Hvad kan du finde i en e-mail-overskrift?

Indholdsfortegnelse:

Video: Hvad kan du finde i en e-mail-overskrift?

Video: Hvad kan du finde i en e-mail-overskrift?
Video: THE TRUTH ABOUT SWITCHING TO MIRRORLESS CAMERAS: DSLR vs mirrorless cameras explored 2024, Marts
Hvad kan du finde i en e-mail-overskrift?
Hvad kan du finde i en e-mail-overskrift?
Anonim
Når du modtager en email, er der meget mere end det, der opfylder øjet. Mens du typisk kun er opmærksom på adressen, emnelinjen og emnet i meddelelsen, er der meget mere information tilgængelig "under emnet" i hver e-mail, som kan give dig et væld af yderligere oplysninger.
Når du modtager en email, er der meget mere end det, der opfylder øjet. Mens du typisk kun er opmærksom på adressen, emnelinjen og emnet i meddelelsen, er der meget mere information tilgængelig "under emnet" i hver e-mail, som kan give dig et væld af yderligere oplysninger.

Hvorfor gider du kigger på en e-mail-overskrift?

Dette er et meget godt spørgsmål. For det meste ville du virkelig aldrig have brug for, medmindre:

  • Du har mistanke om, at en e-mail er et phishing-forsøg eller en spoof
  • Du vil se ruteoplysninger på e-mailens sti
  • Du er en nysgerrig geek

Uanset dine grunde er læsning af e-mail-overskrifter faktisk ret nemt og kan være meget afslørende.

Artikel Note: For vores skærmbilleder og data bruger vi Gmail, men næsten alle andre postklienter skal også give de samme oplysninger.

Visning af e-mail-overskriften

I Gmail kan du se e-mailen. I dette eksempel bruger vi e-mailen nedenfor.

Klik derefter på pilen i øverste højre hjørne og vælg Vis original.
Klik derefter på pilen i øverste højre hjørne og vælg Vis original.
Det resulterende vindue vil have e-mail header data i almindelig tekst.
Det resulterende vindue vil have e-mail header data i almindelig tekst.

Bemærk: I alle e-mail header data jeg viser nedenfor har jeg ændret min Gmail-adresse for at vise som [email protected] og min eksterne e-mail-adresse for at vise som [email protected] og [email protected] samt maskeret IP-adressen på mine e-mail-servere.

Leveret til: [email protected] Modtaget: ved 10.60.14.3 med SMTP id l3csp18666oec; Tirsdag, 6 mar 2012 08:30:51 -0800 (PST) Modtaget: ved 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044; Tirsdag, 06 mar 2012 08:30:51 -0800 (PST) Retur-Path: Modtaget: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) af mx.google.com med SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tirsdag, 06 mar 2012 08:30:50 -0800 (PST) Modtaget-SPF: Neutral (google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected]) client-ip = 64.18.2.16; Autentificeringsresultater: mx.google.com; spf = neutral (google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess record for domæne af [email protected]) [email protected] Modtaget: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjælp af TLSv1) af exprod7ob119.postini.com ([64.18.6.12]) med SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST Modtaget: fra MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3]) af MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3% 11]) med mapi; Tirsdag, 6 Mar 2012 11:30:48 -0500 Fra: Jason Faulkner Til: "[email protected]" Dato: tirsdag, 6 mar 2012 11:30:48 -0500 Emne: Dette er en legitim email Tråd-emne: Dette er en legitim email Trådindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q == Meddelelses-id: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Indholdssprog: en-US X-MS-Har-Vedhæft: X-MS-TNEF-Korrelator: acceptlanguage: en-US Indholdstype: multipart / alternativ; grænse =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

Når du læser en mail header, er dataene i omvendt kronologisk rækkefølge, hvilket betyder at informationen øverst er den seneste begivenhed. Derfor, hvis du vil spore e-mailen fra afsender til modtager, skal du starte i bunden. Ved at undersøge overskrifterne i denne email kan vi se flere ting.

Her ses informationer genereret af den afsendende klient. I dette tilfælde blev emailen sendt fra Outlook, så dette er metadata Outlook tilføjer.

From: Jason Faulkner To: “[email protected] Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

Den næste del sporer den vej, e-mailen tager fra afsendelsesserveren til destinationsserveren. Husk på, at disse trin (eller humle) er angivet i omvendt kronologisk rækkefølge. Vi har placeret det respektive nummer ved siden af hvert hop for at illustrere ordren. Bemærk at hvert hop viser detaljer om IP-adressen og det respektive omvendte DNS-navn.

Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

Selvom dette er ret almindeligt for en legitim email, kan disse oplysninger ret fortælle, når det kommer til at undersøge spam- eller phishing-e-mails.

Undersøgelse af en phishing-mail - eksempel 1

For vores første phishing-eksempel undersøger vi en e-mail, som er et oplagt phishing-forsøg. I dette tilfælde kunne vi identificere denne meddelelse som svindel blot ved de visuelle indikatorer, men for øvelse vil vi se på advarselsskiltene i overskrifterne.

