Co najdete v hlavičce e-mailu?
Vždy, když obdržíte e-mail, je mnohem víc, než kolik odpovídá oku. Zatímco typicky věnujete pozornost pouze adresě, předmětu a textu zprávy, je k dispozici mnoho informací "pod kapucí" každého e-mailu, který vám může poskytnout mnoho dalších informací.
Proč se obtěžovat na záhlaví e-mailu?
To je velmi dobrá otázka. Z větší části byste opravdu nikdy nemuseli, pokud:
- Máte podezření, že e-mail je pokus o phishing nebo spoofing
- Chcete zobrazit informace o směrování na cestě e-mailu
- Jsi zvědavý geek
Bez ohledu na vaše důvody je čtení záhlaví e-mailu docela snadné a může být velmi odhalující.
Poznámka k článku: Pro snímky obrazovky a data použijeme službu Gmail, ale prakticky každý jiný poštovní klient by měl poskytnout tytéž informace.
Prohlížení záhlaví e-mailu
V Gmailu zobrazte e-mail. V tomto příkladu použijeme níže uvedený e-mail.
Poté klikněte na šipku v pravém horním rohu a vyberte Zobrazit původní.
Výsledné okno bude obsahovat údaje hlavičky e-mailu v prostém textu.
Poznámka: Ve všech hlavičkových datech e-mailu, které zobrazuji níže, jsem změnil svou adresu Gmail tak, aby se zobrazil jako [email protected] a moje externí e - mailová adresa se zobrazí jako [email protected] a [email protected] stejně jako maskování IP adresy mých e-mailových serverů.
Odesláno do: [email protected]
Přijato: v 10.60.14.3 s SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Přijato: o 10.68.125.129 s identifikátorem SMTP mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Zpáteční cesta:
Obdržel: z exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com s identifikátorem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Přijata-SPF: neutrální (google.com: 64.18.2.16 není povolen ani popřen nejlepším házením záznamu pro doménu [email protected]) client-ip = 64.18.2.16;
Autentizace-Výsledky: mx.google.com; spf = neutrální (google.com: 64.18.2.16 není povolen ani popřen podle nejlepšího hádaného záznamu pro doménu [email protected]) [email protected]
Přijato: z mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomocí TLSv1) pomocí exprod7ob119.postini.com ([64.18.6.12]) pomocí protokolu SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
Obdrženo: z MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapi; Út, 6
2012 11:30:48 -0500
Od: Jason Faulkner
Komu: "[email protected]"
Datum: Út, 6 Mar 2012 11:30:48 -0500
Předmět: Toto je legitimní e-mail
Téma tématu: Toto je legitimní e-mail
Index vlákna: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID zprávy:
Accept-Jazyk: en-US
Jazyk obsahu: en-US
X-MS-Has-Attach:
X-MS-TNEF-Korelátor:
acceptlanguage: en-US
Typ obsahu: vícenásobná / alternativní;
border = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Verze MIME: 1.0
Když čtete hlavičku e-mailu, data jsou v obráceném chronologickém pořadí, což znamená, že informace v horní části jsou poslední událostí. Pokud chcete sledovat e-mail od odesílatele k příjemci, začněte v dolní části. Při zkoumání záhlaví tohoto e-mailu můžeme vidět několik věcí.
Zde vidíme informace generované odesílajícím klientem. V tomto případě byl e-mail odeslán z aplikace Outlook, takže se jedná o metadata aplikace Outlook přidává.
Od: Jason Faulkner
Komu: "[email protected]"
Datum: Út, 6 Mar 2012 11:30:48 -0500
Předmět: Toto je legitimní e-mail
Téma tématu: Toto je legitimní e-mail
Index vlákna: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID zprávy:
Accept-Jazyk: en-US
Jazyk obsahu: en-US
X-MS-Has-Attach:
X-MS-TNEF-Korelátor:
acceptlanguage: en-US
Typ obsahu: vícenásobná / alternativní;
border = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Verze MIME: 1.0
Další část sleduje cestu, kterou se e-mail odešle z odesílajícího serveru na cílový server. Mějte na paměti, že tyto kroky (nebo chmel) jsou uvedeny v obráceném chronologickém pořadí. Do objednávky jsme umístili příslušné číslo vedle každého chmele. Všimněte si, že každý hop zobrazuje podrobnosti o adrese IP a příslušném DNS názvu.
