מה אתה יכול למצוא בכותרת דוא"ל?

בכל פעם שאתה מקבל דוא"ל, יש בו הרבה יותר ממה שנראה לעין. אמנם בדרך כלל רק שמים לב לכתובת מאת, לשורת הנושא ולגוף ההודעה, אך יש הרבה יותר מידע זמין "מתחת למכסה המנוע" של כל דוא"ל שיכול לספק לכם מידע רב נוסף.

מדוע להתמודד עם כותרת דוא"ל?

זו שאלה טובה מאוד. לרוב, לעולם לא תצטרך לעשות זאת אלא אם כן:

• אתה חושד שדואר אלקטרוני הוא ניסיון התחזות או זיוף
• אתה רוצה להציג מידע על ניתוב בנתיב הדוא"ל
• אתה חנון סקרן

ללא קשר לסיבות שלך, קריאת כותרות בדוא"ל היא למעשה די קלה ויכולה לחשוף מאוד.

הערה למאמר: עבור צילומי המסך והנתונים שלנו, אנו נשתמש ב- Gmail, אך למעשה כל לקוח דואר אחר צריך לספק את אותו מידע גם כן.

הצגת כותרת הדוא"ל

ב- Gmail, צפה בדוא"ל. לדוגמא זו נשתמש בדוא"ל שלמטה.

לאחר מכן לחץ על החץ בפינה השמאלית העליונה ובחר הצג מקור.

בחלון המתקבל יהיו נתוני כותרת הדוא"ל בטקסט רגיל.

הערה: בכל נתוני כותרת הדואר האלקטרוני המוצגים להלן שיניתי את כתובת ה- Gmail שלי כ- [email protected] וכתובת הדואר האלקטרוני החיצונית שלי להצגה כ- [email protected] ו [email protected] כמו גם מסווה את כתובת ה- IP של שרתי הדוא"ל שלי.

נמסר אל: [email protected]
התקבל: עד 10.60.14.3 עם מזהה SMTP l3csp18666oec;
יום שלישי, 6 במרץ 2012 08:30:51 -0800 (PST)
התקבל: על ידי 10.68.125.129 עם מזהה SMTP mq1mr1963003pbb.21.1331051451044;
יום שלישי, 06 במרץ 2012 08:30:51 -0800 (PST)
נתיב חזרה: <[email protected]>
התקבל: מאת exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
מאת mx.google.com עם מזהה SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
יום שלישי, 06 במרץ 2012 08:30:50 -0800 (PST)
SPF שהתקבל: ניטראלי (google.com: 64.18.2.16 אינו מורשה או נדחה על ידי רשומת הניחוש הטובה ביותר עבור הדומיין [email protected]) client-ip = 64.18.2.16;
אימות-תוצאות: mx.google.com; spf = ניטראלי (google.com: 64.18.2.16 אינו מורשה או נדחה על ידי רשומת הניחוש הטובה ביותר עבור הדומיין [email protected]) [email protected]
התקבל: מ- mail.externalemail.com ([XXX.XXX.XXX.XXX]) (באמצעות TLSv1) על ידי exprod7ob119.postini.com ([64.18.6.12]) עם SMTP
מזהה DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; יום שלישי, 06 במרץ 2012 08:30:50 PST
התקבל: מ- MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) על ידי
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) עם mapi; יום שלישי, 6 במרץ
2012 11:30:48 -0500
מאת: ג'ייסון פוקנר <[email protected]>
אל: "[email protected]" <[email protected]>
תאריך: יום שלישי, 6 במרץ 2012 11:30:48 -0500
נושא: זהו אימייל חוקי
נושא הנושא: זהו דוא"ל חוקי
אינדקס אשכול: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
מזהה הודעה: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
קבל שפה: en-US
שפת תוכן: en-US
ל- X-MS- יש לצרף:
מתאם X-MS-TNEF:
קבל שפה: en-US
סוג תוכן: מרובה חלקים / אלטרנטיביים;
גבול = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
גרסת MIME: 1.0

כשאתה קורא כותרת דוא"ל, הנתונים הם בסדר כרונולוגי הפוך, כלומר המידע בחלק העליון הוא האירוע האחרון. לכן אם ברצונך לאתר את הדוא"ל משולח לנמען, התחל בתחתית. בבחינת הכותרות של הודעת דוא"ל זו אנו יכולים לראות כמה דברים.

כאן אנו רואים מידע שנוצר על ידי הלקוח השולח. במקרה זה, הדואר האלקטרוני נשלח מ- Outlook ולכן זו המטא-נתונים שמוסיף Outlook.

מאת: ג'ייסון פוקנר <[email protected]>
אל: "[email protected]" <[email protected]>
תאריך: יום שלישי, 6 במרץ 2012 11:30:48 -0500
נושא: זהו אימייל חוקי
נושא הנושא: זהו דוא"ל חוקי
אינדקס אשכול: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
מזהה הודעה: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
קבל שפה: en-US
שפת תוכן: en-US
ל- X-MS- יש לצרף:
מתאם X-MS-TNEF:
קבל שפה: en-US
סוג תוכן: מרובה חלקים / אלטרנטיביים;
גבול = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
גרסת MIME: 1.0

החלק הבא מתחקה אחר הנתיב שהאימייל עובר משרת השולח לשרת היעד. זכור שלבים אלה (או כשות) מופיעים בסדר כרונולוגי הפוך. שמנו את המספר המתאים ליד כל קפיצה כדי להמחיש את ההזמנה. שים לב כי כל קפיצה מציגה פרטים על כתובת ה- IP ושם ה- DNS ההפוך בהתאמה.

נמסר אל: [email protected]
[6] התקבל: עד 10.60.14.3 עם מזהה SMTP l3csp18666oec;
יום שלישי, 6 במרץ 2012 08:30:51 -0800 (PST)
[5] התקבל: על ידי 10.68.125.129 עם מזהה SMTP mq1mr1963003pbb.21.1331051451044;
יום שלישי, 06 במרץ 2012 08:30:51 -0800 (PST)
נתיב חזרה: <[email protected]>
[4] התקבל: מאת exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
מאת mx.google.com עם מזהה SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
יום שלישי, 06 במרץ 2012 08:30:50 -0800 (PST)
[3] SPF שהתקבל: ניטראלי (google.com: 64.18.2.16 אינו מורשה או נדחה על ידי רשומת הניחוש הטובה ביותר עבור הדומיין [email protected]) client-ip = 64.18.2.16;
אימות-תוצאות: mx.google.com; spf = ניטראלי (google.com: 64.18.2.16 אינו מורשה או נדחה על ידי רשומת הניחוש הטובה ביותר עבור הדומיין [email protected]) [email protected]
[2] התקבל: מ- mail.externalemail.com ([XXX.XXX.XXX.XXX]) (באמצעות TLSv1) על ידי exprod7ob119.postini.com ([64.18.6.12]) עם SMTP
מזהה DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; יום שלישי, 06 במרץ 2012 08:30:50 PST
[1] התקבל: מ- MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) על ידי
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) עם mapi; יום שלישי, 6 במרץ
2012 11:30:48 -0500

אמנם זה די שגרתי עבור אימייל לגיטימי, אך מידע זה יכול להיות די מסביר בכל הנוגע לבדיקת דואר זבל או דיוג.

בחינת דוא"ל דיוג - דוגמה 1

לדוגמא התחזות הראשונה שלנו, נבחן דוא"ל שהוא ניסיון פישינג ברור. במקרה זה נוכל לזהות הודעה זו כהונאה פשוט על ידי האינדיקטורים החזותיים, אך לתרגול נבחן את שלטי האזהרה בכותרות.