Image
Image

Leveret til: [email protected] Modtaget: ved 10.60.14.3 med SMTP id l3csp12958oec; Ma, 5 mar 2012 23:11:29 -0800 (PST) Modtaget: ved 10.236.46.164 med SMTP id r24mr7411623yhb.101.1331017888982; Ma, 05 mar 2012 23:11:28 -0800 (PST) Retur-Path: Modtaget: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) af mx.google.com med ESMTP id t19si8451178ani.110.2012.03.05.23.11.28; Ma, 05 mar 2012 23:11:28 -0800 (PST) Modtaget-SPF: fail (google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) client-ip = XXX.XXX.XXX.XXX; Autentificeringsresultater: mx.google.com; spf = hardfail (google.com: domænet for [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) [email protected] Modtaget: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500 Modtaget: fra mail.lovingtour.com ([211.166.9.218]) af ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500 Modtaget: fra bruger ([118.142.76.58]) ved mail.lovingtour.com; Ma, 5 mar 2012 21:38:11 +0800 Meddelelses-id: <[email protected]> Svar til: Fra: "[email protected]" Emne: Meddelelse Dato: ma, 5 mar 2012 21:20:57 +0800 MIME-Version: 1.0 Indholdstype: Multipart / Mixed; grænse =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0" X-prioritet: 3 X-MSMail-prioritet: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produceret af Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

Det første røde flag er i klientinformationsområdet. Bemærk, at metadata tilføjede referencer til Outlook Express. Det er usandsynligt, at Visa er så langt bag de gange, at de har nogen manuelt at sende e-mails ved hjælp af en 12-årig e-mail-klient.

Reply-To: From: “[email protected] Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

Nu undersøger det første hop i e-mail routing afslører, at afsenderen var placeret på IP-adressen 118.142.76.58, og deres email blev videresendt via mail-serveren mail.lovingtour.com.

Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800

Når man ser på IP-informationen ved hjælp af Nirsoft's IPNetInfo-værktøj, kan vi se, at afsenderen var placeret i Hong Kong, og mailserveren er placeret i Kina.

Image
Image
Det er overflødigt at sige, at dette er lidt mistænkeligt.
Det er overflødigt at sige, at dette er lidt mistænkeligt.

Resten af e-mail-humlen er ikke særlig relevante i dette tilfælde, da de viser e-mailen, der hopper rundt om legitim servertrafik, inden de endelig bliver leveret.

Undersøgelse af en phishing-mail - eksempel 2

For dette eksempel er vores phishing-email meget mere overbevisende. Der er et par visuelle indikatorer her, hvis du ser hårdt ud, men igen med henblik på denne artikel vil vi begrænse vores undersøgelse til e-mailoverskrifter.

Image
Image

Leveret til: [email protected] Modtaget: ved 10.60.14.3 med SMTP id l3csp15619oec; Tirsdag, 6 mar 2012 04:27:20 -0800 (PST) Modtaget: med 10.236.170.165 med SMTP id p25mr8672800yhl.123.1331036839870; Tirsdag, 06 Mar 2012 04:27:19 -0800 (PST) Retur-Path: Modtaget: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) af mx.google.com med ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19; Tirsdag, 06 Mar 2012 04:27:19 -0800 (PST) Modtaget-SPF: fail (google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt sender) client-ip = XXX.XXX.XXX.XXX; Autentificeringsresultater: mx.google.com; spf = hardfail (google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) [email protected] Modtaget: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500 Modtaget: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) af ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500 Modtaget: fra apache af intuit.com med lokale (Exim 4.67) (Konvolutlignende fra ) id GJMV8N-8BERQW-93 til ; Tue, 6 Mar 2012 19:27:05 +0700 Til: Emne: Din Intuit.com faktura. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 Fra: "INTUIT INC." X-Sender: "INTUIT INC." X-Mailer: PHP X-prioritet: 1 MIME-Version: 1.0 Indholdstype: multipart / alternativ; grænse =”---- 03060500702080404010506" Message-Id: Dato: tirs, 6 mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

I dette eksempel blev en mailklientprogram ikke brugt, snarere et PHP-script med kilde-IP-adressen på 118.68.152.212.

To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

Men når vi ser på det første e-mail-hop, ser det ud til at være legitimt, da afsendelsesserverens domænenavn matcher e-mail-adressen. Men vær forsigtig med dette, da en spammer nemt kunne navngive deres server "intuit.com".

Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700

Undersøgelse af det næste trin smuldrer dette korthus. Du kan se det andet hop (hvor det er modtaget af en legitim email server) løser afsendelsesserveren tilbage til domænet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresse angivet i PHP scriptet.

Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Visning af IP-adresseoplysninger bekræfter mistanken, da mailserverens placering løser tilbage til Viet Nam.

Mens dette eksempel er lidt mere klogt, kan du se, hvor hurtigt svindelen afsløres med kun en lille smule undersøgelse.
Mens dette eksempel er lidt mere klogt, kan du se, hvor hurtigt svindelen afsløres med kun en lille smule undersøgelse.

Konklusion

Mens du ser på e-mailoverskrifter, er det sandsynligvis ikke en del af dine typiske daglige behov, er der tilfælde, hvor oplysningerne i dem kan være ret værdifulde. Som vi viste ovenfor, kan du let identificere afsendere masquerading som noget de ikke er. For en meget godt udført fidus, hvor visuelle signaler er overbevisende, er det ekstremt vanskeligt (hvis ikke umuligt) at efterligne faktiske mail-servere og gennemse oplysningerne inden for e-mailoverskrifter, kan hurtigt afsløre ethvert chicanery.

Links

Download IPNetInfo fra Nirsoft

Anbefalede: