Aina kun saat sähköpostin, siinä on paljon enemmän kuin mitä näkee. Vaikka yleensä kiinnität huomiota vain viestin lähettäjäosoitteeseen, otsikkoriviin ja tekstiosaan, jokaisen sähköpostin "konepellin alla" on paljon enemmän tietoa, joka voi tarjota sinulle runsaasti lisätietoja.
Miksi vaivaa katsomalla sähköpostin otsikkoa?
Tämä on erittäin hyvä kysymys. Suurimmaksi osaksi sinun ei koskaan tarvitse, ellei:
- Epäilet sähköpostin olevan tietojenkalasteluyritys tai huijaus
- Haluat tarkastella reititystietoja sähköpostin polulla
- Olet utelias nörtti
Syistä riippumatta sähköpostin otsikoiden lukeminen on todella helppoa ja voi olla hyvin paljastavaa.
Artikkelin huomautus: Kuvakaappauksissamme ja tiedoissamme käytämme Gmailia, mutta käytännöllisesti katsoen kaikkien muiden sähköpostiohjelmien tulisi myös antaa nämä samat tiedot.
Sähköpostiotsikon tarkasteleminen
Tarkastele sähköpostia Gmailissa. Tässä esimerkissä käytämme alla olevaa sähköpostia.
Napsauta sitten oikeassa yläkulmassa olevaa nuolta ja valitse Näytä alkuperäinen.
Tuloksena olevassa ikkunassa sähköpostin otsikkotiedot ovat pelkkää tekstiä.
Huomaa: Kaikissa alla näytetyissä sähköpostiotsikkotiedoissa olen muuttanut Gmail-osoitettani näyttämään [email protected] ja ulkoisen sähköpostiosoitteeni [email protected] ja [email protected] sekä peitti sähköpostipalvelimeni IP-osoitteen.
Toimitetaan osoitteeseen: [email protected]
Vastaanotettu: mennessä 10.60.14.3 SMTP-tunnuksella l3csp18666oec;
Tiistai 6. maaliskuuta 2012 08:30:51 -0800 (PST)
Vastaanotettu: mennessä 10.68.125.129 SMTP-tunnuksella mq1mr1963003pbb.21.1331051451044;
Tiistai 6. maaliskuuta 2012 08:30:51 -0800 (PST)
Paluupolku: <[email protected]>
Vastaanotettu: osoitteesta exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
kirjoittanut mx.google.com SMTP-tunnuksella l7si25161491pbd.80.2012.03.06.08.30.49;
Tiistai 6. maaliskuuta 2012 08:30:50 -0800 (PST)
Received-SPF: neutraali (google.com: 64.18.2.16 ei ole sallittu eikä sitä kieltää [email protected] paras arvaustietue) client-ip = 64.18.2.16;
Todennus-tulokset: mx.google.com; spf = neutraali (google.com: 64.18.2.16 ei ole sallittu eikä sitä kieltää [email protected] paras arvausrekisteri) [email protected]
Vastaanotettu: osoitteesta mail.externalemail.com ([XXX.XXX.XXX.XXX]) (käyttäen TLSv1) kirjoittanut exprod7ob119.postini.com ([64.18.6.12]) SMTP: llä
Tunnus DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tiistai 6. maaliskuuta 2012 08:30:50 PST
Vastaanotettu: palvelimelta MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3])
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) mapilla; Ti 6. maaliskuuta
2012 11:30:48 -0500
Lähettäjä: Jason Faulkner <[email protected]>
Vastaanottaja: "oma sähkö[email protected]" <oma sähkö[email protected]>
Päivämäärä: ti, 6. maaliskuuta 2012 11:30:48 -0500
Aihe: Tämä on laillinen sähköposti
Aihe: Tämä on laillinen sähköposti
Lankahakemisto: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Viestin tunnus: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Hyväksy-kieli: fi-USA
Sisältökieli: fi-USA
X-MS-Has-Attach:
X-MS-TNEF-korrelaattori:
acceptlanguage: fi-Yhdysvallat
Sisältötyyppi: moniosainen / vaihtoehtoinen;
raja = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versio: 1.0
Kun luet sähköpostin otsikkoa, tiedot ovat päinvastaisessa aikajärjestyksessä, eli ylhäällä olevat tiedot ovat viimeisin tapahtuma. Jos haluat jäljittää sähköpostin lähettäjältä vastaanottajalle, aloita alareunasta. Tämän sähköpostin otsikot tutkimalla voimme nähdä useita asioita.
