Hjemmeside » hvordan » Hvad kan du finde i en Email Header?

    Hvad kan du finde i en Email Header?

    Når du modtager en e-mail, er der meget mere til det end opfylder øjet. Mens du typisk kun er opmærksom på adressen, emnelinjen og emnet i meddelelsen, er der meget mere information tilgængelig "under emnet" i hver e-mail, der kan give dig et væld af yderligere oplysninger.

    Hvorfor gider ser på en e-mail-overskrift?

    Dette er et meget godt spørgsmål. For det meste ville du virkelig aldrig have brug for, medmindre:

    • Du har mistanke om, at en e-mail er et phishing-forsøg eller en spoof
    • Du vil se ruteoplysninger på e-mailens sti
    • Du er en nysgerrig geek

    Uanset dine grunde er læsning af e-mail-overskrifter faktisk ret nemt og kan være meget afslørende.

    Artikel Note: For vores skærmbilleder og data bruger vi Gmail, men næsten alle andre postklienter skal også give samme information.

    Visning af e-mail-overskriften

    I Gmail kan du se e-mailen. I dette eksempel bruger vi e-mailen nedenfor.

    Klik derefter på pilen i øverste højre hjørne og vælg Vis original.

    Det resulterende vindue vil have e-mail header data i almindelig tekst.

    Bemærk: I alle e-mail header data jeg viser nedenfor har jeg ændret min Gmail-adresse for at vise som [email protected] og min eksterne e-mail-adresse for at vise som [email protected] og [email protected] samt maskeret IP-adressen på mine e-mail-servere.

    Leveret til: [email protected]
    Modtaget: ved 10.60.14.3 med SMTP id l3csp18666oec;
    Tirsdag, 6 mar 2012 08:30:51 -0800 (PST)
    Modtaget: ved 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044;
    Tirsdag, 06 mar 2012 08:30:51 -0800 (PST)
    Retur-Path:
    Modtaget: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    af mx.google.com med SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
    Tirsdag, 06 mar 2012 08:30:50 -0800 (PST)
    Modtaget-SPF: Neutral (google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected]) client-ip = 64.18.2.16;
    Autentificeringsresultater: mx.google.com; spf = neutral (google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess record for domæne af [email protected]) [email protected]
    Modtaget: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjælp af TLSv1) af exprod7ob119.postini.com ([64.18.6.12]) med SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    Modtaget: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) af
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tirsdag, 6 Mar
    2012 11:30:48 -0500
    Fra: Jason Faulkner
    Til: "[email protected]"
    Dato: tirsdag, 6 mar 2012 11:30:48 -0500
    Emne: Dette er en legitim email
    Tråd-emne: Dette er en legitim email
    Trådindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Message-ID:
    Accept-Language: en-US
    Indholdssprog: en-US
    X-MS-Har-Vedhæft:
    X-MS-TNEF-Korrelator:
    accept sprog: en-amerikansk
    Indholdstype: multipart / alternativ;
    grænse =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-Version: 1.0

    Når du læser en mail header, er dataene i omvendt kronologisk rækkefølge, hvilket betyder at informationen øverst er den seneste begivenhed. Derfor, hvis du vil spore e-mail fra afsender til modtager, skal du starte nederst. Ved at undersøge overskrifterne i denne email kan vi se flere ting.

    Her ses oplysninger genereret af afsendende klient. I dette tilfælde blev emailen sendt fra Outlook, så dette er metadata Outlook tilføjer.

    Fra: Jason Faulkner
    Til: "[email protected]"
    Dato: tirsdag, 6 mar 2012 11:30:48 -0500
    Emne: Dette er en legitim email
    Tråd-emne: Dette er en legitim email
    Trådindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Message-ID:
    Accept-Language: en-US
    Indholdssprog: en-US
    X-MS-Har-Vedhæft:
    X-MS-TNEF-Korrelator:
    accept sprog: en-amerikansk
    Indholdstype: multipart / alternativ;
    grænse =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-Version: 1.0

    Den næste del sporer den vej, e-mailen tager fra afsendelsesserveren til destinationsserveren. Husk på, at disse trin (eller humle) er angivet i omvendt kronologisk rækkefølge. Vi har placeret det respektive nummer ved siden af ​​hvert hop for at illustrere ordren. Bemærk at hvert hop viser detaljer om IP-adressen og det respektive omvendte DNS-navn.

