Всеки път, когато получавате имейл, има много повече за него, отколкото за очите. Докато обикновено обръщате внимание само на адреса, темата и тялото на съобщението, има много повече информация "под качулката" на всеки имейл, който може да ви осигури богатство от допълнителна информация.
Това е много добър въпрос. В по-голямата си част наистина не бихте имали нужда, освен ако:
Независимо от причините, четенето на заглавия на имейли е всъщност доста лесно и може да бъде много разкриващо.
Забележка към статията: За нашите екранни снимки и данни ще използваме Gmail, но на практика всеки друг клиент за електронна поща трябва да предостави същата тази информация.
В Gmail вижте имейла. За този пример ще използваме имейла по-долу.
След това кликнете върху стрелката в горния десен ъгъл и изберете Показване на оригинала.
Полученият прозорец ще съдържа данните от заглавната част на имейла с обикновен текст.
Забележка: Във всички данни от заглавната част на имейла, които показвам по-долу, промених адреса си в Gmail, за да се показва като [email protected] и моя външен имейл адрес, който да се показва като [email protected] и [email protected] както и маскира IP адреса на моите имейл сървъри.
Доставяно до: [email protected]
Получено: от 10.60.14.3 с SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Получено: от 10.68.125.129 с SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Път за връщане:
Получено: от exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
от mx.google.com с SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Получена SPF: неутрална (google.com: 64.18.2.16 не е разрешена, нито е отказана от най-добрия запис за домейна на [email protected]) client-ip = 64.18.2.16;
Автентификация-резултати: mx.google.com; spf = неутрален (google.com: 64.18.2.16 не е разрешен, нито е отказан от най-добрите записи за домейна на [email protected]) [email protected]
Получено: от mail.externalemail.com ([XXX.XXX.XXX.XXX]) (използвайки TLSv1) от exprod7ob119.postini.com ([64.18.6.12]) с SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Тра, 06 Мар 2012 08:30:50 PST
Получено: от MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) от
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) с карта; Вт., 6 Март
2012 11:30:48 -0500
От: Джейсън Фолкнер
До: "[email protected]"
Дата: Tue, 6 Mar 2012 11:30:48 -0500
Subject: Това е легитимен имейл
Тема на темата: Това е легитимен имейл
Индекс на темата: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Accept-Език: en-US
Език на съдържанието: en-US
X-MS-HAS-Прикачване:
X-MS-TNEF-корелатор:
acceptlanguage: en-САЩ
Тип съдържание: многостранен / алтернативен;
граница = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-версия: 1.0
Когато четете заглавие на имейл, данните са в обратен хронологичен ред, което означава, че информацията в горната част е последното събитие. Ето защо, ако искате да проследите имейла от изпращача до получателя, започнете от дъното. Разглеждайки заглавията на този имейл, можем да видим няколко неща.
Тук виждаме информация, генерирана от изпращащия клиент. В този случай имейлът бе изпратен от Outlook, така че това е метаданните, които Outlook добавя.
От: Джейсън Фолкнер
До: "[email protected]"
Дата: Tue, 6 Mar 2012 11:30:48 -0500
Subject: Това е легитимен имейл
Тема на темата: Това е легитимен имейл
Индекс на темата: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Accept-Език: en-US
Език на съдържанието: en-US
X-MS-HAS-Прикачване:
X-MS-TNEF-корелатор:
acceptlanguage: en-САЩ
Тип съдържание: многостранен / алтернативен;
граница = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-версия: 1.0
Следващата част проследява пътя, който се получава от изпращащия сървър до целевия сървър. Имайте предвид, че тези стъпки (или хмел) са изброени в обратен хронологичен ред. Разположихме съответния номер до всеки хмел, за да илюстрираме реда. Обърнете внимание, че всеки хоп показва подробности за IP адреса и съответното DNS име.
Доставяно до: [email protected]
[6] Получено: от 10.60.14.3 с SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Получено: от 10.68.125.129 с SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Път за връщане:
[4] Получено: от exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
от mx.google.com с SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Получена SPF: неутрална (google.com: 64.18.2.16 не е разрешена, нито е отказана от най-добрия запис за домейна на [email protected]) client-ip = 64.18.2.16;
Автентификация-резултати: mx.google.com; spf = неутрален (google.com: 64.18.2.16 не е разрешен, нито е отказан от най-добрите записи за домейна на [email protected]) [email protected]
[2] Получено: от mail.externalemail.com ([XXX.XXX.XXX.XXX]) (използвайки TLSv1) от exprod7ob119.postini.com ([64.18.6.12]) с SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Тра, 06 Мар 2012 08:30:50 PST
[1] Получено: от MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) от
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) с карта; Вт., 6 Март
2012 11:30:48 -0500
Докато това е доста нормално за легитимен имейл, тази информация може да бъде доста разясняваща, когато става дума за разглеждане на спам или фишинг имейли.
За първия пример за фишинг ще разгледаме имейл, който е очевиден фишинг опит. В този случай бихме могли да идентифицираме това съобщение като измама само с визуални показатели, но за практиката ще разгледаме предупредителните знаци в заглавията.
