twoja faktura Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php dla 118.68.152.212
    Od: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    Priorytet X: 1
    Wersja MIME: 1.0
    Typ treści: wieloczęściowy / alternatywny;
    boundary = "- 03060500702080404010506"
    ID wiadomości:
    Data: wtorek, 6 marca 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    W tym przykładzie aplikacja klienta poczty nie była używana, a raczej skrypt PHP ze źródłowym adresem IP 118.68.152.212.

    Do:
    Subject: Twoja faktura Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php dla 118.68.152.212
    Od: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    Priorytet X: 1
    Wersja MIME: 1.0
    Typ treści: wieloczęściowy / alternatywny;
    boundary = "- 03060500702080404010506"
    ID wiadomości:
    Data: wtorek, 6 marca 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Jednakże, gdy patrzymy na pierwszy e-mail, wydaje się, że jest to uzasadnione, ponieważ nazwa domeny serwera wysyłającego jest zgodna z adresem e-mail. Bądź jednak ostrożny, ponieważ spamer może z łatwością nazwać swój serwer "intuit.com".

    Otrzymano: od apache przez intuit.com z lokalnym (Exim 4.67)
    (koperta z)
    id GJMV8N-8BERQW-93
    dla ; Wt, 6 marca 2012 19:27:05 +0700

    Badanie następnego kroku rozpada ten dom z kart. Możesz zobaczyć drugi przeskok (gdzie jest odbierany przez legalny serwer e-mail) rozstrzyga serwer wysyłający z powrotem do domeny "dynamic-pool-xxx.hcm.fpt.vn", a nie "intuit.com" z tym samym adresem IP wskazane w skrypcie PHP.

    Otrzymano: od dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) przez ms.externalemail.com z MailEnable ESMTP; Wt, 6 marca 2012 07:27:08 -0500

    Przeglądanie informacji o adresie IP potwierdza podejrzenie, gdy lokalizacja serwera pocztowego zostanie zwrócona z powrotem do Wietnamu.

    Chociaż ten przykład jest nieco bardziej sprytny, możesz zobaczyć, jak szybko ujawnia się oszustwo z niewielkim tylko dociekaniem.

    Wniosek

    Podczas przeglądania nagłówków e-mail prawdopodobnie nie jest to część typowych codziennych potrzeb, są przypadki, w których zawarte w nich informacje mogą być dość cenne. Jak pokazaliśmy powyżej, można dość łatwo zidentyfikować nadawców, którzy podszywają się pod coś, czym nie są. W przypadku bardzo dobrze zrealizowanego oszustwa, w którym przekonujące są wizualne sygnały, niezwykle trudne (jeśli nie niemożliwe) jest podszywanie się pod rzeczywiste serwery pocztowe, a przeglądanie informacji w nagłówkach e-mailowych może szybko ujawnić wszelkie szykany.

    Spinki do mankietów

    Pobierz IPNetInfo z Nirsoft

    Co powoduje ostrzeżenie Plik pobrany z Internetu i jak mogę go łatwo usunąć?
    Co przychodzi po Web 2.0?
    Co możesz zrobić dzięki Samsung Health?
    Następny artykuł
    Czego naprawdę możesz oczekiwać od Windows Vista Service Pack 1?
    Poprzedni artykuł
    Co możesz zrobić z Bixby Samsunga?