Κάθε φορά που λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, υπάρχουν πολλά περισσότερα από αυτά που συναντά κανείς. Ενώ συνήθως δίνετε προσοχή μόνο στη διεύθυνση από, τη γραμμή θέματος και το κύριο μέρος του μηνύματος, υπάρχουν πολλές περισσότερες διαθέσιμες πληροφορίες «κάτω από το καπάκι» κάθε email που μπορεί να σας προσφέρει πληθώρα πρόσθετων πληροφοριών.
Γιατί να ασχοληθείτε με μια κεφαλίδα email;
Αυτή είναι μια πολύ καλή ερώτηση. Ως επί το πλείστον, πραγματικά δεν θα χρειαζόταν ποτέ εκτός εάν:
- Υποψιάζεστε ότι ένα μήνυμα ηλεκτρονικού ταχυδρομείου είναι απόπειρα ηλεκτρονικού ψαρέματος ή πλαστογράφηση
- Θέλετε να δείτε πληροφορίες δρομολόγησης στη διαδρομή του email
- Είστε ένας περίεργος geek
Ανεξάρτητα από τους λόγους σας, η ανάγνωση κεφαλίδων email είναι πραγματικά πολύ εύκολη και μπορεί να είναι πολύ αποκαλυπτική.
Άρθρο Σημείωση: Για τα στιγμιότυπα οθόνης και τα δεδομένα μας, θα χρησιμοποιούμε το Gmail, αλλά σχεδόν κάθε άλλος πελάτης αλληλογραφίας θα πρέπει να παρέχει τις ίδιες πληροφορίες.
Προβολή της κεφαλίδας email
Στο Gmail, δείτε το email. Για αυτό το παράδειγμα, θα χρησιμοποιήσουμε το παρακάτω μήνυμα ηλεκτρονικού ταχυδρομείου.
Στη συνέχεια, κάντε κλικ στο βέλος στην επάνω δεξιά γωνία και επιλέξτε Εμφάνιση πρωτότυπου.
Το παράθυρο που προκύπτει θα έχει τα δεδομένα κεφαλίδας email σε απλό κείμενο.
Σημείωση: Σε όλα τα δεδομένα κεφαλίδας ηλεκτρονικού ταχυδρομείου που εμφανίζονται παρακάτω, άλλαξα τη διεύθυνση Gmail μου για εμφάνιση ως μιεμαιλ@γμαηλ.κομ και η εξωτερική μου διεύθυνση ηλεκτρονικού ταχυδρομείου για εμφάνιση ως ξφαυλκνερ@εξτερνάλεμαΐλ.κομ και γασών@μιεμαιλ.κομ καθώς και η απόκρυψη της διεύθυνσης IP των διακομιστών email μου.
Δελιβερέτ-Το: μιεμαιλ@γμαηλ.κομ
Ελήφθη: έως 10.60.14.3 με SMTP id l3csp18666oec;
Τρί, 6 Μαρ 2012 08:30:51 -0800 (PST)
Ελήφθη: έως 10.68.125.129 με αναγνωριστικό SMTP mq1mr1963003pbb.21.1331051451044;
Τρί, 06 Μαρ 2012 08:30:51 -0800 (PST)
Επιστροφή-διαδρομή: <[email protected]>
Ελήφθη: από το exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
από mx.google.com με αναγνωριστικό SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Τρί, 06 Μαρ 2012 08:30:50 -0800 (PST)
Received-SPF: neutral (google.com: 64.18.2.16 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη εγγραφή εικασίας για τον τομέα του [email protected]) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com; spf = netral (google.com: 64.18.2.16 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη καταγραφή εικόνων για τον τομέα [email protected]) [email protected]
