מה אתה יכול למצוא בכותרת דואל?
בכל פעם שאתה מקבל הודעת דוא"ל, יש הרבה יותר מאשר עונה על העין. בעוד שאתה בדרך כלל רק לשים לב לכתובת, שורת הנושא ואת הגוף של ההודעה, יש הרבה יותר מידע זמין "מתחת למכסה המנוע" של כל דוא"ל אשר יכול לספק לך שפע של מידע נוסף.
למה להתבונן כותרת דוא"ל?
זו שאלה טובה מאוד. על פי רוב, אתה באמת לא צריך אי פעם אלא אם כן:
- אתה חושד שהודעת אימייל היא ניסיון התחזות או זיוף
- אתה רוצה להציג מידע ניתוב על הנתיב של הדוא"ל
- אתה חנון סקרן
ללא קשר הסיבות שלך, קריאת כותרות דוא"ל הוא למעשה די קל יכול להיות מאוד חושפני.
הערה על המאמר: עבור צילומי המסך והנתונים שלנו, אנו נשתמש ב- Gmail, אך כמעט כל לקוח דואר אחר יספק את אותו מידע גם כן.
הצגת כותרת הדוא"ל
ב- Gmail, הצג את האימייל. בדוגמה זו, נשתמש בדוא"ל למטה.
לאחר מכן לחץ על החץ בפינה הימנית העליונה ובחר באפשרות הצג מסמך מקור.
בחלון שנוצר יהיה את נתוני כותרת הדוא"ל בטקסט רגיל.
הערה: בכל נתוני כותרת הדוא"ל שאני מציג למטה שיניתי את כתובת Gmail שלי כדי להציג כ- [email protected] ואת כתובת הדוא"ל החיצוני שלי כדי להראות כמו [email protected] ו [email protected] כמו גם רעול כתובת ה- IP של שרתי הדוא"ל שלי.
מסירה אל: [email protected]
התקבל: על ידי 10.60.14.3 עם מזהה SMTP l3csp18666oec;
שלישי, 6 מרץ 2012 08:30:51 -0800 (PST)
התקבל: על ידי 10.68.125.129 עם SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
דרך חזרה:
התקבל: מ exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
על ידי mx.google.com עם מזהה SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Received-SPF: נייטרלי (google.com: 64.18.2.16 אינו מותר ולא נדחה על ידי שיא הניחושים הטוב ביותר עבור תחום של [email protected]) client-ip = 64.18.2.16;
אימות - תוצאות: mx.google.com; spf = neutral (google.com: 64.18.2.16 אינו מותר ולא נדחה על ידי הרשומה הטובה ביותר לנחלת תחום של [email protected]) [email protected]
התקבל: מ- mail.externalemail.com ([XXX.XXX.XXX.XXX]) (באמצעות TLSv1) על ידי exprod7ob119.postini.com ([64.18.6.12]) עם SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 מרץ 2012 08:30:50 PST
התקבל: מ- MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) על ידי
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) עם Mapi; יום שלישי, 6 מרץ
2012 11:30:48 -0500
מאת: ג 'ייסון Faulkner
אל: "[email protected]"
תאריך: יום שלישי, 6 מרץ 2012 11:30:48 -0500
נושא: זהו דוא"ל חוקי
נושא נושא: זהו דוא"ל לגיטימי
נושא-אינדקס: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
קבל שפה: en-US
שפת תוכן: en-US
X-MS-Has-Attach:
X-MS-TNEF-קורלאטור:
acceptlanguage: en-US
סוג תוכן: multipart / Alternative;
גבול = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME גרסה: 1.0
כאשר אתה קורא כותרת דוא"ל, הנתונים הם בסדר כרונולוגי הפוך, כלומר את המידע בראש הוא האירוע האחרון. לכן אם אתה רוצה לעקוב אחר הדוא"ל משולח לנמען, להתחיל בתחתית. בבדיקת הכותרות של הודעת האימייל הזו אנו יכולים לראות מספר דברים.
כאן אנו רואים מידע שנוצר על ידי הלקוח השולח. במקרה זה, הדוא"ל נשלח מ- Outlook אז זה מטא נתונים Outlook מוסיף.
מאת: ג 'ייסון Faulkner
אל: "[email protected]"
תאריך: יום שלישי, 6 מרץ 2012 11:30:48 -0500
נושא: זהו דוא"ל חוקי
נושא נושא: זהו דוא"ל לגיטימי
נושא-אינדקס: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
קבל שפה: en-US
שפת תוכן: en-US
X-MS-Has-Attach:
X-MS-TNEF-קורלאטור:
acceptlanguage: en-US
סוג תוכן: multipart / Alternative;
גבול = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME גרסה: 1.0
החלק הבא עוקב אחר הנתיב שאליו נלקח האימייל משרת השליחה אל שרת היעד. זכור כי שלבים אלה (או כשות) מופיעים בסדר כרונולוגי הפוך. יש לנו את המספר המתאים ליד כל הופ כדי להמחיש את הסדר. שים לב שכל הופ מציג פרטים על כתובת ה- IP ושם DNS הפוך בהתאמה.
