Щоразу, коли ви отримуєте електронне повідомлення, у ньому є набагато більше, ніж на перший погляд. Хоча ви, як правило, звертаєте увагу лише на адресу, тему та текст повідомлення, у кожному електронному листі доступно набагато більше інформації, яка може надати вам безліч додаткової інформації.
Чому турбуватися, дивлячись на заголовок електронної пошти?
Це дуже вдале питання. Здебільшого вам ніколи не потрібно буде, якщо:
- Ви підозрюєте, що електронна пошта є спробою фішингу чи підробкою
- Ви хочете переглянути інформацію про маршрутизацію на шляху електронної пошти
- Ви допитливий гік
Незалежно від ваших причин, читати заголовки електронних листів насправді досить просто і може бути дуже показовим.
Примітка до статті. Для наших знімків екрана та даних ми будемо використовувати Gmail, але практично кожен інший поштовий клієнт також повинен надати цю саму інформацію.
Перегляд заголовка електронної пошти
У Gmail перегляньте електронний лист. Для цього прикладу ми використаємо електронний лист нижче.
Потім клацніть стрілку у верхньому правому куті та виберіть Показати оригінал.
У вікні, що з’явиться, будуть дані заголовка електронної пошти у вигляді простого тексту.
Примітка. У всіх даних заголовка електронної пошти, які я показую нижче, я змінив свою адресу Gmail, щоб відображатись як [email protected] і мою зовнішню адресу електронної пошти, щоб показати як [email protected] і [email protected] а також маскував IP-адресу моїх поштових серверів.
Доставлено: [email protected]
Отримано: до 10.60.14.3 з ідентифікатором SMTP l3csp18666oec;
Вівторок, 6 березня 2012 08:30:51 -0800 (PST)
Отримано: до 10.68.125.129 із ідентифікатором SMTP mq1mr1963003pbb.21.1331051451044;
Вівторок, 06 березня 2012 08:30:51 -0800 (PST)
Повернення-шлях: <[email protected]>
Отримано: від exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com з ідентифікатором SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Вівторок, 06 березня 2012 08:30:50 -0800 (PST)
Отримано-SPF: нейтральне (google.com: 64.18.2.16 не дозволено, ані відхилено записом найкращої здогадки для домену [email protected]) client-ip = 64.18.2.16;
Результати автентифікації: mx.google.com; spf = нейтральний (google.com: 64.18.2.16 ні дозволено, ні заборонено найкращим припущенням для домену [email protected]) [email protected]
Отримано: від mail.externalemail.com ([XXX.XXX.XXX.XXX]) (за допомогою TLSv1) до exprod7ob119.postini.com ([64.18.6.12]) із SMTP
Ідентифікатор DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Вівторок, 06 березня 2012, 08:30:50 за тихоокеанським часом
Отримано: від MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) користувачем
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) з map; Вівторок, 6 березня
2012 11:30:48 -0500
Від: Джейсон Фолкнер <[email protected]>
Кому: “[email protected]” <[email protected]>
Дата: Вівторок, 6 березня 2012 11:30:48 -0500
Тема: Це законний електронний лист
Тема теми: Це законний електронний лист
Індекс теми: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Ідентифікатор повідомлення: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Мова прийняття: en-US
Мова вмісту: en-US
X-MS-Has-Attach:
Корелятор X-MS-TNEF:
acceptlanguage: en-US
Тип вмісту: багаточастинний / альтернативний;
межа = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Версія MIME: 1.0
Коли ви читаєте заголовок електронної пошти, дані в зворотному хронологічному порядку, тобто інформація вгорі є останньою подією. Тому, якщо ви хочете простежити електронне повідомлення від відправника до одержувача, почніть знизу. Розглядаючи заголовки цього електронного листа, ми можемо побачити кілька речей.
Тут ми бачимо інформацію, яку генерує клієнт-відправник. У цьому випадку електронне повідомлення було надіслано з Outlook, тож це метадані, які додає Outlook.
Від: Джейсон Фолкнер <[email protected]>
Кому: “[email protected]” <[email protected]>
Дата: Вівторок, 6 березня 2012 11:30:48 -0500
Тема: Це законний електронний лист
Тема теми: Це законний електронний лист
Індекс теми: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Ідентифікатор повідомлення: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Мова прийняття: en-US
Мова вмісту: en-US
X-MS-Has-Attach:
Корелятор X-MS-TNEF:
acceptlanguage: en-US
Тип вмісту: багаточастинний / альтернативний;
межа = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Версія MIME: 1.0
У наступній частині простежується шлях, який електронна пошта проходить від сервера відправлення до сервера призначення. Майте на увазі, ці кроки (або хмелі) перераховані в зворотному хронологічному порядку. Для розміщення замовлення ми розмістили відповідний номер біля кожного стрибка. Зверніть увагу, що кожен стрибок показує детальну інформацію про IP-адресу та відповідне зворотне ім'я DNS.