Ελήφθη: από mail.externalemail.com ([XXX.XXX.XXX.XXX]) (χρησιμοποιώντας TLSv1) από exprod7ob119.postini.com ([64.18.6.12]) με SMTP
Αναγνωριστικό DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Τρί, 06 Μαρ 2012 08:30:50 PST
Ελήφθη: από MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) από
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) με mapi; Τρί, 6 Μαρ
2012 11:ξ0:48 -0500
Από: Jason Faulkner <[email protected]>
Το: “μιεμαιλ@γμαηλ.κομ” <μιεμαιλ@γμαηλ.κομ>
Ημερομηνία: Τρί, 6 Μαρ 2012 11:30:48 -0500
Θέμα: Αυτό είναι ένα νόμιμο email
Θέμα Θέματος: Αυτό είναι ένα νόμιμο email
Νήμα-Ευρετήριο: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Αναγνωριστικό μηνύματος: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Αποδοχή-γλώσσα: en-US
Περιεχόμενο-Γλώσσα: en-US
X-MS-Has-Attach:
X-MS-TNEF-Συσχετιστής:
acceptlanguage: en-ΗΠΑ
Τύπος περιεχομένου: πολλαπλό / εναλλακτικό;
όριο = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Έκδοση MIME: 1.0
Όταν διαβάζετε μια κεφαλίδα email, τα δεδομένα είναι με αντίστροφη χρονολογική σειρά, που σημαίνει ότι οι πληροφορίες στην κορυφή είναι το πιο πρόσφατο συμβάν. Γι 'αυτό εάν θέλετε να εντοπίσετε το email από τον αποστολέα στον παραλήπτη, ξεκινήστε από το κάτω μέρος. Εξετάζοντας τις κεφαλίδες αυτού του email μπορούμε να δούμε πολλά πράγματα.
Εδώ βλέπουμε πληροφορίες που δημιουργούνται από τον πελάτη αποστολής. Σε αυτήν την περίπτωση, το email στάλθηκε από το Outlook, οπότε αυτό είναι το μεταδεδομένο που προσθέτει το Outlook.
Από: Jason Faulkner <[email protected]>
Το: “μιεμαιλ@γμαηλ.κομ” <μιεμαιλ@γμαηλ.κομ>
Ημερομηνία: Τρί, 6 Μαρ 2012 11:30:48 -0500
Θέμα: Αυτό είναι ένα νόμιμο email
Θέμα Θέματος: Αυτό είναι ένα νόμιμο email
Νήμα-Ευρετήριο: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Αναγνωριστικό μηνύματος: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Αποδοχή-γλώσσα: en-US
Περιεχόμενο-Γλώσσα: en-US
X-MS-Has-Attach:
X-MS-TNEF-Συσχετιστής:
acceptlanguage: en-ΗΠΑ
Τύπος περιεχομένου: πολλαπλό / εναλλακτικό;
όριο = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Έκδοση MIME: 1.0
Το επόμενο μέρος εντοπίζει τη διαδρομή που λαμβάνει το email από το διακομιστή αποστολής προς το διακομιστή προορισμού. Λάβετε υπόψη ότι αυτά τα βήματα (ή λυκίσκοι) παρατίθενται με αντίστροφη χρονολογική σειρά. Έχουμε τοποθετήσει τον αντίστοιχο αριθμό δίπλα σε κάθε λυκίσκο για να δείξουμε τη σειρά. Σημειώστε ότι κάθε hop εμφανίζει λεπτομέρειες σχετικά με τη διεύθυνση IP και το αντίστοιχο αντίστροφο όνομα DNS.
