Hjemmeside » hvordan » Hva kan du finne i en e-post header?

    Hva kan du finne i en e-post header?

    Når du mottar en e-post, er det mye mer enn det som møter øyet. Mens du vanligvis bare holder oppmerksom på fra adresse, emnelinje og kropp av meldingen, er det mye mer informasjon tilgjengelig "under hetten" av hver e-post som kan gi deg et vell av ytterligere informasjon.

    Hvorfor bry deg om å se på en e-postoverskrift?

    Dette er et veldig godt spørsmål. For det meste ville du aldri trenger å med mindre:

    • Du mistenker at e-post er et phishing-forsøk eller spoof
    • Du vil vise rutingsinformasjon på e-postens sti
    • Du er en nysgjerrig geek

    Uansett årsakene er det å lese e-post overskrifter faktisk ganske enkelt og kan være veldig avslørende.

    Artikkel Merk: For våre skjermbilder og data bruker vi Gmail, men nesten alle andre postklienter skal også gi samme informasjon.

    Vise e-posthodet

    I Gmail, se e-posten. For dette eksempelet bruker vi e-posten nedenfor.

    Klikk deretter pilen øverst til høyre og velg Vis original.

    Det resulterende vinduet vil ha e-post header data i ren tekst.

    Merk: I alle e-post header dataene jeg viser nedenfor har jeg endret Gmail-adressen min for å vise som [email protected] og min eksterne e-postadresse for å vise som [email protected] og [email protected] samt maskert IP-adressen til e-postserverne mine.

    Leveres til: [email protected]
    Mottatt: ved 10.60.14.3 med SMTP ID l3csp18666oec;
    Tirsdag, 6 mars 2012 08:30:51 -0800 (PST)
    Mottatt: ved 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
    Tirsdag, 06 mars 2012 08:30:51 -0800 (PST)
    Return-Path:
    Mottatt: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30.49;
    Tirsdag, 06 mars 2012 08:30:50 -0800 (PST)
    Mottatt-SPF: nøytral (google.com: 64.18.2.16 er verken tillatt eller nektet av beste gjetningspost for domenet til [email protected]) client-ip = 64.18.2.16;
    Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 64.18.2.16 er verken tillatt eller nektet av beste gjetningspost for domene på [email protected]) [email protected]
    Mottatt: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjelp av TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tirsdag, 06 mars 2012 08:30:50 PST
    Mottatt: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tirsdag, 6 mars
    2012 11:30:48 -0500
    Fra: Jason Faulkner
    Til: "[email protected]"
    Dato: tirsdag, 6 mars 2012 11:30:48 -0500
    Emne: Dette er en legitim e-post
    Tråd-emne: Dette er en legitim e-post
    Tråd-indeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Message-ID:
    Godta-språk: en-US
    Innholdsspråk: en-US
    X-MS-Has-Fest:
    X-MS-TNEF-Korrelator-:
    acceptedlanguage: en-US
    Innholdstype: multipart / alternativ;
    boundary =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-versjon: 1.0

    Når du leser en e-post header, er dataene i omvendt kronologisk rekkefølge, noe som betyr at informasjonen øverst er den siste hendelsen. Derfor hvis du vil spore e-posten fra avsender til mottaker, starter du nederst. Ved å undersøke overskriftene i denne e-posten kan vi se flere ting.

    Her ser vi informasjon generert av senderklienten. I dette tilfellet ble e-posten sendt fra Outlook, så dette er metadata Outlook legger til.

    Fra: Jason Faulkner
    Til: "[email protected]"
    Dato: tirsdag, 6 mars 2012 11:30:48 -0500
    Emne: Dette er en legitim e-post
    Tråd-emne: Dette er en legitim e-post
    Tråd-indeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Message-ID:
    Godta-språk: en-US
    Innholdsspråk: en-US
    X-MS-Has-Fest:
    X-MS-TNEF-Korrelator-:
    acceptedlanguage: en-US
    Innholdstype: multipart / alternativ;
    boundary =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-versjon: 1.0

    Neste del sporer banen e-posten tar fra sendingsserveren til destinationsserveren. Husk at disse trinnene (eller humle) er oppført i omvendt kronologisk rekkefølge. Vi har plassert respektive nummer ved siden av hvert hopp for å illustrere bestillingen. Merk at hvert hopp viser detalj om IP-adressen og det respektive omvendte DNS-navnet.

