Какво можете да намерите в имейл заглавка?
Всеки път, когато получите имейл, има много повече неща от това, което се вижда. Въпреки че обикновено обръщате внимание само на адреса, темата и тялото на съобщението, има много повече информация, която се предлага „под капака“ на всеки имейл, който може да ви осигури много допълнителна информация.
Защо се притесняваш да погледнеш в заглавката на имейл?
Това е много добър въпрос. В по-голямата си част наистина няма да имате нужда, освен ако:
- Подозирате, че имейл е опит за фишинг или подправяне
- Искате да видите информация за маршрута по пътя на имейла
- Ти си любопитен маниак
Независимо от вашите причини, четенето на заглавки на имейли всъщност е доста лесно и може да бъде много разкриващо.
Статия Забележка: За нашите скрийншотове и данни ще използваме Gmail, но на практика всеки друг пощенски клиент трябва да предоставя същата информация.
Разглеждане на заглавката на имейла
В Gmail прегледайте имейла. За този пример ще използваме имейла по-долу.
След това щракнете върху стрелката в горния десен ъгъл и изберете Покажи оригинала.
Полученият прозорец ще има данни за заглавната част на имейла в обикновен текст.
Забележка: Във всички данни от заглавката на имейла, които показвам по-долу, промених адреса си в Gmail, за да се показва като [email protected] и моя външен имейл адрес, който да се показва като [email protected] и [email protected] както и маскирани IP адреса на имейл сървърите ми.
Доставено за: [email protected]
Получено: от 10.60.14.3 с SMTP идентификатор l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Получено: от 10.68.125.129 с SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Път за връщане:
Получено: от exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
от mx.google.com с идентификационен номер на SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Получено SPF: неутрално (google.com: 64.18.2.16 не е нито позволено, нито отхвърлено от най-добрите предположения за домейн от [email protected]) client-ip = 64.18.2.16;
Резултати за удостоверяване: mx.google.com; spf = neutral (google.com: 64.18.2.16 не е нито позволено, нито отхвърлено от най-добрите предположения за домейн от [email protected]) [email protected]
Получено: от mail.externalemail.com ([XXX.XXX.XXX.XXX]) (използвайки TLSv1) от exprod7ob119.postini.com ([64.18.6.12]) със SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
Получено: от MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) от
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) с mapi; Tue, 6 Mar
2012 11:30:48 -0500
От: Джейсън Фолкнер
До: „[email protected]“
Дата: Tue, 6 Mar 2012 11:30:48 -0500
Тема: Това е легален имейл
Тема с темата: Това е легален имейл
Индекс на нишки: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Приеми-Език: en-US
Съдържание - Език: en-US
X-MS-HAS-Прикачване:
X-MS-TNEF-корелатор:
acceptlanguage: en-US
Тип съдържание: многостранен / алтернативен;
граница = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-версия: 1.0
Когато четете главата на имейл, данните са в обратен хронологичен ред, което означава, че информацията в горната част е най-скорошното събитие. Затова, ако искате да проследите имейла от подателя до получателя, започнете отдолу. Разглеждайки заглавията на този имейл, можем да видим няколко неща.
Тук виждаме информация, генерирана от изпращащия клиент. В този случай имейлът е изпратен от Outlook, така че това са метаданните, които Outlook добавя.
От: Джейсън Фолкнер
До: „[email protected]“
Дата: Tue, 6 Mar 2012 11:30:48 -0500
Тема: Това е легален имейл
Тема с темата: Това е легален имейл
Индекс на нишки: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Приеми-Език: en-US
Съдържание - Език: en-US
X-MS-HAS-Прикачване:
X-MS-TNEF-корелатор:
acceptlanguage: en-US
Тип съдържание: многостранен / алтернативен;
граница = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-версия: 1.0
Следващата част проследява пътя, по който се изпраща имейл от изпращащия сървър до целевия сървър. Имайте предвид, че тези стъпки (или хмел) са изброени в обратен хронологичен ред. Поставили сме съответния номер до всеки хоп, за да илюстрираме поръчката. Имайте предвид, че всеки хоп показва подробности за IP адреса и съответното обратно DNS име.
