Ori de câte ori primiți un e-mail, există mult mai multe lucruri decât se pare. Deși, în mod obișnuit, acordați atenție doar adresei, subiectului și corpului mesajului, există mai multe informații disponibile „sub capota” fiecărui e-mail care vă pot oferi o mulțime de informații suplimentare.
De ce să te deranjezi să te uiți la un antet de e-mail?
Aceasta este o întrebare foarte bună. În cea mai mare parte, nu ar fi nevoie niciodată dacă:
- Bănuiți că un e-mail este o încercare de phishing sau o falsificare
- Doriți să vedeți informații de rutare pe calea e-mailului
- Ești un geek curios
Indiferent de motivele dvs., citirea antetelor de e-mail este de fapt destul de ușoară și poate fi foarte revelatoare.
Notă despre articol: Pentru capturile de ecran și datele noastre, vom folosi Gmail, dar practic orice alt client de e-mail ar trebui să furnizeze și aceleași informații.
Vizualizarea antetului de e-mail
În Gmail, vizualizați e-mailul. Pentru acest exemplu, vom folosi e-mailul de mai jos.
Apoi faceți clic pe săgeata din colțul din dreapta sus și selectați Afișați originalul.
Fereastra rezultată va avea datele antetului e-mailului în text simplu.
Notă: În toate datele antetului de e-mail pe care le afișez mai jos, mi-am schimbat adresa Gmail pentru a afișa ca [email protected] și adresa mea de e-mail externă pentru a fi afișată ca [email protected] și [email protected] precum și mascat adresa IP a serverelor mele de e-mail.
Livrat către: [email protected]
Primit: până la 10.60.14.3 cu ID SMTP l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Primit: până la 10.68.125.129 cu ID SMTP mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Calea de întoarcere: <[email protected]>
Primit: de la exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
de mx.google.com cu codul SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Received-SPF: neutru (google.com: 64.18.2.16 nu este permis și nici refuzat de cea mai bună estimare pentru domeniul [email protected]) client-ip = 64.18.2.16;
Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 64.18.2.16 nu este permis și nici refuzat de cea mai bună înregistrare de presupunere pentru domeniul [email protected]) [email protected]
Primit: de la mail.externalemail.com ([XXX.XXX.XXX.XXX]) (folosind TLSv1) de exprod7ob119.postini.com ([64.18.6.12]) cu SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
Primit: de la MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) de
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) cu mapi; Marți, 6 mar
2012 11:30:48 -0500
De la: Jason Faulkner <[email protected]>
Către: „[email protected]” <[email protected]>
Date: Tue, 6 Mar 2012 11:30:48 -0500
Subiect: Acesta este un e-mail legitim
Subiect subiect: Acesta este un e-mail legitim
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID mesaj: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Limbaj conținut: en-US
X-MS-Has-Attach:
X-MS-TNEF-Corelator:
acceptați limba: en-US
Tip conținut: multipart / alternativă;
border = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versiune MIME: 1.0
Când citiți un antet de e-mail, datele sunt în ordine cronologică inversă, ceea ce înseamnă că informațiile din partea de sus este cel mai recent eveniment. Prin urmare, dacă doriți să urmăriți e-mailul de la expeditor la destinatar, începeți din partea de jos. Examinând anteturile acestui e-mail putem vedea mai multe lucruri.
Aici vedem informații generate de clientul expeditor. În acest caz, e-mailul a fost trimis din Outlook, deci acesta este metadatele pe care le adaugă Outlook.
De la: Jason Faulkner <[email protected]>
Către: „[email protected]” <[email protected]>
Date: Tue, 6 Mar 2012 11:30:48 -0500
Subiect: Acesta este un e-mail legitim
Subiect subiect: Acesta este un e-mail legitim
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID mesaj: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Limbaj conținut: en-US
X-MS-Has-Attach:
X-MS-TNEF-Corelator:
acceptați limba: en-US
Tip conținut: multipart / alternativă;
border = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versiune MIME: 1.0
Următoarea parte urmărește calea pe care o ia e-mailul de la serverul de trimitere la serverul de destinație. Rețineți că acești pași (sau hamei) sunt enumerați în ordine cronologică inversă. Am plasat numărul respectiv lângă fiecare hop pentru a ilustra comanda. Rețineți că fiecare salt arată detalii despre adresa IP și numele DNS invers invers.
