Αρχική σελίδα » πως να » Τι μπορείτε να βρείτε σε μια κεφαλίδα μηνύματος ηλεκτρονικού ταχυδρομείου;

    Τι μπορείτε να βρείτε σε μια κεφαλίδα μηνύματος ηλεκτρονικού ταχυδρομείου;

    Κάθε φορά που λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, υπάρχουν πολλά περισσότερα από αυτό που συναντά το μάτι. Παρόλο που τυπικά δίνετε προσοχή μόνο στη διεύθυνση, τη γραμμή θέματος και το σώμα του μηνύματος, υπάρχουν πολλές περισσότερες πληροφορίες "κάτω από την κουκούλα" κάθε email που μπορεί να σας δώσει πληθώρα πρόσθετων πληροφοριών.

    Γιατί να ασχοληθείτε με την εξέταση μιας κεφαλίδας email?

    Αυτή είναι μια πολύ καλή ερώτηση. Ως επί το πλείστον, πραγματικά δεν θα χρειαστεί ποτέ εκτός εάν:

    • Υποψιάζεστε ότι ένα μήνυμα ηλεκτρονικού ταχυδρομείου είναι απόπειρα ηλεκτρονικού "ψαρέματος" (phishing)
    • Θέλετε να δείτε πληροφορίες δρομολόγησης στη διαδρομή του ηλεκτρονικού ταχυδρομείου
    • Είσαι ένα περίεργο geek

    Ανεξάρτητα από τους λόγους σας, η ανάγνωση των κεφαλίδων ηλεκτρονικού ταχυδρομείου είναι στην πραγματικότητα αρκετά εύκολη και μπορεί να είναι πολύ αποκαλυπτική.

    Σημείωση για το άρθρο: Για τα στιγμιότυπα και τα δεδομένα μας, θα χρησιμοποιήσουμε το Gmail, αλλά σχεδόν κάθε άλλο πρόγραμμα-πελάτης αλληλογραφίας θα πρέπει να παρέχει τις ίδιες πληροφορίες.

    Προβολή της κεφαλίδας Email

    Στο Gmail, δείτε το μήνυμα ηλεκτρονικού ταχυδρομείου. Για αυτό το παράδειγμα, θα χρησιμοποιήσουμε το παρακάτω μήνυμα ηλεκτρονικού ταχυδρομείου.

    Στη συνέχεια, κάντε κλικ στο βέλος στην επάνω δεξιά γωνία και επιλέξτε Εμφάνιση πρωτότυπου.

    Το παράθυρο που προκύπτει θα έχει τα δεδομένα κεφαλίδας email σε απλό κείμενο.

    Σημείωση: Σε όλα τα δεδομένα κεφαλίδας email που εμφανίζονται παρακάτω, άλλαξα τη διεύθυνση Gmail μου για να εμφανιστεί ως [email protected] και την εξωτερική διεύθυνση ηλεκτρονικού ταχυδρομείου που θα εμφανίζεται ως [email protected] και [email protected] καθώς και την κάλυψη της διεύθυνσης IP των διακομιστών email μου.

    Παραδόθηκε σε: [email protected]
    Λήψη: από 10.60.14.3 με id SMTP l3csp18666oec;
    Τρι, 6 Μαρ 2012 08:30:51 -0800 (PST)
    Λήψη: από 10.68.125.129 με id SMTP mq1mr1963003pbb.21.1331051451044;
    Τρι, 06 Μαρ 2012 08:30:51 -0800 (PST)
    Μονοπάτι επιστροφής:
    Λήψη: από exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    από mx.google.com με id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Τρι, 06 Μαρ 2012 08:30:50 -0800 (PST)
    Λήψη SPF: ουδέτερο (google.com: 64.18.2.16 δεν επιτρέπεται ούτε απαγορεύεται από την καλύτερη εικασία για τον τομέα [email protected]) client-ip = 64.18.2.16;
    Έλεγχος ταυτότητας-Αποτελέσματα: mx.google.com; spf = ουδέτερο (google.com: 64.18.2.16 δεν επιτρέπεται ούτε απαγορεύεται από την καλύτερη εικασία για τον τομέα [email protected]) [email protected]
    Λήψη: από το mail.externalemail.com ([XXX.XXX.XXX.XXX]) (χρησιμοποιώντας TLSv1) από exprod7ob119.postini.com ([64.18.6.12]) με SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Τρι, 06 Μαρ 2012 08:30:50 PST
    Λήψη: από το MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) από
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) με mapi. Τετ, 6 Μαρ
    2012 11:30:48 -0500
    Από: Jason Faulkner
    Για: "[email protected]"
    Ημερομηνία: Τρι, 6 Μαρ 2012 11:30:48 -0500
    Θέμα: Αυτό είναι ένα νόμιμο ηλεκτρονικό ταχυδρομείο
    Θέμα-Θέμα: Αυτό είναι ένα νόμιμο ηλεκτρονικό ταχυδρομείο
    Δείκτης-νήμα: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Αναγνωριστικό μηνύματος:
    Αποδοχή-Γλώσσα: en-US
    Περιεχόμενο-Γλώσσα: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Συζητητής:
    acceptlanguage: en-ΗΠΑ
    Τύπος περιεχομένου: πολλαπλό / εναλλακτικό.
    όριο = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Έκδοση: 1.0

