2024 Forfatter: Peter John Melton | [email protected]. Sidst ændret: 2023-12-16 04:48
Hvorfor gider du kigger på en e-mail-overskrift?
Dette er et meget godt spørgsmål. For det meste ville du virkelig aldrig have brug for, medmindre:
- Du har mistanke om, at en e-mail er et phishing-forsøg eller en spoof
- Du vil se ruteoplysninger på e-mailens sti
- Du er en nysgerrig geek
Uanset dine grunde er læsning af e-mail-overskrifter faktisk ret nemt og kan være meget afslørende.
Artikel Note: For vores skærmbilleder og data bruger vi Gmail, men næsten alle andre postklienter skal også give de samme oplysninger.
Visning af e-mail-overskriften
I Gmail kan du se e-mailen. I dette eksempel bruger vi e-mailen nedenfor.
Bemærk: I alle e-mail header data jeg viser nedenfor har jeg ændret min Gmail-adresse for at vise som [email protected] og min eksterne e-mail-adresse for at vise som [email protected] og [email protected] samt maskeret IP-adressen på mine e-mail-servere.
Leveret til: [email protected] Modtaget: ved 10.60.14.3 med SMTP id l3csp18666oec; Tirsdag, 6 mar 2012 08:30:51 -0800 (PST) Modtaget: ved 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044; Tirsdag, 06 mar 2012 08:30:51 -0800 (PST) Retur-Path:
Når du læser en mail header, er dataene i omvendt kronologisk rækkefølge, hvilket betyder at informationen øverst er den seneste begivenhed. Derfor, hvis du vil spore e-mailen fra afsender til modtager, skal du starte i bunden. Ved at undersøge overskrifterne i denne email kan vi se flere ting.
Her ses informationer genereret af den afsendende klient. I dette tilfælde blev emailen sendt fra Outlook, så dette er metadata Outlook tilføjer.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Den næste del sporer den vej, e-mailen tager fra afsendelsesserveren til destinationsserveren. Husk på, at disse trin (eller humle) er angivet i omvendt kronologisk rækkefølge. Vi har placeret det respektive nummer ved siden af hvert hop for at illustrere ordren. Bemærk at hvert hop viser detaljer om IP-adressen og det respektive omvendte DNS-navn.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Selvom dette er ret almindeligt for en legitim email, kan disse oplysninger ret fortælle, når det kommer til at undersøge spam- eller phishing-e-mails.
Undersøgelse af en phishing-mail - eksempel 1
For vores første phishing-eksempel undersøger vi en e-mail, som er et oplagt phishing-forsøg. I dette tilfælde kunne vi identificere denne meddelelse som svindel blot ved de visuelle indikatorer, men for øvelse vil vi se på advarselsskiltene i overskrifterne.
Leveret til: [email protected] Modtaget: ved 10.60.14.3 med SMTP id l3csp12958oec; Ma, 5 mar 2012 23:11:29 -0800 (PST) Modtaget: ved 10.236.46.164 med SMTP id r24mr7411623yhb.101.1331017888982; Ma, 05 mar 2012 23:11:28 -0800 (PST) Retur-Path:
Det første røde flag er i klientinformationsområdet. Bemærk, at metadata tilføjede referencer til Outlook Express. Det er usandsynligt, at Visa er så langt bag de gange, at de har nogen manuelt at sende e-mails ved hjælp af en 12-årig e-mail-klient.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Nu undersøger det første hop i e-mail routing afslører, at afsenderen var placeret på IP-adressen 118.142.76.58, og deres email blev videresendt via mail-serveren mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Når man ser på IP-informationen ved hjælp af Nirsoft's IPNetInfo-værktøj, kan vi se, at afsenderen var placeret i Hong Kong, og mailserveren er placeret i Kina.
Resten af e-mail-humlen er ikke særlig relevante i dette tilfælde, da de viser e-mailen, der hopper rundt om legitim servertrafik, inden de endelig bliver leveret.