מסירה אל: [email protected]
[6] התקבל: על ידי 10.60.14.3 עם מזהה SMTP l3csp18666oec;
שלישי, 6 מרץ 2012 08:30:51 -0800 (PST)
[5] התקבל: על ידי 10.68.125.129 עם SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
דרך חזרה:
[4] התקבל: מ exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
על ידי mx.google.com עם מזהה SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Received-SPF: נייטרלי (google.com: 64.18.2.16 אינו מותר ולא נדחה על ידי שיא הניחושים הטוב ביותר עבור תחום של [email protected]) client-ip = 64.18.2.16;
אימות - תוצאות: mx.google.com; spf = neutral (google.com: 64.18.2.16 אינו מותר ולא נדחה על ידי הרשומה הטובה ביותר לנחלת תחום של [email protected]) [email protected]
[2] התקבל: מ- mail.externalemail.com ([XXX.XXX.XXX.XXX]) (באמצעות TLSv1) על ידי exprod7ob119.postini.com ([64.18.6.12]) עם SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 מרץ 2012 08:30:50 PST
[1] התקבל: מ- MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) על ידי
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) עם Mapi; יום שלישי, 6 מרץ
2012 11:30:48 -0500
אמנם זה די משעמם עבור דוא"ל לגיטימי, מידע זה יכול להיות די מתי זה כשמדובר בבדיקת דואר זבל או הודעות דוא"ל התחזות.
בחינת דוא"ל התחזות - דוגמה 1
עבור דוגמת ההתחזות הראשונה שלנו, נבחן הודעת אימייל המהווה ניסיון פישינג ברור. במקרה זה נוכל לזהות את המסר הזה כמרמה פשוט על ידי המדדים החזותיים, אך בפועל אנו נסתכל על סימני האזהרה בתוך הכותרות.
מסירה אל: [email protected]
התקבל: על ידי 10.60.14.3 עם מזהה SMTP l3csp12958oec;
יום שני, 5 מרץ 2012 23:11:29 -0800 (PST)
התקבל: על ידי 10.236.46.164 עם מזהה SMTP r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
דרך חזרה:
התקבל: מ- ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
על ידי mx.google.com עם מזהה ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Received-SPF: נכשל (google.com: דומיין של [email protected] אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) client-ip = XXX.XXX.XXX.XXX;
אימות - תוצאות: mx.google.com; spf = hardfail (google.com: domain [email protected] אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) [email protected]
התקבל: עם מחבר Post Mailice MailEnable; Tue, 6 Mar 2012 02:11:20 -0500
התקבל: מאת mail.lovingtour.com ([211.166.9.218]) על ידי ms.externalemail.com עם MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
התקבל: מאת משתמש ([118.142.76.58])
על ידי mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
Message-ID:
להגיב ל:
מאת: "[email protected]"
נושא: הודעה
תאריך: שני, 5 מרץ 2012 21:20:57 +0800
MIME גרסה: 1.0
סוג תוכן: multipart / מעורב;
גבול = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Priority: רגיל
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: מיוצר על ידי מיקרוסופט
X-ME-Bayesian: 0.000000
הדגל האדום הראשון נמצא באזור מידע הלקוח. שים לב כאן המטא נתונים הוסיף הפניות Outlook Express. אין זה סביר כי ויזה הוא כה רחוק מאחורי פעמים כי יש להם מישהו באופן ידני שליחת הודעות דוא"ל באמצעות לקוח הדוא"ל בן 12 שנה.
להגיב ל:
מאת: "[email protected]"
נושא: הודעה
תאריך: שני, 5 מרץ 2012 21:20:57 +0800
MIME גרסה: 1.0
סוג תוכן: multipart / מעורב;
גבול = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Priority: רגיל
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: מיוצר על ידי מיקרוסופט
X-ME-Bayesian: 0.000000
עכשיו לבחון את הראשון הופ ב ניתוב דוא"ל מגלה כי השולח היה ממוקם בכתובת IP 118.142.76.58 ואת הדוא"ל שלהם הועבר באמצעות שרת הדואר mail.lovingtour.com.
התקבל: מאת משתמש ([118.142.76.58])
על ידי mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
מחפש את מידע ה- IP באמצעות השירות של Nirsoft IPNetInfo, אנו יכולים לראות את השולח היה ממוקם בהונג קונג שרת הדואר ממוקם בסין.
למותר לציין שזה קצת חשוד.
שאר הדלילות דוא"ל אינם רלוונטיים באמת במקרה זה כפי שהם מראים את הדוא"ל מקפץ סביב תעבורת שרת לגיטימי לפני סוף סוף נמסר.
