Mājas lapa » » Ko jūs varat atrast e-pasta galvenē?

    Ko jūs varat atrast e-pasta galvenē?

    Ikreiz, kad saņemat e-pastu, tam ir daudz vairāk nekā acs. Lai gan jūs parasti pievēršat uzmanību tikai ziņojuma adresei, tematiskajai rindai un struktūrai, katram e-pastam ir daudz vairāk informācijas, kas ir pieejama „zem pārsega”, kas var sniegt jums plašu papildu informāciju.

    Kāpēc apnikt, skatoties uz e-pasta virsrakstu?

    Tas ir ļoti labs jautājums. Lielākoties jums patiešām nebūtu nepieciešams, ja vien:

    • Jums ir aizdomas, ka e-pasts ir pikšķerēšanas mēģinājums
    • Jūs vēlaties skatīt maršrutēšanas informāciju e-pasta ceļā
    • Jūs esat ziņkārīgs geek

    Neatkarīgi no jūsu iemesliem, e-pasta ziņu galvenes lasīšana patiesībā ir diezgan vienkārša un var būt ļoti atklāta.

    Pants Piezīme: mūsu ekrānšāviņiem un datiem mēs izmantosim Gmail, bet praktiski katram citam pasta klientam jāsniedz šī pati informācija.

    E-pasta galvenes skatīšana

    Gmail skatiet e-pastu. Šajā piemērā mēs izmantosim tālāk norādīto e-pastu.

    Pēc tam noklikšķiniet uz bultiņas labajā augšējā stūrī un atlasiet Rādīt oriģinālu.

    Iegūtais logs saņems e-pasta galvenes datus vienkāršā tekstā.

    Piezīme. Visās zemāk redzamajās e-pasta virsrakstu informācijās es esmu mainījis savu Gmail adresi, lai to rādītu kā [email protected] un mana ārējā e-pasta adrese, kas jāparāda kā [email protected] un [email protected] kā arī maskēja manu e-pasta serveru IP adresi.

    Pasūtīts līdz: [email protected]
    Saņemts: līdz 10.60.14.3 ar SMTP id l3csp18666oec;
    2012. gada 6. martā 08:30:51 -0800 (PST)
    Saņemts: ar 10.68.125.129 ar SMTP id mq1mr1963003pbb.21.1331051451044;
    Ot, 06.03.2012. 08:30:51 -0800 (PST)
    Atgriešanās ceļš:
    Saņemts: no exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    ar mx.google.com ar SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
    Ot, 06.03.2012. 08:30:50 -0800 (PST)
    Saņemts-SPF: neitrāls (google.com: 64.18.2.16 nav atļauts vai noliegts ar labākajiem minējumiem ierakstu domēnam [email protected]) client-ip = 64.18.2.16;
    Autentifikācijas rezultāti: mx.google.com; spf = neitrāls (google.com: 64.18.2.16 nav atļauts vai noliegts ar labākajiem domu ierakstiem domēnam [email protected]) [email protected]
    Saņemts: no mail.externalemail.com ([XXX.XXX.XXX.XXX]) (izmantojot TLSv1) ar exprod7ob119.postini.com ([64.18.6.12]) ar SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ot, 06 Mar 2012 08:30:50 PST
    Saņemts: no MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) ar mapi; Trešdiena, 6. marts
    2012 11:30:48 -0500
    No: Jason Faulkner
    Kam: “[email protected]
    Datums: otrdien, 2012. gada 6. martā 11:30:48 -0500
    Temats: Tas ir leģitīms e-pasts
    Tēmas tēma: Tas ir leģitīms e-pasts
    Vītnes indekss: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Ziņojuma ID:
    Pieņemt valodu: en-US
    Satura valoda: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-korelators:
    apstiprinājums: en-US
    Satura veids: vairāku partiju / alternatīva;
    robeža = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-versija: 1.0

    Izlasot e-pasta galveni, dati ir apgrieztā hronoloģiskā secībā, kas nozīmē, ka augšējā informācija ir pēdējais notikums. Tāpēc, ja vēlaties izsekot e-pastu no sūtītāja uz saņēmēju, sāciet to no apakšas. Apskatot šīs e-pasta virsrakstus, mēs varam redzēt vairākas lietas.

