Sempre que você recebe um e-mail, há muito mais do que aparenta. Embora você geralmente preste atenção apenas ao endereço de remetente, linha de assunto e corpo da mensagem, há muito mais informações disponíveis "nos bastidores" de cada e-mail que podem fornecer uma grande quantidade de informações adicionais.
Por que se preocupar em olhar para um cabeçalho de email?
Esta é uma pergunta muito boa. Na maior parte, você realmente não precisaria, a menos que:
- Você suspeita que um e-mail é uma tentativa de phishing ou spoof
- Você deseja visualizar as informações de roteamento no caminho do e-mail
- Você é um geek curioso
Independentemente das suas razões, ler cabeçalhos de e-mail é realmente muito fácil e pode ser muito revelador.
Nota do artigo: Para nossas capturas de tela e dados, usaremos o Gmail, mas praticamente todos os outros clientes de e-mail também devem fornecer essas mesmas informações.
Visualizando o Cabeçalho do Email
No Gmail, veja o e-mail. Para este exemplo, usaremos o e-mail abaixo.
Em seguida, clique na seta no canto superior direito e selecione Mostrar original.
A janela resultante terá os dados do cabeçalho do email em texto simples.
Observação: em todos os dados de cabeçalho de e-mail que mostro abaixo, mudei meu endereço do Gmail para mostrar como [email protected] e meu endereço de e-mail externo para mostrar como [email protected] e [email protected] bem como mascarou o endereço IP dos meus servidores de e-mail.
Delivered-To: [email protected]
Recebido: por 10.60.14.3 com id SMTP l3csp18666oec;
Ter, 6 de março de 2012 08:30:51 -0800 (PST)
Recebido: por 10.68.125.129 com SMTP id mq1mr1963003pbb.21.1331051451044;
Ter, 06 de março de 2012 08:30:51 -0800 (PST)
Return-Path: <[email protected]>
Recebido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com com id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Ter, 06 de março de 2012 08:30:50 -0800 (PST)
Received-SPF: neutro (google.com: 64.18.2.16 não é permitido nem negado pelo registro de melhor estimativa para o domínio de [email protected]) client-ip = 64.18.2.16;
Resultados da autenticação: mx.google.com; spf = neutral (google.com: 64.18.2.16 não é permitido nem negado pelo registro de melhor estimativa para o domínio de [email protected]) [email protected]
Recebido: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) com SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ter, 06 de março de 2012 08:30:50 PST
Recebido: de MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) por
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) com mapi; Ter, 6 mar
2012 11:30:48 -0500
De: Jason Faulkner <[email protected]>
Para: “[email protected]” <[email protected]>
Date: Tue, 6 Mar 2012 11:30:48 -0500
Assunto: Este é um e-mail legítimo
Tópico do Tópico: Este é um e-mail legítimo
Índice de tópicos: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
Correlador X-MS-TNEF:
acceptlanguage: en-US
Tipo de conteúdo: multiparte / alternativa;
limite = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versão MIME: 1.0
Quando você lê um cabeçalho de e-mail, os dados estão em ordem cronológica inversa, o que significa que as informações no topo são o evento mais recente. Portanto, se você deseja rastrear o e-mail do remetente ao destinatário, comece na parte inferior. Examinando os cabeçalhos deste e-mail, podemos ver várias coisas.
Aqui vemos as informações geradas pelo cliente remetente. Nesse caso, o e-mail foi enviado do Outlook, portanto, este é o metadado que o Outlook adiciona.
De: Jason Faulkner <[email protected]>
Para: “[email protected]” <[email protected]>
Date: Tue, 6 Mar 2012 11:30:48 -0500
Assunto: Este é um e-mail legítimo
Tópico do Tópico: Este é um e-mail legítimo
Índice de tópicos: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
Correlador X-MS-TNEF:
acceptlanguage: en-US
Tipo de conteúdo: multiparte / alternativa;
limite = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versão MIME: 1.0
A próxima parte rastreia o caminho que o e-mail percorre do servidor de envio ao servidor de destino. Lembre-se de que essas etapas (ou saltos) estão listados em ordem cronológica inversa. Colocamos o respectivo número ao lado de cada salto para ilustrar a ordem. Observe que cada salto mostra detalhes sobre o endereço IP e o respectivo nome DNS reverso.
