Головна » як » Що ви можете знайти в заголовку електронної пошти?

    Що ви можете знайти в заголовку електронної пошти?

    Кожного разу, коли ви отримуєте електронну пошту, для неї є набагато більше, ніж на перший погляд. Хоча ти, як правило, звертаєш увагу лише на адресу, тему та тіло повідомлення, доступно багато інформації "під капотом" кожного електронного листа, який може надати вам багато додаткової інформації.

    Навіщо турбуватися, дивлячись на заголовок електронної пошти?

    Це дуже хороше питання. Здебільшого вам ніколи не знадобиться:

    • Ви підозрюєте, що електронна пошта є спробою фішингу або підробкою
    • Ви хочете переглянути інформацію про маршрутизацію по шляху електронної пошти
    • Ви цікавий виродка

    Незалежно від ваших причин, читання заголовків електронної пошти насправді досить прості і можуть бути дуже показовими.

    Стаття Примітка: Для наших знімків екрана та даних ми будемо використовувати Gmail, але практично кожен інший поштовий клієнт має надавати цю інформацію також.

    Перегляд заголовка електронної пошти

    У Gmail перегляньте електронну пошту. У цьому прикладі ми будемо використовувати електронний лист нижче.

    Потім натисніть стрілку у верхньому правому куті та виберіть Показати оригінал.

    Отримане вікно буде мати дані заголовка електронної пошти у вигляді звичайного тексту.

    Примітка. У всіх даних заголовка електронної пошти, які я показую нижче, я змінив свою адресу Gmail, щоб показати як [email protected] та мою зовнішню адресу електронної пошти для показу як [email protected] і [email protected] а також маскує IP-адресу моїх серверів електронної пошти.

    Доставлено на: [email protected]
    Отримано: на 10.60.14.3 з ідентифікатором SMTP l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    Отримано: 10.68.125.129 з ідентифікатором SMTP mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Шлях повернення:
    Отримано: від exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    на mx.google.com з ідентифікатором SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    Отриманий-SPF: нейтральний (google.com: 64.18.2.16 не дозволений, ані не заперечений записом домену для домену [email protected]) client-ip = 64.18.2.16;
    Результати аутентифікації: mx.google.com; spf = neutral (google.com: 64.18.2.16 не дозволено, ані заперечується записом доменів [email protected]) [email protected]
    Отримано: від mail.externalemail.com ([XXX.XXX.XXX.XXX]) (за допомогою TLSv1) за адресою exprod7ob119.postini.com ([64.18.6.12]) з SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    Отримано: від MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) з каталогу; Вт, 6 березня
    2012 11:30:48 -0500
    Від: Джейсон Фолкнер
    До: "[email protected]"
    Дата: Tue, 6 Mar 2012 11:30:48 -0500
    Тема: Це легальна електронна пошта
    Тема теми: Це легальна електронна пошта
    Індекс нитки: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID повідомлення:
    Accept-Language: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-корелятор:
    acceptlanguage: en-US
    Тип вмісту: мультипартийна / альтернативна;
    border = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-версія: 1.0

    Коли ви читаєте заголовок електронної пошти, дані знаходяться в зворотному хронологічному порядку, тобто інформація вгорі є найостаннішою подією. Якщо ви хочете відстежувати електронну пошту від відправника до одержувача, починайте знизу. Розглядаючи заголовки цього листа, ми бачимо кілька речей.

    Тут ми бачимо інформацію, створену клієнтом-відправником. У цьому випадку електронна пошта була надіслана з Outlook, отже, це метадані Outlook додає.

    Від: Джейсон Фолкнер
    До: "[email protected]"
    Дата: Tue, 6 Mar 2012 11:30:48 -0500
    Тема: Це легальна електронна пошта
    Тема теми: Це легальна електронна пошта
    Індекс нитки: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID повідомлення:
    Accept-Language: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-корелятор:
    acceptlanguage: en-US
    Тип вмісту: мультипартийна / альтернативна;
    border = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-версія: 1.0

    У наступній частині простежується шлях, який електронна пошта приймає від сервера відправлення до сервера призначення. Майте на увазі, що ці кроки (або хмелі) перераховані в зворотному хронологічному порядку. Ми розмістили відповідний номер поруч з кожним стрибком, щоб проілюструвати порядок. Зауважте, що кожен стрибок показує детальну інформацію про IP-адресу та відповідне зворотне ім'я DNS.

