Početna » kako da » Što možete pronaći u zaglavlju e-pošte?

    Što možete pronaći u zaglavlju e-pošte?

    Kad god primite e-poštu, postoji mnogo više toga nego što se čini. Dok obično obraćate pažnju na adresu, naslov i tijelo poruke, postoji mnogo više dostupnih informacija "ispod haube" svake poruke e-pošte koja vam može pružiti mnoštvo dodatnih informacija.

    Zašto gnjaviti Pogled na zaglavlje e-pošte?

    Ovo je vrlo dobro pitanje. Većinom ne biste trebali, osim ako:

    • Sumnjate da je poruka e-pošte pokušaj krađe identiteta ili lažiranje
    • Želite vidjeti informacije o usmjeravanju na putu e-pošte
    • Ti si znatiželjan štreber

    Bez obzira na vaše razloge, čitanje zaglavlja e-pošte je zapravo prilično lako i može biti vrlo otkriva.

    Članak Napomena: Za naše snimke zaslona i podatke koristit ćemo Gmail, ali gotovo svi drugi klijenti e-pošte trebaju pružati te iste podatke.

    Pregled zaglavlja e-pošte

    U Gmailu pogledajte e-poštu. U ovom primjeru koristit ćemo adresu e-pošte u nastavku.

    Zatim kliknite strelicu u gornjem desnom kutu i odaberite Prikaži izvornik.

    Rezultat prozora će imati podatke zaglavlja e-pošte u običnom tekstu.

    Napomena: U svim podacima zaglavlja e-pošte koje prikazujem u nastavku, promijenio sam svoju Gmail adresu kako bih se prikazao kao [email protected] i moju vanjsku adresu e-pošte za prikazivanje kao [email protected] i [email protected] kao i maskirana IP adresa mojih poslužitelja e-pošte.

    Isporučeno - na: [email protected]
    Primljeno: 10.60.14.3 s SMTP id l3csp18666oec;
    Uto, 6 Ožu 2012 08:30:51 -0800 (PST)
    Primljeno: 10.68.125.129 sa SMTP id mq1mr1963003pbb.21.1331051451044;
    Uto, 06 Ožu 2012 08:30:51 -0800 (PST)
    Povratni put:
    Primljeno: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    mx.google.com s SMTP ID-om l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    Primljeno-SPF: neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno pomoću pretpostavljenog zapisa za domenu [email protected]) klijent-ip = 64.18.2.16;
    Rezultati provjere autentičnosti: mx.google.com; spf = neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno na temelju rezultata za domenu [email protected]) [email protected]
    Primljeno: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomoću TLSv1) autora exprod7ob119.postini.com ([64.18.6.12]) s SMTP-om
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Uto, 06 Ožu 2012 08:30:50 PST
    Primljeno: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapom; Uto, 6. ožujka
    2012 11:30:48 -0500
    Od: Jason Faulkner
    Za: “[email protected]
    Datum: Tue, 6 Mar 2012 11:30:48 -0500
    Subject: Ovo je legitimna e-pošta
    Tema teme: Ovo je legitimna e-pošta
    Indeks niti: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID poruke:
    Prihvati-Jezik: en-US
    Sadržaj - Jezik: en-US
    X-MS ima pričvrstiti:
    X-MS TNEF-koreliranje:
    acceptlanguage: en-US
    Vrsta sadržaja: multipart / alternative;
    Granica =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-verzija: 1.0

    Kada čitate zaglavlje e-pošte, podaci su u obrnutom kronološkom redoslijedu, što znači da je informacija na vrhu najnoviji događaj. Stoga, ako želite pratiti e-poštu od pošiljatelja do primatelja, počnite od dna. Ispitujući zaglavlja ove e-poruke vidimo nekoliko stvari.

    Ovdje vidimo informacije koje generira klijent koji šalje podatke. U ovom slučaju, poruka e-pošte poslana je iz programa Outlook pa je to metapodaci koje Outlook dodaje.

    Od: Jason Faulkner
    Za: “[email protected]
    Datum: Tue, 6 Mar 2012 11:30:48 -0500
    Subject: Ovo je legitimna e-pošta
    Tema teme: Ovo je legitimna e-pošta
    Indeks niti: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID poruke:
    Prihvati-Jezik: en-US
    Sadržaj - Jezik: en-US
    X-MS ima pričvrstiti:
    X-MS TNEF-koreliranje:
    acceptlanguage: en-US
    Vrsta sadržaja: multipart / alternative;
    Granica =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-verzija: 1.0

    Sljedeći dio prati putanju e-pošte od poslužitelja za slanje do odredišnog poslužitelja. Imajte na umu da su ti koraci (ili hmelj) navedeni u obrnutom kronološkom redoslijedu. Stavili smo odgovarajući broj pored svakog hopa kako bismo ilustrirali narudžbu. Imajte na umu da svaki hop prikazuje detalje o IP adresi i odgovarajućem obrnutom DNS imenu.

