Homepage » hogyan kell » Mit találhat egy e-mail fejlécben?

    Mit találhat egy e-mail fejlécben?

    Ha kap egy e-mailt, akkor sokkal több van, mint a szem. Bár általában csak az üzenet címét, tárgykört és testét figyeli, minden e-mailben sok további információ áll rendelkezésre a „burkolat alatt”, amelyek rengeteg további információt nyújtanak Önnek.

    Miért zavarja az e-mail fejlécet?

    Ez egy nagyon jó kérdés. A legtöbb esetben tényleg nem kellene, ha nem:

    • Gyanítod, hogy egy e-mail adathalász kísérlet vagy csalás
    • Az útválasztási információkat az e-mail útján szeretné megtekinteni
    • Kíváncsi geek

    Függetlenül attól, hogy miért, az e-mail fejlécek olvasása valóban meglehetősen egyszerű, és nagyon feltűnő lehet.

    Cikk Megjegyzés: Képernyőképeink és adataink esetében a Gmailet fogjuk használni, de gyakorlatilag minden más levelező kliensnek meg kell adnia ezt az információt is.

    Az e-mail fejléc megtekintése

    A Gmailben nézze meg az e-mailt. Ebben a példában az alábbi e-mailt fogjuk használni.

    Ezután kattintson a jobb felső sarokban lévő nyílra, és válassza az Eredeti megjelenítése lehetőséget.

    A kapott ablakban az e-mail fejléc adatok egyszerű szövegben lesznek.

    Megjegyzés: Az alább látható összes e-mail fejlécadatban megváltoztattam a Gmail címemet, hogy megjelenjenek [email protected] és a külső e-mail címem [email protected] és [email protected] valamint elrejtette az e-mail szervereim IP-címét.

    Szállított: [email protected]
    Fogadott: 10.60.14.3-mal az SMTP-azonosítóval: l3csp18666oec;
    2012. március 6. 08:30:51 -0800 (PST)
    Fogadott: 10.68.125.129 SMTP azonosítóval mq1mr1963003pbb.21.1331051451044;
    2012. március 6. 08:30:51 -0800 (PST)
    Visszatérési útvonal:
    Fogadott: az exprod7og119.obsmtp.com címen (exprod7og119.obsmtp.com. [64.18.2.16])
    által mx.google.com az SMTP azonosítóval l7si25161491pbd.80.2012.03.06.08.30.49;
    2012. március 6. 08:30:50 -0800 (PST)
    Fogadott-SPF: semleges (google.com: 64.18.2.16 nem engedélyezett és nem tagadható meg a [email protected] domain domain legjobb találati rekordja) kliens-ip = 64.18.2.16;
    Hitelesítési eredmények: mx.google.com; spf = neutrális (google.com: 64.18.2.16 nem engedélyezett és nem tagadható meg a [email protected] domain legjobb találati rekordja alapján) [email protected]
    Fogadott: mail.externalemail.com ([XXX.XXX.XXX.XXX]) (a TLSv1 használatával) az exprod7ob119.postini.com ([64.18.6.12]) és az SMTP között
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; 2012. március 06. 08:30:50 PST
    Fogadott: a MYSERVER.myserver.local-ból ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) mapi; Március 6-án
    2012 11:30:48 -0500
    Jason Faulkner
    Címzett: „[email protected]
    Dátum: 2012. március 6. 11:30:48 -0500
    Tárgy: Ez egy legit email
    Téma-téma: Ez egy legit email
    Témaindex: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Üzenet-ID:
    Elfogad-Nyelv: en-US
    Tartalom-nyelv: en-US
    X-MS-Has-csatolása:
    X-MS-TNEF-Correlator:
    elfogadható nyelv: en-US
    Tartalom-típus: többrészes / alternatív;
    boundary =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-verzió: 1.0

    E-mail fejléc olvasásakor az adatok fordított időrendi sorrendben jelennek meg, ami azt jelenti, hogy a legfelső esemény az utolsó esemény. Ebből kifolyólag, ha az e-mailt a feladótól a címzetthez kívánja nyomon követni, kezdje az alján. Az e-mailek fejlécét vizsgálva több dolgot is láthatunk.

