Úvodná » ako » Čo môžete nájsť v hlavičke e-mailu?

    Čo môžete nájsť v hlavičke e-mailu?

    Kedykoľvek dostanete e-mail, je o to omnoho viac, než koho poznáte. Aj keď zvyčajne venujete pozornosť iba adresám, predmetom a telu správy, existuje veľa informácií, ktoré sú k dispozícii pod "kapucňou" každého e-mailu, ktorý vám môže poskytnúť množstvo ďalších informácií.

    Prečo sa obťažovať pri pohľade na hlavičku e-mailu?

    To je veľmi dobrá otázka. Z väčšej časti by ste naozaj nepotrebovali, ak:

    • Máte podozrenie, že e-mail je pokus o neoprávnené získavanie údajov alebo podvod
    • Chcete zobraziť informácie o smerovaní na ceste e-mailu
    • Ste zvedavý geek

    Bez ohľadu na vaše dôvody, čítanie e-mailových hlavičiek je vlastne pomerne jednoduché a môže byť veľmi odhaľujúce.

    Článok Poznámka: Na naše screenshoty a dáta budeme používať službu Gmail, ale takmer každý ďalší poštový klient by mal poskytnúť tie isté informácie.

    Zobrazenie hlavičky e-mailu

    V službe Gmail zobrazte e-mail. V tomto príklade použijeme e-mail nižšie.

    Potom kliknite na šípku v pravom hornom rohu a vyberte Zobraziť pôvodný.

    Výsledné okno bude obsahovať údaje hlavičky e-mailu v obyčajnom texte.

    Poznámka: Vo všetkých hlavičkových údajoch e-mailu, ktoré zobrazujem nižšie, som zmenil svoju adresu v službe Gmail, aby sa zobrazila ako [email protected] a moju externú e - mailovú adresu zobrazenú ako [email protected] a [email protected] rovnako ako maskovanie IP adresy svojich e-mailových serverov.

    Doručené: [email protected]
    Prijaté: do 10.60.14.3 s SMTP id l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    Doručené: o 10.68.125.129 s ID SMTP mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Return-Path:
    Prijaté: z exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    od mx.google.com s ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    Prijaté SPF: neutrálne (google.com: 64.18.2.16 nie je ani povolené, ani odmietnuté podľa najlepšieho hádaného záznamu pre doménu [email protected]) client-ip = 64.18.2.16;
    Autentifikácia-Výsledky: mx.google.com; spf = neutrál (google.com: 64.18.2.16 nie je ani povolený, ani popretý najlepší odhad domény [email protected]) [email protected]
    Prijaté: z mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomocou TLSv1) pomocou exprod7ob119.postini.com ([64.18.6.12]) pomocou protokolu SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    Prijaté: z MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapi; Tue, 6 Mar
    2012 11:30:48 -0500
    Od: Jason Faulkner
    Komu: "[email protected]"
    Dátum: Tue, 6 Mar 2012 11:30:48 -0500
    Predmet: Toto je legitímny e-mail
    Téma témy: Toto je legitímna e-mailová správa
    Index vlákien: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID správy:
    Accept-Jazyk: en-US
    Jazyk obsahu: en-US
    X-MS-Has-Pripojiť:
    X-MS-TNEF correlator:
    acceptlanguage: en-US
    Content-Type: multipart / alternative;
    boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    Verzia MIME: 1.0

    Keď čítate záhlavie e-mailu, údaje sú v obrátenom chronologickom poradí, čo znamená, že informácie v hornej časti sú poslednou udalosťou. Preto, ak chcete sledovať e-mail od odosielateľa k príjemcovi, začnite v spodnej časti. Pri preskúmaní záhlavia tohto e-mailu môžeme vidieť niekoľko vecí.

    Tu sa zobrazujú informácie generované odosielajúcim klientom. V tomto prípade bol e-mail odoslaný z programu Outlook, takže ide o metadáta, ktorú program Outlook pridáva.

    Od: Jason Faulkner
    Komu: "[email protected]"
    Dátum: Tue, 6 Mar 2012 11:30:48 -0500
    Predmet: Toto je legitímny e-mail
    Téma témy: Toto je legitímna e-mailová správa
    Index vlákien: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID správy:
    Accept-Jazyk: en-US
    Jazyk obsahu: en-US
    X-MS-Has-Pripojiť:
    X-MS-TNEF correlator:
    acceptlanguage: en-US
    Content-Type: multipart / alternative;
    boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    Verzia MIME: 1.0

    Ďalšia časť sleduje trasu, ktorú správa odošle od odosielajúceho servera na cieľový server. Majte na pamäti, že tieto kroky (alebo chmeľ) sú uvedené v obrátenom chronologickom poradí. Na zobrazenie poradia sme umiestnili príslušné číslo vedľa každého chmeľu. Všimnite si, že každý hop zobrazuje podrobnosti o adrese IP a príslušnom DNS názve.

