Što možete pronaći u zaglavlju e-pošte?

Sadržaj:

Što možete pronaći u zaglavlju e-pošte?
Što možete pronaći u zaglavlju e-pošte?

Video: Što možete pronaći u zaglavlju e-pošte?

Video: Što možete pronaći u zaglavlju e-pošte?
Video: Best Scary Videos of 2023 [Mega Scary Comp. V3] - YouTube 2024, Studeni
Anonim
Kad god primite e-mail, to je puno više od toga što se susreće s okom. Dok obično obratite pozornost samo na adresu, redak predmeta i tijelo poruke, postoji puno više informacija koje su dostupne "ispod poklopca" svake e-pošte koja vam može pružiti bogatstvo dodatnih informacija.
Kad god primite e-mail, to je puno više od toga što se susreće s okom. Dok obično obratite pozornost samo na adresu, redak predmeta i tijelo poruke, postoji puno više informacija koje su dostupne "ispod poklopca" svake e-pošte koja vam može pružiti bogatstvo dodatnih informacija.

Zašto se gnjaviti Pogled na zaglavlje e-pošte?

Ovo je vrlo dobro pitanje. U većini slučajeva, stvarno ne biste nikada trebali, osim ako:

  • Sumnjate da je poruka e-pošte pokušaj krađe identiteta ili podvala
  • Želite pregledati informacije o usmjeravanju na putu e-pošte
  • Vi ste znatiželjni geek

Bez obzira na vaše razloge, čitanje zaglavlja e-pošte zapravo je prilično jednostavno i može biti vrlo otkriva.

Članak Napomena: za naše snimke zaslona i podatke koristit ćemo Gmail, ali gotovo svaki drugi klijent e-pošte trebao bi pružiti te iste podatke.

Pregledavanje zaglavlja e-pošte

Na Gmailu pogledajte e-poštu. Za ovaj primjer koristit ćemo poruku e-pošte u nastavku.

Zatim kliknite strelicu u gornjem desnom kutu i odaberite Prikaži original.
Zatim kliknite strelicu u gornjem desnom kutu i odaberite Prikaži original.
Rezultat prozor će imati podatke zaglavlja e-pošte u običnom tekstu.
Rezultat prozor će imati podatke zaglavlja e-pošte u običnom tekstu.

Napomena: u svim podacima zaglavlja e-pošte koje prikazujem u nastavku promijenio sam Gmail adresu za prikazivanje kao [email protected] i moja vanjska adresa e-pošte za prikazivanje kao [email protected] i [email protected] kao i maskirani IP adresa mojih poslužitelja e-pošte.

Isporučeno: [email protected] Primljeno: do 10.60.14.3 s SMTP id l3csp18666oec; Utorak, 6. ožujka 2012 08:30:51 -0800 (PST) Primljeno: do 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044; Uto, 06 ožu 2012 08:30:51 -0800 (PST) Povratni put: Primljeno: od exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) po mx.google.com s SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Uto, 06 ožu 2012 08:30:50 -0800 (PST) Primljeno-SPF: neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno po najboljoj rekciji za domenu od [email protected]) client-ip = 64.18.2.16; Rezultati za provjeru autentičnosti: mx.google.com; spf = neutral (google.com: 64.18.2.16 nije dopušten ni negiran najboljim recenziranim zapisom za domenu [email protected]) [email protected] Primljeno: s adrese mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomoću TLSv1) putem adrese exprod7ob119.postini.com ([64.18.6.12]) s SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Uto, 06 ožu 2012 08:30:50 PST Primljeno: od MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3]) od strane MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3% 11]) s mapi; Utorak, 6. ožujka 2012 11:30:48 -0500 Od: Jason Faulkner Za: "[email protected]" Datum: utorak, 6. ožujka 2012 11:30:48 -0500 Predmet: Ovo je legitna e-pošta Tema o temi: Ovo je legitna e-pošta Indeks teme: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q == ID poruke: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Prihvaćam-jezik: hr-US Jezik sadržaja: en-US X-MS ima pričvrstiti: X-MS TNEF-koreliranje: acceptlanguage: en-US Vrsta sadržaja: višedijelni / alternativni; Granica =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-verzija: 1.0

Kada pročitate zaglavlje e-pošte, podaci su u obrnutom kronološkom redoslijedu, što znači da su informacije na vrhu posljednji događaj. Stoga, ako želite pratiti e-poštu od pošiljatelja do primatelja, počnite na dnu. Ispitujući zaglavlja ove e-poruke možemo vidjeti nekoliko stvari.