    Όταν διαβάζετε μια κεφαλίδα email, τα δεδομένα είναι σε αντίστροφη χρονολογική σειρά, πράγμα που σημαίνει ότι οι πληροφορίες στην κορυφή είναι το πιο πρόσφατο συμβάν. Επομένως, αν θέλετε να εντοπίσετε το μήνυμα ηλεκτρονικού ταχυδρομείου από τον αποστολέα στον παραλήπτη, ξεκινήστε από κάτω. Εξετάζοντας τις κεφαλίδες αυτού του ηλεκτρονικού ταχυδρομείου μπορούμε να δούμε πολλά πράγματα.

    Εδώ βλέπουμε τις πληροφορίες που δημιουργούνται από τον πελάτη αποστολής. Σε αυτήν την περίπτωση, το μήνυμα ηλεκτρονικού ταχυδρομείου αποστέλλεται από το Outlook, επομένως αυτό είναι το μεταδεδομένα που προσθέτει το Outlook.

    Από: Jason Faulkner
    Για: "[email protected]"
    Ημερομηνία: Τρι, 6 Μαρ 2012 11:30:48 -0500
    Θέμα: Αυτό είναι ένα νόμιμο ηλεκτρονικό ταχυδρομείο
    Θέμα-Θέμα: Αυτό είναι ένα νόμιμο ηλεκτρονικό ταχυδρομείο
    Δείκτης-νήμα: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Αναγνωριστικό μηνύματος:
    Αποδοχή-Γλώσσα: en-US
    Περιεχόμενο-Γλώσσα: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Συζητητής:
    acceptlanguage: en-ΗΠΑ
    Τύπος περιεχομένου: πολλαπλό / εναλλακτικό.
    όριο = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Έκδοση: 1.0

    Το επόμενο τμήμα εντοπίζει τη διαδρομή που λαμβάνει το μήνυμα ηλεκτρονικού ταχυδρομείου από το διακομιστή αποστολής στον εξυπηρετητή προορισμού. Λάβετε υπόψη ότι αυτά τα βήματα (ή ο λυκίσκος) παρατίθενται με αντίστροφη χρονολογική σειρά. Έχουμε τοποθετήσει τον αντίστοιχο αριθμό δίπλα σε κάθε hop για να δείξει τη σειρά. Σημειώστε ότι κάθε λυκίσκος εμφανίζει λεπτομέρειες σχετικά με τη διεύθυνση IP και το αντίστροφο όνομα DNS.