    Šeit mēs redzam nosūtītāja klienta radīto informāciju. Šādā gadījumā e-pasts tika nosūtīts no programmas Outlook, tāpēc tas ir metadati Outlook.

    No: Jason Faulkner
    Kam: “[email protected]
    Datums: otrdien, 2012. gada 6. martā 11:30:48 -0500
    Temats: Tas ir leģitīms e-pasts
    Tēmas tēma: Tas ir leģitīms e-pasts
    Vītnes indekss: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Ziņojuma ID:
    Pieņemt valodu: en-US
    Satura valoda: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-korelators:
    apstiprinājums: en-US
    Satura veids: vairāku partiju / alternatīva;
    robeža = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-versija: 1.0

    Nākamajā daļā ir redzams ceļš, no kura e-pasta adrese tiek nosūtīta no nosūtītāja servera uz mērķa serveri. Ņemiet vērā, ka šie soļi (vai apiņi) ir uzskaitīti apgrieztā hronoloģiskā secībā. Lai ilustrētu pasūtījumu, mēs esam novietojuši attiecīgo numuru blakus katram apiņu. Ņemiet vērā, ka katrs aplis parāda detalizētu informāciju par IP adresi un atbilstošo reverse DNS nosaukumu.

    Pasūtīts līdz: [email protected]
    [6] Saņemts: līdz 10.60.14.3 ar SMTP id l3csp18666oec;
    2012. gada 6. martā 08:30:51 -0800 (PST)
    [5] Saņemts: ar 10.68.125.129 ar SMTP id mq1mr1963003pbb.21.1331051451044;
    Ot, 06.03.2012. 08:30:51 -0800 (PST)
    Atgriešanās ceļš:
    [4] Saņemts: no exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    ar mx.google.com ar SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
    Ot, 06.03.2012. 08:30:50 -0800 (PST)
    [3] Saņemts-SPF: neitrāls (google.com: 64.18.2.16 nav atļauts vai noliegts ar labākajiem minējumiem ierakstu domēnam [email protected]) client-ip = 64.18.2.16;
    Autentifikācijas rezultāti: mx.google.com; spf = neitrāls (google.com: 64.18.2.16 nav atļauts vai noliegts ar labākajiem domu ierakstiem domēnam [email protected]) [email protected]
    [2] Saņemts: no mail.externalemail.com ([XXX.XXX.XXX.XXX]) (izmantojot TLSv1) ar exprod7ob119.postini.com ([64.18.6.12]) ar SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ot, 06 Mar 2012 08:30:50 PST
    [1] Saņemts: no MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) ar mapi; Trešdiena, 6. marts
    2012 11:30:48 -0500

    Lai gan likumīgam e-pastam tas ir diezgan ikdienišķa, šī informācija var būt diezgan izteikta, kad ir jāpārbauda surogātpasta vai pikšķerēšanas e-pasta ziņojumi.

    Pikšķerēšanas e-pasta pārbaude - 1. piemērs

    Pirmajam pikšķerēšanas piemēram mēs izskatīsim e-pasta ziņojumu, kas ir acīmredzams pikšķerēšanas mēģinājums. Šādā gadījumā mēs varētu identificēt šo ziņojumu kā krāpšanu, vienkārši izmantojot vizuālos rādītājus, bet praksē mēs apskatīsim brīdinājuma zīmes galvenēs.