Ovdje vidimo podatke koje generira klijent slanja. U ovom slučaju, e-pošta je poslana iz programa Outlook tako da je to metapodataka koji Outlook dodaje.

From: Jason Faulkner To: “[email protected] Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

Sljedeći dio prati put e-pošte od poslužitelja slanja do odredišnog poslužitelja. Imajte na umu da su ti koraci (ili hmelj) navedeni u obrnutom kronološkom redoslijedu. Postavili smo odgovarajući broj pored svake skokove kako bismo ilustrirali redoslijed. Imajte na umu da svaki hop prikazuje detalje o IP adresi i odgovarajućem DNS nazivu.

Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

Iako je ovo prilično svjetovno za legitimnu e-poštu, te informacije mogu biti dojmljive kada se radi o ispitivanju neželjene e-pošte ili e-pošte za krađu identiteta.

Ispitivanje e-adrese za krađu identiteta - primjer 1

Za naš prvi primjer za phishing pregledat ćemo poruku e-pošte koja je očiti pokušaj krađe identiteta. U ovom slučaju ovu poruku možemo identificirati kao prijevaru jednostavno vizualnim pokazateljima, ali za praksu ćemo pogledati znakove upozorenja unutar zaglavlja.

Image
Image

Isporučeno: [email protected] Primljeno: do 10.60.14.3 sa SMTP id l3csp12958oec; Pon, 5 ožu 2012 23:11:29 -0800 (PST) Primljeno: do 10.236.46.164 s SMTP id r24mr7411623yhb.101.1331017888982; Pon, 05 ožu 2012 23:11:28 -0800 (PST) Povratni put: Primljeno: od ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) s mx.google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28; Pon, 05 ožu 2012 23:11:28 -0800 (PST) Primljeno-SPF: fail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) client-ip = XXX.XXX.XXX.XXX; Rezultati za provjeru autentičnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected] Primljeno: s MailEnable Postoffice Connector; Uto, 6 ožu 2012 02:11:20 -0500 Primljeno: od mail.lovingtour.com ([211.166.9.218]) ms.externalemail.com s MailEnable ESMTP; Uto, 6. ožujka 2012 02:11:10 -0500 Primljeno: od korisnika ([118.142.76.58]) po mail.lovingtour.com; Pon, 5 ožu 2012 21:38:11 +0800 ID poruke: <[email protected]> Odgovarati na: Od: "[email protected]" Predmet: Obavijest Datum: pon, 5 ožu 2012 21:20:57 +0800 MIME-verzija: 1.0 Vrsta sadržaja: multipart / mixed; Granica =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0" X-prioritet: 3 X-MSMail prioritet: Normalan X-pošte: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Proizvedeno od tvrtke Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0,000000

Prva crvena zastava nalazi se u području informacija klijenta. Ovdje primijetite da metapodaci dodaju reference na Outlook Express. Malo je vjerojatno da je Visa tako daleko iza vremena da im netko ručno šalje poruke e-pošte pomoću 12-godišnjeg klijenta e-pošte.

Reply-To: From: “[email protected] Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

Sada ispitivanje prve skok u usmjeravanju e-pošte otkriva da je pošiljatelj bio smješten na IP adresi 118.142.76.58, a njihova e-pošta prenesena je putem poslužitelja e-pošte mail.lovingtour.com.

Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800

Traženje IP podataka pomoću Nirsoftovog IPNetInfo uslužnog programa, možemo vidjeti da je pošiljatelj bio smješten u Hong Kongu, a poslužitelj pošte nalazi se u Kini.

Image
Image
Nepotrebno je reći da je ovo malo sumnjivo.
Nepotrebno je reći da je ovo malo sumnjivo.