Täällä näemme lähettävän asiakkaan tuottamat tiedot. Tässä tapauksessa sähköposti lähetettiin Outlookista, joten tämä on metatieto, jonka Outlook lisää.
Lähettäjä: Jason Faulkner <[email protected]>
Vastaanottaja: "oma sähkö[email protected]" <oma sähkö[email protected]>
Päivämäärä: ti, 6. maaliskuuta 2012 11:30:48 -0500
Aihe: Tämä on laillinen sähköposti
Aihe: Tämä on laillinen sähköposti
Lankahakemisto: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Viestin tunnus: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Hyväksy-kieli: fi-USA
Sisältökieli: fi-USA
X-MS-Has-Attach:
X-MS-TNEF-korrelaattori:
acceptlanguage: fi-Yhdysvallat
Sisältötyyppi: moniosainen / vaihtoehtoinen;
raja = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versio: 1.0
Seuraava osa jäljittää polun, jonka sähköposti vie lähettäjältä palvelimelle kohdepalvelimeen. Pidä mielessä, että nämä vaiheet (tai humalat) on lueteltu käänteisessä aikajärjestyksessä. Olemme sijoittaneet vastaavan numeron jokaisen hypyn viereen havainnollistaaksemme tilausta. Huomaa, että jokainen hyppy näyttää yksityiskohdat IP-osoitteesta ja vastaavasta käänteisestä DNS-nimestä.
Toimitetaan osoitteeseen: [email protected]
[6] Vastaanotettu: mennessä 10.60.14.3 SMTP-tunnuksella l3csp18666oec;
Tiistai 6. maaliskuuta 2012 08:30:51 -0800 (PST)
[5] Vastaanotettu: mennessä 10.68.125.129 SMTP-tunnuksella mq1mr1963003pbb.21.1331051451044;
Tiistai 6. maaliskuuta 2012 08:30:51 -0800 (PST)
Paluupolku: <[email protected]>
[4] Vastaanotettu: osoitteesta exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
kirjoittanut mx.google.com SMTP-tunnuksella l7si25161491pbd.80.2012.03.06.08.30.49;
Tiistai 6. maaliskuuta 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutraali (google.com: 64.18.2.16 ei ole sallittu eikä sitä kieltää [email protected] paras arvaustietue) client-ip = 64.18.2.16;
Todennus-tulokset: mx.google.com; spf = neutraali (google.com: 64.18.2.16 ei ole sallittu eikä sitä kieltää [email protected] paras arvausrekisteri) [email protected]
[2] Vastaanotettu: osoitteesta mail.externalemail.com ([XXX.XXX.XXX.XXX]) (käyttäen TLSv1) kirjoittanut exprod7ob119.postini.com ([64.18.6.12]) SMTP: llä
Tunnus DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tiistai 6. maaliskuuta 2012 08:30:50 PST
[1] Vastaanotettu: lähettäjältä MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3])
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) mapilla; Ti 6. maaliskuuta
2012 11:30:48 -0500
Vaikka tämä on melko tavallinen lailliselle sähköpostille, nämä tiedot voivat olla varsin kertovia, kun on kyse roskapostin tai tietojenkalasteluviestien tutkimisesta.
Tietojenkalastelusähköpostin tutkiminen - esimerkki 1
Ensimmäisessä phishing-esimerkissämme tarkastelemme sähköpostia, joka on ilmeinen tietojenkalasteluyritys. Tässä tapauksessa voimme tunnistaa tämän viestin petokseksi pelkästään visuaalisten indikaattorien perusteella, mutta käytännössä tarkastelemme otsikoissa olevia varoitusmerkkejä.