Livrat către: [email protected]
[6] Primit: până la 10.60.14.3 cu ID SMTP l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Primit: până la 10.68.125.129 cu ID SMTP mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Calea de întoarcere: <[email protected]>
[4] Primit: de la exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
de mx.google.com cu codul SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutru (google.com: 64.18.2.16 nu este permis și nici refuzat de cea mai bună estimare pentru domeniul [email protected]) client-ip = 64.18.2.16;
Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 64.18.2.16 nu este permis și nici refuzat de cea mai bună înregistrare de presupunere pentru domeniul [email protected]) [email protected]
[2] Primit: de la mail.externalemail.com ([XXX.XXX.XXX.XXX]) (folosind TLSv1) de exprod7ob119.postini.com ([64.18.6.12]) cu SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
[1] Primit: de la MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) de
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) cu mapi; Marți, 6 mar
2012 11:30:48 -0500
Deși acest lucru este destul de banal pentru un e-mail legitim, aceste informații pot fi destul de grăitoare atunci când vine vorba de examinarea e-mailurilor de spam sau de phishing.
Examinarea unui e-mail de phishing - Exemplul 1
Pentru primul nostru exemplu de phishing, vom examina un e-mail care este o încercare evidentă de phishing. În acest caz, am putea identifica acest mesaj ca o fraudă pur și simplu prin indicatorii vizuali, dar pentru practică vom analiza semnele de avertizare din anteturi.
Livrat către: [email protected]
Primit: până la 10.60.14.3 cu ID SMTP l3csp12958oec;
Mon, 5 Mar 2012 23:11:29 -0800 (PST)
Primit: până la 10.236.46.164 cu ID SMTP r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Return-Path: <[email protected]>
Primit: de la ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
de mx.google.com cu ID ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Received-SPF: fail (google.com: domeniul [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) client-ip = XXX.XXX.XXX.XXX;
Autentificare-Rezultate: mx.google.com; spf = hardfail (google.com: domeniul [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) [email protected]
Primit: cu MailEnable Postoffice Connector; Marți, 6 martie 2012 02:11:20 -0500
Primit: de la mail.lovingtour.com ([211.166.9.218]) de către ms.externalemail.com cu MailEnable ESMTP; Marți, 6 martie 2012 02:11:10 -0500
Primit: de la utilizator ([118.142.76.58])
prin mail.lovingtour.com
; Luni, 5 martie 2012 21:38:11 + 0800
ID mesaj: <[email protected]>
Răspunde-la: <[email protected]>
De la: „[email protected]” <[email protected]>
Subiect: Notificare
Date: Mon, 5 Mar 2012 21:20:57 +0800
Versiune MIME: 1.0
Tip conținut: multipart / mixt;
border = "—- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Prioritate X: 3
Prioritate X-MSMail: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produs de Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Primul semnal roșu se află în zona de informații pentru clienți. Observați aici că metadatele au adăugat referințe Outlook Express. Este puțin probabil ca Visa să fie atât de departe în spatele timpului încât să aibă pe cineva care trimite manual e-mailuri folosind un client de e-mail în vârstă de 12 ani.
Răspunde-la: <[email protected]>
De la: „[email protected]” <[email protected]>
Subiect: Notificare
Date: Mon, 5 Mar 2012 21:20:57 +0800
Versiune MIME: 1.0
Tip conținut: multipart / mixt;
border = "—- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Prioritate X: 3
Prioritate X-MSMail: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produs de Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Examinând acum primul salt în direcționarea e-mailului, se relevă faptul că expeditorul a fost localizat la adresa IP 118.142.76.58 și e-mailul acestora a fost transmis prin intermediul serverului de mail mail.lovingtour.com.
Primit: de la utilizator ([118.142.76.58])
prin mail.lovingtour.com
; Luni, 5 martie 2012 21:38:11 + 0800
Căutând informații despre IP utilizând utilitarul IPNetInfo al Nirsoft, putem vedea că expeditorul a fost localizat în Hong Kong și serverul de poștă este situat în China.
Inutil să spun că acest lucru este cam suspect.
Restul hopurilor de e-mail nu sunt cu adevărat relevante în acest caz, deoarece arată e-mailul care ricoșează în jurul traficului legitim al serverului înainte de a fi livrat definitiv.