Odesláno do: [email protected]
[6] Přijato: v 10.60.14.3 s SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Přijato: o 10.68.125.129 s identifikátorem SMTP mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Zpáteční cesta:
[4] Obdržel: z exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
od mx.google.com s identifikátorem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Přijata-SPF: neutrální (google.com: 64.18.2.16 není povolen ani popřen nejlepším házením záznamu pro doménu [email protected]) client-ip = 64.18.2.16;
Autentizace-Výsledky: mx.google.com; spf = neutrální (google.com: 64.18.2.16 není povolen ani popřen podle nejlepšího hádaného záznamu pro doménu [email protected]) [email protected]
[2] Přijato: z mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomocí TLSv1) pomocí exprod7ob119.postini.com ([64.18.6.12]) pomocí protokolu SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
[1] Obdrženo: z MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapi; Út, 6
2012 11:30:48 -0500
Zatímco to je docela normální pro legitimní e-mail, tyto informace mohou být velmi řečeno, pokud jde o zkoumání spamu nebo phishing e-maily.
Zkoumání phishingového e-mailu - příklad 1
Pro náš první příklad phishingu budeme zkoumat e-mail, který je zjevným pokusem o phishing. V tomto případě bychom tuto zprávu mohli označit jako podvod jednoduše vizuálními indikátory, ale pro praxi se podíváme na varovné značky v hlavičkách.
Odesláno do: [email protected]
Přijato: 10.60.14.3 s identifikátorem SMTP id l3csp12958oec;
Po, 5 Mar 2012 23:11:29 -0800 (PST)
Přijato: 10.236.46.164 s SMTP id r24mr7411623yhb.101.1331017888982;
Po, 05 Mar 2012 23:11:28 -0800 (PST)
Zpáteční cesta:
Obdrženo: z ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
od mx.google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Po, 05 Mar 2012 23:11:28 -0800 (PST)
Přijata-SPF: selhání (google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX jako povoleného odesílatele) client-ip = XXX.XXX.XXX.XXX;
Autentizace-Výsledky: mx.google.com; spf = hardfail (google.com: doména [email protected] nenahládí XXX.XXX.XXX.XXX jako oprávněného odesílatele) [email protected]
Bylo přijato: s MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
Bylo přijato: z mail.lovingtour.com ([211.166.9.218]) ms.externalemail.com s MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
Obdrženo: od uživatele ([118.142.76.58])
mail.lovingtour.com
; Po, 5 Mar 2012 21:38:11 +0800
ID zprávy:
Odpovědět:
Od: "[email protected]"
Předmět: Upozornění
Datum: Po, 5 Mar 2012 21:20:57 +0800
Verze MIME: 1.0
Obsahový typ: vícenásobný / smíšený;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorita X: 3
Priorita X-MSMail: Normální
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Vyrobeno společností Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
První červená vlajka je v oblasti informací o klientovi. Všimněte si, že reference přidané metadata odkazuje na aplikaci Outlook Express. Je nepravděpodobné, že Visa je tak daleko za časy, kdy někdo ručně posílá e-maily pomocí 12letého e-mailového klienta.
Odpovědět:
Od: "[email protected]"
Předmět: Upozornění
Datum: Po, 5 Mar 2012 21:20:57 +0800
Verze MIME: 1.0
Obsahový typ: vícenásobný / smíšený;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorita X: 3
Priorita X-MSMail: Normální
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Vyrobeno společností Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Nyní zkoumáním prvního hopu v směrování e-mailu se zjistí, že odesílatel byl umístěn na IP adrese 118.142.76.58 a jejich e-mail byl přesměrován přes poštovní server mail.lovingtour.com.