Delivered-To: [email protected]
[6] Recebido: por 10.60.14.3 com id SMTP l3csp18666oec;
Ter, 6 de março de 2012 08:30:51 -0800 (PST)
[5] Recebido: por 10.68.125.129 com SMTP id mq1mr1963003pbb.21.1331051451044;
Ter, 06 de março de 2012 08:30:51 -0800 (PST)
Return-Path: <[email protected]>
[4] Recebido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com com id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Ter, 06 de março de 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutro (google.com: 64.18.2.16 não é permitido nem negado pelo registro de melhor estimativa para o domínio de [email protected]) client-ip = 64.18.2.16;
Resultados da autenticação: mx.google.com; spf = neutral (google.com: 64.18.2.16 não é permitido nem negado pelo registro de melhor estimativa para o domínio de [email protected]) [email protected]
[2] Recebido: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) com SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ter, 06 de março de 2012 08:30:50 PST
[1] Recebido: de MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) por
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) com mapi; Ter, 6 mar
2012 11:30:48 -0500
Embora isso seja bastante comum para um e-mail legítimo, essas informações podem ser bastante reveladoras quando se trata de examinar e-mails de spam ou phishing.
Examinando um e-mail de phishing - Exemplo 1
Para nosso primeiro exemplo de phishing, examinaremos um e-mail que é uma tentativa óbvia de phishing. Neste caso, poderíamos identificar esta mensagem como uma fraude simplesmente pelos indicadores visuais, mas para a prática, daremos uma olhada nos sinais de aviso nos cabeçalhos.
Delivered-To: [email protected]
Recebido: por 10.60.14.3 com id SMTP l3csp12958oec;
Seg, 5 de março de 2012 23:11:29-0800 (PST)
Recebido: por 10.236.46.164 com SMTP id r24mr7411623yhb.101.1331017888982;
Seg, 05 de março de 2012 23:11:28 -0800 (PST)
Return-Path: <[email protected]>
Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx.google.com com ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Seg, 05 de março de 2012 23:11:28 -0800 (PST)
SPF-recebido: falha (google.com: domínio de [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX;
Resultados da autenticação: mx.google.com; spf = hardfail (google.com: domínio de [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected]
Recebido: com MailEnable Postoffice Connector; Ter, 6 de março de 2012 02:11:20 -0500
Recebido: de mail.lovingtour.com ([211.166.9.218]) por ms.externalemail.com com MailEnable ESMTP; Ter, 6 de março de 2012 02:11:10 -0500
Recebido: do usuário ([118.142.76.58])
por mail.lovingtour.com
; Seg, 5 de março de 2012 21:38:11 +0800
Message-ID: <[email protected]>
Responder a: <[email protected]>
From: “[email protected]”<[email protected]>
Assunto: Aviso
Data: seg, 5 de março de 2012 21:20:57 +0800
Versão MIME: 1.0
Tipo de conteúdo: multipart / misto;
limite = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produzido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
A primeira bandeira vermelha está na área de informações do cliente. Observe aqui que os metadados adicionados fazem referência ao Outlook Express. É improvável que a Visa esteja tão atrasada no tempo a ponto de ter alguém enviando e-mails manualmente usando um cliente de e-mail de 12 anos.
Responder a: <[email protected]>
From: “[email protected]”<[email protected]>
Assunto: Aviso
Data: seg, 5 de março de 2012 21:20:57 +0800
Versão MIME: 1.0
Tipo de conteúdo: multipart / misto;
limite = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produzido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Agora, examinando o primeiro salto no roteamento de email, revela que o remetente estava localizado no endereço IP 118.142.76.58 e seu email foi retransmitido através do servidor de email mail.lovingtour.com.
Recebido: do usuário ([118.142.76.58])
por mail.lovingtour.com
; Seg, 5 de março de 2012 21:38:11 +0800
Olhando as informações de IP usando o utilitário IPNetInfo da Nirsoft, podemos ver que o remetente estava localizado em Hong Kong e o servidor de e-mail está localizado na China.
Nem é preciso dizer que isso é um pouco suspeito.
O resto dos saltos de e-mail não são realmente relevantes neste caso, pois mostram o e-mail pulando no tráfego do servidor legítimo antes de finalmente ser entregue.
Examinando um e-mail de phishing - Exemplo 2
Para este exemplo, nosso e-mail de phishing é muito mais convincente. Existem alguns indicadores visuais aqui se você olhar com atenção, mas, novamente, para os fins deste artigo, vamos limitar nossa investigação aos cabeçalhos de e-mail.
Delivered-To: [email protected]
Recebido: por 10.60.14.3 com SMTP id l3csp15619oec;
Ter, 6 de março de 2012 04:27:20 -0800 (PST)
Recebido: por 10.236.170.165 com SMTP id p25mr8672800yhl.123.1331036839870;
Ter, 06 de março de 2012 04:27:19 -0800 (PST)
Return-Path: <[email protected]>
Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx.google.com com ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Ter, 06 de março de 2012 04:27:19 -0800 (PST)
SPF-recebido: falha (google.com: domínio de [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX;
Resultados da autenticação: mx.google.com; spf = hardfail (google.com: domínio de [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected]
Recebido: com MailEnable Postoffice Connector; Ter, 6 de março de 2012 07:27:13 -0500
Recebido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com com MailEnable ESMTP; Ter, 6 de março de 2012 07:27:08 -0500
Recebido: do apache por intuit.com com local (Exim 4.67)
(envelope de <[email protected]>)
id GJMV8N-8BERQW-93
para <[email protected]>; Ter, 6 de março de 2012 19:27:05 +0700
Para: <[email protected]>
Assunto: Sua fatura da Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: “INTUIT INC.” <[email protected]>
X-Sender: “INTUIT INC.” <[email protected]>
X-Mailer: PHP
X-Priority: 1
Versão MIME: 1.0
Tipo de conteúdo: multiparte / alternativa;
limite = ”———— 03060500702080404010506 ″
Id da mensagem: <[email protected]>
Date: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Neste exemplo, um aplicativo cliente de e-mail não foi usado, em vez de um script PHP com o endereço IP de origem de 118.68.152.212.
Para: <[email protected]>
Assunto: Sua fatura da Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: “INTUIT INC.” <[email protected]>
X-Sender: “INTUIT INC.” <[email protected]>
X-Mailer: PHP
X-Priority: 1
Versão MIME: 1.0
Tipo de conteúdo: multiparte / alternativa;
limite = ”———— 03060500702080404010506 ″
Id da mensagem: <[email protected]>
Date: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
No entanto, quando olhamos para o primeiro e-mail, parece ser legítimo, pois o nome de domínio do servidor de envio corresponde ao endereço de e-mail. No entanto, tenha cuidado com isso, pois um spammer pode facilmente nomear seu servidor como “intuit.com”.
Recebido: do apache por intuit.com com local (Exim 4.67)
(envelope de <[email protected]>)
id GJMV8N-8BERQW-93
para <[email protected]>; Ter, 6 de março de 2012 19:27:05 +0700
O exame da próxima etapa destrói este castelo de cartas. Você pode ver que o segundo salto (onde é recebido por um servidor de e-mail legítimo) resolve o servidor de envio de volta para o domínio “dynamic-pool-xxx.hcm.fpt.vn”, não “intuit.com” com o mesmo endereço IP indicado no script PHP.
Recebido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com com MailEnable ESMTP; Ter, 6 de março de 2012 07:27:08 -0500
Visualizar as informações do endereço IP confirma a suspeita, pois a localização do servidor de e-mail retorna ao Vietnã.
Embora este exemplo seja um pouco mais inteligente, você pode ver a rapidez com que a fraude é revelada com apenas um pouco de investigação.
Conclusão
Embora a exibição de cabeçalhos de e-mail provavelmente não faça parte de suas necessidades diárias, há casos em que as informações neles contidas podem ser muito valiosas. Como mostramos acima, você pode identificar facilmente os remetentes se mascarando como algo que não são. Para um golpe muito bem executado, em que as dicas visuais são convincentes, é extremamente difícil (senão impossível) personificar os servidores de email reais, e a revisão das informações dentro dos cabeçalhos de email pode revelar rapidamente qualquer fraude.