Undersøgelse af en phishing-mail - eksempel 2
For dette eksempel er vores phishing-email meget mere overbevisende. Der er et par visuelle indikatorer her, hvis du ser hårdt ud, men igen med henblik på denne artikel vil vi begrænse vores undersøgelse til e-mailoverskrifter.
Leveret til: [email protected] Modtaget: ved 10.60.14.3 med SMTP id l3csp15619oec; Tirsdag, 6 mar 2012 04:27:20 -0800 (PST) Modtaget: med 10.236.170.165 med SMTP id p25mr8672800yhl.123.1331036839870; Tirsdag, 06 Mar 2012 04:27:19 -0800 (PST) Retur-Path:
I dette eksempel blev en mailklientprogram ikke brugt, snarere et PHP-script med kilde-IP-adressen på 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Men når vi ser på det første e-mail-hop, ser det ud til at være legitimt, da afsendelsesserverens domænenavn matcher e-mail-adressen. Men vær forsigtig med dette, da en spammer nemt kunne navngive deres server "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Undersøgelse af det næste trin smuldrer dette korthus. Du kan se det andet hop (hvor det er modtaget af en legitim email server) løser afsendelsesserveren tilbage til domænet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresse angivet i PHP scriptet.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Visning af IP-adresseoplysninger bekræfter mistanken, da mailserverens placering løser tilbage til Viet Nam.
Konklusion
Mens du ser på e-mailoverskrifter, er det sandsynligvis ikke en del af dine typiske daglige behov, er der tilfælde, hvor oplysningerne i dem kan være ret værdifulde. Som vi viste ovenfor, kan du let identificere afsendere masquerading som noget de ikke er. For en meget godt udført fidus, hvor visuelle signaler er overbevisende, er det ekstremt vanskeligt (hvis ikke umuligt) at efterligne faktiske mail-servere og gennemse oplysningerne inden for e-mailoverskrifter, kan hurtigt afsløre ethvert chicanery.
Links
Download IPNetInfo fra Nirsoft
Anbefalede:
Hvad skal du gøre, hvis du ikke kan finde panelet Lag (eller et andet panel) i Photoshop
Photoshop er et utrolig fleksibelt program. For at holde grænsefladen fleksibel bruger Photoshop "Paneler" til hvert værktøj eller funktion.
Hvor kan du finde 4K-video til dit 4K-tv?
Hvis du har brugt de ekstra penge til et 4K tv, skærm eller bærbar computer, vil du nok have noget at se på det. Uheldigvis mangler flere år efter de første sæt på markedet, at vi stadig mangler i virkelige kilder til ultra-high-def videoindhold. Valgmulighederne er begrænsede: fra begyndelsen af 2017 er her online- og betalings-tv-tjenester, der tilbyder 4K-indhold.
Kan folk virkelig finde mig ved hjælp af billeder, jeg sender online?
Mens GPS-taggete fotos er praktiske for altid at vide, hvor du tog et billede, har placeringsdata, der er indlejret i fotos, foruroligende privatlivs- og sikkerhedsmæssige konsekvenser. Skulle du være bekymret for risikoen for at folk sporer dig ned via fotos, du sender online?
Sådan afinstalleres en iOS-app, du ikke kan finde på startskærmen
Der er en app, du vil afinstallere, men du kan ikke finde den på din startskærm. Hvis ikonet ser ud til at være forsvundet, hvordan skal du afinstallere appen? Ikke panik. Der er en anden måde.
Windows Sleep Study Tool hjælper dig med at finde ud af, hvad der dræner batteri
Windows Sleep Study i Windows 10 / 8.1 værktøj hjælper dig med at spore dit batteridrænse, når du er i dvaletilstand på et InstantGo-kompatibelt system. Det hjælper brugerne med at kende de subtile måder, hvorpå nogle aktiviteter kan påvirke batteriets levetid.