נמסר אל: [email protected]
התקבל: עד 10.60.14.3 עם מזהה SMTP l3csp12958oec;
ב ', 5 במרץ 2012 23:11:29 -0800 (PST)
התקבל: על ידי 10.236.46.164 עם מזהה SMTP r24mr7411623yhb.101.1331017888982;
ב ', 05 במרץ 2012 23:11:28 -0800 (PST)
נתיב חזרה: <[email protected]>
התקבל: מאת ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
מאת mx.google.com עם מזהה ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
ב ', 05 במרץ 2012 23:11:28 -0800 (PST)
SPF שהתקבל: נכשל (google.com: דומיין [email protected] אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) client-ip = XXX.XXX.XXX.XXX;
אימות-תוצאות: mx.google.com; spf = hardfail (google.com: התחום של [email protected] אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) [email protected]
התקבל: עם MailEnable Postoffice Connector; יום שלישי, 6 במרץ 2012 02:11:20 -0500
התקבל: מ- mail.lovingtour.com ([211.166.9.218]) על ידי ms.externalemail.com עם MailEnable ESMTP; יום שלישי, 6 במרץ 2012 02:11:10 -0500
התקבל: ממשתמש ([118.142.76.58])
באמצעות mail.lovingtour.com
; שני, 5 במרץ 2012 21:38:11 +0800
מזהה הודעה: <[email protected]>
תשובה ל: <[email protected]>
מאת: “[email protected]” <[email protected]>
נושא: הודעה
תאריך: שני, 5 במרץ 2012 21:20:57 +0800
גרסת MIME: 1.0
סוג תוכן: מרובה חלקים / מעורב;
גבול = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
עדיפות X: 3
עדיפות X-MSMail: רגילה
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: הופק על ידי Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

הדגל האדום הראשון נמצא באזור מידע הלקוח. שים לב כאן למטא נתונים שהוספו הפניות ל- Outlook Express. אין זה סביר כי ויזה נמצאת כל כך הרבה אחרי הזמן שיש להם מישהו ששולח דוא"ל באופן ידני באמצעות לקוח דוא"ל בן 12.

תשובה ל: <[email protected]>
מאת: “[email protected]” <[email protected]>
נושא: הודעה
תאריך: שני, 5 במרץ 2012 21:20:57 +0800
גרסת MIME: 1.0
סוג תוכן: מרובה חלקים / מעורב;
גבול = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
עדיפות X: 3
עדיפות X-MSMail: רגילה
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: הופק על ידי Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

כעת בחינת הקפיצה הראשונה בניתוב הדוא"ל מגלה כי השולח אותר בכתובת ה- IP 118.142.76.58 והדואר האלקטרוני שלהם הועבר דרך שרת הדואר mail.lovingtour.com.

התקבל: ממשתמש ([118.142.76.58])
באמצעות mail.lovingtour.com
; שני, 5 במרץ 2012 21:38:11 +0800

אם אנו מחפשים את פרטי ה- IP באמצעות כלי ה- IPNetInfo של Nirsoft, אנו יכולים לראות שהשולח נמצא בהונג קונג ושרת הדואר נמצא בסין.

מיותר לציין שזה קצת חשוד.

שאר כשות הדוא"ל לא ממש רלוונטיות במקרה זה מכיוון שהן מראות את הדוא"ל מקפץ סביב תעבורת שרתים לגיטימית לפני שנמסר סופית.

בחינת דוא"ל דיוג - דוגמה 2

לדוגמא זו, דוא"ל הדיוג שלנו משכנע הרבה יותר. יש כאן כמה אינדיקטורים חזותיים אם אתה מסתכל מספיק חזק, אך שוב למטרות מאמר זה אנו הולכים להגביל את החקירה שלנו לכותרות דוא"ל.