    Isporučeno - na: [email protected]
    [6] Primljeno: 10.60.14.3 s SMTP id l3csp18666oec;
    Uto, 6 Ožu 2012 08:30:51 -0800 (PST)
    [5] Primljeno: 10.68.125.129 sa SMTP id mq1mr1963003pbb.21.1331051451044;
    Uto, 06 Ožu 2012 08:30:51 -0800 (PST)
    Povratni put:
    [4] Primljeno: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    mx.google.com s SMTP ID-om l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    [3] Primljeno-SPF: neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno pomoću pretpostavljenog zapisa za domenu [email protected]) klijent-ip = 64.18.2.16;
    Rezultati provjere autentičnosti: mx.google.com; spf = neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno na temelju rezultata za domenu [email protected]) [email protected]
    [2] Primljeno: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomoću TLSv1) autora exprod7ob119.postini.com ([64.18.6.12]) s SMTP-om
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Uto, 06 Ožu 2012 08:30:50 PST
    [1] Primljeno: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapom; Uto, 6. ožujka
    2012 11:30:48 -0500

    Iako je ovo prilično zemaljska pojava za legitimnu e-poštu, te informacije mogu biti vrlo jasne kada se radi o pregledavanju neželjene pošte ili e-pošte za krađu identiteta.

    Ispitivanje e-pošte za krađu identiteta - primjer 1

    Za naš prvi primjer krađe identiteta ispitat ćemo poruku e-pošte koja je očigledan pokušaj krađe identiteta. U ovom slučaju mogli bismo identificirati ovu poruku kao prijevaru samo vizualnim pokazateljima, ali za praksu ćemo pogledati znakove upozorenja unutar zaglavlja.

    Isporučeno - na: [email protected]
    Primljeno: 10.60.14.3 s SMTP id l3csp12958oec;
    Pon, 5 ožujka 2012 23:11:29 -0800 (PST)
    Primljeno: 10.236.46.164 sa SMTP id r24mr7411623yhb.101.1331017888982;
    Pon, 05 Ožu 2012 23:11:28 -0800 (PST)
    Povratni put:
    Primljeno: sa ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    mx.google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
    Pon, 05 Ožu 2012 23:11:28 -0800 (PST)
    Primljeni-SPF: neuspješan (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) klijent-ip = XXX.XXX.XXX.XXX;
    Rezultati provjere autentičnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected]
    Primljeno: s MailEnable postoffice konektorom; Uto, 6 Ožu 2012 02:11:20 -0500
    Primljeno: from mail.lovingtour.com ([211.166.9.218]) od ms.externalemail.com s MailEnable ESMTP; Uto, 6 Ožu 2012 02:11:10 -0500
    Primljeno: od korisnika ([118.142.76.58])
    by mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800
    ID poruke:
    Odgovarati na:
    Od: “[email protected]
    Predmet: Obavijest
    Datum: Pon, 5 Ožu 2012 21:20:57 +0800
    MIME-verzija: 1.0
    Vrsta sadržaja: multipart / mixed;
    Granica =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Prioritet: 3
    X-MSMail-Priority: Normalno
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: proizvodi Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Prva crvena zastavica nalazi se u području informacija o klijentu. Primijetite ovdje dodane metapodatke za Outlook Express. Malo je vjerojatno da je Visa toliko zaostala u vremenu da netko ručno šalje e-poštu pomoću 12-godišnjeg klijenta e-pošte.

    Odgovarati na:
    Od: “[email protected]
    Predmet: Obavijest
    Datum: Pon, 5 Ožu 2012 21:20:57 +0800
    MIME-verzija: 1.0
    Vrsta sadržaja: multipart / mixed;
    Granica =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Prioritet: 3
    X-MSMail-Priority: Normalno
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: proizvodi Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Sada ispitivanje prvog skoka u usmjeravanju e-pošte otkriva da se pošiljatelj nalazio na IP adresi 118.142.76.58 i da je njihova e-pošta preusmjerena putem pošte mail.lovingtour.com.

    Primljeno: od korisnika ([118.142.76.58])
    by mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800

    Traženje IP informacija pomoću Nirsoftova IPNetInfo uslužnog programa, možemo vidjeti da se pošiljatelj nalazi u Hong Kongu i da se poslužitelj pošte nalazi u Kini.

    Nepotrebno je reći da je ovo malo sumnjivo.

    Ostatak hmelja e-pošte u ovom slučaju nije stvarno relevantan jer prikazuju e-poštu koja poskakuje oko legitimnog prometa poslužitelja prije nego što se konačno isporuči.

