Laman » bagaimana untuk » Apa yang Anda Boleh Cari di Pengepala E-mel?

    Apa yang Anda Boleh Cari di Pengepala E-mel?

    Setiap kali anda menerima e-mel, terdapat lebih banyak daripada itu daripada memenuhi mata. Walaupun anda biasanya hanya memberi perhatian kepada alamat dari alamat, subjek dan badan mesej, terdapat lebih banyak maklumat yang tersedia "di bawah tudung" setiap e-mel yang dapat memberi anda banyak maklumat tambahan.

    Mengapa Mengganggu Mencari Header E-mel?

    Ini adalah soalan yang sangat baik. Untuk sebahagian besar, anda tidak akan perlu melainkan:

    • Anda mengesyaki e-mel adalah percubaan atau percikan pancingan
    • Anda ingin melihat maklumat penghalaan pada laluan e-mel
    • Anda adalah geek yang ingin tahu

    Terlepas dari alasan anda, membaca tajuk e-mel sebenarnya agak mudah dan boleh sangat mendedahkan.

    Nota Artikel: Untuk screenshot dan data kami, kami akan menggunakan Gmail tetapi hampir setiap pelanggan mel lain harus memberikan maklumat yang sama.

    Melihat Header E-mel

    Di Gmail, lihat e-mel. Untuk contoh ini, kami akan menggunakan e-mel di bawah.

    Kemudian klik anak panah di sudut kanan atas dan pilih Tunjuk asal.

    Tetingkap yang dihasilkan akan mempunyai data pengepala e-mel dalam teks biasa.

    Nota: Di dalam semua data pengepala e-mel yang ditunjukkan di bawah, saya telah menukar alamat Gmail saya untuk dipaparkan sebagai [email protected] dan alamat e-mel luaran saya untuk dipaparkan sebagai [email protected] dan [email protected] serta menyembunyikan alamat IP pelayan e-mel saya.

    Dihantar-ke: [email protected]
    Diterima: oleh 10.60.14.3 dengan id SMTP l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    Diterima: oleh 10.68.125.129 dengan SMTP id mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Laluan balik:
    Diterima: dari exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    oleh mx.google.com dengan id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    Diterima-SPF: neutral (google.com: 64.18.2.16 tidak dibenarkan atau dinafikan oleh rekod meneka terbaik untuk domain [email protected]) client-ip = 64.18.2.16;
    Keputusan Pengesahan: mx.google.com; spf = neutral (google.com: 64.18.2.16 tidak dibenarkan atau dinafikan oleh rekod meneka terbaik untuk domain [email protected]) [email protected]
    Diterima: dari mail.externalemail.com ([XXX.XXX.XXX.XXX]) (menggunakan TLSv1) oleh exprod7ob119.postini.com ([64.18.6.12]) dengan SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    Diterima: dari MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) oleh
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) dengan mapi; Selasa, 6 Mac
    2012 11:30:48 -0500
    Dari: Jason Faulkner
    Kepada: "[email protected]"
    Tarikh: Tue, 6 Mar 2012 11:30:48 -0500
    Subjek: Ini adalah e-mel yang sah
    Thread-Topik: Ini adalah e-mel yang sah
    Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID-mesej:
    Terima-Bahasa: en-US
    Kandungan Bahasa: en-AS
    X-MS-Has-Attach:
    X-MS-TNEF-Correlator:
    acceptlanguage: en-US
    Jenis Kandungan: berbilang / alternatif;
    sempadan = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Version: 1.0

    Apabila anda membaca pengepala e-mel, data berada dalam susunan kronologi terbalik, yang bermakna maklumat di bahagian atas adalah peristiwa terkini. Oleh itu, jika anda ingin menjejaki e-mel dari penghantar kepada penerima, mulailah di bahagian bawah. Memeriksa tajuk e-mel ini, kita dapat melihat beberapa perkara.

    Di sini kita melihat maklumat yang dihasilkan oleh pelanggan pengirim. Dalam kes ini, e-mel telah dihantar dari Outlook jadi ini adalah tambah metadata Outlook.

    Dari: Jason Faulkner
    Kepada: "[email protected]"
    Tarikh: Tue, 6 Mar 2012 11:30:48 -0500
    Subjek: Ini adalah e-mel yang sah
    Thread-Topik: Ini adalah e-mel yang sah
    Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID-mesej:
    Terima-Bahasa: en-US
    Kandungan Bahasa: en-AS
    X-MS-Has-Attach:
    X-MS-TNEF-Correlator:
    acceptlanguage: en-US
    Jenis Kandungan: berbilang / alternatif;
    sempadan = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Version: 1.0

    Bahagian seterusnya mengesan laluan e-mel yang diambil dari pelayan penghantaran ke pelayan destinasi. Perlu diingat langkah-langkah ini (atau hop) disenaraikan dalam susunan kronologi terbalik. Kami telah meletakkan nombor masing-masing di sebelah setiap hop untuk menggambarkan perintah itu. Perhatikan bahawa setiap hop menunjukkan butiran mengenai alamat IP dan nama DNS terbalik masing-masing.