Δελιβερέτ-Το: μιεμαιλ@γμαηλ.κομ
[6] Ελήφθη: έως 10.60.14.3 με SMTP id l3csp18666oec;
Τρί, 6 Μαρ 2012 08:30:51 -0800 (PST)
[5] Ελήφθη: έως 10.68.125.129 με αναγνωριστικό SMTP mq1mr1963003pbb.21.1331051451044;
Τρί, 06 Μαρ 2012 08:30:51 -0800 (PST)
Επιστροφή-διαδρομή: <[email protected]>
[4] Ελήφθη: από το exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
από mx.google.com με αναγνωριστικό SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Τρί, 06 Μαρ 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutral (google.com: 64.18.2.16 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη εγγραφή εικασίας για τον τομέα του [email protected]) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com; spf = netral (google.com: 64.18.2.16 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη καταγραφή εικόνων για τον τομέα [email protected]) [email protected]
[2] Ελήφθη: από mail.externalemail.com ([XXX.XXX.XXX.XXX]) (χρησιμοποιώντας TLSv1) από exprod7ob119.postini.com ([64.18.6.12]) με SMTP
Αναγνωριστικό DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Τρί, 06 Μαρ 2012 08:30:50 PST
[1] Ελήφθη: από MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) από
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) με mapi; Τρί, 6 Μαρ
2012 11:ξ0:48 -0500
Αν και αυτό είναι αρκετά απλό για ένα νόμιμο email, αυτές οι πληροφορίες μπορεί να είναι αρκετά ξεκάθαρες όταν πρόκειται για την εξέταση spam ή phishing email.
Εξέταση ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος - Παράδειγμα 1
Για το πρώτο μας παράδειγμα ηλεκτρονικού ψαρέματος, θα εξετάσουμε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που είναι μια προφανής προσπάθεια ηλεκτρονικού ψαρέματος. Σε αυτήν την περίπτωση θα μπορούσαμε να αναγνωρίσουμε αυτό το μήνυμα ως απάτη απλώς από τους οπτικούς δείκτες, αλλά στην πράξη θα ρίξουμε μια ματιά στα προειδοποιητικά σημάδια μέσα στις κεφαλίδες.
Δελιβερέτ-Το: μιεμαιλ@γμαηλ.κομ
Ελήφθη: έως 10.60.14.3 με SMTP id l3csp12958oec;
Δευ, 5 Μαρ 2012 23:11:29 -0800 (PST)
Ελήφθη: έως 10.236.46.164 με αναγνωριστικό SMTP r24mr7411623yhb.101.1331017888982;
Δευ, 05 Μαρ 2012 23:11:28 -0800 (PST)
Επιστροφή-Διαδρομή: <[email protected]>
Ελήφθη: από ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
από mx.google.com με αναγνωριστικό ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Δευ, 05 Μαρ 2012 23:11:28 -0800 (PST)
Received-SPF: fail (google.com: domain of [email protected] δεν ορίζει το XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) client-ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com; spf = hardfail (google.com: domain of [email protected] δεν ορίζει το XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) [email protected]
Ελήφθη: με MailEnable Postoffice Connector. Τρί, 6 Μαρ 2012 02:11:20 -0500
Λήφθηκε: από το mail.lovingtour.com ([211.166.9.218]) από το ms.externalemail.com με το MailEnable ESMTP. Τρί, 6 Μαρ 2012 02:11:10 -0500
Ελήφθη: από χρήστη ([118.142.76.58])
μέσω mail.lovingtour.com
; Δευ, 5 Μαρ 2012 21:38:11 +0800
Αναγνωριστικό μηνύματος: <[email protected]>
Απάντηση σε: <[email protected]>
Από: "[email protected]" <[email protected]>
Θέμα: Ανακοίνωση
Ημερομηνία: Δευ, 5 Μαρ 2012 21:20:57 +0800
Έκδοση MIME: 1.0
Τύπος περιεχομένου: πολλαπλό / μικτό
όριο = "—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-Priority: 3
X-MSMail-Priority: Κανονικό
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Παράγεται από το Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Η πρώτη κόκκινη σημαία βρίσκεται στην περιοχή πληροφοριών πελάτη. Παρατηρήστε εδώ τα προστιθέμενα μεταδεδομένα αναφορές Outlook Express. Είναι απίθανο ότι η Visa είναι πολύ πίσω από την εποχή που κάποιος στέλνει χειροκίνητα email χρησιμοποιώντας έναν πελάτη email 12 ετών.