    Pasūtīts līdz: [email protected]
    Saņemts: līdz 10.60.14.3 ar SMTP id l3csp12958oec;
    Pirmdiena, 2012. gada 5. marts 23:11:29 -0800 (PST)
    Saņemts: līdz 10.236.46.164 ar SMTP id r24mr7411623yhb.101.1331017888982;
    Pirmdiena, 2012. gada 5. marts 23:11:28 -0800 (PST)
    Atgriešanās ceļš:
    Saņemts: no ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    ar mx.google.com ar ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
    Pirmdiena, 2012. gada 5. marts 23:11:28 -0800 (PST)
    Saņemts-SPF: neizdoties (google.com: domēns [email protected] nenosaka kā XXX.XXX.XXX.XXX kā atļauto sūtītāju) client-ip = XXX.XXX.XXX.XXX;
    Autentifikācijas rezultāti: mx.google.com; spf = hardfail (google.com: domēna [email protected] nenosaka XXX.XXX.XXX.XXX kā atļauto sūtītāju) [email protected]
    Saņemts: ar MailEnable Postoffice savienotāju; Ot, 6 Mar 2012 02:11:20 -0500
    Saņemts: no mail.lovingtour.com ([211.166.9.218]) ar ms.externalemail.com ar MailEnable ESMTP; Ot, 6 Mar 2012 02:11:10 -0500
    Saņemts: no lietotāja ([118.142.76.58])
    ar mail.lovingtour.com
    ; Pirmdiena, 2012. gada 5. marts 21:38:11 +0800
    Ziņojuma ID:
    Atbildēt uz:
    No: “[email protected]
    Temats: paziņojums
    Datums: Pirmdiena, 2012. gada 5. marts 21:20:57 +0800
    MIME-versija: 1.0
    Saturs-tips: daudzdaļīgs / jaukts;
    robeža = ”- = _ TālākPart_000_0055_01C2A9A6.1C1757C0"
    X prioritāte: 3
    X-MSMail prioritāte: normāls
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: ražo Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Pirmais sarkanais karogs atrodas klienta informācijas zonā. Ņemiet vērā, ka metadati pievienoti atsauces Outlook Express. Maz ticams, ka Visa tik tālu atpaliek no laikiem, kad viņiem ir kāds manuāli sūtīt e-pastus, izmantojot 12 gadus vecu e-pasta klientu.

    Atbildēt uz:
    No: “[email protected]
    Temats: paziņojums
    Datums: Pirmdiena, 2012. gada 5. marts 21:20:57 +0800
    MIME-versija: 1.0
    Saturs-tips: daudzdaļīgs / jaukts;
    robeža = ”- = _ TālākPart_000_0055_01C2A9A6.1C1757C0"
    X prioritāte: 3
    X-MSMail prioritāte: normāls
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: ražo Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Tagad, pārbaudot pirmo apiņu e-pasta maršrutēšanā, atklājas, ka sūtītājs atradās IP adresē 118.142.76.58, un viņu e-pasts tika pārsūtīts pa pasta serveri mail.lovingtour.com.

    Saņemts: no lietotāja ([118.142.76.58])
    ar mail.lovingtour.com
    ; Pirmdiena, 2012. gada 5. marts 21:38:11 +0800

    Meklējot IP informāciju, izmantojot Nirsoft IPNetInfo lietderību, mēs varam redzēt, ka sūtītājs atrodas Honkongā un pasta serveris atrodas Ķīnā.

    Lieki teikt, ka tas ir mazliet aizdomīgs.

    Pārējie e-pasta apiņi šajā gadījumā nav īsti nozīmīgi, jo tie parāda e-pasta bouncing ap likumīgu servera satiksmi, pirms beidzot tiek piegādāts.

    Pikšķerēšanas e-pasta pārbaude - 2. piemērs

    Šajā piemērā mūsu pikšķerēšanas e-pasts ir daudz pārliecinošāks. Šeit ir daži vizuālie indikatori, ja jūs pietiekami pieticaties, bet vēlreiz šī panta mērķiem mēs ierobežosim izmeklēšanu ar e-pasta galvenēm.

