Što možete pronaći u zaglavlju e-pošte?
Kad god primite e-poštu, postoji mnogo više toga nego što se čini. Dok obično obraćate pažnju na adresu, naslov i tijelo poruke, postoji mnogo više dostupnih informacija "ispod haube" svake poruke e-pošte koja vam može pružiti mnoštvo dodatnih informacija.
Zašto gnjaviti Pogled na zaglavlje e-pošte?
Ovo je vrlo dobro pitanje. Većinom ne biste trebali, osim ako:
- Sumnjate da je poruka e-pošte pokušaj krađe identiteta ili lažiranje
- Želite vidjeti informacije o usmjeravanju na putu e-pošte
- Ti si znatiželjan štreber
Bez obzira na vaše razloge, čitanje zaglavlja e-pošte je zapravo prilično lako i može biti vrlo otkriva.
Članak Napomena: Za naše snimke zaslona i podatke koristit ćemo Gmail, ali gotovo svi drugi klijenti e-pošte trebaju pružati te iste podatke.
Pregled zaglavlja e-pošte
U Gmailu pogledajte e-poštu. U ovom primjeru koristit ćemo adresu e-pošte u nastavku.
Zatim kliknite strelicu u gornjem desnom kutu i odaberite Prikaži izvornik.
Rezultat prozora će imati podatke zaglavlja e-pošte u običnom tekstu.
Napomena: U svim podacima zaglavlja e-pošte koje prikazujem u nastavku, promijenio sam svoju Gmail adresu kako bih se prikazao kao [email protected] i moju vanjsku adresu e-pošte za prikazivanje kao [email protected] i [email protected] kao i maskirana IP adresa mojih poslužitelja e-pošte.
Isporučeno - na: [email protected]
Primljeno: 10.60.14.3 s SMTP id l3csp18666oec;
Uto, 6 Ožu 2012 08:30:51 -0800 (PST)
Primljeno: 10.68.125.129 sa SMTP id mq1mr1963003pbb.21.1331051451044;
Uto, 06 Ožu 2012 08:30:51 -0800 (PST)
Povratni put:
Primljeno: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com s SMTP ID-om l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Primljeno-SPF: neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno pomoću pretpostavljenog zapisa za domenu [email protected]) klijent-ip = 64.18.2.16;
Rezultati provjere autentičnosti: mx.google.com; spf = neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno na temelju rezultata za domenu [email protected]) [email protected]
Primljeno: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomoću TLSv1) autora exprod7ob119.postini.com ([64.18.6.12]) s SMTP-om
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Uto, 06 Ožu 2012 08:30:50 PST
Primljeno: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapom; Uto, 6. ožujka
2012 11:30:48 -0500
Od: Jason Faulkner
Za: “[email protected]”
Datum: Tue, 6 Mar 2012 11:30:48 -0500
Subject: Ovo je legitimna e-pošta
Tema teme: Ovo je legitimna e-pošta
Indeks niti: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID poruke:
Prihvati-Jezik: en-US
Sadržaj - Jezik: en-US
X-MS ima pričvrstiti:
X-MS TNEF-koreliranje:
acceptlanguage: en-US
Vrsta sadržaja: multipart / alternative;
Granica =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-verzija: 1.0
Kada čitate zaglavlje e-pošte, podaci su u obrnutom kronološkom redoslijedu, što znači da je informacija na vrhu najnoviji događaj. Stoga, ako želite pratiti e-poštu od pošiljatelja do primatelja, počnite od dna. Ispitujući zaglavlja ove e-poruke vidimo nekoliko stvari.
Ovdje vidimo informacije koje generira klijent koji šalje podatke. U ovom slučaju, poruka e-pošte poslana je iz programa Outlook pa je to metapodaci koje Outlook dodaje.
Od: Jason Faulkner
Za: “[email protected]”
Datum: Tue, 6 Mar 2012 11:30:48 -0500
Subject: Ovo je legitimna e-pošta
Tema teme: Ovo je legitimna e-pošta
Indeks niti: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID poruke:
Prihvati-Jezik: en-US
Sadržaj - Jezik: en-US
X-MS ima pričvrstiti:
X-MS TNEF-koreliranje:
acceptlanguage: en-US
Vrsta sadržaja: multipart / alternative;
Granica =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-verzija: 1.0
Sljedeći dio prati putanju e-pošte od poslužitelja za slanje do odredišnog poslužitelja. Imajte na umu da su ti koraci (ili hmelj) navedeni u obrnutom kronološkom redoslijedu. Stavili smo odgovarajući broj pored svakog hopa kako bismo ilustrirali narudžbu. Imajte na umu da svaki hop prikazuje detalje o IP adresi i odgovarajućem obrnutom DNS imenu.