Απάντηση σε: <[email protected]>
Από: "[email protected]" <[email protected]>
Θέμα: Ανακοίνωση
Ημερομηνία: Δευ, 5 Μαρ 2012 21:20:57 +0800
Έκδοση MIME: 1.0
Τύπος περιεχομένου: πολλαπλό / μικτό
όριο = "—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-Priority: 3
X-MSMail-Priority: Κανονικό
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Παράγεται από το Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Εξετάζοντας τώρα το πρώτο hop στη δρομολόγηση email αποκαλύπτει ότι ο αποστολέας βρισκόταν στη διεύθυνση IP 118.142.76.58 και το email του μεταδόθηκε μέσω του διακομιστή αλληλογραφίας mail.lovingtour.com.
Ελήφθη: από χρήστη ([118.142.76.58])
μέσω mail.lovingtour.com
; Δευ, 5 Μαρ 2012 21:38:11 +0800
Αναζητώντας τις πληροφορίες IP χρησιμοποιώντας το βοηθητικό πρόγραμμα IPNetInfo της Nirsoft, μπορούμε να δούμε ότι ο αποστολέας βρισκόταν στο Χονγκ Κονγκ και ο διακομιστής αλληλογραφίας βρίσκεται στην Κίνα.
Περιττό να πούμε ότι αυτό είναι λίγο ύποπτο.
Οι υπόλοιποι λυκίσκοι ηλεκτρονικού ταχυδρομείου δεν είναι πραγματικά σχετικοί σε αυτήν την περίπτωση, καθώς δείχνουν το email που αναπηδά γύρω από τη νόμιμη κίνηση του διακομιστή πριν τελικά παραδοθεί.
Εξέταση ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος - Παράδειγμα 2
Για αυτό το παράδειγμα, το ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος" είναι πολύ πιο πειστικό. Υπάρχουν μερικοί οπτικοί δείκτες εδώ εάν φαίνεστε αρκετά σκληροί, αλλά και πάλι για τους σκοπούς αυτού του άρθρου θα περιορίσουμε την έρευνά μας σε κεφαλίδες email.
Δελιβερέτ-Το: μιεμαιλ@γμαηλ.κομ
Ελήφθη: έως 10.60.14.3 με SMTP id l3csp15619oec;
Τρί, 6 Μαρ 2012 04:27:20 -0800 (PST)
Ελήφθη: έως 10.236.170.165 με αναγνωριστικό SMTP p25mr8672800yhl.123.1331036839870;
Τρί, 06 Μαρ 2012 04:27:19 -0800 (PST)
Επιστροφή-Διαδρομή: <[email protected]>
Ελήφθη: από ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
από mx.google.com με αναγνωριστικό ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Τρί, 06 Μαρ 2012 04:27:19 -0800 (PST)
Received-SPF: fail (google.com: domain of [email protected] δεν ορίζει το XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) client-ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com; spf = hardfail (google.com: domain of [email protected] δεν ορίζει το XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) [email protected]
Ελήφθη: με MailEnable Postoffice Connector. Τρί, 6 Μαρ 2012 07:27:13 -0500
Ελήφθη: από dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) από ms.externalemail.com με το MailEnable ESMTP. Τρί, 6 Μαρ 2012 07:27:08 -0500
Ελήφθη: από apache από intuit.com με τοπικό (Exim 4.67)
(φάκελος-από <[email protected]>)
id GJMV8N-8BERQW-93
για <[email protected]>; Τρί, 6 Μαρ 2012 19:27:05 +0700
Το: <γασών@μιεμαιλ.κομ>
Θέμα: Το τιμολόγιό σας στο Intuit.com.
