जब भी आप एक ईमेल प्राप्त करते हैं, तो आंख से मिलने की तुलना में यह बहुत अधिक होता है। जब आप आम तौर पर केवल पते, विषय पंक्ति और संदेश के मुख्य भाग पर ध्यान देते हैं, तो प्रत्येक ईमेल के "हुड के नीचे" बहुत अधिक जानकारी उपलब्ध होती है जो आपको अतिरिक्त जानकारी का खजाना प्रदान कर सकती है।
एक ईमेल हेडर को देखकर परेशान क्यों?
यह एक बहुत अच्छा सवाल है। अधिकांश भाग के लिए, आपको वास्तव में कभी भी इसकी आवश्यकता नहीं होगी:
- आपको संदेह है कि ईमेल एक फ़िशिंग प्रयास या स्पूफ है
- आप ईमेल के पथ पर रूटिंग जानकारी देखना चाहते हैं
- आप एक जिज्ञासु geek हैं
आपके कारणों के बावजूद, ईमेल हेडर पढ़ना वास्तव में काफी आसान है और बहुत खुलासा हो सकता है।
लेख नोट: हमारे स्क्रीनशॉट और डेटा के लिए, हम जीमेल का उपयोग कर रहे होंगे, लेकिन वस्तुतः हर दूसरे मेल क्लाइंट को भी यही जानकारी प्रदान करनी चाहिए।
ईमेल हैडर देखना
जीमेल में, ईमेल देखें। इस उदाहरण के लिए, हम नीचे दिए गए ईमेल का उपयोग करेंगे।
फिर ऊपरी दाएं कोने में तीर पर क्लिक करें और मूल दिखाएँ चुनें।
परिणामी विंडो में सादा पाठ में ईमेल हेडर डेटा होगा।
नोट: नीचे दिखाए गए सभी ईमेल हेडर डेटा में मैंने अपना जीमेल पता बदल दिया है मयेमाइल@जीमेल.कॉम और मेरे बाहरी ईमेल पते के रूप में दिखाने के लिए जफॉलकनेर@एक्सटर्नालेमाइल.कॉम तथा जैसन@मयेमाइल.कॉम और साथ ही मेरे ईमेल सर्वरों के आईपी पते को भी चिन्हित किया।
वितरित-टू: [email protected]
प्राप्त: SMTP आईडी l3csp18666oec के साथ 10.60.14.3 द्वारा;
मंगल, 6 मार्च 2012 08:30:51 -0800 (PST)
प्राप्त: SMTP आईडी mq1mr1963003pbb.21.1331051451044 के साथ 10.68.125.129 द्वारा;
मंगल, 06 मार्च 2012 08:30:51 -0800 (PST)
वापसी-पथ: <[email protected]>
प्राप्त: exprod7og119.obsmtp.com (exprod7og119.obsmtp.com) से। 9002)
SMTP आईडी l7si25161491pbd.80.2012.03.03.08.08.30.49 के साथ mx.google.com द्वारा;
मंगल, 06 मार्च 2012 08:30:50 -0800 (PST)
प्राप्त-एसपीएफ़: तटस्थ (google.com: 64.18.2.16 [email protected] के डोमेन के लिए सर्वोत्तम अनुमान रिकॉर्ड से न तो अनुमति है और न ही इनकार किया गया है) क्लाइंट-आईपी = 64.18.2.16;
प्रमाणीकरण-परिणाम: mx.google.com; spf = neutral (google.com: 64.18.2.16 को [email protected] के डोमेन के लिए सर्वोत्तम अनुमान रिकॉर्ड से न तो अनुमति है और न ही इनकार किया गया है) [email protected]
प्राप्त: SMTP के साथ exprod7ob119.postini.com ([64.18.6.12]) द्वारा mail.externalemail.com ([XXX.XXX.XXX.XXX]) (TLSv1 का उपयोग करके)
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; टीयू, 06 मार्च 2012 08:30:50 पीएसटी
प्राप्त: MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) द्वारा
मैसी के साथ MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]); मंगल, ६ मार्च
2012 11:30:48 -0500
प्रेषक: जेसन फॉल्कनर <[email protected]>
To: "[email protected]" <[email protected]>
