Pagina principala » HOWTO » Ce puteți găsi într-un antet de e-mail?

    Ce puteți găsi într-un antet de e-mail?

    Ori de câte ori primiți un e-mail, există mult mai mult decât întâlnește ochiul. Deși în mod obișnuit acordați atenție numai adresei, subiectelor și corpului mesajului, există mai multe informații disponibile "sub capota" fiecărui e-mail care vă poate furniza o mulțime de informații suplimentare.

    De ce să vă gândiți la o antet de e-mail?

    Aceasta este o întrebare foarte bună. În cea mai mare parte, într-adevăr nu ați avea nevoie vreodată decât dacă:

    • Bănuiți că un e-mail este o încercare de phishing sau un spoof
    • Doriți să vedeți informații de rutare pe calea e-mailului
    • Ești un geek curios

    Indiferent de motivele dvs., citirea anteturilor de e-mail este de fapt destul de ușoară și poate fi foarte revelatoare.

    Notă de produs: pentru capturile de ecran și datele noastre, vom folosi Gmail, dar practic orice alt client de poștă electronică ar trebui să furnizeze aceleași informații și.

    Vizualizarea antetului de e-mail

    În Gmail, vizualizați e-mailul. Pentru acest exemplu, vom folosi e-mailul de mai jos.

    Apoi dați clic pe săgeata din colțul din dreapta sus și selectați Afișați originalul.

    Fereastra rezultată va avea datele antetului de e-mail în text simplu.

    Notă: În toate datele antetului de e-mail pe care le afișez mai jos, am schimbat adresa Gmail pentru a fi afișată ca [email protected] și adresa de e-mail externă pentru a afișa ca [email protected] și [email protected] precum și mascarea adresei IP a serverelor mele de e-mail.

    Livrat la: [email protected]
    Primit: de 10.60.14.3 cu id SMTP l3csp18666oec;
    Marți, 6 Mar 2012 08:30:51 -0800 (PST)
    Primit: de 10.68.125.129 cu id SMTP mq1mr1963003pbb.21.1331051451044;
    Marți, 06 Mar 2012 08:30:51 -0800 (PST)
    Calea de intoarcere:
    Primit: de la exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    de către mx.google.com cu id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    Received-SPF: neutru (google.com: 64.18.2.16 nu este permis și nici refuzat de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) client-ip = 64.18.2.16;
    Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 64.18.2.16 nu este permisă și nici refuzată de cea mai bună înregistrare pentru domeniul [email protected]) [email protected]
    Primit: de la mail.externalemail.com ([XXX.XXX.XXX.XXX]) (folosind TLSv1) de exprod7ob119.postini.com ([64.18.6.12]) cu SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    Primit: de la MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) prin
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) cu harta; Marți, 6 Mar
    2012 11:30:48 -0500
    De la: Jason Faulkner
    Către: "[email protected]"
    Data: Tue, 6 Mar 2012 11:30:48 -0500
    Subiect: Acesta este un e-mail legit
    Subiect-Subiect: Acesta este un e-mail legit
    Indexul fișierelor: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID-ul mesajului:
    Accept-Limba: en-US
    Limba de conținut: en-US
    X-MS-Are-Attach:
    X-MS-TNEF-Correlator:
    acceptlanguage: en-US
    Tipul de conținut: versiune multiplă / alternativă;
    limita =“_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_“
    Versiunea MIME: 1.0

    Când citiți un antet de e-mail, datele sunt în ordine cronologică inversă, ceea ce înseamnă că informațiile din partea de sus sunt cele mai recente. Prin urmare, dacă doriți să urmăriți e-mailul de la expeditor la destinatar, începeți din partea de jos. Examinând anteturile acestui e-mail, putem vedea câteva lucruri.

    Aici vedem informațiile generate de clientul trimis. În acest caz, e-mailul a fost trimis de la Outlook, astfel că acesta este metadatele pe care Outlook le adaugă.

    De la: Jason Faulkner
    Către: "[email protected]"
    Data: Tue, 6 Mar 2012 11:30:48 -0500
    Subiect: Acesta este un e-mail legit
    Subiect-Subiect: Acesta este un e-mail legit
    Indexul fișierelor: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID-ul mesajului:
    Accept-Limba: en-US
    Limba de conținut: en-US
    X-MS-Are-Attach:
    X-MS-TNEF-Correlator:
    acceptlanguage: en-US
    Tipul de conținut: versiune multiplă / alternativă;
    limita =“_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_“
    Versiunea MIME: 1.0

    Următoarea parte urmărește calea pe care o primește e-mailul de la serverul de expediere către serverul de destinație. Rețineți că acești pași (sau hamei) sunt enumerați în ordine inversă cronologică. Am plasat numărul respectiv de lângă fiecare hop pentru a ilustra ordinea. Rețineți că fiecare hop prezintă detalii despre adresa IP și numele DNS invers.