Ostali e-mail hmovi nisu stvarno relevantni u ovom slučaju jer pokazuju e-poštu odskakanje oko legitimnog prometa poslužitelja prije nego što se isporučuje.

Ispitivanje e-adrese za krađu identiteta - primjer 2

Za ovaj primjer, naša e-poruka za krađu identiteta mnogo je više uvjerljiva. Ovdje postoji nekoliko vizualnih pokazatelja ako vam je dovoljno teško, ali za svrhe ovog članka ograničit ćemo istragu na zaglavlja e-pošte.

Image
Image

Isporučeno: [email protected] Primljeno: do 10.60.14.3 sa SMTP id l3csp15619oec; Utorak, 6. ožujka 2012 04:27:20 -0800 (PST) Primljeno: do 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870; Uto, 06 ožu 2012 04:27:19 -0800 (PST) Povratni put: Primljeno: od ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) mx.google.com s ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19; Uto, 06 ožu 2012 04:27:19 -0800 (PST) Primljeno-SPF: fail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) client-ip = XXX.XXX.XXX.XXX; Rezultati za provjeru autentičnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected] Primljeno: s MailEnable Postoffice Connector; Uto, 06 mar 2012 07:27:13 -0500 Primljeno: od dinamičkog-praza-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com s MailEnable ESMTP; Uto, 6. ožujak 2012 07:27:08 -0500 Primljeno: od apachea intuit.com s lokalnim (Exim 4.67) (Omotnica iz ) id GJMV8N-8BERQW-93 za ; Uto, 6. ožujka 2012 19:27:05 +0700 Do: Predmet: faktura tvrtke Intuit.com. X-PHP-Script: intuit.com/sendmail.php za 118.68.152.212 Od: "INTUIT INC." X-pošiljatelj: "INTUIT INC." X-Mailer: PHP X-prioritet: 1 MIME-verzija: 1.0 Vrsta sadržaja: višedijelni / alternativni; Granica =”---- 03060500702080404010506" ID poruke: Datum: uto, 6. ožujka 2012 19:27:05 +0700 X-ME-Bayesian: 0,000000

U ovom primjeru nije primijenjena aplikacija klijenta e-pošte, već PHP skripta s izvornom IP adresom od 118.68.152.212.

To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

Međutim, kada pogledamo prvu e-poštu, to izgleda kao legit kao naziv poslužitelja za slanje odgovara adresi e-pošte. Međutim, budite oprezni s time što bi spameri mogli lako imenovati svoje poslužitelje "intuit.com".

Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700

Ispitujući sljedeći korak crmlja ova kuća kartica. Možete vidjeti drugu skok (gdje ga prima legitiman poslužitelj e-pošte) rješava poslužitelj za slanje natrag na domenu "dynamic-pool-xxx.hcm.fpt.vn", a ne "intuit.com" s istom IP adresom naznačeno u PHP skripti.

Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Pregled podataka o IP adresi potvrđuje sumnju jer se mjesto poštanskog poslužitelja riješi natrag u Viet Nam.

Iako je ovaj primjer ponešto pametniji, možete vidjeti kako se brzo otkriva prijevara samo uz neznatnu istragu.
Iako je ovaj primjer ponešto pametniji, možete vidjeti kako se brzo otkriva prijevara samo uz neznatnu istragu.

Zaključak

Prilikom pregledavanja zaglavlja e-pošte vjerojatno nije dio vaših tipičnih svakodnevnih potreba, postoje slučajevi u kojima informacije sadržane u njima mogu biti vrlo vrijedne. Kao što smo ranije pokazali, možete jednostavno identificirati pošiljatelje koji se masquerading kao nešto što oni nisu. Za vrlo dobro izvršene prijevare gdje su vizualni znakovi uvjerljivi, iznimno je teško (ako ne i nemoguće) lažno predstavljati stvarne poslužitelje e-pošte i pregledavanje informacija unutar zaglavlja e-pošte mogu brzo otkriti bilo kakve poteškoće.

linkovi

Preuzmite IPNetInfo od Nirsofta

Preporučeni: