Hver gang du mottar en e-post, er det mye mer enn det du ser. Mens du vanligvis bare tar hensyn til fra-adresse, emnelinje og brødtekst i meldingen, er det mye mer informasjon tilgjengelig "under panseret" i hver e-post som kan gi deg et vell av tilleggsinformasjon.
Hvorfor plage å se på en e-postoverskrift?
Dette er et veldig bra spørsmål. For det meste trenger du aldri å gjøre det med mindre:
- Du mistenker at en e-post er et phishing-forsøk eller spoof
- Du vil se ruteinformasjon på e-postens bane
- Du er en nysgjerrig nerd
Uansett årsaker er det enkelt å lese e-postoverskrifter og kan være veldig avslørende.
Artikkelnotat: For skjermbilder og data bruker vi Gmail, men praktisk talt alle andre e-postklienter bør også gi den samme informasjonen.
Vise e-postoverskriften
Se e-posten i Gmail. For dette eksemplet vil vi bruke e-postadressen nedenfor.
Klikk deretter på pilen øverst til høyre og velg Vis original.
Det resulterende vinduet vil ha e-postoverskriftsdataene i ren tekst.
Merk: I alle e-postoverskriftsdataene jeg viser nedenfor, har jeg endret Gmail-adressen min til å vises som [email protected] og den eksterne e-postadressen min som skal vises som [email protected] og [email protected] samt maskerte IP-adressen til e-postserverne mine.
Levert til: [email protected]
Mottatt: innen 10.60.14.3 med SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Mottatt: av 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Retursti: <[email protected]>
Mottatt: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Mottatt SPF: nøytral (google.com: 64.18.2.16 er verken tillatt eller avvist av beste gjetningspost for domenet til [email protected]) client-ip = 64.18.2.16;
Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 64.18.2.16 er verken tillatt eller avvist av beste gjetningspost for domenet til [email protected]) [email protected]
Mottatt: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjelp av TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
Mottatt: fra MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) av
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) med mapi; Tir, 6. mars
2012 11:30:48 -0500
Fra: Jason Faulkner <[email protected]>
Til: “[email protected]” <[email protected]>
Dato: Tirsdag 6. mars 2012 11:30:48 -0500
Emne: Dette er en legitim e-post
Tråd-emne: Dette er en legitim e-post
Trådindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meldings-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-har vedlegg:
X-MS-TNEF-korrelator:
acceptlanguage: en-US
Innholdstype: flerdelt / alternativ;
grense = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versjon: 1.0
Når du leser en e-postoverskrift, er dataene i omvendt kronologisk rekkefølge, noe som betyr at informasjonen øverst er den siste hendelsen. Hvis du vil spore e-postmeldingen fra avsender til mottaker, må du starte nederst. Når vi undersøker overskriftene til denne e-posten, kan vi se flere ting.
Her ser vi informasjon generert av den sendende klienten. I dette tilfellet ble e-posten sendt fra Outlook, så dette er metadataene Outlook legger til.
Fra: Jason Faulkner <[email protected]>
Til: “[email protected]” <[email protected]>
Dato: Tirsdag 6. mars 2012 11:30:48 -0500
Emne: Dette er en legitim e-post
Tråd-emne: Dette er en legitim e-post
Trådindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meldings-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-har vedlegg:
X-MS-TNEF-korrelator:
acceptlanguage: en-US
Innholdstype: flerdelt / alternativ;
grense = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versjon: 1.0
Den neste delen sporer banen e-postmeldingen tar fra senderserveren til målserveren. Husk at disse trinnene (eller humlen) er oppført i omvendt kronologisk rekkefølge. Vi har plassert det respektive nummeret ved siden av hvert humle for å illustrere bestillingen. Merk at hvert humle viser detaljer om IP-adressen og respektive omvendte DNS-navn.
Levert til: [email protected]
[6] Mottatt: innen 10.60.14.3 med SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Mottatt: av 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Retursti: <[email protected]>
[4] Mottatt: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Mottatt SPF: nøytral (google.com: 64.18.2.16 er verken tillatt eller avvist av beste gjetningspost for domenet til [email protected]) client-ip = 64.18.2.16;
Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 64.18.2.16 er verken tillatt eller avvist av beste gjetningspost for domenet til [email protected]) [email protected]
[2] Mottatt: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjelp av TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
[1] Mottatt: fra MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) av
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) med mapi; Tir, 6. mars
2012 11:30:48 -0500
Selv om dette er ganske dagligdags for en legitim e-post, kan denne informasjonen være ganske tydelig når det gjelder å undersøke spam eller phishing-e-post.
Undersøk en phishing-e-post - eksempel 1
For vårt første phishing-eksempel vil vi undersøke en e-post som er et åpenbart phishing-forsøk. I dette tilfellet kan vi identifisere denne meldingen som svindel ganske enkelt av de visuelle indikatorene, men for praksis vil vi se på advarselsskiltene i overskriftene.
Levert til: [email protected]
Mottatt: innen 10.60.14.3 med SMTP id l3csp12958oec;
Mon, 5 Mar 2012 23:11:29 -0800 (PST)
Mottatt: av 10.236.46.164 med SMTP id r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Retursti: <[email protected]>
Mottatt: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx.google.com med ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Mottatt-SPF: mislykkes (google.com: domene av [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultater: mx.google.com; spf = hardfail (google.com: domain of [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
Mottatt: med MailEnable Postoffice Connector; Tirsdag 6. mars 2012 02:11:20 -0500
Mottatt: fra mail.lovingtour.com ([211.166.9.218]) av ms.externalemail.com med MailEnable ESMTP; Tirsdag 6. mars 2012 02:11:10 -0500
Mottatt: fra bruker ([118.142.76.58])
via mail.lovingtour.com
; Man, 5. mars 2012 21:38:11 +0800
Meldings-ID: <[email protected]>
Svar til: <[email protected]>
Fra: “[email protected]” <[email protected]>
Emne: Merknad
Dato: Man, 5 Mar 2012 21:20:57 +0800
MIME-versjon: 1.0
Innholdstype: flerdelt / blandet;
border = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-prioritet: 3
X-MSMail-Prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Det første røde flagget er i klientinformasjonsområdet. Legg merke til metadataene som er lagt til referanser Outlook Express. Det er usannsynlig at Visa er så langt bak gangene at de har noen som manuelt sender e-post ved hjelp av en 12 år gammel e-postklient.
Svar til: <[email protected]>
Fra: “[email protected]” <[email protected]>
Emne: Merknad
Dato: Man, 5 Mar 2012 21:20:57 +0800
MIME-versjon: 1.0
Innholdstype: flerdelt / blandet;
border = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-prioritet: 3
X-MSMail-Prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Nå som vi undersøker det første hoppet i e-postrutingen, avslører at avsenderen befant seg på IP-adresse 118.142.76.58 og at e-posten deres ble videreformidlet via e-postserveren mail.lovingtour.com.
Mottatt: fra bruker ([118.142.76.58])
via mail.lovingtour.com
; Man, 5. mars 2012 21:38:11 +0800
Når vi ser etter IP-informasjonen ved hjelp av Nirsoft’s IPNetInfo-verktøy, kan vi se at avsenderen befant seg i Hong Kong, og e-postserveren ligger i Kina.
Unødvendig å si at dette er litt mistenkelig.
Resten av e-posthumlene er egentlig ikke relevante i dette tilfellet, da de viser e-posten som spretter rundt legitim servertrafikk før den endelig blir levert.
Undersøke en phishing-e-post - eksempel 2
For dette eksemplet er phishing-e-posten vår mye mer overbevisende. Det er noen visuelle indikatorer her hvis du ser hardt nok ut, men igjen i forbindelse med denne artikkelen skal vi begrense etterforskningen vår til e-postoverskrifter.
Levert til: [email protected]
Mottatt: innen 10.60.14.3 med SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Mottatt: av 10.236.170.165 med SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Retursti: <[email protected]>
Mottatt: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx.google.com med ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Mottatt-SPF: mislykkes (google.com: domene av [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultater: mx.google.com; spf = hardfail (google.com: domain of [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
Mottatt: med MailEnable Postoffice Connector; Tirsdag 6. mars 2012 07:27:13 -0500
Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tirsdag 6. mars 2012 07:27:08 -0500
Mottatt: fra apache av intuit.com med lokal (Eksempel 4.67)
(konvolutt fra <[email protected]>)
id GJMV8N-8BERQW-93
for <[email protected]>; Tue, 6 Mar 2012 19:27:05 +0700
Til: <[email protected]>
Emne: Intuit.com-fakturaen din.
X-PHP-skript: intuit.com/sendmail.php for 118.68.152.212
Fra: “INTUIT INC.” <[email protected]>
X-Sender: “INTUIT INC.” <[email protected]>
X-Mailer: PHP
X-prioritet: 1
MIME-versjon: 1.0
Innholdstype: flerdelt / alternativ;
grense = ”———— 03060500702080404010506 ″
Meldings-ID: <[email protected]>
Dato: Tirsdag 6. mars 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
I dette eksemplet ble ikke et e-postklientprogram brukt, snarere et PHP-skript med kildens IP-adresse 118.68.152.212.
Til: <[email protected]>
Emne: Intuit.com-fakturaen din.
X-PHP-skript: intuit.com/sendmail.php for 118.68.152.212
Fra: “INTUIT INC.” <[email protected]>
X-Sender: “INTUIT INC.” <[email protected]>
X-Mailer: PHP
X-prioritet: 1
MIME-versjon: 1.0
Innholdstype: flerdelt / alternativ;
grense = ”———— 03060500702080404010506 ″
Meldings-ID: <[email protected]>
Dato: Tirsdag 6. mars 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Imidlertid, når vi ser på den første e-posthoppen, ser det ut til å være legitim da senderserverens domenenavn samsvarer med e-postadressen. Vær imidlertid forsiktig med dette da en spammer lett kan gi serveren deres navnet “intuit.com”.
Mottatt: fra apache av intuit.com med lokal (Eksempel 4.67)
(konvolutt fra <[email protected]>)
id GJMV8N-8BERQW-93
for <[email protected]>; Tue, 6 Mar 2012 19:27:05 +0700
Å undersøke neste trinn smuldrer dette korthuset. Du kan se det andre hoppet (der det mottas av en legitim e-postserver) løser senderserveren tilbake til domenet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresse angitt i PHP-skriptet.
Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tirsdag 6. mars 2012 07:27:08 -0500
Å vise IP-adresseinformasjonen bekrefter mistanken da e-postserverens beliggenhet går tilbake til Vietnam.
Mens dette eksemplet er litt mer smart, kan du se hvor raskt svindelen avsløres med bare en liten bit av etterforskning.
Konklusjon
Selv om visning av e-postoverskrifter sannsynligvis ikke er en del av det vanlige daglige behovet ditt, er det tilfeller der informasjonen i dem kan være ganske verdifull. Som vi viste ovenfor, kan du ganske enkelt identifisere avsendere som utgir seg for å være noe de ikke er. For en veldig godt utført svindel der visuelle signaler er overbevisende, er det ekstremt vanskelig (om ikke umulig) å utgi seg for faktiske e-postservere, og gjennomgang av informasjonen i e-postoverskrifter kan raskt avsløre noe chicanery.