    Doručené: [email protected]
    [6] Prijaté: do 10.60.14.3 s SMTP id l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    [5] Doručené: o 10.68.125.129 s ID SMTP mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Return-Path:
    [4] Prijaté: z exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    od mx.google.com s ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    [3] Prijaté SPF: neutrálne (google.com: 64.18.2.16 nie je ani povolené, ani odmietnuté podľa najlepšieho hádaného záznamu pre doménu [email protected]) client-ip = 64.18.2.16;
    Autentifikácia-Výsledky: mx.google.com; spf = neutrál (google.com: 64.18.2.16 nie je ani povolený, ani popretý najlepší odhad domény [email protected]) [email protected]
    [2] Prijaté: z mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomocou TLSv1) pomocou exprod7ob119.postini.com ([64.18.6.12]) pomocou protokolu SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    [1] Prijaté: z MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapi; Tue, 6 Mar
    2012 11:30:48 -0500

    Zatiaľ čo toto je dosť bežné pre legitímne e-maily, tieto informácie môžu byť úplne povedané, keď príde na skúmanie spamu alebo phishingu e-mailov.

    Skúmanie phishingového e-mailu - príklad 1

    Pre náš prvý príklad phishingu budeme skúmať e-mail, ktorý je zjavným pokusom o phishing. V tomto prípade by sme mohli túto správu identifikovať ako podvod jednoducho vizuálnymi ukazovateľmi, ale pre prax sa pozrieme na varovné značky v hlavičkách.

    Doručené: [email protected]
    Doručené: 10.60.14.3 s SMTP id l3csp12958oec;
    Mon, 5 Mar 2012 23:11:29 -0800 (PST)
    Doručené: 10.236.46.164 s SMTP id r24mr7411623yhb.101.1331017888982;
    Mon, 05 Mar 2012 23:11:28 -0800 (PST)
    Return-Path:
    Prijaté: z ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])
    od mx.google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
    Mon, 05 Mar 2012 23:11:28 -0800 (PST)
    Prijaté - SPF: neúspešné (google.com: doména bezpečnostnej@[email protected] nenaznačuje XXX.XXX.XXX.XXX ako povoleného odosielateľa) client-ip = XXX.XXX.XXX.XXX;
    Autentifikácia-Výsledky: mx.google.com; spf = hardfail (google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX ako povoleného odosielateľa) [email protected]
    Prijaté: s MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
    Prijaté: z mail.lovingtour.com ([211.166.9.218]) od ms.externalemail.com s MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
    Prijaté: od užívateľa ([118.142.76.58])
    mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800
    ID správy:
    Odpovedať:
    Od: "[email protected]"
    Predmet: Upozornenie
    Dátum: Mon, 5 Mar 2012 21:20:57 +0800
    Verzia MIME: 1.0
    Content-Type: multipart / mixed;
    boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Priorita X: 3
    Priorita X-MSMail: Normálna
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Vyrobené spoločnosťou Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Prvý červený príznak je v oblasti informácií o klientoch. Všimnite si tu referencie pridanej metaúdaje Outlook Express. Je nepravdepodobné, že by spoločnosť Visa bola tak ďaleko za časom, keď niekto ručne posielal e-maily pomocou 12-ročného e-mailového klienta.

    Odpovedať:
    Od: "[email protected]"
    Predmet: Upozornenie
    Dátum: Mon, 5 Mar 2012 21:20:57 +0800
    Verzia MIME: 1.0
    Content-Type: multipart / mixed;
    boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Priorita X: 3
    Priorita X-MSMail: Normálna
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Vyrobené spoločnosťou Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Teraz skúmať prvý hop v smerovaní e-mailu ukazuje, že odosielateľ bol umiestnený na IP adrese 118.142.76.58 a ich e-mail bol prenesený cez mailový server mail.lovingtour.com.

    Prijaté: od užívateľa ([118.142.76.58])
    mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800

    Pri hľadaní informácií o IP pomocou nástroja IPNetInfo spoločnosti Nirsoft môžeme vidieť, že odosielateľ bol umiestnený v Hongkongu a poštový server sa nachádza v Číne.

    Netreba dodávať, že je to trochu podozrivé.

    Zvyšok e-mailového chmeľu nie je v tomto prípade skutočne relevantný, pretože ukazuje, že e-mail, ktorý sa nakoniec doručil.