Доставено за: [email protected]
[6] Получено: от 10.60.14.3 с SMTP идентификатор l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Получено: от 10.68.125.129 с SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Път за връщане:
[4] Получено: от exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
от mx.google.com с идентификационен номер на SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Получено SPF: неутрално (google.com: 64.18.2.16 не е нито позволено, нито отхвърлено от най-добрите предположения за домейн от [email protected]) client-ip = 64.18.2.16;
Резултати за удостоверяване: mx.google.com; spf = neutral (google.com: 64.18.2.16 не е нито позволено, нито отхвърлено от най-добрите предположения за домейн от [email protected]) [email protected]
[2] Получено: от mail.externalemail.com ([XXX.XXX.XXX.XXX]) (използвайки TLSv1) от exprod7ob119.postini.com ([64.18.6.12]) със SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
[1] Получено: от MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) от
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) с mapi; Tue, 6 Mar
2012 11:30:48 -0500
Макар че това е доста обикновенно за легитимна електронна поща, тази информация може да бъде много ясна, когато става въпрос за проверка на спам или фишинг имейли.
Разглеждане на фишинг имейл - пример 1
За първия ни фишинг пример ще разгледаме имейл, който е очевиден опит за фишинг. В този случай можем да идентифицираме това съобщение като измама само чрез визуалните индикатори, но за практиката ще разгледаме предупредителните знаци в заглавките.
Доставено за: [email protected]
Получено: от 10.60.14.3 с SMTP ID l3csp12958oec;
Пон, 5 Мар 2012 23:11:29 -0800 (PST)
Получено: от 10.236.46.164 със SMTP id r24mr7411623yhb.101.1331017888982;
Пон, 05 Мар 2012 23:11:28 -0800 (PST)
Път за връщане:
Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
от mx.google.com с идентификатор за ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Пон, 05 Мар 2012 23:11:28 -0800 (PST)
Получени SPF: неуспешно (google.com: домейн от [email protected] не определя XXX.XXX.XXX.XXX като разрешен подател) клиент-ip = XXX.XXX.XXX.XXX;
Резултати за удостоверяване: mx.google.com; spf = hardfail (google.com: домейнът на [email protected] не определя XXX.XXX.XXX.XXX като разрешен подател) [email protected]
Получено: с MailEnable Postoffice конектор; Tue, 6 Mar 2012 02:11:20 -0500
Получено: от mail.lovingtour.com ([211.166.9.218]) от ms.externalemail.com с MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
Получено: от Потребител ([118.142.76.58])
от mail.lovingtour.com
; Пон, 5 Мар 2012 21:38:11 +0800
Message-ID:
Отговаряте на:
От: “[email protected]”
Предмет: Известие
Дата: Mon, 5 Mar 2012 21:20:57 +0800
MIME-версия: 1.0
Тип съдържание: многочастичен / смесен;
граница = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Приоритет: 3
X-MSMail-Priority: Нормално
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Произведено от Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Първото червено знаме е в информационната област на клиента. Обърнете внимание, че добавените метаданни споменават Outlook Express. Малко вероятно е Visa да е далеч от времето, в което някой има ръчно изпращане на имейли с 12-годишен клиент за електронна поща.
Отговаряте на:
От: “[email protected]”
Предмет: Известие
Дата: Mon, 5 Mar 2012 21:20:57 +0800
MIME-версия: 1.0
Тип съдържание: многочастичен / смесен;
граница = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Приоритет: 3
X-MSMail-Priority: Нормално
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Произведено от Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Сега разглеждане на първия хоп в маршрута на електронната поща показва, че подателят е бил разположен на IP адрес 118.142.76.58 и техният имейл е бил препредаден чрез пощенския сървър mail.lovingtour.com.
Получено: от Потребител ([118.142.76.58])
от mail.lovingtour.com
; Пон, 5 Мар 2012 21:38:11 +0800
Търсейки IP информацията, използвайки помощната програма Nirsoft за IPNetInfo, можем да видим, че подателят е бил разположен в Хонг Конг и пощенският сървър се намира в Китай.