Доставяно до: [email protected]
Получено: до 10.60.14.3 с SMTP id l3csp12958oec;
Понеделник, 5 Мар 2012 23:11:29 -0800 (PST)
Получено: от 10.236.46.164 с SMTP id r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Път за връщане:
Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
от mx.google.com с ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Получен-SPF: неуспех (google.com: домейн на [email protected] не посочва XXX.XXX.XXX.XXX като разрешен подател) клиент-ip = XXX.XXX.XXX.XXX;
Автентификация-резултати: mx.google.com; spf = hardfail (google.com: домейна на [email protected] не посочва XXX.XXX.XXX.XXX като разрешен подател) [email protected]
Получено: с MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
Получено: от mail.lovingtour.com ([211.166.9.218]) от ms.externalemail.com с MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
Получени: от потребител ([118.142.76.58])
от mail.lovingtour.com
; Пн, 5 мар 2012 21:38:11 +0800
Message-ID:
Отговаряте на:
От: "[email protected]"
Предмет: Известие
Дата: Mon, 5 Mar 2012 21:20:57 +0800
MIME-версия: 1.0
Тип съдържание: многостранен / смесен;
граница = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-приоритет: 3
X-MSMail-Приоритет: Нормално
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Произведено от Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Първото червено знаме се намира в информационната зона на клиента. Забележете тук добавените метаданни препратки Outlook Express. Малко вероятно е Visa да е толкова далеч от времето, когато има някой, който ръчно изпраща имейли, използвайки 12-годишен имейл клиент.
Отговаряте на:
От: "[email protected]"
Предмет: Известие
Дата: Mon, 5 Mar 2012 21:20:57 +0800
MIME-версия: 1.0
Тип съдържание: многостранен / смесен;
граница = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-приоритет: 3
X-MSMail-Приоритет: Нормално
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Произведено от Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Сега, разглеждайки първия хоп в маршрута на електронната поща, се вижда, че подателят е бил на IP адрес 118.142.76.58, а техният имейл е препредаден през пощенския сървър mail.lovingtour.com.
Получени: от потребител ([118.142.76.58])
от mail.lovingtour.com
; Пн, 5 мар 2012 21:38:11 +0800
Търсейки информацията за IP, използвайки IPNetInfo на Nirsoft, можем да видим, че подателят се намира в Хонг Конг, а пощенският сървър се намира в Китай.
Излишно е да казвам, че това е малко подозрително.
Останалата част от електронната поща не е релевантна в този случай, тъй като те показват, че електронната поща се отклонява около легитимния трафик на сървъри, преди да бъде окончателно доставена.
За този пример нашият фишинг имейл е много по-убедителен. Има няколко визуални показатели тук, ако изглеждате достатъчно трудно, но отново за целите на тази статия ще ограничим разследването до имейл заглавията.
Доставяно до: [email protected]
Получено: от 10.60.14.3 с SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Получено: от 10.236.170.165 с SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Път за връщане:
Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
от mx.google.com с ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Получен-SPF: неуспех (google.com: Домейнът на [email protected] не посочва XXX.XXX.XXX.XXX като разрешен подател) клиент-ip = XXX.XXX.XXX.XXX;
Автентификация-резултати: mx.google.com; spf = hardfail (google.com: домейна на [email protected] не посочва XXX.XXX.XXX.XXX като разрешен подател) [email protected]
Получено: с MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
Получени: от dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) от ms.externalemail.com с MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Получено: от apache от intuit.com с локално (Exim 4.67)
(плик от)
id GJMV8N-8BERQW-93
за ; Tue, 6 Mar 2012 19:27:05 +0700
Да се:
Предмет: Вашата фактура в Intuit.com.
X-PHP-Script: intuit.com/sendmail.php за 118.68.152.212
От: "INTUIT INC."
X-Изпращач: "INTUIT INC."
X-Mailer: PHP
X-приоритет: 1
MIME-версия: 1.0
Тип съдържание: многостранен / алтернативен;
гранични = "- 03060500702080404010506"
Message-Id:
Дата: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
В този пример не беше използвано приложение за пощенски клиент, а по-скоро PHP скрипт с IP адрес на източника на 118.68.152.212.
Да се:
Предмет: Вашата фактура в Intuit.com.
X-PHP-Script: intuit.com/sendmail.php за 118.68.152.212
От: "INTUIT INC."
X-Изпращач: "INTUIT INC."
X-Mailer: PHP
X-приоритет: 1
MIME-версия: 1.0
Тип съдържание: многостранен / алтернативен;
гранични = "- 03060500702080404010506"
Message-Id:
Дата: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
Въпреки това, когато погледнем първия имейл хоп, изглежда, че е легитимен, тъй като името на домейна на изпращащия сървър съответства на имейл адреса. Въпреки това, бъдете предпазливи от това, тъй като спамът може лесно да назове техния сървър "intuit.com".
Получено: от apache от intuit.com с локално (Exim 4.67)
(плик от)
id GJMV8N-8BERQW-93
за ; Tue, 6 Mar 2012 19:27:05 +0700
Разглеждането на следващата стъпка рухва тази къща с карти. Можете да видите втория хоп (където той е получен от легитимен сървър за електронна поща), решава изпращащия сървър обратно до домейна "dynamic-pool-xxx.hcm.fpt.vn", а не "intuit.com" със същия IP адрес посочен в PHP скрипта.
Получени: от dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) от ms.externalemail.com с MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Преглеждането на информацията за IP адреса потвърждава подозрението, тъй като местоположението на пощенския сървър се връща обратно в Виетнам.
Докато този пример е малко по-умен, можете да видите колко бързо се разкрива измамата само с малко разследване.
Докато разглеждането на заглавията на имейлите вероятно не е част от типичните ежедневни потребности, има случаи, в които съдържащата се в тях информация може да бъде доста ценна. Както показахме по-горе, можете лесно да установите, че подателите се маскират като нещо, което не са. За много добре изпълнена измама, при която визуалните знаци са убедителни, е изключително трудно (ако не и невъзможно) да се представяте за истински пощенски сървъри и преглеждането на информацията вътре в заглавията на имейлите бързо може да разкрие някаква неприятност.
Изтеглете IPNetInfo от Nirsoft