נמסר אל: [email protected]
התקבל: עד 10.60.14.3 עם מזהה SMTP l3csp15619oec;
יום שלישי, 6 במרץ 2012 04:27:20 -0800 (PST)
התקבל: על ידי 10.236.170.165 עם מזהה SMTP p25mr8672800yhl.123.1331036839870;
יום שלישי, 06 במרץ 2012 04:27:19 -0800 (PST)
נתיב חזרה: <[email protected]>
התקבל: מאת ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
מאת mx.google.com עם מזהה ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
יום שלישי, 06 במרץ 2012 04:27:19 -0800 (PST)
SPF שהתקבל: נכשל (google.com: דומיין [email protected] אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) client-ip = XXX.XXX.XXX.XXX;
אימות-תוצאות: mx.google.com; spf = hardfail (google.com: התחום של [email protected] אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) [email protected]
התקבל: עם MailEnable Postoffice Connector; יום שלישי, 6 במרץ 2012 07:27:13 -0500
התקבל: מ- dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) על ידי ms.externalemail.com עם MailEnable ESMTP; יום שלישי, 6 במרץ 2012 07:27:08 -0500
התקבל: מ- apache מאת intuit.com עם מקומי (Exim 4.67)
(מעטפה מ- <[email protected]>)
מזהה GJMV8N-8BERQW-93
עבור <[email protected]>; יום שלישי, 6 במרץ 2012 19:27:05 +0700
אל: <[email protected]>
נושא: חשבונית Intuit.com שלך.
X-PHP- סקריפט: intuit.com/sendmail.php עבור 118.68.152.212
מאת: "INTUIT INC." <[email protected]>
X-Sender: "INTUIT INC." <[email protected]>
X-Mailer: PHP
עדיפות X: 1
גרסת MIME: 1.0
סוג תוכן: מרובה חלקים / אלטרנטיביים;
גבול = ”———— 03060500702080404010506 ″
מזהה הודעה: <[email protected]>
תאריך: יום שלישי, 6 במרץ 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

בדוגמה זו לא נעשה שימוש ביישום לקוח דואר, אלא בסקריפט PHP עם כתובת ה- IP של המקור 118.68.152.212.

אל: <[email protected]>
נושא: חשבונית Intuit.com שלך.
X-PHP- סקריפט: intuit.com/sendmail.php עבור 118.68.152.212
מאת: "INTUIT INC." <[email protected]>
X-Sender: "INTUIT INC." <[email protected]>
X-Mailer: PHP
עדיפות X: 1
גרסת MIME: 1.0
סוג תוכן: מרובה חלקים / אלטרנטיביים;
גבול = ”———— 03060500702080404010506 ″
מזהה הודעה: <[email protected]>
תאריך: יום שלישי, 6 במרץ 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

עם זאת, כאשר אנו מסתכלים על דואר האימייל הראשון נראה שהוא לגיטימי שכן שם הדומיין של השרת השולח תואם את כתובת הדוא"ל. עם זאת, היזהר מכך מכיוון שדואר זבל יכול בקלות לקרוא לשרת שלהם "intuit.com".

התקבל: מ- apache מאת intuit.com עם מקומי (Exim 4.67)
(מעטפה מ- <[email protected]>)
מזהה GJMV8N-8BERQW-93
עבור <[email protected]>; יום שלישי, 6 במרץ 2012 19:27:05 +0700

בחינת השלב הבא מפוררת את בית הקלפים הזה. אתה יכול לראות שההופ השני (שבו הוא מתקבל על ידי שרת דוא"ל לגיטימי) פותר את שרת השולח בחזרה לדומיין "dynamic-pool-xxx.hcm.fpt.vn", ולא "intuit.com" עם אותה כתובת IP צוין בתסריט ה- PHP.

התקבל: מ- dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) על ידי ms.externalemail.com עם MailEnable ESMTP; יום שלישי, 6 במרץ 2012 07:27:08 -0500

צפייה בפרטי כתובת ה- IP מאשרת את החשד כאשר מיקום שרת הדואר פותר חזרה לויאטנם.

הדוגמה אמנם קצת יותר חכמה, אבל אתה יכול לראות כמה מהר הונאה מתגלה רק עם חקירה קלה.

סיכום

בעוד שצפייה בכותרות דוא"ל כנראה אינה חלק מהצרכים היומיומיים האופייניים שלך, ישנם מקרים בהם המידע הכלול בהם יכול להיות בעל ערך רב. כפי שהראינו לעיל, אתה יכול לזהות בקלות בקלות שולחים המתחזים למשהו שהם לא. לצורך הונאה מבוצעת היטב שבה רמזים חזותיים משכנעים, קשה ביותר (אם לא בלתי אפשרי) להתחזות לשרתי דואר ממשיים ולסקור את המידע בכותרות הדואר האלקטרוני יכול לחשוף במהירות כל צ'יקריה.

קישורים

הורד את IPNetInfo מ- Nirsoft