Kiedy otrzymujesz e-mail, jest o wiele więcej niż na pierwszy rzut oka. Podczas gdy zazwyczaj zwracasz uwagę tylko na adres, temat i treść wiadomości, istnieje wiele dodatkowych informacji "pod maską" każdego e-maila, które mogą dostarczyć Ci wielu dodatkowych informacji.
To jest bardzo dobre pytanie. W przeważającej części, naprawdę nigdy nie musiałbyś, chyba że:
Bez względu na powody, czytanie nagłówków e-maili jest w rzeczywistości dość łatwe i może być bardzo odkrywcze.
Uwaga na temat artykułu: Z naszych zrzutów ekranu i danych będziemy korzystać z Gmaila, ale praktycznie każdy inny klient poczty powinien podać te same informacje.
W Gmailu wyświetl wiadomość e-mail. W tym przykładzie użyjemy poniższego e-maila.
Następnie kliknij strzałkę w prawym górnym rogu i wybierz Pokaż oryginał.
Wynikowe okno będzie zawierało dane nagłówka wiadomości e-mail w postaci zwykłego tekstu.
Uwaga: we wszystkich danych nagłówka e-mail, które pokazuję poniżej, zmieniłem mój adres Gmaila, aby wyświetlać jako [email protected] i mój zewnętrzny adres e-mail, aby pokazać jako [email protected] i [email protected] jak również zamaskowany adres IP moich serwerów pocztowych.
Dostarczono do: [email protected]
Otrzymano: do 10.60.14.3 z identyfikatorem SMTP l3csp18666oec;
Wt, 6 marca 2012 08:30:51 -0800 (PST)
Otrzymano: przez 10.68.125.129 z identyfikatorem SMTP mq1mr1963003pbb.21.1331051451044;
Wt, 06 marca 2012 08:30:51 -0800 (PST)
Ścieżka powrotna:
Otrzymano: od exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
przez mx.google.com z identyfikatorem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Wt, 06 marca 2012 08:30:50 -0800 (PST)
Received-SPF: neutralny (google.com: 64.18.2.16 nie jest dozwolony ani odrzucany przez najlepszy rekord zgadywania dla domeny [email protected]) client-ip = 64.18.2.16;
Uwierzytelnianie - wyniki: mx.google.com; spf = neutral (google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]
Otrzymano: od mail.externalemail.com ([XXX.XXX.XXX.XXX]) (przy użyciu TLSv1) przez exprod7ob119.postini.com ([64.18.6.12]) za pomocą SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Wt, 06 marca 2012 08:30:50 PST
Otrzymano: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) przez
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) z mapi; Wt, 6 marca
2012 11:30:48 -0500
Od: Jason Faulkner
Do: "[email protected]"
Data: wtorek, 6 marca 2012 r. 11:30:48 -0500
Temat: To jest legalny adres e-mail
Temat wątku: To jest legalny adres e-mail
Indeks wątków: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID wiadomości:
Zaakceptuj język: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Typ treści: wieloczęściowy / alternatywny;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Wersja MIME: 1.0
Kiedy czytasz nagłówek wiadomości e-mail, dane są w odwrotnej kolejności chronologicznej, co oznacza, że informacje u góry są najnowszym wydarzeniem. Dlatego jeśli chcesz prześledzić pocztę od nadawcy do odbiorcy, zacznij od dołu. Analizując nagłówki tego e-maila, widzimy kilka rzeczy.
Widzimy tutaj informacje generowane przez klienta wysyłającego. W tym przypadku wiadomość e-mail została wysłana z programu Outlook, więc jest to metadane dodane przez program Outlook.
Od: Jason Faulkner
Do: "[email protected]"
Data: wtorek, 6 marca 2012 r. 11:30:48 -0500
Temat: To jest legalny adres e-mail
Temat wątku: To jest legalny adres e-mail
Indeks wątków: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID wiadomości:
Zaakceptuj język: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Typ treści: wieloczęściowy / alternatywny;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Wersja MIME: 1.0
Następna część śledzi ścieżkę, którą wiadomość e-mail odbiera z serwera wysyłającego na serwer docelowy. Należy pamiętać, że te kroki (lub chmiel) są wymienione w odwrotnej kolejności chronologicznej. Umieściliśmy odpowiedni numer przy każdym przeskoku, aby zilustrować zamówienie. Zauważ, że każdy skok pokazuje szczegóły dotyczące adresu IP i odpowiedniej odwrotnej nazwy DNS.