दिनांक: मंगल, 6 मार्च 2012 11:30:48 -0500
विषय: यह एक कानूनी ईमेल है
थ्रेड-टॉपिक: यह एक वैध ईमेल है
थ्रेड-इंडेक्स: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q==
संदेश-आईडी: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
स्वीकार-भाषा: en-US
सामग्री-भाषा: en-US
एक्स-MS-है-संलग्न करें:
एक्स-MS-TNEF-correlator:
acceptlanguage: en-US
सामग्री-प्रकार: मल्टीपार्ट / वैकल्पिक;
सीमा = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME- संस्करण: 1.0
जब आप एक ईमेल हेडर पढ़ते हैं, तो डेटा रिवर्स कालानुक्रमिक क्रम में होता है, जिसका अर्थ है कि शीर्ष पर जानकारी सबसे हाल की घटना है। यदि आप ईमेल को प्रेषक से प्राप्तकर्ता तक ट्रेस करना चाहते हैं, तो नीचे से प्रारंभ करें। इस ईमेल के हेडर की जांच करने पर हम कई चीजें देख सकते हैं।
यहां हम भेजने वाले क्लाइंट द्वारा उत्पन्न जानकारी देखते हैं। इस मामले में, ईमेल आउटलुक से भेजा गया था इसलिए यह मेटाडेटा आउटलुक जोड़ता है।
प्रेषक: जेसन फॉल्कनर <[email protected]>
To: "[email protected]" <[email protected]>
दिनांक: मंगल, 6 मार्च 2012 11:30:48 -0500
विषय: यह एक कानूनी ईमेल है
थ्रेड-टॉपिक: यह एक वैध ईमेल है
थ्रेड-इंडेक्स: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q==
संदेश-आईडी: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
स्वीकार-भाषा: en-US
सामग्री-भाषा: en-US
एक्स-MS-है-संलग्न करें:
एक्स-MS-TNEF-correlator:
acceptlanguage: en-US
सामग्री-प्रकार: मल्टीपार्ट / वैकल्पिक;
सीमा = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME- संस्करण: 1.0
अगला भाग ईमेल भेजने वाले सर्वर से गंतव्य सर्वर तक जाने वाले पथ का पता लगाता है। ध्यान रखें कि ये चरण (या हॉप्स) रिवर्स कालानुक्रमिक क्रम में सूचीबद्ध हैं। हमने आदेश को दर्शाने के लिए प्रत्येक हॉप के आगे संबंधित संख्या को रखा है। ध्यान दें कि प्रत्येक हॉप आईपी पते और संबंधित रिवर्स DNS नाम के बारे में विस्तार दिखाता है।
वितरित-टू: [email protected]
[6] प्राप्त: SMTP आईडी l3csp18666oec के साथ 10.60.14.3 द्वारा;
मंगल, 6 मार्च 2012 08:30:51 -0800 (PST)
[5] प्राप्त: SMTP आईडी mq1mr1963003pbb.21.1331051451044 के साथ 10.68.125.129 द्वारा;
मंगल, 06 मार्च 2012 08:30:51 -0800 (PST)
वापसी-पथ: <[email protected]>
[4] प्राप्त: exprod7og119.obsmtp.com से (exprod7og119.obsmtp.com। [64.18.2.16])
SMTP आईडी l7si25161491pbd.80.2012.03.03.08.08.30.49 के साथ mx.google.com द्वारा;
मंगल, 06 मार्च 2012 08:30:50 -0800 (PST)
[3] प्राप्त-एसपीएफ़: तटस्थ (google.com: 64.18.2.16 [email protected] के डोमेन के लिए सर्वोत्तम अनुमान रिकॉर्ड से न तो अनुमति है और न ही इनकार किया गया है) क्लाइंट-आईपी = 64.18.2.16;
प्रमाणीकरण-परिणाम: mx.google.com; spf = neutral (google.com: 64.18.2.16 को [email protected] के डोमेन के लिए सर्वोत्तम अनुमान रिकॉर्ड से न तो अनुमति है और न ही इनकार किया गया है) [email protected]
[2] प्राप्त: SMTP के साथ exprod7ob119.postini.com ([64.18.6.12]) द्वारा mail.externalemail.com ([XXX.XXX.XXX.XXX]) (TLSv1 का उपयोग करके)
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; टीयू, 06 मार्च 2012 08:30:50 पीएसटी
[1] प्राप्त: MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) से
मैसी के साथ MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]); मंगल, ६ मार्च
2012 11:30:48 -0500
हालांकि यह एक वैध ईमेल के लिए सुंदर साँप है, यह जानकारी स्पैम या फ़िशिंग ईमेल की जांच करने के बाद आती है।
एक फ़िशिंग ईमेल की जांच - उदाहरण 1
हमारे पहले फ़िशिंग उदाहरण के लिए, हम एक ईमेल की जाँच करेंगे जो एक स्पष्ट फ़िशिंग प्रयास है। इस मामले में हम इस संदेश को केवल दृश्य संकेतकों द्वारा एक धोखाधड़ी के रूप में पहचान सकते हैं लेकिन अभ्यास के लिए हम हेडर के भीतर चेतावनी के संकेतों पर एक नज़र डालेंगे।
वितरित-टू: [email protected]
प्राप्त: SMTP आईडी l3csp12958oec के साथ 10.60.14.3 द्वारा;
सोम, 5 मार्च 2012 23:11:29 -0800 (PST)
प्राप्त: एसएमटीपी आईडी r24mr7411623yhb.101.1331017888982 के साथ 10.236.46.164;
सोम, 05 मार्च 2012 23:11:28 -0800 (PST)
वापसी-पथ: <[email protected]>
प्राप्त: ms.externalemail.com (ms.externalemail.com से। [XXX.XXX.XXX.XXX])
द्वारा mx.google.com ESMTP आईडी t19si8451178ani.110.2012.03.03.2.2.11.11.28 के साथ;
सोम, 05 मार्च 2012 23:11:28 -0800 (PST)
प्राप्त-एसपीएफ: विफल (google.com: [email protected] का डोमेन अनुमति प्राप्त प्रेषक के रूप में XXX.XXX.XXX.XXX को नामित नहीं करता है) क्लाइंट-आईपी = XXX.XXX.XXX.XXX;
प्रमाणीकरण-परिणाम: mx.google.com; spf = hardfail (google.com: [email protected] का डोमेन अनुमति प्राप्त प्रेषक के रूप में XXX.XXX.XXX.XXX को निर्दिष्ट नहीं करता है) [email protected]
प्राप्त: MailEnable Postoffice कनेक्टर के साथ; मंगल, 6 मार्च 2012 02:11:20 -0500
प्राप्त: mail.lovingtour.com ([211.166.9.218]) से ms.externalemail.com द्वारा MailEnable ESMTP; मंगल, 6 मार्च 2012 02:11:10 -0500
प्राप्त: उपयोगकर्ता ([118.142.76.58]) से
mail.lovingtour.com द्वारा
; सोम, 5 मार्च 2012 21:38:11 +0800
संदेश-आईडी: <[email protected]>
उत्तर-टू: <[email protected]>
से: "[email protected]" <[email protected]>
विषय: सूचना
दिनांक: सोम, ५ मार्च २०१२ 21:20:57 +0800
MIME- संस्करण: 1.0
सामग्री-प्रकार: मल्टीपार्ट / मिश्रित;
सीमा = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
एक्स-प्राथमिकता: 3
X-MSMail- प्राथमिकता: सामान्य
एक्स-मेलर: माइक्रोसॉफ्ट आउटलुक एक्सप्रेस 6.00.2600.0000
X-MimeOLE: Microsoft MimeOLE V6.00.2600.0000 द्वारा उत्पादित
एक्स-एमई-बायेसियन: 0.000000
पहला लाल झंडा क्लाइंट सूचना क्षेत्र में है। यहाँ नोटिस मेटाडेटा संदर्भ आउटलुक एक्सप्रेस जोड़ा। यह संभावना नहीं है कि वीज़ा अब तक के समय से पीछे है कि उनके पास कोई व्यक्ति स्वयं 12 वर्षीय ईमेल क्लाइंट का उपयोग करके ईमेल भेज रहा है।
उत्तर-टू: <[email protected]>
से: "[email protected]" <[email protected]>
विषय: सूचना
दिनांक: सोम, ५ मार्च २०१२ 21:20:57 +0800
MIME- संस्करण: 1.0
सामग्री-प्रकार: मल्टीपार्ट / मिश्रित;
सीमा = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
एक्स-प्राथमिकता: 3
X-MSMail- प्राथमिकता: सामान्य
एक्स-मेलर: माइक्रोसॉफ्ट आउटलुक एक्सप्रेस 6.00.2600.0000
X-MimeOLE: Microsoft MimeOLE V6.00.2600.0000 द्वारा उत्पादित
एक्स-एमई-बायेसियन: 0.000000
अब ईमेल रूटिंग में पहले हॉप की जांच से पता चलता है कि प्रेषक आईपी पते 118.142.76.58 पर स्थित था और उनके ईमेल को मेल सर्वर mail.lovingtour.com के माध्यम से रिले किया गया था।
प्राप्त: उपयोगकर्ता ([118.142.76.58]) से
mail.lovingtour.com द्वारा
; सोम, 5 मार्च 2012 21:38:11 +0800
Nirsoft की IPNetInfo उपयोगिता का उपयोग करके आईपी जानकारी को देखते हुए, हम देख सकते हैं कि प्रेषक हांगकांग में स्थित था और मेल सर्वर चीन में स्थित है।
कहने की जरूरत नहीं है कि यह थोड़ा संदिग्ध है।
शेष ईमेल हॉप्स वास्तव में इस मामले में प्रासंगिक नहीं हैं क्योंकि वे ईमेल को वैध सर्वर ट्रैफ़िक के आसपास उछलते हुए दिखाते हैं जो अंततः वितरित होने से पहले।
एक फ़िशिंग ईमेल की जांच करना - उदाहरण 2
इस उदाहरण के लिए, हमारे फ़िशिंग ईमेल बहुत अधिक आश्वस्त हैं। यदि आप पर्याप्त रूप से कठिन दिखते हैं, तो यहां कुछ दृश्य संकेतक हैं, लेकिन इस लेख के प्रयोजनों के लिए हम अपनी जांच को ईमेल हेडर तक सीमित करने जा रहे हैं।
वितरित-टू: [email protected]
प्राप्त: SMTP आईडी l3csp15619oec के साथ 10.60.14.3 द्वारा;
मंगल, 6 मार्च 2012 04:27:20 -0800 (PST)
प्राप्त: एसएमटीपी आईडी p25mr8672800yhl.123.1331036839870 के साथ 10.236.170.165;
मंगल, 06 मार्च 2012 04:27:19 -0800 (PST)
वापसी-पथ: <[email protected]>
प्राप्त: ms.externalemail.com (ms.externalemail.com से। [XXX.XXX.XXX.XXX])
द्वारा mx.google.com ESMTP आईडी o2si20048188yhn.34.2012.03.03.04.27.19 के साथ;
मंगल, 06 मार्च 2012 04:27:19 -0800 (PST)
प्राप्त-एसपीएफ: विफल (google.com: [email protected] का डोमेन अनुमत प्रेषक के रूप में XXX.XXX.XXX.XXX को नामित नहीं करता है) क्लाइंट-आईपी = XXX.XXX.XXX.XXX;
प्रमाणीकरण-परिणाम: mx.google.com; spf = hardfail (google.com: [email protected] का डोमेन अनुमति प्राप्त प्रेषक के रूप में XXX.XXX.XXX.XXX को निर्दिष्ट नहीं करता है) [email protected]
प्राप्त: MailEnable Postoffice कनेक्टर के साथ; मंगल, 6 मार्च 2012 07:27:13 -0500
प्राप्त: डायनामिक-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com द्वारा MailEnable ESMTP के साथ; मंगल, 6 मार्च 2012 07:27:08 -0500
प्राप्त: स्थानीय के साथ intuit.com द्वारा अपाचे से (एक्जिम 4.67)
(लिफाफा-से <[email protected]>)
आईडी GJMV8N-8BERQW-93
<[email protected]> के लिए; मंगल, 6 मार्च 2012 19:27:05 +0700
को: <[email protected]>
विषय: आपका Intuit.com चालान।
X-PHP-Script: intuit.com/sendmail.php 118.68.152.212 के लिए
से: "INTUIT INC।" <[email protected]>
एक्स-प्रेषक: "INTUIT INC।" <[email protected]>
एक्स-मेलर: PHP
एक्स-प्राथमिकता: 1
MIME- संस्करण: 1.0
सामग्री-प्रकार: मल्टीपार्ट / वैकल्पिक;
सीमा = "---- 03060500702080404010506"
संदेश-आईडी: <[email protected]>
दिनांक: मंगल, 6 मार्च 2012 19:27:05 +0700
एक्स-एमई-बायेसियन: 0.000000
इस उदाहरण में, एक मेल क्लाइंट एप्लिकेशन का उपयोग नहीं किया गया था, बल्कि 118.68.152.212 के स्रोत आईपी पते के साथ एक PHP स्क्रिप्ट।
को: <[email protected]>
विषय: आपका Intuit.com चालान।
X-PHP-Script: intuit.com/sendmail.php 118.68.152.212 के लिए
से: "INTUIT INC।" <[email protected]>
एक्स-प्रेषक: "INTUIT INC।" <[email protected]>
एक्स-मेलर: PHP
एक्स-प्राथमिकता: 1
MIME- संस्करण: 1.0
सामग्री-प्रकार: मल्टीपार्ट / वैकल्पिक;
सीमा = "---- 03060500702080404010506"
संदेश-आईडी: <[email protected]>
दिनांक: मंगल, 6 मार्च 2012 19:27:05 +0700
एक्स-एमई-बायेसियन: 0.000000
हालाँकि, जब हम पहले ईमेल हॉप को देखते हैं तो यह वैध प्रतीत होता है क्योंकि भेजने वाले का डोमेन नाम ईमेल पते से मेल खाता है। हालाँकि, इस बारे में सावधान रहें क्योंकि एक स्पैमर आसानी से अपने सर्वर का नाम "intuit.com" रख सकता है।
प्राप्त: स्थानीय के साथ intuit.com द्वारा अपाचे से (एक्जिम 4.67)
(लिफाफा-से <[email protected]>)
आईडी GJMV8N-8BERQW-93
<[email protected]> के लिए; मंगल, 6 मार्च 2012 19:27:05 +0700
अगले चरण की जांच इस कार्ड के घर को तोड़ती है। आप दूसरा हॉप देख सकते हैं (जहां यह एक वैध ईमेल सर्वर द्वारा प्राप्त किया जाता है) भेजने वाले सर्वर को डोमेन "डायनामिक-pool-xxx.hcm.fpt.vn" पर वापस भेजता है, न कि "intuit.com" उसी आईपी पते के साथ PHP स्क्रिप्ट में दिखाया गया है।
प्राप्त: डायनामिक-pool-xxx.hcm.fpt.vn ([118.68.152.212]) द्वारा ms.externalemail.com द्वारा MailEnable ESMTP; मंगल, 6 मार्च 2012 07:27:08 -0500
आईपी पते की जानकारी देखने से संदेह की पुष्टि होती है क्योंकि मेल सर्वर का स्थान Viet Nam में वापस आ जाता है।
जबकि यह उदाहरण थोड़ा अधिक चतुर है, आप देख सकते हैं कि केवल थोड़ी सी जांच के साथ धोखाधड़ी कितनी जल्दी प्रकट होती है।
निष्कर्ष
ईमेल हेडर देखने के दौरान, शायद आपकी दिन भर की जरूरतों का एक हिस्सा नहीं है, ऐसे मामले भी हैं जिनमें निहित जानकारी काफी मूल्यवान हो सकती है। जैसा कि हमने ऊपर दिखाया है, आप प्रेषक को आसानी से पहचान सकते हैं कि वे कुछ ऐसा नहीं कर रहे हैं। एक बहुत अच्छी तरह से निष्पादित घोटाले के लिए जहां दृश्य संकेत आश्वस्त होते हैं, वास्तविक मेल सर्वरों को लगाने और ईमेल हेडर के अंदर की जानकारी की समीक्षा करना बहुत मुश्किल (यदि असंभव नहीं है) जल्दी से किसी भी chicanery को प्रकट कर सकता है।