    Доставлено на: [email protected]
    [6] Отримано: на 10.60.14.3 з ідентифікатором SMTP l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    [5] Отримано: 10.68.125.129 з ідентифікатором SMTP mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Шлях повернення:
    [4] Отримано: від exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    на mx.google.com з ідентифікатором SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    [3] Отриманий-SPF: нейтральний (google.com: 64.18.2.16 не дозволений, ані не заперечений записом домену для домену [email protected]) client-ip = 64.18.2.16;
    Результати аутентифікації: mx.google.com; spf = neutral (google.com: 64.18.2.16 не дозволено, ані заперечується записом доменів [email protected]) [email protected]
    [2] Отримано: від mail.externalemail.com ([XXX.XXX.XXX.XXX]) (за допомогою TLSv1) за адресою exprod7ob119.postini.com ([64.18.6.12]) з SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    [1] Отримано: від MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) з каталогу; Вт, 6 березня
    2012 11:30:48 -0500

    Незважаючи на те, що для легітимної електронної пошти це досить повсякденне життя, ця інформація може бути досить складною, коли йдеться про вивчення спаму чи фішингових повідомлень.

    Вивчення електронної пошти фішингу - приклад 1

    Для нашого першого прикладу фішингу ми розглянемо електронний лист, який є очевидною спробою фішингу. У цьому випадку ми могли б ідентифікувати це повідомлення як шахрайство лише за допомогою візуальних індикаторів, але для практики ми подивимося на попереджувальні знаки в заголовках.

    Доставлено на: [email protected]
    Отримано: на 10.60.14.3 з ідентифікатором SMTP l3csp12958oec;
    Пн, 5 Мар 2012 23:11:29 -0800 (PST)
    Отримано: 10.236.46.164 з ідентифікатором SMTP r24mr7411623yhb.101.1331017888982;
    Пн, 05 Бер 2012 23:11:28 -0800 (PST)
    Шлях повернення:
    Отримано: від ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    на mx.google.com з ідентифікатором ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
    Пн, 05 Бер 2012 23:11:28 -0800 (PST)
    Received-SPF: fail (google.com: домен [email protected] не визначає XXX.XXX.XXX.XXX як дозволений відправник) client-ip = XXX.XXX.XXX.XXX;
    Результати аутентифікації: mx.google.com; spf = hardfail (google.com: домен [email protected] не визначає XXX.XXX.XXX.XXX як дозволений відправник) [email protected]
    Отримано: з поштовим роз'ємом MailEnable; Tue, 6 Mar 2012 02:11:20 -0500
    Отримано: від mail.lovingtour.com ([211.166.9.218]), за адресою ms.externalemail.com з MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
    Отримано: від користувача ([118.142.76.58])
    на mail.lovingtour.com
    ; Пн, 5 Бер 2012 21:38:11 +0800
    ID повідомлення:
    Відповідати на:
    З: "[email protected]"
    Тема: Повідомлення
    Дата: Пн, 5 Бер 2012 21:20:57 +0800
    MIME-версія: 1.0
    Тип вмісту: мультипартийний / змішаний;
    border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Пріоритет: 3
    X-MSMail-Пріоритет: Звичайний
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: виробляється Microsoft MimeOLE V6.00.2600.0000
    X-ME-байесів: 0,000000

    Перший червоний прапор знаходиться в інформаційній області клієнта. Зверніть увагу на те, що метадані додані посилання Outlook Express. Малоймовірно, що Visa відстає від часу, коли хтось вручну відправляє електронні листи за допомогою 12-річного клієнта електронної пошти.

    Відповідати на:
    З: "[email protected]"
    Тема: Повідомлення
    Дата: Пн, 5 Бер 2012 21:20:57 +0800
    MIME-версія: 1.0
    Тип вмісту: мультипартийний / змішаний;
    border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Пріоритет: 3
    X-MSMail-Пріоритет: Звичайний
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: виробляється Microsoft MimeOLE V6.00.2600.0000
    X-ME-байесів: 0,000000

    Тепер вивчаючи перший перехід у маршрутизації електронної пошти, виявляється, що відправник знаходився на IP-адресу 118.142.76.58, а їхня електронна пошта пересилалася через поштовий сервер mail.lovingtour.com.

    Отримано: від користувача ([118.142.76.58])
    на mail.lovingtour.com
    ; Пн, 5 Бер 2012 21:38:11 +0800

    Шукаючи інформацію про IP-адресу за допомогою утиліти IPNetInfo від Nirsoft, ми бачимо, що відправник знаходився в Гонконзі, а поштовий сервер - у Китаї.

    Зайве говорити, що це трохи підозріло.