בחינת דוא"ל התחזות - דוגמה 2
לדוגמה, הודעת ההתחזות שלנו היא הרבה יותר משכנעת. ישנם כמה אינדיקטורים חזותיים כאן אם אתה מסתכל מספיק חזק, אבל שוב למטרות מאמר זה אנחנו הולכים להגביל את החקירה שלנו כותרות הדוא"ל.
מסירה אל: [email protected]
התקבל: על ידי 10.60.14.3 עם מזהה SMTP l3csp15619oec;
שלישי, 6 מרץ 2012 04:27:20 -0800 (PST)
התקבל: על ידי 10.236.170.165 עם מזהה SMTP p25mr8672800yhl.123.1331036839870;
יום שלישי, 06 מרץ 2012 04:27:19 -0800 (PST)
דרך חזרה:
התקבל: מ- ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
על ידי mx.google.com עם מזהה ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
יום שלישי, 06 מרץ 2012 04:27:19 -0800 (PST)
Received-SPF: נכשל (google.com: דומיין של אבטחה @intuit.com אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) client-ip = XXX.XXX.XXX.XXX;
אימות - תוצאות: mx.google.com; spf = hardfail (google.com: דומיין של אבטחה @intuit.com אינו מציין את XXX.XXX.XXX.XXX כשולח מותר) [email protected]
התקבל: עם מחבר Post Mailice MailEnable; יום שלישי, 6 מרץ 2012 07:27:13 -0500
התקבל: מ- Dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) על ידי ms.externalemail.com עם MailEnable ESMTP; יום שלישי, 6 מרץ 2012 07:27:08 -0500
התקבלו: מ apache על ידי intuit.com עם מקומי (Exim 4.67)
(מעטפה מ)
id GJMV8N-8BERQW-93
ל ; יום שלישי, 6 מרץ 2012 19:27:05 +0700
ל:
נושא: חשבונית Intuit.com שלך.
X-PHP-Script: intuit.com/sendmail.php עבור 118.68.152.212
מאת: "אינטואיט INC".
X-Sender: "אינטואיט INC".
X-Mailer: PHP
X-Priority: 1
MIME גרסה: 1.0
סוג תוכן: multipart / Alternative;
גבול = "- 03060500702080404010506"
מזהה הודעה:
תאריך: שלישי, 6 מרץ 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
בדוגמה זו, יישום לקוח דואר לא היה בשימוש, אלא סקריפט PHP עם כתובת ה- IP של המקור של 118.68.152.212.
ל:
נושא: חשבונית Intuit.com שלך.
X-PHP-Script: intuit.com/sendmail.php עבור 118.68.152.212
מאת: "אינטואיט INC".
X-Sender: "אינטואיט INC".
X-Mailer: PHP
X-Priority: 1
MIME גרסה: 1.0
סוג תוכן: multipart / Alternative;
גבול = "- 03060500702080404010506"
מזהה הודעה:
תאריך: שלישי, 6 מרץ 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
עם זאת, כאשר אנו מסתכלים על דואר אלקטרוני הראשון הופ זה נראה חוקי כמו שם השרת של השרת שולח את כתובת הדוא"ל. עם זאת, להיזהר זה בתור מפיץ דואר זבל יכול בקלות שם השרת שלהם "intuit.com".
התקבלו: מ apache על ידי intuit.com עם מקומי (Exim 4.67)
(מעטפה מ)
id GJMV8N-8BERQW-93
ל ; יום שלישי, 6 מרץ 2012 19:27:05 +0700
בחינת השלב הבא מתפוררת בבית הקלפים הזה. אתה יכול לראות את הופ השני (שם הוא התקבל על ידי שרת דוא"ל לגיטימי) פותר את שליחת השרת בחזרה לתחום "Dynamic-pool-xxx.hcm.fpt.vn", לא "intuit.com" עם אותה כתובת IP שצוין ב PHP סקריפט.
התקבל: מ- Dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) על ידי ms.externalemail.com עם MailEnable ESMTP; יום שלישי, 6 מרץ 2012 07:27:08 -0500
הצגת הפרטים של כתובת ה- IP מאשרת את החשד מפני שמיקום שרת הדואר חוזר לווייטנאם.
בעוד דוגמה זו היא קצת יותר חכם, אתה יכול לראות כמה מהר הונאה מתגלה רק עם קצת חקירה.
סיכום
בעת הצגת כותרות דוא"ל כנראה לא חלק היום שלך יום טיפוסי הצרכים, ישנם מקרים שבהם המידע הכלול בהם יכול להיות בעל ערך רב. כפי שהראנו לעיל, אתה יכול בקלות לזהות שולחים מתחזים כמו משהו שהם לא. עבור הונאה מבוצעת היטב שבו רמזים חזותיים משכנעים, זה קשה מאוד (אם לא בלתי אפשרי) לחקות את שרתי הדואר בפועל ולסקור את המידע בתוך כותרות הדוא"ל יכול במהירות לחשוף כל chicery.
קישורים
הורד IPNetInfo מ Nirsoft