    Dihantar-ke: [email protected]
    [6] Diterima: oleh 10.60.14.3 dengan id SMTP l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    [5] Diterima: oleh 10.68.125.129 dengan SMTP id mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Laluan balik:
    [4] Diterima: dari exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    oleh mx.google.com dengan id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    [3] Diterima-SPF: neutral (google.com: 64.18.2.16 tidak dibenarkan atau dinafikan oleh rekod meneka terbaik untuk domain [email protected]) client-ip = 64.18.2.16;
    Keputusan Pengesahan: mx.google.com; spf = neutral (google.com: 64.18.2.16 tidak dibenarkan atau dinafikan oleh rekod meneka terbaik untuk domain [email protected]) [email protected]
    [2] Diterima: dari mail.externalemail.com ([XXX.XXX.XXX.XXX]) (menggunakan TLSv1) oleh exprod7ob119.postini.com ([64.18.6.12]) dengan SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    [1] Diterima: dari MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) oleh
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) dengan mapi; Selasa, 6 Mac
    2012 11:30:48 -0500

    Walaupun ini cukup biasa untuk e-mel yang sah, maklumat ini boleh dikatakan cukup ketika meneliti e-mel spam atau phishing.

    Memeriksa E-mel Phishing - Contoh 1

    Untuk contoh pemalsuan pertama kami, kami akan memeriksa e-mel yang merupakan percubaan phishing yang jelas. Dalam hal ini kita dapat mengenal pasti mesej ini sebagai penipuan semata-mata oleh penunjuk visual tetapi untuk amalan kita akan melihat tanda-tanda amaran di dalam tajuk.

    Dihantar-ke: [email protected]
    Diterima: oleh 10.60.14.3 dengan id SMTP l3csp12958oec;
    Isnin, 5 Mar 2012 23:11:29 -0800 (PST)
    Diterima: oleh 10.236.46.164 dengan id SMTP r24mr7411623yhb.101.1331017888982;
    Mon, 05 Mar 2012 23:11:28 -0800 (PST)
    Laluan balik:
    Diterima: dari ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    oleh mx.google.com dengan id ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
    Mon, 05 Mar 2012 23:11:28 -0800 (PST)
    Diterima-SPF: gagal (google.com: domain [email protected] tidak menetapkan XXX.XXX.XXX.XXX sebagai penghantar yang dibenarkan) client-ip = XXX.XXX.XXX.XXX;
    Keputusan Pengesahan: mx.google.com; spf = hardfail (google.com: domain of [email protected] tidak menetapkan XXX.XXX.XXX.XXX sebagai penghantar yang dibenarkan) [email protected]
    Diterima: dengan MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
    Diterima: dari mail.lovingtour.com ([211.166.9.218]) oleh ms.externalemail.com dengan MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
    Diterima: dari Pengguna ([118.142.76.58])
    oleh mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800
    ID-mesej:
    Balas kepada:
    Dari: "[email protected]"
    Subjek: Notis
    Tarikh: Isnin, 5 Mar 2012 21:20:57 +0800
    MIME-Version: 1.0
    Jenis Kandungan: berbilang / bercampur;
    sempadan = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Prioriti: 3
    X-MSMail-Keutamaan: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Dihasilkan Oleh Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Bendera merah pertama berada di kawasan maklumat pelanggan. Perhatikan di sini rujukan tambahan metadata Outlook Express. Tidak mungkin Visa begitu jauh di belakang zaman bahawa mereka mempunyai seseorang menghantar e-mel secara manual menggunakan klien e-mel 12 tahun.

    Balas kepada:
    Dari: "[email protected]"
    Subjek: Notis
    Tarikh: Isnin, 5 Mar 2012 21:20:57 +0800
    MIME-Version: 1.0
    Jenis Kandungan: berbilang / bercampur;
    sempadan = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Prioriti: 3
    X-MSMail-Keutamaan: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Dihasilkan Oleh Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Kini memeriksa hop pertama dalam penghalaan e-mel mendedahkan bahawa penghantar terletak di alamat IP 118.142.76.58 dan e-mel mereka dihantar melalui mel mail.lovingtour.com pelayan mel.

    Diterima: dari Pengguna ([118.142.76.58])
    oleh mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800

    Mencari maklumat IP menggunakan utiliti IPNetInfo Nirsoft, kita dapat melihat penghantar terletak di Hong Kong dan pelayan mel terletak di China.

    Tidak perlu dikatakan ini agak mencurigakan.

