Miért zavarja az e-mail fejlécet?
Ez egy nagyon jó kérdés. A legtöbb esetben valóban nem kell, hacsak nem:
- Gyanítja, hogy egy e-mail egy adathalász kísérlet vagy hamisítvány
- Meg szeretné tekinteni az útválasztási információkat az e-mail útján
- Te kíváncsi vagy
Függetlenül attól, hogy az okok, olvasás e-mail fejlécek valójában nagyon könnyű, és nagyon feltűnő.
Cikk Megjegyzés: Képernyőképünk és adataink esetén a Gmailt használjuk, de gyakorlatilag minden más levelező ügyfélnek ugyanazt az információt kell megadnia.
Az e-mail fejléc megtekintése
A Gmailben tekintse meg az e-mailt. Ehhez a példához az alábbi e-mailt használjuk.
Megjegyzés: Az alábbiakban ismertetett összes e-mail fejlécadatban megváltozott a Gmail-címem megjelenítése [email protected] és az én külső e-mail címemet, hogy megjelenjen [email protected] és [email protected] valamint eltitkolták az e-mail szervereim IP-címét.
Kézbesítve: [email protected] Fogadott: 10.60.14.3-ig SMTP id l3csp18666oec; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Megkapott: 10.68.125.129-ig SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Visszatérési útvonal:
Amikor elolvassa az e-mail fejlécet, az adatok fordított időrendben vannak, ami azt jelenti, hogy a tetején lévő információ a legutóbbi esemény. Ezért ha el szeretné nyomni az e-mailt a feladótól a címzettig, akkor kezdjen alul. Az e-mail fejlécét megvizsgálva számos dolgot láthatunk.
Itt láthatjuk a küldő kliens által generált információkat. Ebben az esetben az e-mailt elküldtük az Outlookból, így ez az Outlook által hozzáadott metaadatok.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
A következő rész az útvonalat követi, amelyet az e-mail a küldőkiszolgálótól a rendeltetési kiszolgálóig ér. Ne feledje, hogy ezek a lépések (vagy a komló) fordított időrendi sorrendben vannak felsorolva. Az egyes hopok melletti számot a megrendelés illusztrálására helyeztük el. Ne feledje, hogy minden egyes hop megmutatja az IP cím és a megfelelő fordított DNS nevét.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Bár ez elég világi a törvényes e-mailek számára, ezek az információk eléggé megmagyarázhatják a spam vagy az adathalász e-mailek vizsgálatát.
Phishing e-mail vizsgálata - 1. példa
Az első adathalász példánk esetében megvizsgáljuk az e-mailt, amely nyilvánvaló adathalász kísérlet. Ebben az esetben ezt az üzenetet csalásként azonosítanánk egyszerűen a vizuális mutatók, de a gyakorlatban megnézzük a fejlécek figyelmeztető jelzéseit.
Kézbesítve: [email protected] Fogadott: 10.60.14.3-nál SMTP id l3csp12958oec; Szerda, 05.03.2012 23:11:29 -0800 (PST) Fogadott: 10.236.46.164-nél SMTP id r24mr7411623yhb.101.1331017888982; Szerda, 05 márc. 2012 23:11:28 -0800 (PST) Visszatérési útvonal:
Az első piros zászló az ügyfélinformáció területén található. Vegye figyelembe, hogy a metaadatok hivatkoznak az Outlook Expressre. Nem valószínű, hogy a Visa eddig elmarad az időktől, hogy valaki kézi e-maileket küldött egy 12 éves e-mail kliens használatával.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Most, hogy megvizsgálja az első ugrást az e-mail útválasztás során, feltárja, hogy a feladó a 118.142.76.58 számú IP címen található, és e-mailjüket az mail.lovingtour.com mail szerverrel továbbították.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Az IP információk Nirsoft IPNetInfo segédprogramjának felderítésével láthatjuk, hogy a küldő Hongkongban található, és a levelező kiszolgáló Kínában található.
Az e-mail komló többi része ebben az esetben nem igazán releváns, mivel az e-mailt a legitim szerverforgalom körül pattogatja, mielőtt kézbesítené.
Phishing e-mail vizsgálata - 2. példa
Ehhez a példához adathalász e-mailünk sokkal meggyőzőbb. Van itt néhány vizuális mutató, ha eléggé megnézted, de ennek a cikknek a célját is korlátozzuk az e-mail fejlécekre.
Kézbesítve: [email protected] Fogadott: 10.60.14.3-mal SMTP id l3csp15619oec; Tue, 06 Mar 2012 04:27:20 -0800 (PST) Megkapott: 10.236.170.165-nél SMTP id p25mr8672800sz.l.123.1331036839870; Tue, 06 Mar 2012 04:27:19 -0800 (PST) Visszatérési útvonal:
Ebben a példában nem használt egy levélkliens-alkalmazást, hanem egy PHP-parancsfájlt, amelynek forráskódja a 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Azonban amikor megnézzük az első e-mail hop-ot, úgy tűnik, hogy legit a küldőkiszolgáló domain neve megegyezik az e-mail címmel. Ugyanakkor ne feledkezzen meg róla, mert a spammer könnyen megnevezheti szerverét "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
A következő lépés megvizsgálja ezt a kártyaházat. Láthatja a második ugrást (ahol a jogosító e-mail szerver megkapja), a kiszolgáló visszaállítja a "dynamic-pool-xxx.hcm.fpt.vn" domainet, és nem ugyanazt az IP-címet "intuit.com" amit a PHP szkriptben jelez.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Az IP-cím információinak megnézése megerősíti a gyanúját, mivel a levélkiszolgáló helyzete visszaáll Vietnámba.
Következtetés
Bár az e-mail fejlécek megtekintése valószínűleg nem része a tipikus napi szükségleteknek, vannak olyan esetek, amelyekben a benne lévő információk meglehetősen értékesek lehetnek. Amint azt a fentiekben bemutattuk, könnyen azonosítani tudják azokat a feladókat, akiket maszkolnak, mint valami nem. Egy nagyon jól végrehajtott átverés, ahol a vizuális jelek meggyőzőek, rendkívül nehéz (ha nem lehetetlen) a tényleges levélkiszolgálók megszemélyesítése, és az e-mail fejléceken belüli információk áttekintése gyorsan felfedheti az esetleges zűrzavart.
linkek
Töltse le a NIRsoft IPNetInfo alkalmazást