    Решта переходів електронної пошти не є дійсно актуальними в цьому випадку, оскільки вони показують електронну пошту, що перескакує легальний трафік сервера, перш ніж остаточно доставити.

    Розгляд електронної пошти фішингу - приклад 2

    У цьому прикладі наш фішинговий лист набагато переконливіший. Існує декілька візуальних показників, якщо ви подивитеся досить важко, але знову ж для цілей цієї статті ми обмежимо розслідування заголовками електронної пошти..

    Доставлено на: [email protected]
    Отримано: на 10.60.14.3 з ідентифікатором SMTP l3csp15619oec;
    Tue, 6 Mar 2012 04:27:20 -0800 (PST)
    Отримано: 10.236.170.165 з ідентифікатором SMTP p25mr8672800yhl.123.1331036839870;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Шлях повернення:
    Отримано: від ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    на mx.google.com з ідентифікатором ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Received-SPF: fail (google.com: домен [email protected] не позначає XXX.XXX.XXX.XXX як дозволеного відправника) client-ip = XXX.XXX.XXX.XXX;
    Результати аутентифікації: mx.google.com; spf = hardfail (google.com: домен [email protected] не позначає XXX.XXX.XXX.XXX як дозволений відправник) [email protected]
    Отримано: з поштовим роз'ємом MailEnable; Tue, 6 Mar 2012 07:27:13 -0500
    Отримано: від dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]), котрий користується електронною поштою ms.externalemail.com з MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
    Отримано: від apache на сайті intuit.com з локальним (Exim 4.67)
    (конверт від)
    id GJMV8N-8BERQW-93
    для; Tue, 6 Mar 2012 19:27:05 +0700
    До:
    Тема: Ваш рахунок-фактура Intuit.com.
    X-PHP-скрипт: intuit.com/sendmail.php для 118.68.152.212
    З: "INTUIT INC."
    X-Відправник: "INTUIT INC."
    X-Mailer: PHP
    X-Пріоритет: 1
    MIME-версія: 1.0
    Тип вмісту: мультипартийна / альтернативна;
    межа = ”- 03060500702080404010506"
    Ідентифікатор повідомлення:
    Дата: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-байесів: 0,000000

    У цьому прикладі програма-поштовий клієнт не використовувалася, скоріше, скрипт з вихідним IP-адресою 118.68.152.212.

    До:
    Тема: Ваш рахунок-фактура Intuit.com.
    X-PHP-скрипт: intuit.com/sendmail.php для 118.68.152.212
    З: "INTUIT INC."
    X-Відправник: "INTUIT INC."
    X-Mailer: PHP
    X-Пріоритет: 1
    MIME-версія: 1.0
    Тип вмісту: мультипартийна / альтернативна;
    межа = ”- 03060500702080404010506"
    Ідентифікатор повідомлення:
    Дата: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-байесів: 0,000000

    Проте, коли ми дивимося на перший email-хоп, він виглядає легітимним, оскільки доменне ім'я сервера-відправника відповідає адресі електронної пошти. Тим не менш, будьте обережні з цим, оскільки спамер може легко назвати свій сервер "intuit.com".

    Отримано: від apache на сайті intuit.com з локальним (Exim 4.67)
    (конверт від)
    id GJMV8N-8BERQW-93
    для; Tue, 6 Mar 2012 19:27:05 +0700

    Розглядаючи наступний крок, цей будиночок розсипається. Ви можете побачити другий стрибок (де він отриманий легітимним сервером електронної пошти), який вирішує відправляючий сервер назад до домену “dynamic-pool-xxx.hcm.fpt.vn”, а не “intuit.com” з тією ж IP-адресою. у скрипті PHP.

    Отримано: від dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]), котрий користується електронною поштою ms.externalemail.com з MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

    Перегляд інформації про IP-адресу підтверджує підозру, як розв'язання розташування поштового сервера назад до В'єтнаму.

    Хоча цей приклад є трохи більш розумним, ви можете побачити, як швидко виявляється шахрайство лише з невеликим розслідуванням.

    Висновок

    Переглядаючи заголовки електронної пошти, ймовірно, не є частиною ваших типових повсякденних потреб, є випадки, коли інформація, що міститься в них, може бути дуже цінною. Як ми показали вище, ви можете досить легко визначити відправників, які маскуються як щось, що вони не є. Для дуже добре виконаної афери, де візуальні підказки є переконливими, надзвичайно важко (якщо не неможливо) уособлювати фактичні поштові сервери, а перегляд інформації всередині заголовків електронної пошти може швидко виявити будь-які обманювання.

    Посилання

    Завантажте IPNetInfo з Nirsoft