Isporučeno - na: [email protected]
[6] Primljeno: 10.60.14.3 s SMTP id l3csp18666oec;
Uto, 6 Ožu 2012 08:30:51 -0800 (PST)
[5] Primljeno: 10.68.125.129 sa SMTP id mq1mr1963003pbb.21.1331051451044;
Uto, 06 Ožu 2012 08:30:51 -0800 (PST)
Povratni put:
[4] Primljeno: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com s SMTP ID-om l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Primljeno-SPF: neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno pomoću pretpostavljenog zapisa za domenu [email protected]) klijent-ip = 64.18.2.16;
Rezultati provjere autentičnosti: mx.google.com; spf = neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno na temelju rezultata za domenu [email protected]) [email protected]
[2] Primljeno: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomoću TLSv1) autora exprod7ob119.postini.com ([64.18.6.12]) s SMTP-om
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Uto, 06 Ožu 2012 08:30:50 PST
[1] Primljeno: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapom; Uto, 6. ožujka
2012 11:30:48 -0500
Iako je ovo prilično zemaljska pojava za legitimnu e-poštu, te informacije mogu biti vrlo jasne kada se radi o pregledavanju neželjene pošte ili e-pošte za krađu identiteta.
Ispitivanje e-pošte za krađu identiteta - primjer 1
Za naš prvi primjer krađe identiteta ispitat ćemo poruku e-pošte koja je očigledan pokušaj krađe identiteta. U ovom slučaju mogli bismo identificirati ovu poruku kao prijevaru samo vizualnim pokazateljima, ali za praksu ćemo pogledati znakove upozorenja unutar zaglavlja.
Isporučeno - na: [email protected]
Primljeno: 10.60.14.3 s SMTP id l3csp12958oec;
Pon, 5 ožujka 2012 23:11:29 -0800 (PST)
Primljeno: 10.236.46.164 sa SMTP id r24mr7411623yhb.101.1331017888982;
Pon, 05 Ožu 2012 23:11:28 -0800 (PST)
Povratni put:
Primljeno: sa ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
mx.google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Pon, 05 Ožu 2012 23:11:28 -0800 (PST)
Primljeni-SPF: neuspješan (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) klijent-ip = XXX.XXX.XXX.XXX;
Rezultati provjere autentičnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected]
Primljeno: s MailEnable postoffice konektorom; Uto, 6 Ožu 2012 02:11:20 -0500
Primljeno: from mail.lovingtour.com ([211.166.9.218]) od ms.externalemail.com s MailEnable ESMTP; Uto, 6 Ožu 2012 02:11:10 -0500
Primljeno: od korisnika ([118.142.76.58])
by mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
ID poruke:
Odgovarati na:
Od: “[email protected]”
Predmet: Obavijest
Datum: Pon, 5 Ožu 2012 21:20:57 +0800
MIME-verzija: 1.0
Vrsta sadržaja: multipart / mixed;
Granica =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-Priority: Normalno
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: proizvodi Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Prva crvena zastavica nalazi se u području informacija o klijentu. Primijetite ovdje dodane metapodatke za Outlook Express. Malo je vjerojatno da je Visa toliko zaostala u vremenu da netko ručno šalje e-poštu pomoću 12-godišnjeg klijenta e-pošte.
Odgovarati na:
Od: “[email protected]”
Predmet: Obavijest
Datum: Pon, 5 Ožu 2012 21:20:57 +0800
MIME-verzija: 1.0
Vrsta sadržaja: multipart / mixed;
Granica =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-Priority: Normalno
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: proizvodi Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Sada ispitivanje prvog skoka u usmjeravanju e-pošte otkriva da se pošiljatelj nalazio na IP adresi 118.142.76.58 i da je njihova e-pošta preusmjerena putem pošte mail.lovingtour.com.
Primljeno: od korisnika ([118.142.76.58])
by mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
Traženje IP informacija pomoću Nirsoftova IPNetInfo uslužnog programa, možemo vidjeti da se pošiljatelj nalazi u Hong Kongu i da se poslužitelj pošte nalazi u Kini.
Nepotrebno je reći da je ovo malo sumnjivo.
