Ori de câte ori primiți un e-mail, există mult mai mult decât întâlnește ochiul. În timp ce în mod obișnuit acordați atenție exclusiv adresei, liniei de subiect și corpului mesajului, există mai multe informații disponibile "sub capota" fiecărui e-mail, care vă poate oferi o mulțime de informații suplimentare.
Aceasta este o întrebare foarte bună. În cea mai mare parte, într-adevăr nu ați avea nevoie vreodată decât dacă:
Indiferent de motivele dvs., citirea etichetelor de e-mail este de fapt destul de ușoară și poate fi foarte revelatoare.
Notă la articolul: Pentru capturile de ecran și datele noastre, vom folosi Gmail, dar practic toți ceilalți clienți de corespondență trebuie să furnizeze aceleași informații.
În Gmail, vizualizați e-mailul. Pentru acest exemplu, vom folosi e-mailul de mai jos.
Apoi dați clic pe săgeata din colțul din dreapta sus și selectați Afișați originalul.
Fereastra rezultată va avea datele antetului de e-mail în text simplu.
Notă: în toate datele antetului de e-mail pe care le afișez mai jos am schimbat adresa Gmail pentru a fi afișată ca [email protected] și adresa de e-mail externă pentru a afișa [email protected] și [email protected] precum și mascarea adresei IP a serverelor mele de e-mail.
Livrat la: [email protected]
Primit: de 10.60.14.3 cu id SMTP l3csp18666oec;
Marți, 6 Mar 2012 08:30:51 -0800 (PST)
Primit: de 10.68.125.129 cu id SMTP mq1mr1963003pbb.21.1331051451044;
Marți, 06 Mar 2012 08:30:51 -0800 (PST)
Calea de intoarcere:
Primit: de la exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
de la mx.google.com cu id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Marți, 06 Mar 2012 08:30:50 -0800 (PST)
Received-SPF: neutru (google.com: 64.18.2.16 nu este nici permis, nici refuzat de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) client-ip = 64.18.2.16;
Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 64.18.2.16 nu este permisă și nici refuzată de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) [email protected]
Primit: de la mail.externalemail.com ([XXX.XXX.XXX.XXX]) (folosind TLSv1) de exprod7ob119.postini.com ([64.18.6.12]) cu SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
Primit: de la MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) prin
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) cu harta; Marți, 6 Mar
2012 11:30:48 -0500
De la: Jason Faulkner
Către: "[email protected]"
Data: Tue, 6 Mar 2012 11:30:48 -0500
Subiect: Acesta este un e-mail legit
Subiect-Subiect: Acesta este un e-mail legit
Indexul firului: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID-ul mesajului:
Accept-Limba: en-US
Limba de conținut: en-US
X-MS-Are-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Tip de conținut: versiune multiplă / alternativă;
limita =“_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_“
Versiunea MIME: 1.0
Când citiți un antet de e-mail, datele sunt în ordine inversă, adică informațiile din partea de sus sunt cele mai recente. Prin urmare, dacă doriți să urmăriți e-mailul de la expeditor la destinatar, începeți din partea de jos. Examinând anteturile acestui e-mail, putem vedea mai multe lucruri.
Aici vedem informații generate de clientul trimis. În acest caz, e-mailul a fost trimis de la Outlook, astfel că acesta este metadatele pe care Outlook le adaugă.
De la: Jason Faulkner
Către: "[email protected]"
Data: Tue, 6 Mar 2012 11:30:48 -0500
Subiect: Acesta este un e-mail legit
Subiect-Subiect: Acesta este un e-mail legit
Indexul firului: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID-ul mesajului:
Accept-Limba: en-US
Limba de conținut: en-US
X-MS-Are-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Tip de conținut: versiune multiplă / alternativă;
limita =“_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_“
Versiunea MIME: 1.0
Următoarea parte urmărește calea pe care e-mailul o recepționează de la serverul de trimitere către serverul de destinație. Rețineți că acești pași (sau hamei) sunt enumerați în ordine cronologică inversă. Am plasat numărul respectiv de lângă fiecare hop pentru a ilustra ordinea. Rețineți că fiecare hop prezintă detalii despre adresa IP și numele DNS invers.