Examinarea unui e-mail de phishing - Exemplul 2
Pentru acest exemplu, e-mailul nostru de phishing este mult mai convingător. Există câțiva indicatori vizuali aici dacă vă uitați suficient de greu, dar din nou în sensul acestui articol, vom limita investigația noastră la anteturile de e-mail.
Livrat către: [email protected]
Primit: până la 10.60.14.3 cu codul SMTP l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Primit: până la 10.236.170.165 cu ID SMTP p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Return-Path: <[email protected]>
Primit: de la ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
de mx.google.com cu ID-ul ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Received-SPF: fail (google.com: domeniul [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) client-ip = XXX.XXX.XXX.XXX;
Autentificare-Rezultate: mx.google.com; spf = hardfail (google.com: domeniul [email protected] nu desemnează XXX.XXX.XXX.XXX ca expeditor permis) [email protected]
Primit: cu MailEnable Postoffice Connector; Marți, 6 martie 2012 07:27:13 -0500
Primit: de la dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) de ms.externalemail.com cu MailEnable ESMTP; Marți, 6 martie 2012 07:27:08 -0500
Primit: de la apache de intuit.com cu local (Exim 4.67)
(plic-de la <[email protected]>)
id GJMV8N-8BERQW-93
for <[email protected]>; Tue, 6 Mar 2012 19:27:05 +0700
Către: <[email protected]>
Subiect: factura dvs. Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pentru 118.68.152.212
De la: „INTUIT INC.” <[email protected]>
X-Sender: „INTUIT INC.” <[email protected]>
X-Mailer: PHP
Prioritate X: 1
Versiune MIME: 1.0
Tip conținut: multipart / alternativă;
graniță = ”———— 03060500702080404010506 ″
ID mesaj: <[email protected]>
Date: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
În acest exemplu, nu a fost utilizată o aplicație client de e-mail, mai degrabă un script PHP cu adresa IP sursă 118.68.152.212.
Către: <[email protected]>
Subiect: factura dvs. Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pentru 118.68.152.212
De la: „INTUIT INC.” <[email protected]>
X-Sender: „INTUIT INC.” <[email protected]>
X-Mailer: PHP
Prioritate X: 1
Versiune MIME: 1.0
Tip conținut: multipart / alternativă;
graniță = ”———— 03060500702080404010506 ″
ID mesaj: <[email protected]>
Date: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Cu toate acestea, atunci când ne uităm la primul hop de e-mail, pare a fi legitim, deoarece numele de domeniu al serverului de trimitere se potrivește cu adresa de e-mail. Cu toate acestea, fiți atenți la acest lucru, deoarece un spammer ar putea numi cu ușurință serverul lor „intuit.com”.
Primit: de la apache de intuit.com cu local (Exim 4.67)
(plic-de la <[email protected]>)
id GJMV8N-8BERQW-93
for <[email protected]>; Tue, 6 Mar 2012 19:27:05 +0700
Examinând pasul următor se destramă această casă de cărți. Puteți vedea al doilea salt (unde este primit de un server de e-mail legitim) rezolvă serverul de trimitere înapoi la domeniul „dynamic-pool-xxx.hcm.fpt.vn”, nu „intuit.com” cu aceeași adresă IP indicat în scriptul PHP.
Primit: de la dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) de ms.externalemail.com cu MailEnable ESMTP; Marți, 6 martie 2012 07:27:08 -0500
Vizualizarea informațiilor despre adresa IP confirmă suspiciunea pe măsură ce locația serverului de poștă se reîntoarce în Vietnam.
Deși acest exemplu este puțin mai inteligent, puteți vedea cât de repede este dezvăluită frauda doar cu o ușoară investigație.
Concluzie
În timp ce vizualizarea antetelor de e-mail probabil nu face parte din nevoile obișnuite de zi cu zi, există cazuri în care informațiile conținute în ele pot fi destul de valoroase. Așa cum am arătat mai sus, puteți identifica cu ușurință expeditorii mascați ca ceva care nu sunt. Pentru o înșelătorie foarte bine executată, în care indicii vizuale sunt convingătoare, este extrem de dificil (dacă nu chiar imposibil) să identificați servere de e-mail reale, iar examinarea informațiilor din anteturile de e-mail poate dezvălui rapid orice înțelegere.