Toimitetaan osoitteeseen: [email protected]
Vastaanotettu: mennessä 10.60.14.3 SMTP-tunnuksella l3csp12958oec;
Ma 5. maaliskuuta 2012 23:11:29 -0800 (PST)
Vastaanotettu: mennessä 10.236.46.164 SMTP-tunnuksella r24mr7411623yhb.101.1331017888982;
Ma 5. maaliskuuta 2012 23:11:28 -0800 (PST)
Paluupolku: <[email protected]>
Vastaanotettu: osoitteesta ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
kirjoittanut mx.google.com ESMTP-tunnuksella t19si8451178ani.110.2012.03.05.23.11.28;
Ma 5. maaliskuuta 2012 23:11:28 -0800 (PST)
Vastaanotettu-SPF: Fail (google.com: domain of [email protected] ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjäksi) client-ip = XXX.XXX.XXX.XXX;
Todennus-tulokset: mx.google.com; spf = hardfail (google.com: [email protected] -verkkotunnus ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjäksi) [email protected]
Vastaanotettu: MailEnable Postoffice Connectorilla; Ti 6. maaliskuuta 2012 02:11:20 -0500
Vastaanotettu: osoitteesta mail.lovingtour.com ([211.166.9.218]) ms.externalemail.com MailEnable ESMTP: n kanssa; Ti 6. maaliskuuta 2012 02:11:10 -0500
Vastaanotettu: käyttäjältä ([118.142.76.58])
postitse.lovingtour.com
; Ma 5. maaliskuuta 2012 21:38:11 +0800
Viestin tunnus: <[email protected]>
Vastaus-osoite: <[email protected]>
Lähettäjä: “[email protected]” <[email protected]>
Aihe: Ilmoitus
Päivämäärä: Ma 5. maaliskuuta 2012 21:20:57 +0800
MIME-versio: 1.0
Sisältötyyppi: moniosainen / sekoitettu;
raja = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-prioriteetti: 3
X-MSMail-Priority: Normaali
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Tuottaja Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Ensimmäinen punainen lippu on asiakastietoalueella. Huomaa tässä metatiedot lisätty viittaukset Outlook Express. On epätodennäköistä, että Visa on niin kaukana ajoista, että heillä on joku lähettämään sähköposteja manuaalisesti 12-vuotiaalla sähköpostiohjelmalla.
Vastaus-osoite: <[email protected]>
Lähettäjä: “[email protected]” <[email protected]>
Aihe: Ilmoitus
Päivämäärä: Ma 5. maaliskuuta 2012 21:20:57 +0800
MIME-versio: 1.0
Sisältötyyppi: moniosainen / sekoitettu;
raja = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-prioriteetti: 3
X-MSMail-Priority: Normaali
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Tuottaja Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Ensimmäisen sähköpostin reitityksen hypyn tutkiminen paljastaa, että lähettäjä sijaitsi IP-osoitteessa 118.142.76.58 ja heidän sähköpostinsa välitettiin postipalvelimen mail.lovingtour.com kautta.
Vastaanotettu: käyttäjältä ([118.142.76.58])
postitse.lovingtour.com
; Ma 5. maaliskuuta 2012 21:38:11 +0800
Etsimällä IP-tietoja Nirsoftin IPNetInfo-apuohjelmalla voimme nähdä, että lähettäjä sijaitsi Hongkongissa ja postipalvelin Kiinassa.
Tarpeetonta sanoa, että tämä on vähän epäilyttävää.
Loput sähköpostihyppyistä eivät ole oikeastaan merkityksellisiä tässä tapauksessa, koska ne osoittavat, että sähköposti hyppää laillisen palvelinliikenteen ympärille ennen lopullista toimitusta.
Tietojenkalastelusähköpostin tutkiminen - esimerkki 2
Tässä esimerkissä tietojenkalastelusähköpostimme on paljon vakuuttavampi. Tässä on muutama visuaalinen indikaattori, jos katsot tarpeeksi kovaa, mutta jälleen kerran tämän artikkelin tarkoituksiin aiomme rajoittaa tutkimuksemme koskemaan sähköpostin otsikoita.
Toimitetaan osoitteeseen: [email protected]
Vastaanotettu: mennessä 10.60.14.3 SMTP-tunnuksella l3csp15619oec;
Tiistai 6. maaliskuuta 2012 04:27:20 -0800 (PST)
Vastaanotettu: 10.236.170.165 mennessä SMTP-tunnuksella p25mr8672800yhl.123.1331036839870;
Tiistai 6. maaliskuuta 2012 04:27:19 -0800 (PST)
Paluupolku: <[email protected]>
Vastaanotettu: osoitteesta ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
kirjoittanut mx.google.com ESMTP-tunnuksella o2si20048188yhn.34.2012.03.06.04.27.19;
Tiistai 6. maaliskuuta 2012 04:27:19 -0800 (PST)
Received-SPF: fail (google.com: [email protected] -verkkotunnus ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjäksi) client-ip = XXX.XXX.XXX.XXX;
Todennus-tulokset: mx.google.com; spf = hardfail (google.com: [email protected] -verkkotunnus ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjäksi) [email protected]
Vastaanotettu: MailEnable Postoffice Connectorilla; Tiistai 6. maaliskuuta 2012 07:27:13 -0500
Vastaanotettu: osoitteesta dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]), lähettäjä ms.externalemail.com MailEnable ESMTP: n kanssa; Ti 6. maaliskuuta 2012 07:27:08 -0500
Vastaanotettu: apache: lta intuit.com paikallisen kanssa (Exim 4.67)
(kirjekuori osoitteesta <[email protected]>)
tunnus GJMV8N-8BERQW-93
osoitteelle <[email protected]>; Tiistai 6. maaliskuuta 2012 19:27:05 +0700
Vastaanottaja: <[email protected]>
Aihe: Intuit.com-laskusi.