    Ispitivanje e-pošte za krađu identiteta - primjer 2

    U ovom primjeru naša je phishing poruka e-pošte mnogo uvjerljivija. Postoji nekoliko vizualnih pokazatelja ako pogledate dovoljno čvrsto, ali opet u svrhu ovog članka ograničit ćemo našu istragu na zaglavlja e-pošte.

    Isporučeno - na: [email protected]
    Primljeno: 10.60.14.3 s SMTP id l3csp15619oec;
    Uto, 6 Ožujak 2012 04:27:20 -0800 (PST)
    Primljeno: 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870;
    Uto, 06 Ožu 2012 04:27:19 -0800 (PST)
    Povratni put:
    Primljeno: sa ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    mx.google.com s ID-om ESMTP-a o2si20048188yhn.34.2012.03.06.04.27.19;
    Uto, 06 Ožu 2012 04:27:19 -0800 (PST)
    Primljeni SPF: neuspješan (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) klijent-ip = XXX.XXX.XXX.XXX;
    Rezultati provjere autentičnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected]
    Primljeno: s MailEnable postoffice konektorom; Uto, 6 Ožu 2012 07:27:13 -0500
    Primljeno: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) od ms.externalemail.com s MailEnable ESMTP; Uto, 6 Ožu 2012 07:27:08 -0500
    Primljeno: od apache korisnika intuit.com s lokalnim (Exim 4.67)
    (omotnica-od)
    id GJMV8N-8BERQW-93
    za; Uto, 6 Ožu 2012 19:27:05 +0700
    Do:
    Predmet: Vaš račun za Intuit.com.
    X-PHP-skripta: intuit.com/sendmail.php za 118.68.152.212
    Od: “INTUIT INC.”
    X-pošiljatelj: "INTUIT INC."
    X-Mailer: PHP
    X-Prioritet: 1
    MIME-verzija: 1.0
    Vrsta sadržaja: multipart / alternative;
    rubni =”- 03060500702080404010506"
    ID poruke:
    Datum: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    U ovom primjeru nije korištena aplikacija klijenta e-pošte, već PHP skripta s izvornom IP adresom 118.68.152.212.

    Do:
    Predmet: Vaš račun za Intuit.com.
    X-PHP-skripta: intuit.com/sendmail.php za 118.68.152.212
    Od: “INTUIT INC.”
    X-pošiljatelj: "INTUIT INC."
    X-Mailer: PHP
    X-Prioritet: 1
    MIME-verzija: 1.0
    Vrsta sadržaja: multipart / alternative;
    rubni =”- 03060500702080404010506"
    ID poruke:
    Datum: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Međutim, kada pogledamo prvi e-mail hop, čini se da je čitljiv jer ime domene poslužitelja za slanje odgovara adresi e-pošte. Međutim, budite oprezni s ovim jer spameri mogu lako nazvati svoj poslužitelj "intuit.com".

    Primljeno: od apache korisnika intuit.com s lokalnim (Exim 4.67)
    (omotnica-od)
    id GJMV8N-8BERQW-93
    za; Uto, 6 Ožu 2012 19:27:05 +0700

    Ispitivanje sljedećeg koraka ruši ovu kuću od karata. Možete vidjeti drugi hop (gdje ga prima legitimni poslužitelj e-pošte) rješava slanje poslužitelja natrag u domenu “dynamic-pool-xxx.hcm.fpt.vn”, a ne “intuit.com” s istom IP adresom navedeno u PHP skripti.

    Primljeno: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) od ms.externalemail.com s MailEnable ESMTP; Uto, 6 Ožu 2012 07:27:08 -0500

    Pregled informacija o IP adresi potvrđuje sumnju kao rješenje lokacije poslužitelja pošte u Vijetnam.

    Iako je ovaj primjer malo pametniji, možete vidjeti koliko brzo se otkriva prijevara s malom količinom istrage.

    Zaključak

    Dok pregledavanje zaglavlja e-pošte vjerojatno nije dio vaših uobičajenih dnevnih potreba, postoje slučajevi u kojima informacije sadržane u njima mogu biti vrlo vrijedne. Kao što smo pokazali gore, vrlo lako možete prepoznati pošiljatelje koji se maskiraju kao nešto što nisu. Za vrlo dobro izvedenu prijevu u kojoj su vizualni znakovi uvjerljivi, iznimno je teško (ako ne i nemoguće) oponašati stvarne poslužitelje e-pošte, a pregled informacija unutar zaglavlja e-pošte može brzo otkriti bilo kakvo šikaniranje.

    linkovi

    Preuzmite IPNetInfo iz Nirsofta

    Što uzrokuje File Downloaded s Interneta Upozorenje i kako mogu jednostavno ga ukloniti?
    Što dolazi nakon Web 2.0?
    Što možete učiniti s Samsung Health?
    Sljedeći članak
    Što zaista možete očekivati ​​od servisnog paketa 1 za Windows Vista?
    Prethodni članak
    Što možete učiniti s Samsung Bixby?