    Itt a küldő ügyfél által generált információkat látjuk. Ebben az esetben az e-mailt az Outlookról küldték, így ez az Outlook által hozzáadott metaadatok.

    Jason Faulkner
    Címzett: „[email protected]
    Dátum: 2012. március 6. 11:30:48 -0500
    Tárgy: Ez egy legit email
    Téma-téma: Ez egy legit email
    Témaindex: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Üzenet-ID:
    Elfogad-Nyelv: en-US
    Tartalom-nyelv: en-US
    X-MS-Has-csatolása:
    X-MS-TNEF-Correlator:
    elfogadható nyelv: en-US
    Tartalom-típus: többrészes / alternatív;
    boundary =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-verzió: 1.0

    A következő rész nyomon követi azt az utat, amellyel az e-mail a küldő szerverről a célkiszolgálóra kerül. Ne feledje, hogy ezek a lépések (vagy a komló) fordított időrendben vannak felsorolva. A rendelés ábrázolásához minden egyes ugrás mellé helyeztük el a megfelelő számot. Ne feledje, hogy minden egyes ugrás az IP-cím és a megfelelő DNS-név részleteit mutatja.

    Szállított: [email protected]
    [6] Fogadott: 10.60.14.3-mal az SMTP-azonosítóval: l3csp18666oec;
    2012. március 6. 08:30:51 -0800 (PST)
    [5] Fogadott: 10.68.125.129 SMTP azonosítóval mq1mr1963003pbb.21.1331051451044;
    2012. március 6. 08:30:51 -0800 (PST)
    Visszatérési útvonal:
    [4] Fogadott: az exprod7og119.obsmtp.com címen (exprod7og119.obsmtp.com. [64.18.2.16])
    által mx.google.com az SMTP azonosítóval l7si25161491pbd.80.2012.03.06.08.30.49;
    2012. március 6. 08:30:50 -0800 (PST)
    [3] Fogadott-SPF: semleges (google.com: 64.18.2.16 nem engedélyezett és nem tagadható meg a [email protected] domain domain legjobb találati rekordja) kliens-ip = 64.18.2.16;
    Hitelesítési eredmények: mx.google.com; spf = neutrális (google.com: 64.18.2.16 nem engedélyezett és nem tagadható meg a [email protected] domain legjobb találati rekordja alapján) [email protected]
    [2] Fogadott: mail.externalemail.com ([XXX.XXX.XXX.XXX]) (a TLSv1 használatával) az exprod7ob119.postini.com ([64.18.6.12]) és az SMTP között
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; 2012. március 06. 08:30:50 PST
    [1] Fogadott: a MYSERVER.myserver.local-ból ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) mapi; Március 6-án
    2012 11:30:48 -0500

    Bár ez igazi hétköznapi egy legitim e-mailhez, ez az információ meglehetősen elmondható, amikor a levélszemét vagy az adathalász e-maileket vizsgálja..

    Adathalász e-mailek vizsgálata - 1. példa

    Az első adathalász példa esetében egy olyan e-mailt fogunk megvizsgálni, amely nyilvánvaló adathalász kísérlet. Ebben az esetben ezt az üzenetet csalásnak tekinthetjük egyszerűen a vizuális indikátorok segítségével, de a gyakorlatban a fejlécen lévő figyelmeztető jeleket vesszük szemügyre..