    Παραδόθηκε σε: [email protected]
    [6] Λήψη: από 10.60.14.3 με id SMTP l3csp18666oec;
    Τρι, 6 Μαρ 2012 08:30:51 -0800 (PST)
    [5] Λήψη: από 10.68.125.129 με id SMTP mq1mr1963003pbb.21.1331051451044;
    Τρι, 06 Μαρ 2012 08:30:51 -0800 (PST)
    Μονοπάτι επιστροφής:
    [4] Λήψη: από exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    από mx.google.com με id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Τρι, 06 Μαρ 2012 08:30:50 -0800 (PST)
    [3] Λήψη SPF: ουδέτερο (google.com: 64.18.2.16 δεν επιτρέπεται ούτε απαγορεύεται από την καλύτερη εικασία για τον τομέα [email protected]) client-ip = 64.18.2.16;
    Έλεγχος ταυτότητας-Αποτελέσματα: mx.google.com; spf = ουδέτερο (google.com: 64.18.2.16 δεν επιτρέπεται ούτε απαγορεύεται από την καλύτερη εικασία για τον τομέα [email protected]) [email protected]
    [2] Λήψη: από το mail.externalemail.com ([XXX.XXX.XXX.XXX]) (χρησιμοποιώντας TLSv1) από exprod7ob119.postini.com ([64.18.6.12]) με SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Τρι, 06 Μαρ 2012 08:30:50 PST
    [1] Λήψη: από το MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) από
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) με mapi. Τετ, 6 Μαρ
    2012 11:30:48 -0500

    Αν και αυτό είναι αρκετά κοσμικό για ένα νόμιμο μήνυμα ηλεκτρονικού ταχυδρομείου, αυτές οι πληροφορίες μπορεί να είναι αρκετά αλήθεια όταν πρόκειται για την εξέταση μηνυμάτων ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας ή ηλεκτρονικού "ψαρέματος".

    Εξετάζοντας ένα μήνυμα ηλεκτρονικού "ψαρέματος" - Παράδειγμα 1

    Για το πρώτο παράδειγμα ηλεκτρονικού ψαρέματος, θα εξετάσουμε ένα μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο είναι μια προφανής απόπειρα phishing. Σε αυτή την περίπτωση θα μπορούσαμε να προσδιορίσουμε αυτό το μήνυμα ως απάτη απλώς με τους οπτικούς δείκτες αλλά για πρακτική θα ρίξουμε μια ματιά στα προειδοποιητικά σημάδια μέσα στις κεφαλίδες.

    Παραδόθηκε σε: [email protected]
    Λήψη: από 10.60.14.3 με id SMTP l3csp12958oec;
    Δευ, 5 Μαρ 2012 23:11:29 -0800 (PST)
    Λήψη: από 10.236.46.164 με SMTP id r24mr7411623yhb.101.1331017888982;
    Δευ, 05 Μαρ 2012 23:11:28 -0800 (PST)
    Μονοπάτι επιστροφής:
    Λήψη: από το ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])
    από mx.google.com με το αναγνωριστικό ESMTP t19si8451178ani.110.2012.03.05.05 .3.11.28.
    Δευ, 05 Μαρ 2012 23:11:28 -0800 (PST)
    Received-SPF: αποτυχία (google.com: domain of [email protected] δεν ορίζει XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) client-ip = XXX.XXX.XXX.XXX;
    Έλεγχος ταυτότητας-Αποτελέσματα: mx.google.com; spf = hardfail (google.com: domain of [email protected] δεν ορίζει XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) [email protected]
    Λήψη: με το MailEnable Postoffice Connector? Τρι, 6 Μαρ 2012 02:11:20 -0500
    Λήψη: από mail.lovingtour.com ([211.166.9.218]) από ms.externalemail.com με το MailEnable ESMTP. Τρι, 6 Μαρ 2012 02:11:10 -0500
    Λήψη: από χρήστη ([118.142.76.58])
    από το mail.lovingtour.com
    . Δευτ, 5 Μαρ 2012 21:38:11 +0800
    Αναγνωριστικό μηνύματος:
    Να απαντήσουν σε:
    Από: "[email protected]"
    Θέμα: Ανακοίνωση
    Ημερομηνία: Mon, 5 Mar 2012 21:20:57 +0800
    MIME-Έκδοση: 1.0
    Τύπος περιεχομένου: πολλαπλών / μικτών.
    όριο = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Προτεραιότητα X: 3
    X-MSMail-Προτεραιότητα: Κανονική
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Παράγεται από τη Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Η πρώτη κόκκινη σημαία βρίσκεται στην περιοχή πληροφοριών του πελάτη. Παρατηρήστε εδώ τις αναφορές των μεταδεδομένων που έχουν προστεθεί στο Outlook Express. Είναι απίθανο η Visa να είναι τόσο πίσω από το χρονικό διάστημα που έχει κάποιον που στέλνει με το χέρι μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας ένα 12χρονο πελάτη ηλεκτρονικού ταχυδρομείου.