Ostatak hmelja e-pošte u ovom slučaju nije stvarno relevantan jer prikazuju e-poštu koja poskakuje oko legitimnog prometa poslužitelja prije nego što se konačno isporuči.
Ispitivanje e-pošte za krađu identiteta - primjer 2
U ovom primjeru naša je phishing poruka e-pošte mnogo uvjerljivija. Postoji nekoliko vizualnih pokazatelja ako pogledate dovoljno čvrsto, ali opet u svrhu ovog članka ograničit ćemo našu istragu na zaglavlja e-pošte.
Isporučeno - na: [email protected]
Primljeno: 10.60.14.3 s SMTP id l3csp15619oec;
Uto, 6 Ožujak 2012 04:27:20 -0800 (PST)
Primljeno: 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870;
Uto, 06 Ožu 2012 04:27:19 -0800 (PST)
Povratni put:
Primljeno: sa ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
mx.google.com s ID-om ESMTP-a o2si20048188yhn.34.2012.03.06.04.27.19;
Uto, 06 Ožu 2012 04:27:19 -0800 (PST)
Primljeni SPF: neuspješan (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) klijent-ip = XXX.XXX.XXX.XXX;
Rezultati provjere autentičnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected]
Primljeno: s MailEnable postoffice konektorom; Uto, 6 Ožu 2012 07:27:13 -0500
Primljeno: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) od ms.externalemail.com s MailEnable ESMTP; Uto, 6 Ožu 2012 07:27:08 -0500
Primljeno: od apache korisnika intuit.com s lokalnim (Exim 4.67)
(omotnica-od)
id GJMV8N-8BERQW-93
za; Uto, 6 Ožu 2012 19:27:05 +0700
Do:
Predmet: Vaš račun za Intuit.com.
X-PHP-skripta: intuit.com/sendmail.php za 118.68.152.212
Od: “INTUIT INC.”
X-pošiljatelj: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-verzija: 1.0
Vrsta sadržaja: multipart / alternative;
rubni =”- 03060500702080404010506"
ID poruke:
Datum: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
U ovom primjeru nije korištena aplikacija klijenta e-pošte, već PHP skripta s izvornom IP adresom 118.68.152.212.
Do:
Predmet: Vaš račun za Intuit.com.
X-PHP-skripta: intuit.com/sendmail.php za 118.68.152.212
Od: “INTUIT INC.”
X-pošiljatelj: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-verzija: 1.0
Vrsta sadržaja: multipart / alternative;
rubni =”- 03060500702080404010506"
ID poruke:
Datum: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Međutim, kada pogledamo prvi e-mail hop, čini se da je čitljiv jer ime domene poslužitelja za slanje odgovara adresi e-pošte. Međutim, budite oprezni s ovim jer spameri mogu lako nazvati svoj poslužitelj "intuit.com".
Primljeno: od apache korisnika intuit.com s lokalnim (Exim 4.67)
(omotnica-od)
id GJMV8N-8BERQW-93
za; Uto, 6 Ožu 2012 19:27:05 +0700
Ispitivanje sljedećeg koraka ruši ovu kuću od karata. Možete vidjeti drugi hop (gdje ga prima legitimni poslužitelj e-pošte) rješava slanje poslužitelja natrag u domenu “dynamic-pool-xxx.hcm.fpt.vn”, a ne “intuit.com” s istom IP adresom navedeno u PHP skripti.
Primljeno: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) od ms.externalemail.com s MailEnable ESMTP; Uto, 6 Ožu 2012 07:27:08 -0500
Pregled informacija o IP adresi potvrđuje sumnju kao rješenje lokacije poslužitelja pošte u Vijetnam.
Iako je ovaj primjer malo pametniji, možete vidjeti koliko brzo se otkriva prijevara s malom količinom istrage.
Zaključak
Dok pregledavanje zaglavlja e-pošte vjerojatno nije dio vaših uobičajenih dnevnih potreba, postoje slučajevi u kojima informacije sadržane u njima mogu biti vrlo vrijedne. Kao što smo pokazali gore, vrlo lako možete prepoznati pošiljatelje koji se maskiraju kao nešto što nisu. Za vrlo dobro izvedenu prijevu u kojoj su vizualni znakovi uvjerljivi, iznimno je teško (ako ne i nemoguće) oponašati stvarne poslužitelje e-pošte, a pregled informacija unutar zaglavlja e-pošte može brzo otkriti bilo kakvo šikaniranje.
linkovi
Preuzmite IPNetInfo iz Nirsofta