    Szállított: [email protected]
    Fogadott: 10.60.14.3-nál SMTP-azonosítóval l3csp12958oec;
    2012. március 5. 23:11:29 -0800 (PST)
    Fogadott: 10.236.46.164 SMTP azonosítóval r24mr7411623yhb.101.1331017888982;
    2012. március 5. 23:11:28 -0800 (PST)
    Visszatérési útvonal:
    Fogadott: ms.externalemail.com címen (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    által mx.google.com az ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
    2012. március 5. 23:11:28 -0800 (PST)
    Fogadott-SPF: sikertelen (google.com: a [email protected] domainje nem jelölte meg a XXX.XXX.XXX.XXX-et engedélyezett küldőként) client-ip = XXX.XXX.XXX.XXX;
    Hitelesítési eredmények: mx.google.com; spf = hardfail (google.com: a [email protected] domainje nem jelölte meg a XXX.XXX.XXX.XXX-et engedélyezett küldőnek) [email protected]
    Fogadott: MailEnable Postoffice csatlakozóval; 2012. március 6. 02:11:20 -0500
    Fogadott: mail.lovingtour.com ([211.166.9.218]) -tól ms.externalemail.com a MailEnable ESMTP; 2012. március 6. 02:11:10 -0500
    Fogadott: a felhasználótól ([118.142.76.58])
    a mail.lovingtour.com oldalon
    ; 2012. március 5. 21:38:11 +0800
    Üzenet-ID:
    Válaszolni:
    Feladó: “[email protected]
    Tárgy: Közlemény
    Dátum: 2012. március 5., 21:20:57 +0800
    MIME-verzió: 1.0
    Tartalom-típus: multipart / vegyes;
    boundary =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-prioritás: 3
    X-MSMail-prioritás: Normál
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Készítette: Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Az első piros zászló az ügyfél információs területén található. Figyelem itt a metaadatok hozzáadott hivatkozások az Outlook Express. Valószínűtlen, hogy a Visa olyan messze van azon időktől, amikor valaki manuálisan küldött e-mailt egy 12 éves e-mail kliens segítségével.

    Válaszolni:
    Feladó: “[email protected]
    Tárgy: Közlemény
    Dátum: 2012. március 5., 21:20:57 +0800
    MIME-verzió: 1.0
    Tartalom-típus: multipart / vegyes;
    boundary =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-prioritás: 3
    X-MSMail-prioritás: Normál
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Készítette: Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Most az e-mail útválasztásban az első ugrást vizsgálva kiderül, hogy a feladó az IP-cím 118.142.76.58-on található, és e-mailjeiket a mail.lovingtour.com e-mail szerverrel továbbították..

    Fogadott: a felhasználótól ([118.142.76.58])
    a mail.lovingtour.com oldalon
    ; 2012. március 5. 21:38:11 +0800

    A Nirsoft IPNetInfo segédprogramját használó IP-információk felkutatásával láthatjuk, hogy a feladó Hong Kongban található, és a levelezőszerver Kínában található.

    Mondanom sem kell, hogy ez egy kicsit gyanús.

    A többi e-mail komló nem igazán releváns ebben az esetben, mivel azok az e-maileket mutatják be, amelyek a legális szerverforgalom felé ugrálnak, mielőtt végül beérkeznek.

    Adathalász e-mailek vizsgálata - 2. példa

    Ebben a példában az adathalász e-mailünk sokkal meggyőzőbb. Néhány vizuális jelző itt van, ha elég keménynek tűnik, de a cikk céljaira ismételten az e-mail fejlécekre korlátozzuk a vizsgálatunkat.