    Να απαντήσουν σε:
    Από: "[email protected]"
    Θέμα: Ανακοίνωση
    Ημερομηνία: Mon, 5 Mar 2012 21:20:57 +0800
    MIME-Έκδοση: 1.0
    Τύπος περιεχομένου: πολλαπλών / μικτών.
    όριο = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Προτεραιότητα X: 3
    X-MSMail-Προτεραιότητα: Κανονική
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Παράγεται από τη Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Τώρα εξετάζοντας το πρώτο hop στο δρομολόγιο ηλεκτρονικού ταχυδρομείου αποκαλύπτει ότι ο αποστολέας βρισκόταν στη διεύθυνση IP 118.142.76.58 και το e-mail τους μεταδόθηκε μέσω του διακομιστή αλληλογραφίας mail.lovingtour.com.

    Λήψη: από χρήστη ([118.142.76.58])
    από το mail.lovingtour.com
    . Δευτ, 5 Μαρ 2012 21:38:11 +0800

    Αναζητώντας τις πληροφορίες IP χρησιμοποιώντας το βοηθητικό πρόγραμμα IPNetInfo της Nirsoft, μπορούμε να δούμε ότι ο αποστολέας βρισκόταν στο Χονγκ Κονγκ και ο διακομιστής αλληλογραφίας βρίσκεται στην Κίνα.

    Περιττό να πω ότι αυτό είναι λίγο ύποπτο.

    Το υπόλοιπο της λίστας ηλεκτρονικού ταχυδρομείου δεν είναι πραγματικά σχετικό σε αυτή την περίπτωση, καθώς δείχνουν το μήνυμα ηλεκτρονικού ταχυδρομείου αναπηδώντας γύρω από τη νόμιμη κίνηση του διακομιστή πριν τελικά παραδοθεί.

    Εξετάζοντας ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος" - Παράδειγμα 2

    Για αυτό το παράδειγμα, το ηλεκτρονικό μας μήνυμα ηλεκτρονικού "ψαρέματος" είναι πολύ πιο πειστικό. Υπάρχουν κάποιες οπτικές ενδείξεις εδώ αν κοιτάξετε αρκετά σκληρά, αλλά και πάλι για τους σκοπούς αυτού του άρθρου πρόκειται να περιορίσουμε την έρευνά μας σε email headers.

    Παραδόθηκε σε: [email protected]
    Λήψη: από 10.60.14.3 με id SMTP l3csp15619oec;
    Τρι, 6 Μαρ 2012 04:27:20 -0800 (PST)
    Λήψη: από 10.236.170.165 με id SMTP p25mr8672800yhl.123.1331036839870;
    Τρι, 06 Μαρ 2012 04:27:19 -0800 (PST)
    Μονοπάτι επιστροφής:
    Λήψη: από το ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])
    από mx.google.com με το αναγνωριστικό ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
    Τρι, 06 Μαρ 2012 04:27:19 -0800 (PST)
    Received-SPF: αποτυχία (google.com: ο τομέας της ασφάλειας@intuit.com δεν ορίζει XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) client-ip = XXX.XXX.XXX.XXX;
    Έλεγχος ταυτότητας-Αποτελέσματα: mx.google.com; spf = hardfail (google.com: ο τομέας της ασφάλειας@intuit.com δεν ορίζει XXX.XXX.XXX.XXX ως επιτρεπόμενο αποστολέα) [email protected]
    Λήψη: με το MailEnable Postoffice Connector? Τρι, 6 Μαρ 2012 07:27:13 -0500
    Λήψη: από dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) από ms.externalemail.com με το MailEnable ESMTP. Τρι, 6 Μαρ 2012 07:27:08 -0500
    Λήψη: από το apache από το intuit.com με το τοπικό (Exim 4.67)
    (φάκελος από)
    id GJMV8N-8BERQW-93
    Για ; Τρι, 6 Μαρ 2012 19:27:05 +0700
    Προς το:
    Θέμα: Τιμολόγιο Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php για 118.68.152.212
    Από: "INTUIT INC."
    Χ-αποστολέας: "INTUIT INC."
    X-Mailer: PHP
    Προτεραιότητα X: 1
    MIME-Έκδοση: 1.0
    Τύπος περιεχομένου: πολλαπλό / εναλλακτικό.
    όριο = "- 03060500702080404010506"
    Αναγνωριστικό μηνύματος:
    Ημερομηνία: Τρι, 6 Μαρ 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Σε αυτό το παράδειγμα, δεν χρησιμοποιήθηκε μια εφαρμογή πελάτη αλληλογραφίας, αλλά μια δέσμη ενεργειών PHP με τη διεύθυνση IP προέλευσης του 118.68.152.212.

    Προς το:
    Θέμα: Τιμολόγιο Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php για 118.68.152.212
    Από: "INTUIT INC."
    Χ-αποστολέας: "INTUIT INC."
    X-Mailer: PHP
    Προτεραιότητα X: 1
    MIME-Έκδοση: 1.0
    Τύπος περιεχομένου: πολλαπλό / εναλλακτικό.
    όριο = "- 03060500702080404010506"
    Αναγνωριστικό μηνύματος:
    Ημερομηνία: Τρι, 6 Μαρ 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Ωστόσο, όταν εξετάζουμε το πρώτο μήνυμα ηλεκτρονικού ταχυδρομείου, φαίνεται ότι είναι νόμιμο, καθώς το όνομα τομέα του διακομιστή αποστολής αντιστοιχεί στη διεύθυνση ηλεκτρονικού ταχυδρομείου. Ωστόσο, να είστε προσεκτικοί ως προς αυτό ως spammer θα μπορούσε εύκολα να ονομάσετε το διακομιστή τους "intuit.com".

    Λήψη: από το apache από το intuit.com με το τοπικό (Exim 4.67)
    (φάκελος από)
    id GJMV8N-8BERQW-93
    Για ; Τρι, 6 Μαρ 2012 19:27:05 +0700

    Η εξέταση του επόμενου βήματος καταρρέει αυτό το σπίτι των καρτών. Μπορείτε να δείτε το δεύτερο hop (όπου λαμβάνεται από ένα νόμιμο διακομιστή ηλεκτρονικού ταχυδρομείου) επιλύει το διακομιστή αποστολής πίσω στον τομέα "dynamic-pool-xxx.hcm.fpt.vn" και όχι "intuit.com" με την ίδια διεύθυνση IP που αναφέρεται στη δέσμη ενεργειών PHP.

    Λήψη: από dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) από ms.externalemail.com με το MailEnable ESMTP. Τρι, 6 Μαρ 2012 07:27:08 -0500

    Η προβολή των πληροφοριών της διεύθυνσης IP επιβεβαιώνει την υποψία, καθώς η θέση του διακομιστή αλληλογραφίας επιλύεται ξανά στο Βιετνάμ.

    Ενώ αυτό το παράδειγμα είναι λίγο πιο έξυπνο, μπορείτε να δείτε πόσο γρήγορα αποκαλύπτεται η απάτη με ένα μικρό κομμάτι έρευνας.

    συμπέρασμα

    Ενώ η προβολή των κεφαλίδων ηλεκτρονικού ταχυδρομείου πιθανότατα δεν αποτελεί μέρος των τυπικών καθημερινών αναγκών σας, υπάρχουν περιπτώσεις όπου οι πληροφορίες που περιέχονται σε αυτές μπορούν να είναι αρκετά πολύτιμες. Όπως παρουσιάσαμε παραπάνω, μπορείτε εύκολα να εντοπίσετε τους αποστολείς που μεταμφιέζονται ως κάτι που δεν είναι. Για μια πολύ καλά εκτελεσμένη απάτη, όπου τα οπτικά στοιχεία είναι πειστικά, είναι εξαιρετικά δύσκολο (αν όχι αδύνατο) να μιμηθούν τους πραγματικούς διακομιστές αλληλογραφίας και η ανασκόπηση των πληροφοριών μέσα στις κεφαλίδες του ηλεκτρονικού ταχυδρομείου μπορεί γρήγορα να αποκαλύψει τυχόν σκανδαλισμούς.

    Συνδέσεις

    Κατεβάστε το IPNetInfo από το Nirsoft