Dostarczono do: [email protected]
[6] Otrzymano: do 10.60.14.3 z identyfikatorem SMTP l3csp18666oec;
Wt, 6 marca 2012 08:30:51 -0800 (PST)
[5] Otrzymano: przez 10.68.125.129 z identyfikatorem SMTP mq1mr1963003pbb.21.1331051451044;
Wt, 06 marca 2012 08:30:51 -0800 (PST)
Ścieżka powrotna:
[4] Otrzymano: od exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
przez mx.google.com z identyfikatorem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Wt, 06 marca 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutralny (google.com: 64.18.2.16 nie jest dozwolony ani odrzucany przez najlepszy rekord zgadywania dla domeny [email protected]) client-ip = 64.18.2.16;
Uwierzytelnianie - wyniki: mx.google.com; spf = neutral (google.com: 64.18.2.16 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]
[2] Otrzymano: od mail.externalemail.com ([XXX.XXX.XXX.XXX]) (przy użyciu TLSv1) przez exprod7ob119.postini.com ([64.18.6.12]) za pomocą SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Wt, 06 marca 2012 08:30:50 PST
[1] Otrzymano: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) przez
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) z mapi; Wt, 6 marca
2012 11:30:48 -0500
Chociaż jest to całkiem przyziemne ze względu na wiarygodny adres e-mail, informacje te mogą być bardzo przydatne, jeśli chodzi o zbieranie spamu lub phishingu.
Nasz pierwszy przykład phishingu sprawdzi wiadomość e-mail, która jest oczywistą próbą phishingu. W tym przypadku możemy zidentyfikować tę wiadomość jako oszustwo po prostu za pomocą wizualnych wskaźników, ale dla praktyki przyjrzymy się znakom ostrzegawczym w nagłówku.
Dostarczono do: [email protected]
Otrzymano: do 10.60.14.3 z identyfikatorem SMTP l3csp12958oec;
Pon., 5 marca 2012 23:11:29 -0800 (PST)
Otrzymano: 10.236.46.164 z identyfikatorem SMTP r24mr7411623yhb.101.1331017888982;
Pon., 05 marca 2012 23:11:28 -0800 (PST)
Ścieżka powrotna:
Otrzymano: od ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
autor: mx.google.com z identyfikatorem ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Pon., 05 marca 2012 23:11:28 -0800 (PST)
Received-SPF: fail (google.com: domain of [email protected] nie określa XXX.XXX.XXX.XXX jako dozwolonego nadawcy) client-ip = XXX.XXX.XXX.XXX;
Uwierzytelnianie - wyniki: mx.google.com; spf = hardfail (google.com: domena [email protected] nie oznacza XXX.XXX.XXX.XXX jako dozwolonego nadawcy) [email protected]
Otrzymano: za pomocą MailEnable Postoffice Connector; Wt, 6 marca 2012 02:11:20 -0500
Otrzymano: z mail.lovingtour.com ([211.166.9.218]) przez ms.externalemail.com z MailEnable ESMTP; Wt, 6 marca 2012 02:11:10 -0500
Otrzymano: od użytkownika ([118.142.76.58])
przez mail.lovingtour.com
; Pon., 5 marca 2012 21:38:11 +0800
ID wiadomości:
Odpowiedzieć do:
Od: "[email protected]"
Subject: Notice
Data: pon., 5 marca 2012 21:20:57 +0800
Wersja MIME: 1.0
Typ treści: wieloczęściowy / mieszany;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorytet X: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: wyprodukowany przez Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Pierwsza czerwona flaga znajduje się w obszarze informacji o kliencie. Zauważ, że metadane dodały odwołania do programu Outlook Express. Jest mało prawdopodobne, że Visa jest tak daleko w tyle, że ma kogoś, kto ręcznie wysyła wiadomości e-mail za pomocą 12-letniego klienta pocztowego.
Odpowiedzieć do:
Od: "[email protected]"
Subject: Notice
Data: pon., 5 marca 2012 21:20:57 +0800
Wersja MIME: 1.0
Typ treści: wieloczęściowy / mieszany;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorytet X: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: wyprodukowany przez Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Teraz badanie pierwszego przeskoku w routerze e-mailowym ujawniło, że nadawca znajdował się pod adresem IP 118.142.76.58, a jego wiadomość e-mail została przekazana za pośrednictwem serwera poczty mail.lovingtour.com.
Otrzymano: od użytkownika ([118.142.76.58])
przez mail.lovingtour.com
; Pon., 5 marca 2012 21:38:11 +0800
Wyszukując informacje o IP za pomocą narzędzia IPNetInfo Nirsoft, widzimy, że nadawca znajdował się w Hongkongu, a serwer pocztowy znajduje się w Chinach.
Nie trzeba dodawać, że jest to trochę podejrzane.
Reszta przeskoków wiadomości e-mail nie jest tak naprawdę istotna w tym przypadku, ponieważ pokazują one wiadomości e-mail odbijające się od prawidłowego ruchu na serwerze, zanim zostaną ostatecznie dostarczone.
W tym przykładzie nasz e-mail phishingowy jest znacznie bardziej przekonujący. Jest kilka wskaźników wizualnych, jeśli spojrzysz wystarczająco mocno, ale ponownie dla celów tego artykułu ograniczymy nasze dochodzenie do nagłówków e-mail.
Dostarczono do: [email protected]
Otrzymano: do 10.60.14.3 z identyfikatorem SMTP l3csp15619oec;
Wt, 6 marca 2012 04:27:20 -0800 (PST)
Otrzymano: 10.236.170.165 z identyfikatorem SMTP p25mr8672800yhl.123.1331036839870;
Wt, 06 marca 2012 04:27:19 -0800 (PST)
Ścieżka powrotna:
Otrzymano: od ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
przez mx.google.com z identyfikatorem ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Wt, 06 marca 2012 04:27:19 -0800 (PST)
Received-SPF: fail (google.com: domain of [email protected] nie określa XXX.XXX.XXX.XXX jako dozwolonego nadawcy) client-ip = XXX.XXX.XXX.XXX;
Uwierzytelnianie - wyniki: mx.google.com; spf = hardfail (google.com: domena [email protected] nie określa XXX.XXX.XXX.XXX jako dozwolonego nadawcy) [email protected]
Otrzymano: za pomocą MailEnable Postoffice Connector; Wt, 6 marca 2012 07:27:13 -0500
Otrzymano: od dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) przez ms.externalemail.com z MailEnable ESMTP; Wt, 6 marca 2012 07:27:08 -0500
Otrzymane: z apache przez intuit.com z lokalnym (Exim 4.67)
(koperta z)
id GJMV8N-8BERQW-93
dla ; Wt, 6 marca 2012 19:27:05 +0700
Do:
Subject: Twoja faktura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php dla 118.68.152.212
Od: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
Priorytet X: 1
Wersja MIME: 1.0
Typ treści: wieloczęściowy / alternatywny;
boundary = "- 03060500702080404010506"
ID wiadomości:
Data: wtorek, 6 marca 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
W tym przykładzie aplikacja klienta poczty nie była używana, a raczej skrypt PHP ze źródłowym adresem IP 118.68.152.212.
Do:
Subject: Twoja faktura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php dla 118.68.152.212
Od: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
Priorytet X: 1
Wersja MIME: 1.0
Typ treści: wieloczęściowy / alternatywny;
boundary = "- 03060500702080404010506"
ID wiadomości:
Data: wtorek, 6 marca 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Jednakże, gdy patrzymy na pierwszy e-mail hop, wydaje się, że jest to uzasadnione, ponieważ nazwa domeny serwera wysyłającego jest zgodna z adresem e-mail. Bądź jednak ostrożny, ponieważ spamer może z łatwością nazwać swój serwer "intuit.com".
Otrzymane: z apache przez intuit.com z lokalnym (Exim 4.67)
(koperta z)
id GJMV8N-8BERQW-93
dla ; Wt, 6 marca 2012 19:27:05 +0700
Badanie następnego kroku rozpada ten dom z kart. Możesz zobaczyć, że drugi przeskok (gdzie jest odbierany przez legalny serwer e-mail) rozwiązuje serwer wysyłający z powrotem do domeny "dynamic-pool-xxx.hcm.fpt.vn", a nie "intuit.com" z tym samym adresem IP wskazane w skrypcie PHP.
Otrzymano: od dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) przez ms.externalemail.com z MailEnable ESMTP; Wt, 6 marca 2012 07:27:08 -0500
Przeglądanie informacji o adresie IP potwierdza podejrzenie, gdy lokalizacja serwera pocztowego zostanie zwrócona z powrotem do Wietnamu.
Chociaż ten przykład jest nieco bardziej sprytny, możesz zobaczyć, jak szybko ujawnia się oszustwo z niewielkim tylko dociekaniem.
Podczas przeglądania nagłówków e-mail prawdopodobnie nie jest to część typowych codziennych potrzeb, są przypadki, w których zawarte w nich informacje mogą być dość cenne. Jak pokazaliśmy powyżej, można dość łatwo zidentyfikować nadawców, którzy podszywają się pod coś, czym nie są. W przypadku bardzo dobrze zrealizowanego oszustwa, w którym przekonujące są sygnały wizualne, niezwykle trudne (jeśli nie niemożliwe) jest podszywanie się pod rzeczywiste serwery pocztowe, a przeglądanie informacji w nagłówkach wiadomości e-mail może szybko ujawnić wszelkie szykany.
Pobierz IPNetInfo z Nirsoft