Доставлено: [email protected]
[6] Отримано: до 10.60.14.3 з ідентифікатором SMTP l3csp18666oec;
Вівторок, 6 березня 2012 08:30:51 -0800 (PST)
[5] Отримано: до 10.68.125.129 із ідентифікатором SMTP mq1mr1963003pbb.21.1331051451044;
Вівторок, 06 березня 2012 08:30:51 -0800 (PST)
Повернення-шлях: <[email protected]>
[4] Отримано: від exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com з ідентифікатором SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Вівторок, 06 березня 2012 08:30:50 -0800 (PST)
[3] Отримано-SPF: нейтральне (google.com: 64.18.2.16 не дозволено, ані відхилено записом найкращої здогадки для домену [email protected]) client-ip = 64.18.2.16;
Результати автентифікації: mx.google.com; spf = нейтральний (google.com: 64.18.2.16 ні дозволено, ні заборонено найкращим припущенням для домену [email protected]) [email protected]
[2] Отримано: від mail.externalemail.com ([XXX.XXX.XXX.XXX]) (за допомогою TLSv1) до exprod7ob119.postini.com ([64.18.6.12]) із SMTP
Ідентифікатор DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Вівторок, 06 березня 2012, 08:30:50 за тихоокеанським часом
[1] Отримано: від MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) користувачем
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) з map; Вівторок, 6 березня
2012 11:30:48 -0500
Незважаючи на те, що це досить звичний спосіб для законного електронного листа, ця інформація може бути досить показовою, коли мова йде про перевірку електронної пошти зі спамом чи фішингом.
Вивчення електронної пошти про фішинг - Приклад 1
Для нашого першого прикладу фішингу ми розглянемо електронний лист, який є очевидною спробою фішингу. У цьому випадку ми могли б визначити це повідомлення як шахрайство просто за візуальними показниками, але на практиці ми розглянемо попереджувальні знаки в заголовках.
Доставлено: [email protected]
Отримано: до 10.60.14.3 з ідентифікатором SMTP l3csp12958oec;
Пн, 5 березня 2012 23:11:29 -0800 (PST)
Отримано: 10.236.46.164 з ідентифікатором SMTP r24mr7411623yhb.101.1331017888982;
Пн, 05 березня 2012 23:11:28 -0800 (PST)
Шлях повернення: <[email protected]>
Отримано: від ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
mx.google.com з ідентифікатором ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Пн, 05 березня 2012 23:11:28 -0800 (PST)
Отриманий SPF: помилка (google.com: домен [email protected] не позначає XXX.XXX.XXX.XXX як дозволеного відправника) client-ip = XXX.XXX.XXX.XXX;
Результати автентифікації: mx.google.com; spf = hardfail (google.com: домен [email protected] не позначає XXX.XXX.XXX.XXX як дозволеного відправника) [email protected]
Отримано: з роз'ємом PostEffice MailEnable; Вівторок, 6 березня 2012 02:11:20 -0500
Отримано: від mail.lovingtour.com ([211.166.9.218]) ms.externalemail.com за допомогою MailEnable ESMTP; Вівторок, 6 березня 2012 02:11:10 -0500
Отримано: від користувача ([118.142.76.58])
по пошті.lovingtour.com
; Пн, 5 березня 2012 21:38:11 +0800
Ідентифікатор повідомлення: <[email protected]>
Відповідь: <[email protected]>
Від: “[email protected]” <[email protected]>
Тема: Повідомлення
Дата: пн, 5 березня 2012 21:20:57 +0800
Версія MIME: 1.0
Тип вмісту: багаточастинний / змішаний;
межа = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
Пріоритет Х: 3
X-MSMail-Priority: Звичайний
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Виробник Microsoft MimeOLE V6.00.2600.0000
X-ME-байєсівський: 0,000000
Перший червоний прапорець знаходиться в області інформації про клієнта. Зверніть увагу, що тут додані метадані посилання на Outlook Express. Навряд чи Visa настільки відстає від часу, що їм хтось вручну надсилає електронні листи за допомогою 12-річного клієнта електронної пошти.
Відповідь: <[email protected]>
Від: “[email protected]” <[email protected]>
Тема: Повідомлення
Дата: пн, 5 березня 2012 21:20:57 +0800
Версія MIME: 1.0
Тип вмісту: багаточастинний / змішаний;
межа = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
Пріоритет Х: 3
X-MSMail-Priority: Звичайний
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Виробник Microsoft MimeOLE V6.00.2600.0000
X-ME-байєсівський: 0,000000
Тепер при вивченні першого стрибка в маршрутизації електронної пошти виявляється, що відправник знаходився за IP-адресою 118.142.76.58, а його електронна пошта була передана через поштовий сервер mail.lovingtour.com.
Отримано: від користувача ([118.142.76.58])
по пошті.lovingtour.com
; Пн, 5 березня 2012 21:38:11 +0800
Переглядаючи інформацію про IP за допомогою утиліти IPNetInfo від Nirsoft, ми бачимо, що відправник знаходився в Гонконгу, а поштовий сервер - у Китаї.
Зайве говорити, що це трохи підозріло.
Решта стрибків електронної пошти насправді не є доречними в цьому випадку, оскільки вони показують, що електронна пошта стрибає навколо законного трафіку сервера, перш ніж нарешті буде доставлена.