X-PHP-Script: intuit.com/sendmail.php για 118.68.152.212
Από: "INTUIT INC." <[email protected]>
X-Sender: "INTUIT INC." <[email protected]>
X-Mailer: PHP
X-Priority: 1
Έκδοση MIME: 1.0
Τύπος περιεχομένου: πολλαπλό / εναλλακτικό;
όριο = "———— 03060500702080404010506 ″
Αναγνωριστικό μηνύματος: <[email protected]>
Ημερομηνία: Τρί, 6 Μαρ 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Σε αυτό το παράδειγμα, δεν χρησιμοποιήθηκε μια εφαρμογή πελάτη αλληλογραφίας, αλλά ένα σενάριο PHP με τη διεύθυνση IP προέλευσης 118.68.152.212.
Το: <γασών@μιεμαιλ.κομ>
Θέμα: Το τιμολόγιό σας στο Intuit.com.
X-PHP-Script: intuit.com/sendmail.php για 118.68.152.212
Από: "INTUIT INC." <[email protected]>
X-Sender: "INTUIT INC." <[email protected]>
X-Mailer: PHP
X-Priority: 1
Έκδοση MIME: 1.0
Τύπος περιεχομένου: πολλαπλό / εναλλακτικό;
όριο = "———— 03060500702080404010506 ″
Αναγνωριστικό μηνύματος: <[email protected]>
Ημερομηνία: Τρί, 6 Μαρ 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Ωστόσο, όταν εξετάζουμε το πρώτο email hop φαίνεται να είναι νόμιμο καθώς το όνομα τομέα του διακομιστή αποστολής ταιριάζει με τη διεύθυνση email. Ωστόσο, να είστε προσεκτικοί με αυτό καθώς ένας spammer θα μπορούσε εύκολα να ονομάσει τον διακομιστή τους «intuit.com».
Ελήφθη: από apache από intuit.com με τοπικό (Exim 4.67)
(φάκελος-από <[email protected]>)
id GJMV8N-8BERQW-93
για <[email protected]>; Τρί, 6 Μαρ 2012 19:27:05 +0700
Η εξέταση του επόμενου βήματος καταρρέει αυτό το χαρτόνι. Μπορείτε να δείτε το δεύτερο hop (όπου λαμβάνεται από έναν νόμιμο διακομιστή email) να επιλύει τον διακομιστή αποστολής πίσω στον τομέα "dynamic-pool-xxx.hcm.fpt.vn", όχι "intuit.com" με την ίδια διεύθυνση IP υποδεικνύεται στο σενάριο PHP.
Ελήφθη: από dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) από ms.externalemail.com με το MailEnable ESMTP. Τρί, 6 Μαρ 2012 07:27:08 -0500
Η προβολή των πληροφοριών διεύθυνσης IP επιβεβαιώνει την υποψία καθώς η τοποθεσία του διακομιστή αλληλογραφίας επιστρέφει στο Βιετνάμ.
Ενώ αυτό το παράδειγμα είναι λίγο πιο έξυπνο, μπορείτε να δείτε πόσο γρήγορα αποκαλύπτεται η απάτη με λίγη μόνο έρευνα.
συμπέρασμα
Ενώ η προβολή κεφαλίδων ηλεκτρονικού ταχυδρομείου πιθανώς δεν αποτελεί μέρος των τυπικών καθημερινών αναγκών σας, υπάρχουν περιπτώσεις όπου οι πληροφορίες που περιέχονται σε αυτές μπορεί να είναι πολύτιμες. Όπως δείξαμε παραπάνω, μπορείτε εύκολα να αναγνωρίσετε τους αποστολείς που μεταμφιέζονται ως κάτι που δεν είναι. Για μια πολύ καλά εκτελεσμένη απάτη όπου τα οπτικά στοιχεία είναι πειστικά, είναι εξαιρετικά δύσκολο (αν όχι αδύνατο) να πλαστοπροσωπήσετε τους πραγματικούς διακομιστές αλληλογραφίας και η αναθεώρηση των πληροφοριών μέσα στις κεφαλίδες email μπορεί γρήγορα να αποκαλύψει οποιαδήποτε chicanery.