    Leveret til: [email protected]
    [6] Modtaget: ved 10.60.14.3 med SMTP id l3csp18666oec;
    Tirsdag, 6 mar 2012 08:30:51 -0800 (PST)
    [5] Modtaget: ved 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044;
    Tirsdag, 06 mar 2012 08:30:51 -0800 (PST)
    Retur-Path:
    [4] Modtaget: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    af mx.google.com med SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
    Tirsdag, 06 mar 2012 08:30:50 -0800 (PST)
    [3] Modtaget-SPF: Neutral (google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected]) client-ip = 64.18.2.16;
    Autentificeringsresultater: mx.google.com; spf = neutral (google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess record for domæne af [email protected]) [email protected]
    [2] Modtaget: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjælp af TLSv1) af exprod7ob119.postini.com ([64.18.6.12]) med SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    [1] Modtaget: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) af
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tirsdag, 6 Mar
    2012 11:30:48 -0500

    Selvom dette er ret almindeligt for en legitim email, kan disse oplysninger ret fortælle, når det kommer til at undersøge spam- eller phishing-e-mails.

    Undersøgelse af en phishing-mail - eksempel 1

    For vores første phishing-eksempel undersøger vi en e-mail, som er et oplagt phishing-forsøg. I dette tilfælde kunne vi identificere denne besked som et svindel blot ved de visuelle indikatorer, men for øvelse vil vi se på advarselsskiltene i overskrifterne.

    Leveret til: [email protected]
    Modtaget: ved 10.60.14.3 med SMTP id l3csp12958oec;
    Ma, 5 mar 2012 23:11:29 -0800 (PST)
    Modtaget: ved 10.236.46.164 med SMTP id r24mr7411623yhb.101.1331017888982;
    Ma, 05 mar 2012 23:11:28 -0800 (PST)
    Retur-Path:
    Modtaget: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    af mx.google.com med ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
    Ma, 05 mar 2012 23:11:28 -0800 (PST)
    Modtaget-SPF: mislykkes (google.com: domænet for [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) client-ip = XXX.XXX.XXX.XXX;
    Autentificeringsresultater: mx.google.com; spf = hardfail (google.com: domænet for [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) [email protected]
    Modtaget: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
    Modtaget: fra mail.lovingtour.com ([211.166.9.218]) af ms.externalemail.com med MailEnable ESMTP; Tirsdag, 6 Mar 2012 02:11:10 -0500
    Modtaget: fra bruger ([118.142.76.58])
    ved mail.lovingtour.com
    ; Ma, 5 mar 2012 21:38:11 +0800
    Message-ID:
    Svar til:
    Fra: "[email protected]"
    Om: Meddelelse
    Dato: ma, 5 mar 2012 21:20:57 +0800
    MIME-Version: 1.0
    Content-Type: multipart / mixed;
    grænse =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-prioritet: 3
    X-MSMail-prioritet: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produceret af Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Det første røde flag er i klientinformationsområdet. Bemærk her, at metadata tilføjede referencer til Outlook Express. Det er usandsynligt, at Visa er så langt bag de gange, at de har nogen manuelt at sende e-mails ved hjælp af en 12-årig e-mail-klient.

    Svar til:
    Fra: "[email protected]"
    Om: Meddelelse
    Dato: ma, 5 mar 2012 21:20:57 +0800
    MIME-Version: 1.0
    Content-Type: multipart / mixed;
    grænse =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-prioritet: 3
    X-MSMail-prioritet: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produceret af Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Nu undersøger den første hop i e-mail routing afslører, at afsenderen var placeret på IP-adressen 118.142.76.58, og deres email blev videresendt via mail server mail.lovingtour.com.