    Selebihnya hop email tidak benar-benar relevan dalam kes ini kerana mereka menunjukkan e-mel memantul lalu lintas pelayan yang sah sebelum akhirnya disampaikan.

    Memeriksa E-mel Phishing - Contoh 2

    Untuk contoh ini, email phishing kami lebih meyakinkan. Terdapat beberapa penunjuk visual di sini jika anda kelihatan cukup keras, tetapi sekali lagi untuk keperluan artikel ini, kami akan membatasi penyiasatan kami kepada pengepala e-mel.

    Dihantar-ke: [email protected]
    Diterima: oleh 10.60.14.3 dengan id SMTP l3csp15619oec;
    Tue, 6 Mar 2012 04:27:20 -0800 (PST)
    Diterima: oleh 10.236.170.165 dengan id SMTP p25mr8672800yhl.123.1331036839870;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Laluan balik:
    Diterima: dari ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    oleh mx.google.com dengan ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Diterima-SPF: gagal (google.com: domain [email protected] tidak menetapkan XXX.XXX.XXX.XXX sebagai penghantar yang dibenarkan) client-ip = XXX.XXX.XXX.XXX;
    Keputusan Pengesahan: mx.google.com; spf = hardfail (google.com: domain of [email protected] tidak menetapkan XXX.XXX.XXX.XXX sebagai penghantar yang dibenarkan) [email protected]
    Diterima: dengan MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
    Diterima: dari dinamik-pool-xxx.hcm.fpt.vn ([118.68.152.212]) oleh ms.externalemail.com dengan MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
    Diterima: dari apache oleh intuit.com dengan setempat (Contoh 4.67)
    (sampul-dari)
    id GJMV8N-8BERQW-93
    untuk; Tue, 6 Mar 2012 19:27:05 +0700
    Kepada:
    Subjek: Invois Intuit.com anda.
    X-PHP-Script: intuit.com/sendmail.php untuk 118.68.152.212
    Dari: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-Prioriti: 1
    MIME-Version: 1.0
    Jenis Kandungan: berbilang / alternatif;
    sempadan = "- 03060500702080404010506"
    Mesej-Id:
    Tarikh: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Dalam contoh ini, aplikasi klien mel tidak digunakan, bukan skrip PHP dengan sumber alamat IP 118.68.152.212.

    Kepada:
    Subjek: Invois Intuit.com anda.
    X-PHP-Script: intuit.com/sendmail.php untuk 118.68.152.212
    Dari: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-Prioriti: 1
    MIME-Version: 1.0
    Jenis Kandungan: berbilang / alternatif;
    sempadan = "- 03060500702080404010506"
    Mesej-Id:
    Tarikh: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Walau bagaimanapun, apabila kita melihat hop e-mel yang pertama kelihatannya legit kerana nama domain pelayan penghantaran sepadan dengan alamat e-mel. Walau bagaimanapun, berhati-hati dengan ini sebagai spammer dengan mudah boleh menamakan pelayan mereka "intuit.com".

    Diterima: dari apache oleh intuit.com dengan setempat (Contoh 4.67)
    (sampul-dari)
    id GJMV8N-8BERQW-93
    untuk; Tue, 6 Mar 2012 19:27:05 +0700

    Memeriksa langkah seterusnya merosakkan rumah kad ini. Anda dapat melihat hop kedua (di mana ia diterima oleh pelayan e-mel yang sah) menyelesaikan pelayan penghantaran kembali ke domain "dynamic-pool-xxx.hcm.fpt.vn", bukan "intuit.com" dengan alamat IP yang sama ditunjukkan dalam skrip PHP.

    Diterima: dari dinamik-pool-xxx.hcm.fpt.vn ([118.68.152.212]) oleh ms.externalemail.com dengan MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

    Melihat maklumat alamat IP mengesahkan syak wasangka lokasi pelayan mel menyelesaikannya ke Viet Nam.

    Walaupun contoh ini sedikit lebih pintar, anda dapat melihat seberapa cepat penipuan didedahkan dengan sedikit penyiasatan.

    Kesimpulannya

    Semasa melihat tajuk e-mel mungkin bukan sebahagian daripada keperluan harian anda seharian, terdapat kes di mana maklumat yang terkandung di dalamnya boleh menjadi sangat berharga. Seperti yang ditunjukkan di atas, anda boleh dengan mudah mengenal pasti penghantar yang menyamar sebagai sesuatu yang mereka tidak. Untuk penipuan yang sangat baik di mana tanda-tanda visual meyakinkan, sangat sukar (jika tidak mustahil) untuk meniru pelayan mel sebenar dan mengkaji semula maklumat di dalam tajuk e-mel dengan cepat boleh mendedahkan kebingungan.

    Pautan

    Muat turun IPNetInfo dari Nirsoft