    Skúmanie phishingového e-mailu - príklad 2

    V tomto príklade je náš phishing e-mail oveľa presvedčivejší. Tu je niekoľko vizuálnych indikátorov, ak sa pozriete dostatočne tvrdo, ale znova pre účely tohto článku budeme obmedzovať naše vyšetrovanie na e-mailové hlavičky.

    Doručené: [email protected]
    Prijaté: do 10.60.14.3 s SMTP id l3csp15619oec;
    Tue, 6 Mar 2012 04:27:20 -0800 (PST)
    Prijaté: 10.236.170.165 s identifikátorom SMTP id p25mr8672800yhl.123.1331036839870;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Return-Path:
    Prijaté: z ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])
    od mx.google.com s ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Prijaté SPF: zlyhanie (google.com: doména [email protected] neoznačuje XXX.XXX.XXX.XXX ako povoleného odosielateľa) client-ip = XXX.XXX.XXX.XXX;
    Autentifikácia-Výsledky: mx.google.com; spf = hardfail (google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX ako povoleného odosielateľa) [email protected]
    Prijaté: s MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
    Prijaté: z dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) od ms.externalemail.com s MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
    Prijaté: z apache od intuit.com s lokálnym (Exim 4.67)
    (obálka-od)
    id GJMV8N-8BERQW-93
    pre; Tue, 6 Mar 2012 19:27:05 +0700
    Ak chcete:
    Predmet: Vaša faktúra Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php pre číslo 118.68.152.212
    Od: "INTUIT INC."
    X-odosielateľ: "INTUIT INC."
    X-Mailer: PHP
    Priorita X: 1
    Verzia MIME: 1.0
    Content-Type: multipart / alternative;
    Okrajové = "- 03060500702080404010506"
    Message-Id:
    Dátum: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    V tomto príklade sa nepoužila aplikácia poštového klienta, skôr skript PHP so zdrojovou adresou IP 118.68.152.212.

    Ak chcete:
    Predmet: Vaša faktúra Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php pre číslo 118.68.152.212
    Od: "INTUIT INC."
    X-odosielateľ: "INTUIT INC."
    X-Mailer: PHP
    Priorita X: 1
    Verzia MIME: 1.0
    Content-Type: multipart / alternative;
    Okrajové = "- 03060500702080404010506"
    Message-Id:
    Dátum: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Ak sa však pozrieme na prvú e-mailovú schránku, zdá sa, že je legitímna, pretože názov domény vysielajúceho servera zodpovedá e-mailovej adrese. Buďte však opatrní, pretože spammer môže ľahko pomenovať svoj server "intuit.com".

    Prijaté: z apache od intuit.com s lokálnym (Exim 4.67)
    (obálka-od)
    id GJMV8N-8BERQW-93
    pre; Tue, 6 Mar 2012 19:27:05 +0700

    Preskúmanie ďalšieho kroku rozpadá tento dom kariet. Môžete vidieť, že druhý hop (kde je prijatý legitímnym e-mailovým serverom) rieši odosielajúci server späť na doménu "dynamic-pool-xxx.hcm.fpt.vn", nie na "intuit.com" s rovnakou IP adresou uvedené v PHP skripte.

    Prijaté: z dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) od ms.externalemail.com s MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

    Zobrazenie informácií o adresách IP potvrdzuje podozrenie, pretože umiestnenie poštového servera sa vráti späť do Vietnamu.

    Zatiaľ čo tento príklad je o niečo šikovnejší, môžete vidieť, ako rýchlo sa odhalenie podvodu prejavuje iba nepatrne.

    záver

    Zatiaľ čo zobrazovanie hlavičiek e-mailov pravdepodobne nie je súčasťou vašich bežných každodenných potrieb, existujú prípady, keď informácie obsiahnuté v nich môžu byť dosť cenné. Ako sme ukázali vyššie, môžete pomerne ľahko identifikovať odosielateľov, ktorí sa predávajú za niečo, čo nie sú. Pri veľmi dobre vykonávanom podvode, kde sú vizuálne pokyny presvedčivé, je mimoriadne ťažké (ak nie nemožné) vydávať sa za skutočné poštové servery a prezeranie informácií vnútri hlavičiek e-mailov môže rýchlo odhaliť akékoľvek šikanovanie.

    odkazy

    Stiahnite si IPNetInfo od spoločnosti Nirsoft

    Čo spôsobuje upozornenie na súbor Stiahnuté z internetu a ako ho môžem ľahko odstrániť?
    Čo príde po Web 2.0?
    Čo môžete robiť so spoločnosťou Samsung Health?
    Ďalší článok
    Čo môžete skutočne očakávať od balíka Windows Vista Service Pack 1?
    Predchádzajúci článok
    Čo môžete robiť s Samsung Bixby?