    Modtaget: fra bruger ([118.142.76.58])
    ved mail.lovingtour.com
    ; Ma, 5 mar 2012 21:38:11 +0800

    Ser op på IP-informationen ved hjælp af Nirsoft's IPNetInfo-værktøj, vi kan se afsenderen var placeret i Hong Kong, og postserveren er placeret i Kina.

    Det er overflødigt at sige, at dette er en smule mistænkelig.

    Resten af ​​e-mail-humlen er ikke særlig relevante i dette tilfælde, da de viser e-mailen, der hopper rundt om legitim servertrafik, inden de endelig bliver leveret.

    Undersøgelse af en phishing-mail - eksempel 2

    For dette eksempel er vores phishing-email meget mere overbevisende. Der er et par visuelle indikatorer her, hvis du ser hårdt ud, men igen med henblik på denne artikel vil vi begrænse vores undersøgelse til e-mailoverskrifter.

    Leveret til: [email protected]
    Modtaget: ved 10.60.14.3 med SMTP id l3csp15619oec;
    Tirsdag, 6 mar 2012 04:27:20 -0800 (PST)
    Modtaget: med 10.236.170.165 med SMTP id p25mr8672800yhl.123.1331036839870;
    Tirsdag, 06 Mar 2012 04:27:19 -0800 (PST)
    Retur-Path:
    Modtaget: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    af mx.google.com med ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
    Tirsdag, 06 Mar 2012 04:27:19 -0800 (PST)
    Modtaget-SPF: fail (google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) client-ip = XXX.XXX.XXX.XXX;
    Autentificeringsresultater: mx.google.com; spf = hardfail (google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) [email protected]
    Modtaget: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
    Modtaget: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) af ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
    Modtaget: fra apache af intuit.com med lokale (Exim 4.67)
    (konvolut-fra)
    id GJMV8N-8BERQW-93
    til ; Tue, 6 Mar 2012 19:27:05 +0700
    Til:
    Emne: Din Intuit.com faktura.
    X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
    Fra: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-prioritet: 1
    MIME-Version: 1.0
    Indholdstype: multipart / alternativ;
    boundary =”- 03060500702080404010506"
    Message-Id:
    Dato: tirs, 6 mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    I dette eksempel blev en mailklientprogram ikke brugt, snarere et PHP-script med kilde-IP-adressen på 118.68.152.212.

    Til:
    Emne: Din Intuit.com faktura.
    X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
    Fra: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-prioritet: 1
    MIME-Version: 1.0
    Indholdstype: multipart / alternativ;
    boundary =”- 03060500702080404010506"
    Message-Id:
    Dato: tirs, 6 mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Men når vi ser på det første e-mail-hop, ser det ud til at være legitimt, da afsendelsesserverens domænenavn matcher e-mail-adressen. Vær dog forsigtig med dette, da en spammer nemt kunne navngive deres server "intuit.com".

    Modtaget: fra apache af intuit.com med lokale (Exim 4.67)
    (konvolut-fra)
    id GJMV8N-8BERQW-93
    til ; Tue, 6 Mar 2012 19:27:05 +0700

    Undersøgelse af det næste trin smuldrer dette hus af kort. Du kan se det andet hop (hvor det er modtaget af en legitim email server) løser afsendelsesserveren tilbage til domænet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresse angivet i PHP scriptet.

    Modtaget: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) af ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

    Visning af IP-adresseoplysninger bekræfter mistanken, da postserverens placering løser tilbage til Viet Nam.

    Mens dette eksempel er lidt mere klogt, kan du se, hvor hurtigt bedrageriet afsløres med kun en lille smule undersøgelse.

    Konklusion

    Mens du ser e-mail-overskrifter, er det sandsynligvis ikke en del af dine typiske daglige behov, men der er tilfælde, hvor oplysningerne i dem kan være ret værdifulde. Som vi viste ovenfor, kan du let identificere afsendere masquerading som noget de ikke er. For en meget godt udført fidus, hvor visuelle signaler er overbevisende, er det ekstremt vanskeligt (hvis ikke umuligt) at efterligne de faktiske postservere og gennemse informationerne inden for e-mailoverskrifter, kan hurtigt afsløre enhver chikery.

    Links

    Download IPNetInfo fra Nirsoft