    Pasūtīts līdz: [email protected]
    Saņemts: līdz 10.60.14.3 ar SMTP id l3csp15619oec;
    Ot, 6 Mar 2012 04:27:20 -0800 (PST)
    Saņemts: ar 10.236.170.165 ar SMTP id p25mr8672800yhl.123.1331036839870;
    Ot, 06.03.2012 04:27:19 -0800 (PST)
    Atgriešanās ceļš:
    Saņemts: no ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    ar mx.google.com ar ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
    Ot, 06.03.2012 04:27:19 -0800 (PST)
    Saņemts-SPF: neizdoties (google.com: drošī[email protected] domēns nenosaka kā XXX.XXX.XXX.XXX kā atļauto sūtītāju) client-ip = XXX.XXX.XXX.XXX;
    Autentifikācijas rezultāti: mx.google.com; spf = hardfail (google.com: domēna [email protected] nenosaka XXX.XXX.XXX.XXX kā atļauto sūtītāju) [email protected]
    Saņemts: ar MailEnable Postoffice savienotāju; Ot, 6 Mar 2012 07:27:13 -0500
    Saņemts: no dinamiskā-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ar ms.externalemail.com ar MailEnable ESMTP; 2012. gada 6. marts 07:27:08 -0500
    Saņemts: no apache ar intuit.com ar vietējo (Exim 4.67)
    (aploksne no)
    id GJMV8N-8BERQW-93
    par; Trešdiena, 2012. gada 6. marts 19:27:05 +0700
    Kam:
    Temats: Jūsu Intuit.com rēķins.
    X-PHP-Script: intuit.com/sendmail.php par 118.68.152.212
    No: “INTUIT INC”
    X-Sender: “INTUIT INC”
    X-Mailer: PHP
    X prioritāte: 1
    MIME-versija: 1.0
    Satura veids: vairāku partiju / alternatīva;
    robeža = ”- 03060500702080404010506"
    Ziņojuma ID:
    Datums: otrdien, 2012. gada 6. martā 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Šajā piemērā netika izmantota pasta klienta lietojumprogramma, drīzāk PHP skripts ar avota IP adresi 118.68.152.212.

    Kam:
    Temats: Jūsu Intuit.com rēķins.
    X-PHP-Script: intuit.com/sendmail.php par 118.68.152.212
    No: “INTUIT INC”
    X-Sender: “INTUIT INC”
    X-Mailer: PHP
    X prioritāte: 1
    MIME-versija: 1.0
    Satura veids: vairāku partiju / alternatīva;
    robeža = ”- 03060500702080404010506"
    Ziņojuma ID:
    Datums: otrdien, 2012. gada 6. martā 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Tomēr, kad mēs skatāmies uz pirmo e-pasta apiņu, šķiet, ka tas ir likumīgs, jo sūtītāja servera domēna vārds atbilst e-pasta adresei. Tomēr esiet uzmanīgi, jo surogātpasta izplatītājs var viegli nosaukt savu serveri “intuit.com”.

    Saņemts: no apache ar intuit.com ar vietējo (Exim 4.67)
    (aploksne no)
    id GJMV8N-8BERQW-93
    par; Trešdiena, 2012. gada 6. marts 19:27:05 +0700

    Izpētot nākamo soli, šī kartīšu māja sagrauj. Jūs varat redzēt otro apiņu (ja to saņem likumīgs e-pasta serveris) nosūta nosūtītāju serveri atpakaļ uz domēnu “dynamic-pool-xxx.hcm.fpt.vn”, nevis “intuit.com” ar tādu pašu IP adresi norādīts PHP skriptu.

    Saņemts: no dinamiskā-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ar ms.externalemail.com ar MailEnable ESMTP; 2012. gada 6. marts 07:27:08 -0500

    IP adreses informācijas apskate apstiprina aizdomas, ka pasta servera atrašanās vieta atrisinās atpakaļ uz Vjetnamu.

    Kaut arī šis piemērs ir nedaudz gudrāks, jūs varat redzēt, cik ātri tiek atklāts krāpšana ar nelielu izmeklēšanu.

    Secinājums

    Lai gan e-pasta ziņu galvenes skatās, iespējams, nav daļa no jūsu ikdienas vajadzībām, ir gadījumi, kad tajos iekļautā informācija var būt diezgan vērtīga. Kā mēs parādījām iepriekš, jūs varat diezgan viegli identificēt sūtītājus, kas maskē kā kaut ko, ko viņi nav. Par ļoti labi izpildītu scam, kur vizuālās norādes ir pārliecinošas, ir ārkārtīgi grūti (ja ne neiespējami) uzdot faktiskos pasta serverus un pārskatīt informāciju, kas atrodas e-pasta galvenes iekšpusē, var ātri atklāt jebkādu chicanery.

    Saites

    Lejupielādēt IPNetInfo no Nirsoft