Излишно е да казвам, че това е малко подозрително.
Останалата част от имейлите не са релевантни в този случай, тъй като показват имейла, който прескача около легитимния трафик на сървъра, преди най-накрая да бъде доставен.
Разглеждане на фишинг имейл - пример 2
За този пример нашата фишинг поща е много по-убедителна. Тук има няколко визуални индикатора, ако погледнете достатъчно силно, но отново за целите на тази статия ще ограничим разследването си до заглавките на имейли..
Доставено за: [email protected]
Получено: от 10.60.14.3 с SMTP идентификатор l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Получено: от 10.236.170.165 със SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Път за връщане:
Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
от mx.google.com с ESMTP идентификатор o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Получени SPF: неуспешно (google.com: домейн от [email protected] не определя XXX.XXX.XXX.XXX като разрешен подател) клиент-ip = XXX.XXX.XXX.XXX;
Резултати за удостоверяване: mx.google.com; spf = hardfail (google.com: домейн на [email protected] не определя XXX.XXX.XXX.XXX като разрешен подател) [email protected]
Получено: с MailEnable Postoffice конектор; Tue, 6 Mar 2012 07:27:13 -0500
Получено: от dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) от ms.externalemail.com с MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Получено: от apache от intuit.com с локално (Exim 4.67)
(плик-от)
id GJMV8N-8BERQW-93
за ; Tue, 6 Mar 2012 19:27:05 +0700
Да се:
Тема: Вашата фактура за Intuit.com.
X-PHP-скрипт: intuit.com/sendmail.php за 118.68.152.212
От: „INTUIT INC.“
X-подател: „INTUIT INC.“
X-Mailer: PHP
X-Приоритет: 1
MIME-версия: 1.0
Тип съдържание: многостранен / алтернативен;
гранични = "- 03060500702080404010506"
Message-Id:
Дата: Вторник, 6 Март 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
В този пример не е използвано клиентско приложение за поща, а по-скоро PHP скрипт с изходния IP адрес на 118.68.152.212.
Да се:
Тема: Вашата фактура за Intuit.com.
X-PHP-скрипт: intuit.com/sendmail.php за 118.68.152.212
От: „INTUIT INC.“
X-подател: „INTUIT INC.“
X-Mailer: PHP
X-Приоритет: 1
MIME-версия: 1.0
Тип съдържание: многостранен / алтернативен;
гранични = "- 03060500702080404010506"
Message-Id:
Дата: Вторник, 6 Март 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
Въпреки това, когато погледнем първия имейл хоп, той изглежда легитимен, тъй като името на домейна на изпращащия сървър съвпада с имейл адреса. Въпреки това, бъдете предпазливи от това, тъй като спамърът може лесно да назове сървъра си „intuit.com“.
Получено: от apache от intuit.com с локално (Exim 4.67)
(плик-от)
id GJMV8N-8BERQW-93
за ; Tue, 6 Mar 2012 19:27:05 +0700
Разглеждане на следващата стъпка разваля тази къща от карти. Можете да видите втория скок (където е получен от легитимен имейл сървър), който връща изпращащия сървър обратно към домейна “dynamic-pool-xxx.hcm.fpt.vn”, а не с “intuit.com” със същия IP адрес посочен в PHP скрипта.
Получено: от dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) от ms.externalemail.com с MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Преглеждането на информацията за IP адреса потвърждава подозрението като решението за местоположението на пощенския сървър обратно във Виетнам.
Докато този пример е малко по-умен, можете да видите колко бързо измамата се разкрива само с малко разследване.
заключение
Докато разглеждането на заглавки на имейли вероятно не е част от типичните ви нужди от ден на ден, има случаи, в които информацията, съдържаща се в тях, може да бъде доста ценна. Както показахме по-горе, много лесно можете да идентифицирате подателите, маскирани като нещо, което не са. За много добре изпълнена измама, в която визуалните подсказки са убедителни, е изключително трудно (ако не и невъзможно) да се представяте за действителни пощенски сървъри и преглеждането на информацията в заглавките на имейлите може бързо да разкрие всякакви измами.
звена
Изтеглете IPNetInfo от Nirsoft