    Leveres til: [email protected]
    [6] Mottatt: ved 10.60.14.3 med SMTP ID l3csp18666oec;
    Tirsdag, 6 mars 2012 08:30:51 -0800 (PST)
    [5] Mottatt: ved 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
    Tirsdag, 06 mars 2012 08:30:51 -0800 (PST)
    Return-Path:
    [4] Mottatt: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30.49;
    Tirsdag, 06 mars 2012 08:30:50 -0800 (PST)
    [3] Mottatt-SPF: nøytral (google.com: 64.18.2.16 er verken tillatt eller nektet av beste gjetningspost for domenet til [email protected]) client-ip = 64.18.2.16;
    Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 64.18.2.16 er verken tillatt eller nektet av beste gjetningspost for domene på [email protected]) [email protected]
    [2] Mottatt: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjelp av TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tirsdag, 06 mars 2012 08:30:50 PST
    [1] Mottatt: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tirsdag, 6 mars
    2012 11:30:48 -0500

    Selv om dette er ganske vanlig for en legitim e-post, kan denne informasjonen ganske fortellende når det gjelder å undersøke spam- eller phishing-e-post.

    Undersøk en Phishing-e-post - Eksempel 1

    For vårt første phishing-eksempel, undersøker vi en e-post som er et åpenbart phishing-forsøk. I dette tilfellet kunne vi identifisere denne meldingen som en svindel bare ved de visuelle indikatorene, men for øvelse vil vi se på advarselsskiltene i topptekstene.

    Leveres til: [email protected]
    Mottatt: ved 10.60.14.3 med SMTP ID l3csp12958oec;
    Ma, 5 mars 2012 23:11:29 -0800 (PST)
    Mottatt: med 10.236.46.164 med SMTP ID r24mr7411623yhb.101.1331017888982;
    Ma, 05 mars 2012 23:11:28 -0800 (PST)
    Return-Path:
    Mottatt: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    av mx.google.com med ESMTP ID t19si8451178ani.110.2012.03.05.23.11.28;
    Ma, 05 mars 2012 23:11:28 -0800 (PST)
    Mottatt-SPF: mislykkes (google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt sender) client-ip = XXX.XXX.XXX.XXX;
    Autentiseringsresultater: mx.google.com; spf = hardfail (google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
    Mottatt: med MailEnable Postoffice Connector; Tirsdag, 6 mars 2012 02:11:20 -0500
    Mottatt: fra mail.lovingtour.com ([211.166.9.218]) av ms.externalemail.com med MailEnable ESMTP; Tirsdag, 6 mars 2012 02:11:10 -0500
    Mottatt: fra brukeren ([118.142.76.58])
    via mail.lovingtour.com
    ; Ma, 5 mars 2012 21:38:11 +0800
    Message-ID:
    Svare på:
    Fra: "[email protected]"
    Emne: Merknad
    Dato: ma, 5 mars 2012 21:20:57 +0800
    MIME-versjon: 1.0
    Innholdstype: multipart / blandet;
    boundary =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-prioritet: 3
    X-MSMail-prioritet: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Det første røde flagget er i klientinformasjonsområdet. Legg merke til at metadataene har lagt til referanser til Outlook Express. Det er usannsynlig at Visa er så langt bak tiden de har noen manuelt å sende e-post med en 12 år gammel e-postklient.

    Svare på:
    Fra: "[email protected]"
    Emne: Merknad
    Dato: ma, 5 mars 2012 21:20:57 +0800
    MIME-versjon: 1.0
    Innholdstype: multipart / blandet;
    boundary =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-prioritet: 3
    X-MSMail-prioritet: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Nå undersøker den første hoppen i e-postrutingen avslører at avsenderen var plassert på IP-adressen 118.142.76.58, og e-posten ble viderekoblet via mail-serveren mail.lovingtour.com.

    Mottatt: fra brukeren ([118.142.76.58])
    via mail.lovingtour.com
    ; Ma, 5 mars 2012 21:38:11 +0800

    Ser opp IP-informasjonen ved hjelp av Nirseks IPNetInfo-verktøy, vi kan se avsenderen ble lokalisert i Hong Kong og postserveren ligger i Kina.