Livrat la: [email protected]
[6] Primit: de 10.60.14.3 cu id SMTP l3csp18666oec;
Marți, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Primit: de 10.68.125.129 cu id SMTP mq1mr1963003pbb.21.1331051451044;
Marți, 06 Mar 2012 08:30:51 -0800 (PST)
Calea de intoarcere:
[4] Primit: de la exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
de la mx.google.com cu id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Marți, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutru (google.com: 64.18.2.16 nu este nici permis, nici refuzat de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) client-ip = 64.18.2.16;
Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 64.18.2.16 nu este permisă și nici refuzată de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) [email protected]
[2] Primit: de la mail.externalemail.com ([XXX.XXX.XXX.XXX]) (folosind TLSv1) de exprod7ob119.postini.com ([64.18.6.12]) cu SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
[1] Primit: de la MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) prin
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) cu harta; Marți, 6 Mar
2012 11:30:48 -0500
În timp ce acest lucru este destul de banal pentru un e-mail legitim, aceste informații pot fi destul de telling atunci când este vorba de examinarea e-mail-uri spam sau phishing.
Pentru primul nostru exemplu de phishing, vom examina un e-mail care este o încercare evidentă de phishing. În acest caz, am putea identifica acest mesaj ca o fraudă pur și simplu prin indicatorii vizați, dar pentru practică vom examina semnele de avertizare din anteturi.
Livrat la: [email protected]
Primit: de 10.60.14.3 cu id SMTP l3csp12958oec;
Luni, 5 Mar 2012 23:11:29 -0800 (PST)
Primit: de 10.236.46.164 cu id SMTP r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Calea de intoarcere:
Primit: de la ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
de către mx.google.com cu codul ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Received-SPF: eșuează (google.com: domain of [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) client-ip = XXX.XXX.XXX.XXX;
Autentificare-Rezultate: mx.google.com; spf = hardfail (google.com: domain of [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor autorizat) [email protected]
Primit: cu MailEnable Postoffice Connector; Marți, 6 Mar 2012 02:11:20 -0500
Primit: de la mail.lovingtour.com ([211.166.9.218]) de către ms.externalemail.com cu MailEnable ESMTP; Marți, 6 Mar 2012 02:11:10 -0500
Primit: de la utilizator ([118.142.76.58])
prin mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
ID-ul mesajului:
Raspunde la:
De la: "[email protected]"
Subiect: Notă
Data: Mon, 5 Mar 2012 21:20:57 +0800
Versiunea MIME: 1.0
Tipul de conținut: multipart / mixt;
= limita“- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritate: 3
X-MSMail-Prioritate: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: produs de Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Primul steag roșu se află în zona de informații pentru clienți. Observați aici referințele de metadate adăugate Outlook Express. Este puțin probabil ca Visa să fie atât de departe de timpul în care au cineva să trimită manual mesaje e-mail utilizând un client de e-mail de 12 ani.
Raspunde la:
De la: "[email protected]"
Subiect: Notă
Data: Mon, 5 Mar 2012 21:20:57 +0800
Versiunea MIME: 1.0
Tipul de conținut: multipart / mixt;
= limita“- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritate: 3
X-MSMail-Prioritate: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: produs de Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Acum, examinarea primului hop în rutarea e-mailurilor arată că expeditorul a fost localizat la adresa IP 118.142.76.58, iar e-mailurile lor au fost transmise prin serverul de mail mail.lovingtour.com.
Primit: de la utilizator ([118.142.76.58])
prin mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
Căutând informațiile despre IP utilizând utilitarul IPNetInfo al Nirsoft, putem vedea că expeditorul a fost localizat în Hong Kong, iar serverul de poștă este situat în China.
Inutil să spun că este puțin suspect.
Restul hamei de e-mail nu sunt cu adevărat relevante în acest caz, deoarece arată e-mailul care cade în jurul traficului legat de server înainte de a fi livrat în cele din urmă.