    Szállított: [email protected]
    Fogadott: 10.60.14.3-mal az SMTP-azonosítóval: l3csp15619oec;
    2012. március 6. 04:27:20 -0800 (PST)
    Fogadott: 10.236.170.165 SMTP azonosítóval p25mr8672800yhl.123.1331036839870;
    2012. március 06. 04:27:19 -0800 (PST)
    Visszatérési útvonal:
    Fogadott: ms.externalemail.com címen (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    által mx.google.com az ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
    2012. március 06. 04:27:19 -0800 (PST)
    Fogadott-SPF: sikertelen (google.com: [email protected] domain nem jelöl meg XXX.XXX.XXX.XXX engedélyezett küldőként) client-ip = XXX.XXX.XXX.XXX;
    Hitelesítési eredmények: mx.google.com; spf = hardfail (google.com: a [email protected] domainje nem jelöl meg XXX.XXX.XXX.XXX-et engedélyezett küldőnek) [email protected]
    Fogadott: MailEnable Postoffice csatlakozóval; 2012. március 6. 07:27:13 -0500
    Fogadott: dinamikus-pool-xxx.hcm.fpt.vn ([118.68.152.212]) -tól ms.externalemail.com a MailEnable ESMTP-vel; 2012. március 6. 07:27:08 -0500
    Fogadott: az apache-tól az intuit.com-tól a helyi (Exim 4.67)
    (boríték)
    id GJMV8N-8BERQW-93
    mert; 2012. március 6. 19:27:05 +0700
    Nak nek:
    Tárgy: Az Intuit.com számla.
    X-PHP-Script: intuit.com/sendmail.php a 118.68.152.212 számára
    Feladó: “INTUIT INC.”
    X-Sender: „INTUIT INC.”
    X-Mailer: PHP
    X-prioritás: 1
    MIME-verzió: 1.0
    Tartalom-típus: többrészes / alternatív;
    boundary =”- 03060500702080404010506"
    Message-Id:
    Dátum: 2012. március 6. 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Ebben a példában egy e-mail kliensalkalmazást nem használtunk, hanem egy PHP szkriptet, amelynek forrás IP címe 118.68.152.212.

    Nak nek:
    Tárgy: Az Intuit.com számla.
    X-PHP-Script: intuit.com/sendmail.php a 118.68.152.212 számára
    Feladó: “INTUIT INC.”
    X-Sender: „INTUIT INC.”
    X-Mailer: PHP
    X-prioritás: 1
    MIME-verzió: 1.0
    Tartalom-típus: többrészes / alternatív;
    boundary =”- 03060500702080404010506"
    Message-Id:
    Dátum: 2012. március 6. 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Ha azonban megnézzük az első e-mailt, úgy tűnik, hogy legitimnek tűnik, mivel a küldő szerver domain neve megegyezik az e-mail címmel. Ennek ellenére ügyeljen arra, hogy a spammer könnyen nevezhesse szerverét "intuit.com".

    Fogadott: az apache-tól az intuit.com-tól a helyi (Exim 4.67)
    (boríték)
    id GJMV8N-8BERQW-93
    mert; 2012. március 6. 19:27:05 +0700

    A következő lépést vizsgálva a kártyák háza összeomlik. Láthatjuk, hogy a második ugrás (ahol a jogos e-mail szerver megkapta) megoldja a küldő kiszolgálót a „dynamic-pool-xxx.hcm.fpt.vn” tartományba, nem ugyanazzal az IP-címmel. a PHP szkriptben.

    Fogadott: dinamikus-pool-xxx.hcm.fpt.vn ([118.68.152.212]) -tól ms.externalemail.com a MailEnable ESMTP-vel; 2012. március 6. 07:27:08 -0500

    Az IP-cím információinak megtekintése megerősíti a gyanút, hogy a levelezőszerver helyzete visszaáll Vietnamba.

    Bár ez a példa egy kicsit okosabb, láthatod, hogy a csalás milyen gyorsan feltáródik, csak egy kis vizsgálattal.

    Következtetés

    Bár az e-mail fejlécek megtekintése valószínűleg nem része a szokásos napi igényeknek, vannak olyan esetek, amikor az ezekben található információk elég értékesek lehetnek. Amint azt a fentiekben bemutattuk, meglehetősen könnyen azonosíthatod a küldőket, akiket nem veszítenek el. Egy nagyon jól végrehajtott átveréshez, ahol a vizuális jelek meggyőzőek, rendkívül nehéz (ha nem lehetetlen) tényleges e-mail szerverek megszemélyesítése, és az e-mail fejlécek belsejében lévő információk felülvizsgálata gyorsan felfedezhet bármilyen.

    linkek

    Töltse le az IPNetInfo-t a Nirsoft-tól