    Unødvendig å si dette er litt mistenkelig.

    Resten av e-posthoppen er ikke særlig relevant i dette tilfellet da de viser e-posten som hopper rundt legitim servertrafikk før den endelig blir levert.

    Undersøk en Phishing-e-post - Eksempel 2

    For dette eksempelet er vår phishing-e-post mye mer overbevisende. Det er noen visuelle indikatorer her hvis du ser hardt nok ut, men igjen for denne artiklens formål skal vi begrense vår undersøkelse til e-post overskrifter.

    Leveres til: [email protected]
    Mottatt: ved 10.60.14.3 med SMTP ID l3csp15619oec;
    Tirsdag, 6 mars 2012 04:27:20 -0800 (PST)
    Mottatt: med 10.236.170.165 med SMTP-ID p25mr8672800yhl.123.1331036839870;
    Tirsdag, 06 mars 2012 04:27:19 -0800 (PST)
    Return-Path:
    Mottatt: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    av mx.google.com med ESMTP ID o2si20048188yhn.34.2012.03.06.04.27.19;
    Tirsdag, 06 mars 2012 04:27:19 -0800 (PST)
    Mottatt-SPF: mislykkes (google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) client-ip = XXX.XXX.XXX.XXX;
    Autentiseringsresultater: mx.google.com; spf = hardfail (google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
    Mottatt: med MailEnable Postoffice Connector; Tirsdag, 6 mars 2012 07:27:13 -0500
    Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tirsdag, 6 mars 2012 07:27:08 -0500
    Mottatt: fra apache av intuit.com med lokale (Exim 4.67)
    (konvolutt-fra)
    id GJMV8N-8BERQW-93
    for; Tirsdag, 6 mars 2012 19:27:05 +0700
    Til:
    Emne: Din Intuit.com faktura.
    X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
    Fra: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-prioritet: 1
    MIME-versjon: 1.0
    Innholdstype: multipart / alternativ;
    grense =”- 03060500702080404010506"
    Message-Id:
    Dato: tirsdag, 6 mars 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    I dette eksemplet ble det ikke brukt et postklientprogram, heller et PHP-skript med kilde-IP-adressen til 118.68.152.212.

    Til:
    Emne: Din Intuit.com faktura.
    X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
    Fra: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-prioritet: 1
    MIME-versjon: 1.0
    Innholdstype: multipart / alternativ;
    grense =”- 03060500702080404010506"
    Message-Id:
    Dato: tirsdag, 6 mars 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Men når vi ser på den første e-posthoppet, ser det ut til at det er legitimt som sendingens servernavn matcher e-postadressen. Vær imidlertid skeptisk til dette som en spammer kunne lett nevne serveren deres "intuit.com".

    Mottatt: fra apache av intuit.com med lokale (Exim 4.67)
    (konvolutt-fra)
    id GJMV8N-8BERQW-93
    for; Tirsdag, 6 mars 2012 19:27:05 +0700

    Ved å undersøke neste trinn smuldrer dette huset med kort. Du kan se den andre hoppen (der den mottas av en legitim e-postserver) løser sendingsserveren tilbake til domenet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresse angitt i PHP-skriptet.

    Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tirsdag, 6 mars 2012 07:27:08 -0500

    Vise IP-adresseinformasjonen bekrefter mistanken da posisjonsserverens beliggenhet løser tilbake til Viet Nam.

    Mens dette eksemplet er litt mer smart, kan du se hvor raskt bedrageriet avsløres med bare en liten undersøkelse.

    Konklusjon

    Mens du ser på e-postoverskrifter, sannsynligvis ikke er en del av de typiske daglige behovene dine, er det tilfeller hvor informasjonen i dem kan være ganske verdifull. Som vi viste ovenfor, kan du ganske enkelt identifisere avsendere masquerading som noe de ikke er. For en veldig godt utført svindel der visuelle signaler er overbevisende, er det ekstremt vanskelig (om ikke umulig) å etterligne faktiske e-postservere og gjennomgå informasjonen inne i e-postoverskrifter, kan raskt avsløre noen chicanery.

    lenker

    Last ned IPNetInfo fra Nirsoft