Pentru acest exemplu, e-mailul nostru de phishing este mult mai convingător. Există câțiva indicatori vizați aici, dacă arăți destul de greu, dar din nou în scopul acestui articol vom limita investigația noastră la e-mailuri.
Livrat la: [email protected]
Primit: de 10.60.14.3 cu id SMTP l3csp15619oec;
Marți, 6 Mar 2012 04:27:20 -0800 (PST)
Primit: de 10.236.170.165 cu SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Calea de intoarcere:
Primit: de la ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
de către mx.google.com cu codul ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Received-SPF: eșuează (google.com: domain of [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) client-ip = XXX.XXX.XXX.XXX;
Autentificare-Rezultate: mx.google.com; spf = hardfail (google.com: domeniul de [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor autorizat) [email protected]
Primit: cu MailEnable Postoffice Connector; Marți, 6 Mar 2012 07:27:13 -0500
Primit: din dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) de către ms.externalemail.com cu MailEnable ESMTP; Marți, 6 Mar 2012 07:27:08 -0500
Primit: de la apache de la intuit.com cu local (Exim 4.67)
(plic de la)
id GJMV8N-8BERQW-93
pentru ; Marți, 6 Mar 2012 19:27:05 +0700
La:
Subiect: factura dvs. Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pentru 118.68.152.212
Din: "INTUIT INC."
X-expeditor: "INTUIT INC."
X-Mailer: PHP
X-Prioritate: 1
Versiunea MIME: 1.0
Tip de conținut: versiune multiplă / alternativă;
= Limita“- 03060500702080404010506"
ID mesaj:
Data: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
În acest exemplu, nu a fost utilizată o aplicație client de poștă electronică, ci un script PHP cu adresa IP sursă de 118.68.152.212.
La:
Subiect: factura dvs. Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pentru 118.68.152.212
Din: "INTUIT INC."
X-expeditor: "INTUIT INC."
X-Mailer: PHP
X-Prioritate: 1
Versiunea MIME: 1.0
Tip de conținut: versiune multiplă / alternativă;
= Limita“- 03060500702080404010506"
ID mesaj:
Data: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Cu toate acestea, atunci când ne uităm la primul e-mail de hamei, pare să fie legit, pe măsură ce numele de domeniu al serverului de trimitere se potrivește cu adresa de e-mail. Cu toate acestea, fiți atenți la acest lucru ca un spammer ar putea numi cu ușurință serverul lor "intuit.com".
Primit: de la apache de la intuit.com cu local (Exim 4.67)
(plic de la)
id GJMV8N-8BERQW-93
pentru ; Marți, 6 Mar 2012 19:27:05 +0700
Examinând următorul pas, se prăbușește această casetă de cărți. Puteți vedea al doilea hack (în cazul în care acesta este primit de un server de e-mail legitim) rezolvă serverul de trimitere înapoi la domeniul "dynamic-pool-xxx.hcm.fpt.vn", nu "intuit.com" cu aceeași adresă IP indicat în scriptul PHP.
Primit: din dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) de către ms.externalemail.com cu MailEnable ESMTP; Marți, 6 Mar 2012 07:27:08 -0500
Vizualizarea informațiilor adresei IP confirmă suspiciunea că locația serverului de poștă electronică se rezolvă înapoi în Vietnam.
În timp ce acest exemplu este un pic mai deștept, puteți vedea cât de repede se dezvăluie frauda, cu doar o mică anchetă.
În timp ce vizualizarea anteturilor de e-mail, probabil, nu face parte din nevoile obișnuite de zi cu zi, există cazuri în care informațiile conținute în ele pot fi destul de valoroase. Așa cum am arătat mai sus, puteți identifica destul de ușor expeditorii care se comportă ca ceva ce nu sunt. Pentru o înșelătorie foarte bine executată, în care indicațiile vizuale sunt convingătoare, este extrem de dificil (dacă nu chiar imposibil) să se imortalizeze serverele de mail actuale, iar examinarea informațiilor din interiorul anteturilor de e-mail poate dezvălui rapid orice șoc.
Descărcați IPNetInfo de la Nirsoft