Kodėl verta apsvarstyti el. Laiško antraštę?
Tai labai geras klausimas. Iš esmės jūs niekada nereikės, nebent:
- Įtariate, kad el. Laiškas yra sukčiavimo bandymas ar klastojimas
- Jūs norite peržiūrėti informaciją apie maršrutą pagal el. Pašto kelią
- Jūs esate smalsus geek
Nepriklausomai nuo jūsų priežasčių skaityti el. Pašto antraštes iš tikrųjų yra gana paprasta ir gali būti labai atskleista.
Straipsnio pastaba: mūsų ekrano kopijoms ir duomenims mes naudosime "Gmail", bet beveik kiekvienas kitas pašto klientas turėtų pateikti tą pačią informaciją.
El. Laiško antraštės peržiūra
"Gmail" peržiūrėkite el. Laišką. Šiame pavyzdyje mes naudosime el. Laišką žemiau.
Pastaba: visame toliau esančiame antraštės antraštėje aš pakeičiau savo "Gmail" adresą, kad jis būtų rodomas kaip [email protected] ir mano išorinis el. pašto adresas, kuris bus rodomas kaip [email protected] ir [email protected] taip pat užmaskojo mano el. pašto serverių IP adresą.
Pateikta: [email protected] Įstojo: iki 10.60.14.3 su SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) Įstojo: 10.68.125.129 su SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Grįžimo kelias:
Kai skaitote el. Laiško antraštę, duomenys rodomi atvirkštine chronologine tvarka, taigi informacija viršuje yra naujausias įvykis. Todėl, jei norite atsekti el. Laišką nuo siuntėjo gavėjui, pradėkite apačioje. Išnagrinėję šio el. Laiško antraštes, galime pamatyti keletą dalykų.
Čia matome siuntėjo kliento sukurtą informaciją. Šiuo atveju el. Laiškas buvo išsiųstas iš "Outlook", taigi tai yra "Outlook" pridedamų metaduomenų.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Kitoje dalyje atsekamas kelias, kurį el. Laiškas siunčia iš siunčiančio serverio į paskirties serverį. Atminkite, kad šie veiksmai (arba apyniai) yra išvardyti atvirkščiai chronologine tvarka. Mes pridėjome atitinkamą numerį šalia kiekvieno apynio, kad pademonstruotume užsakymą. Atkreipkite dėmesį, kad kiekvienas apynynas rodo išsamią informaciją apie IP adresą ir atitinkamą atvirkštinio DNS vardą.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Nors tai yra gana pagarbus teisėtam el. Laiškui, ši informacija gali būti gana aiški, kai kalbama apie šlamštą ar sukčiavimą.
Žvalgymo el. Laiško tyrimas - 1 pavyzdys
Mūsų pirmasis sukčiavimo pavyzdys išnagrinės el. Laišką, kuris yra akivaizdus sukčiavimo bandymas. Tokiu atveju mes galime identifikuoti šį pranešimą kaip sukčiavimą tiesiog vizualiaisiais rodikliais, bet praktikoje mes pažvelgsime į įspėjamuosius ženklus antraštėse.
Pateikta: [email protected] Įstojo: pagal 10.60.14.3 su SMTP id l3csp12958oec; Pirmadienis, 5 Kovas 2012 23:11:29 -0800 (PST) Įstojo: 10.236.46.164 su SMTP id r24mr7411623yhb.101.1331017888982; Mon, 05 Mar 2012 23:11:28 -0800 (PST) Grįžimo kelias:
Pirmoji raudona žyma yra kliento informacijos srityje. Atminkite, kad metaduomenys pridėjo nuorodas "Outlook Express". Mažai tikėtina, kad "Visa" yra taip toli nuo to laiko, kai kas nors rankiniu būdu siunčia el. Laiškus, naudodamas 12 metų el. Pašto klientą.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Dabar tiriant pirmąjį nukreipimą el. Paštu atskleidžiama, kad siuntėjas buvo IP adresu 118.142.76.58, o jų el. Laiškas buvo perduotas per pašto serverį mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Peržiūrėdami IP informaciją naudodamiesi "Nirsoft" IPNetInfo įrankiu, matome, kad siuntėjas buvo Honkonge, o pašto serveris yra Kinijoje.
Likusi elektroninio pašto apynių padėtis šiuo atveju nėra tinkama, nes jie rodo, kad el. Laiškas grįžta į teisėtą serverio srautą, kol jis galutinai pristatomas.
Žvalgymo el. Laiško tyrimas - 2 pavyzdys
Pavyzdžiui, mūsų sukčiavimo laiškas yra daug labiau įtikinamas. Čia yra keli vizualiniai rodikliai, jei atrodysite pakankamai sunkiai, bet dar kartą šio straipsnio tikslais mes ketiname apriboti mūsų tyrimą el. Pašto antraštėmis.
Pateikta: [email protected] Įstojo: pagal 10.60.14.3 su SMTP id l3csp15619oec; Tue, 6 Mar 2012 04:27:20 -0800 (PST) Įstojo: 10.236.170.165 su SMTP id p25mr8672800yhl.123.1331036839870; Tue, 06 Mar 2012 04:27:19 -0800 (PST) Grįžimo kelias:
Šiame pavyzdyje pašto kliento programa nebuvo naudojama, o PHP scenarijus su šaltinio IP adresu 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Tačiau, kai mes pažvelgime į pirmąjį elektroninio pašto hopą, tai atrodo teisėtas, nes siunčiančio serverio domeno vardas atitinka el. Pašto adresą. Tačiau būk atsargus dėl to, kad šiukšlių dėžė galėtų lengvai įvardinti savo serverį "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Išnagrinėjus kitą žingsnį, šis korpusų namas sutrinamas. Galite pamatyti antrąjį šuolį (kur jis yra gautas teisėtu el. Pašto serveriu) išsiųsdamas serverį atgal į domeną "dynamic-pool-xxx.hcm.fpt.vn", o ne "intuit.com" su tuo pačiu IP adresu nurodytas PHP scenarijų.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
IP adreso informacijos peržiūra patvirtina įtarimą, kad pašto serverio vieta išsprendžiama atgal į Vietnamą.
Išvada
Peržiūrint el. Laiško antraštes tikriausiai nėra įprastų kasdienių poreikių, yra atvejų, kai juose esanti informacija gali būti gana vertinga. Kaip parodyta aukščiau, jūs galite visiškai lengvai identifikuoti siuntėjų maskuotą kaip kažką, ko jie nėra. Dėl labai gerai atlikto sukčiavimo, kai vizualūs ženklai yra įtikinami, labai sudėtinga (jei ne neįmanoma) įtakoti faktinius pašto serverius ir peržiūrinėti informaciją el. Pašto antraščių viduje gali greitai atskleisti bet kokią klaidą.
Nuorodos
Atsisiųskite IPNetInfo iš "Nirsoft"