    Livrat la: [email protected]
    [6] Primit: de 10.60.14.3 cu id SMTP l3csp18666oec;
    Marți, 6 Mar 2012 08:30:51 -0800 (PST)
    [5] Primit: de 10.68.125.129 cu id SMTP mq1mr1963003pbb.21.1331051451044;
    Marți, 06 Mar 2012 08:30:51 -0800 (PST)
    Calea de intoarcere:
    [4] Primit: de la exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    de către mx.google.com cu id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    [3] Received-SPF: neutru (google.com: 64.18.2.16 nu este permis și nici refuzat de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) client-ip = 64.18.2.16;
    Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 64.18.2.16 nu este permisă și nici refuzată de cea mai bună înregistrare pentru domeniul [email protected]) [email protected]
    [2] Primit: de la mail.externalemail.com ([XXX.XXX.XXX.XXX]) (folosind TLSv1) de exprod7ob119.postini.com ([64.18.6.12]) cu SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    [1] Primit: de la MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) prin
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) cu harta; Marți, 6 Mar
    2012 11:30:48 -0500

    Deși acest lucru este destul de banal pentru un e-mail legitim, aceste informații pot fi destul de clare atunci când este vorba despre examinarea e-mailurilor spam sau phishing.

    Examinarea unui e-mail de phishing - Exemplul 1

    Pentru primul nostru exemplu de phishing, vom examina un e-mail care este o încercare evidentă de phishing. În acest caz, am putea identifica acest mesaj ca o fraudă pur și simplu prin indicatorii vizuali, dar pentru practică vom examina semnele de avertizare din anteturi.

    Livrat la: [email protected]
    Primit: de 10.60.14.3 cu id SMTP l3csp12958oec;
    Luni, 5 Mar 2012 23:11:29 -0800 (PST)
    Primit: de 10.236.46.164 cu id SMTP r24mr7411623yhb.101.1331017888982;
    Mon, 05 Mar 2012 23:11:28 -0800 (PST)
    Calea de intoarcere:
    Primit: de la ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    de către mx.google.com cu codul ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
    Mon, 05 Mar 2012 23:11:28 -0800 (PST)
    Received-SPF: eșuează (google.com: domain of [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) client-ip = XXX.XXX.XXX.XXX;
    Autentificare-Rezultate: mx.google.com; spf = hardfail (google.com: domain of [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) [email protected]
    Primit: cu MailEnable Postoffice Connector; Marți, 6 Mar 2012 02:11:20 -0500
    Primit: de la mail.lovingtour.com ([211.166.9.218]) de către ms.externalemail.com cu MailEnable ESMTP; Marți, 6 Mar 2012 02:11:10 -0500
    Primit: de la Utilizator ([118.142.76.58])
    prin mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800
    ID-ul mesajului:
    Raspunde la:
    De la: "[email protected]"
    Subiect: Notă
    Data: Mon, 5 Mar 2012 21:20:57 +0800
    Versiunea MIME: 1.0
    Tip de conținut: multipartit / mixt;
    = limita“- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Prioritate: 3
    Prioritatea X-MSMail: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: produs de Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Primul steag roșu se află în zona de informații pentru clienți. Observați aici metadatele adăugate referințe Outlook Express. Este puțin probabil ca Visa să fie atât de departe de momentul în care au cineva să trimită manual mesaje e-mail utilizând un client de e-mail de 12 ani.

    Raspunde la:
    De la: "[email protected]"
    Subiect: Notă
    Data: Mon, 5 Mar 2012 21:20:57 +0800
    Versiunea MIME: 1.0
    Tip de conținut: multipartit / mixt;
    = limita“- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Prioritate: 3
    Prioritatea X-MSMail: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: produs de Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Acum, examinarea primului hop în rutarea e-mailurilor arată că expeditorul a fost localizat la adresa IP 118.142.76.58 iar e-mailurile lor au fost transmise prin serverul de mail mail.lovingtour.com.

    Primit: de la Utilizator ([118.142.76.58])
    prin mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800

    Căutând informațiile IP utilizând utilitarul IPNetInfo al Nirsoft, putem vedea că expeditorul a fost localizat în Hong Kong și serverul de poștă electronică este situat în China.

    Inutil să spun că este puțin suspect.

    Restul hamei de e-mail nu sunt cu adevărat relevante în acest caz, deoarece arată e-mailul care cade în jurul traficului legat de server înainte de a fi livrat în cele din urmă.

    Examinarea unui e-mail de phishing - Exemplul 2

    Pentru acest exemplu, e-mailul nostru de phishing este mult mai convingător. Există câțiva indicatori vizați aici dacă arăți destul de greu, dar din nou în scopul acestui articol vom limita ancheta noastră la anteturile de e-mail.

    Livrat la: [email protected]
    Primit: de 10.60.14.3 cu id SMTP l3csp15619oec;
    Marți, 6 Mar 2012 04:27:20 -0800 (PST)
    Primit: de 10.236.170.165 cu SMTP id p25mr8672800yhl.123.1331036839870;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Calea de intoarcere:
    Primit: de la ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    de la mx.google.com cu codul ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Received-SPF: eșuează (google.com: domain of [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) client-ip = XXX.XXX.XXX.XXX;
    Autentificare-Rezultate: mx.google.com; spf = hardfail (google.com: domeniul de [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) [email protected]
    Primit: cu MailEnable Postoffice Connector; Marți, 6 Mar 2012 07:27:13 -0500
    Primit: din dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) de către ms.externalemail.com cu MailEnable ESMTP; Marți, 6 Mar 2012 07:27:08 -0500
    Primit: de la apache de la intuit.com cu local (Exim 4.67)
    (plic de la)
    id GJMV8N-8BERQW-93
    pentru ; Marți, 6 Mar 2012 19:27:05 +0700
    La:
    Subiect: factura dvs. Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php pentru 118.68.152.212
    Din: "INTUIT INC."
    X-expeditor: "INTUIT INC".
    X-Mailer: PHP
    X-Prioritate: 1
    Versiunea MIME: 1.0
    Tipul de conținut: versiune multiplă / alternativă;
    = Limita“- 03060500702080404010506"
    ID mesaj:
    Data: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    În acest exemplu, nu a fost utilizată o aplicație client de poștă electronică, ci un script PHP cu adresa IP sursă de 118.68.152.212.

    La:
    Subiect: factura dvs. Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php pentru 118.68.152.212
    Din: "INTUIT INC."
    X-expeditor: "INTUIT INC".
    X-Mailer: PHP
    X-Prioritate: 1
    Versiunea MIME: 1.0
    Tipul de conținut: versiune multiplă / alternativă;
    = Limita“- 03060500702080404010506"
    ID mesaj:
    Data: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Cu toate acestea, atunci când ne uităm la primul mesaj de e-mail, se pare că este legitim, pe măsură ce numele de domeniu al serverului de trimitere se potrivește cu adresa de e-mail. Cu toate acestea, fiți atenți la acest lucru ca un spammer ar putea numi cu ușurință serverul lor "intuit.com".

    Primit: de la apache de la intuit.com cu local (Exim 4.67)
    (plic de la)
    id GJMV8N-8BERQW-93
    pentru ; Marți, 6 Mar 2012 19:27:05 +0700

    Examinând următorul pas, se prăbușește această casă de cărți. Puteți vedea al doilea hack (în cazul în care este primit de un server de e-mail legitim) rezolvă serverul de trimitere înapoi la domeniul "dynamic-pool-xxx.hcm.fpt.vn", nu "intuit.com" cu aceeași adresă IP indicat în scriptul PHP.

    Primit: din dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) de către ms.externalemail.com cu MailEnable ESMTP; Marți, 6 Mar 2012 07:27:08 -0500

    Vizualizarea informațiilor adresei IP confirmă suspiciunea că locația serverului de poștă electronică se rezolvă înapoi în Vietnam.

    În timp ce acest exemplu este un pic mai inteligent, puteți vedea cât de repede se dezvăluie frauda cu doar o mică anchetă.

    Concluzie

    În timp ce vizualizarea anteturilor de e-mail, probabil, nu face parte din nevoile obișnuite de zi cu zi, există cazuri în care informațiile conținute în ele pot fi destul de valoroase. Așa cum am arătat mai sus, puteți identifica cu ușurință expeditorii care se comportă ca ceva ce nu sunt. Pentru o înșelătorie foarte bine executată, în care indicațiile vizuale sunt convingătoare, este extrem de dificil (dacă nu chiar imposibil) să se imortalizeze serverele de mail actuale și să revizuiască informațiile din interiorul anteturilor de e-mail pot dezvălui rapid orice șoc.

    Link-uri

    Descărcați IPNetInfo de la Nirsoft

    Ce cauzează Fișierul descărcat de pe Internet Avertisment și cum îl pot șterge cu ușurință?
    Ce se întâmplă după Web 2.0?
    Ce puteți face cu sănătatea Samsung?
    Articolul următor
    Ce puteți aștepta cu adevărat din Windows Vista Service Pack 1?
    Articolul precedent
    Ce puteți face cu Samsung Bixby?