X-PHP-komentosarja: intuit.com/sendmail.php mallille 118.68.152.212
Lähettäjä: “INTUIT INC.” <[email protected]>
X-lähettäjä: "INTUIT INC." <[email protected]>
X-Mailer: PHP
X-prioriteetti: 1
MIME-versio: 1.0
Sisältötyyppi: moniosainen / vaihtoehtoinen;
raja = ”———— 03060500702080404010506 ″
Message-Id: <[email protected]>
Päivämäärä: ti, 6. maaliskuuta 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Tässä esimerkissä sähköpostiohjelmasovellusta ei käytetty, pikemminkin PHP-komentosarja, jonka lähde-IP-osoite on 118.68.152.212.
Vastaanottaja: <[email protected]>
Aihe: Intuit.com-laskusi.
X-PHP-komentosarja: intuit.com/sendmail.php mallille 118.68.152.212
Lähettäjä: “INTUIT INC.” <[email protected]>
X-lähettäjä: "INTUIT INC." <[email protected]>
X-Mailer: PHP
X-prioriteetti: 1
MIME-versio: 1.0
Sisältötyyppi: moniosainen / vaihtoehtoinen;
raja = ”———— 03060500702080404010506 ″
Message-Id: <[email protected]>
Päivämäärä: ti, 6. maaliskuuta 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Kun tarkastelemme ensimmäistä sähköpostihyppyä, näyttää siltä, että lähetyspalvelimen verkkotunnus vastaa sähköpostiosoitetta. Ole kuitenkin varovainen, koska roskapostittajat voivat helposti nimetä palvelimensa "intuit.com".
Vastaanotettu: apache: lta intuit.com paikallisen kanssa (Exim 4.67)
(kirjekuori osoitteesta <[email protected]>)
tunnus GJMV8N-8BERQW-93
osoitteelle <[email protected]>; Tiistai 6. maaliskuuta 2012 19:27:05 +0700
Seuraavan vaiheen tutkiminen murenee tämän korttitalon. Näet, että toinen hyppy (missä laillinen sähköpostipalvelin vastaanottaa sen) ratkaisee lähettävän palvelimen takaisin verkkotunnukseen “dynamic-pool-xxx.hcm.fpt.vn”, ei “intuit.com”, jolla on sama IP-osoite. ilmoitettu PHP-komentosarjassa.
Vastaanotettu: osoitteesta dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com -sivustolta MailEnable ESMTP: n kanssa; Ti 6. maaliskuuta 2012 07:27:08 -0500
IP-osoitetietojen tarkastelu vahvistaa epäilyn, kun postipalvelimen sijainti ratkaisee takaisin Vietnamiin.
Vaikka tämä esimerkki on hieman älykkäämpi, voit nähdä, kuinka nopeasti petos paljastetaan vain vähän tutkimalla.
Johtopäätös
Vaikka sähköpostin otsikoiden katselu ei luultavasti ole osa tyypillisiä päivittäisiä tarpeitasi, on tapauksia, joissa niiden sisältämät tiedot voivat olla varsin arvokkaita. Kuten yllä osoitimme, voit helposti tunnistaa naamioituneet lähettäjät sellaisiksi kuin he eivät ole. Hyvin toteutetulle huijaukselle, jossa visuaaliset vihjeet ovat vakuuttavia, on äärimmäisen vaikeaa (ellei mahdotonta) esiintyä todellisina postipalvelimina, ja sähköpostin ylätunnisteiden tietojen tarkistaminen voi nopeasti paljastaa minkä tahansa chicaneryn.