Obdrženo: od uživatele ([118.142.76.58])
mail.lovingtour.com
; Po, 5 Mar 2012 21:38:11 +0800
Při vyhledávání informací IP pomocí nástroje IPNetInfo společnosti Nirsoft vidíme, že odesílatel se nachází v Hongkongu a poštovní server se nachází v Číně.
Netřeba dodávat, že je to trochu podezřelé.
Zbytek e-mailového chmele není v tomto případě opravdu důležitý, protože ukazují, že e-mail se před konečným doručením.
Zkoumání phishingového e-mailu - příklad 2
Pro tento příklad je náš phishing e-mail mnohem přesvědčivější. Zde je několik vizuálních indikátorů, pokud se budete dívat dost tvrdě, ale opět pro účely tohoto článku budeme omezovat naše vyšetřování na e-mailové hlavičky.
Odesláno do: [email protected]
Přijato: 10.60.14.3 s SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Přijato: 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Zpáteční cesta:
Obdrženo: z ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
od mx.google.com s ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Přijata-SPF: selhání (google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX jako povoleného odesílatele) client-ip = XXX.XXX.XXX.XXX;
Autentizace-Výsledky: mx.google.com; spf = hardfail (google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX jako povoleného odesílatele) [email protected]
Bylo přijato: s MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
Bylo přijato: z dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com s MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Obdrženo: z apache od intuit.com s lokálním (Exim 4.67)
(obálka-od)
id GJMV8N-8BERQW-93
pro ; Tue, 6 Mar 2012 19:27:05 +0700
Na:
Předmět: Vaše faktury Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pro 118.68.152.212
Z: "INTUIT INC."
X-odesílatel: "INTUIT INC."
X-Mailer: PHP
Priorita X: 1
Verze MIME: 1.0
Typ obsahu: vícenásobná / alternativní;
hranice = "- 03060500702080404010506"
ID zprávy:
Datum: Út, 6 Bře 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
V tomto příkladu nebyla použita aplikace poštovního klienta, spíše skript PHP se zdrojovou adresou IP 118.68.152.212.
Na:
Předmět: Vaše faktury Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pro 118.68.152.212
Z: "INTUIT INC."
X-odesílatel: "INTUIT INC."
X-Mailer: PHP
Priorita X: 1
Verze MIME: 1.0
Typ obsahu: vícenásobná / alternativní;
hranice = "- 03060500702080404010506"
ID zprávy:
Datum: Út, 6 Bře 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
Když se však podíváme na první e-mailovou schránku, zdá se, že je legit jako název domény vysílajícího serveru, který odpovídá e-mailové adrese. Buďte však opatrní, protože spammer mohl snadno pojmenovat svůj server "intuit.com".
Obdrženo: z apache od intuit.com s lokálním (Exim 4.67)
(obálka-od)
id GJMV8N-8BERQW-93
pro ; Tue, 6 Mar 2012 19:27:05 +0700
Zkoumání dalšího kroku rozdrtí tento dům z karet. Můžete vidět, že druhý hop (kde je přijat legitimním e-mailovým serverem) řeší odesílající server zpět na doménu "dynamic-pool-xxx.hcm.fpt.vn", ne "intuit.com" se stejnou IP adresou uvedeno v PHP skriptu.
Bylo přijato: z dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com s MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Zobrazení informací o adrese IP potvrzuje podezření, protože umístění poštovního serveru se vrátí zpět do Vietnamu.
Zatímco tento příklad je trochu chytřejší, můžete vidět, jak rychle je podvod odhalen, a to jen s trochou šetření.
Závěr
Zatímco prohlížení hlaviček e-mailů pravděpodobně není součástí vašich typických každodenních potřeb, existují případy, kdy informace obsažené v nich mohou být velmi cenné. Jak jsme ukázali výše, můžete snadno identifikovat odesílatele, kteří se skládají za něco, co nejsou. Pro velmi dobře provedený podvod, kdy jsou vizuální náznaky přesvědčivé, je extrémně obtížné (ne-li nemožné) vydávat se za skutečné poštovní servery a prohlížení informací uvnitř hlaviček e-mailů může rychle odhalit jakýkoli šikanování.
Odkazy
Stáhněte si IPNetInfo od společnosti Nirsoft