Вивчення електронної пошти про фішинг - Приклад 2
У цьому прикладі наш фішинг-електронний лист набагато переконливіший. Тут є декілька візуальних показників, якщо ви досить уважно дивитесь, але знову ж таки для цілей цієї статті ми збираємось обмежити наше розслідування заголовками електронних листів.
Доставлено: [email protected]
Отримано: до 10.60.14.3 з ідентифікатором SMTP l3csp15619oec;
Вівторок, 6 березня 2012 04:27:20 -0800 (PST)
Отримано: 10.236.170.165 з ідентифікатором SMTP p25mr8672800yhl.123.1331036839870;
Вівторок, 06 березня 2012 04:27:19 -0800 (PST)
Зворотний шлях: <[email protected]>
Отримано: від ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
mx.google.com з ідентифікатором ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Вівторок, 06 березня 2012 04:27:19 -0800 (PST)
Отримано-SPF: помилка (google.com: домен [email protected] не позначає XXX.XXX.XXX.XXX як дозволеного відправника) client-ip = XXX.XXX.XXX.XXX;
Результати автентифікації: mx.google.com; spf = hardfail (google.com: домен [email protected] не позначає XXX.XXX.XXX.XXX як дозволеного відправника) [email protected]
Отримано: з роз'ємом PostEffice MailEnable; Вівторок, 6 березня 2012 07:27:13 -0500
Отримано: від dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) користувачем ms.externalemail.com за допомогою MailEnable ESMTP; Вівторок, 6 березня 2012 07:27:08 -0500
Отримано: від apache на intuit.com з локальним (Exim 4.67)
(конверт-від <[email protected]>)
ідентифікатор GJMV8N-8BERQW-93
для <[email protected]>; Вівторок, 6 березня 2012 19:27:05 +0700
Кому: <[email protected]>
Тема: Ваш рахунок-фактура на Intuit.com.
X-PHP-Script: intuit.com/sendmail.php для 118.68.152.212
Від: “INTUIT INC.” <[email protected]>
X-Sender: “INTUIT INC.” <[email protected]>
X-Mailer: PHP
Пріоритет Х: 1
Версія MIME: 1.0
Тип вмісту: багаточастинний / альтернативний;
межа = ”———— 03060500702080404010506 ″
Ідентифікатор повідомлення: <[email protected]>
Дата: вівторок, 6 березня 2012 19:27:05 +0700
X-ME-байєсівський: 0,000000
У цьому прикладі не використовувався поштовий клієнт, а PHP-скрипт із вихідною IP-адресою 118.68.152.212.
Кому: <[email protected]>
Тема: Ваш рахунок-фактура на Intuit.com.
X-PHP-Script: intuit.com/sendmail.php для 118.68.152.212
Від: “INTUIT INC.” <[email protected]>
X-Sender: “INTUIT INC.” <[email protected]>
X-Mailer: PHP
Пріоритет Х: 1
Версія MIME: 1.0
Тип вмісту: багаточастинний / альтернативний;
межа = ”———— 03060500702080404010506 ″
Ідентифікатор повідомлення: <[email protected]>
Дата: вівторок, 6 березня 2012 19:27:05 +0700
X-ME-байєсівський: 0,000000
Однак, коли ми дивимось на перший скачок електронної пошти, він видається законним, оскільки доменне ім’я сервера відправлення відповідає електронній адресі. Однак будьте обережні з цим, оскільки спамер може легко назвати свій сервер “intuit.com”.
Отримано: від apache на intuit.com з локальним (Exim 4.67)
(конверт-від <[email protected]>)
ідентифікатор GJMV8N-8BERQW-93
для <[email protected]>; Вівторок, 6 березня 2012 19:27:05 +0700
Вивчення наступного кроку руйнує цей картковий будиночок. Ви можете бачити, як другий стрибок (де його отримує законний сервер електронної пошти) вирішує відправляючий сервер назад у домен “dynamic-pool-xxx.hcm.fpt.vn”, а не “intuit.com” з тією ж IP-адресою вказані в PHP-скрипті.
Отримано: від dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com за допомогою MailEnable ESMTP; Вівторок, 6 березня 2012 07:27:08 -0500
Перегляд інформації про IP-адресу підтверджує підозру, оскільки місцезнаходження поштового сервера вирішується до В’єтнаму.
Хоча цей приклад трохи розумніший, ви можете побачити, як швидко виявляється шахрайство лише за допомогою невеликого розслідування.
Висновок
Хоча перегляд заголовків електронних листів, мабуть, не є частиною ваших типових повсякденних потреб, бувають випадки, коли інформація, що міститься в них, може бути ціннісною. Як ми показали вище, ви можете досить легко визначити відправників, які маскуються як щось, чим вони не є. Для дуже добре виконаного шахрайства, де візуальні сигнали переконливі, надзвичайно важко (якщо не неможливо) видавати себе за фактичні поштові сервери, а перегляд інформації всередині заголовків електронної пошти може швидко виявити будь-які хитрощі.
