Домашняя » как » Что вы можете найти в заголовке письма?

    Что вы можете найти в заголовке письма?

    Всякий раз, когда вы получаете электронное письмо, это намного больше, чем кажется на первый взгляд. Хотя вы, как правило, обращаете внимание только на адрес отправителя, строку темы и текст сообщения, в каждом электронном письме доступно гораздо больше информации, которая может предоставить вам массу дополнительной информации..

    Зачем смотреть на заголовок электронной почты?

    Это очень хороший вопрос. По большей части, вам действительно никогда не понадобится, если:

    • Вы подозреваете, что электронная почта является попыткой фишинга или подделки
    • Вы хотите просмотреть информацию о маршруте на пути электронной почты
    • Вы любопытный гик

    Независимо от ваших причин, чтение заголовков электронной почты на самом деле довольно легко и может быть очень показательным.

    Примечание к статье: Для наших скриншотов и данных мы будем использовать Gmail, но практически любой другой почтовый клиент должен предоставлять эту же информацию..

    Просмотр заголовка письма

    В Gmail просмотрите электронную почту. Для этого примера мы будем использовать адрес электронной почты ниже.

    Затем нажмите стрелку в правом верхнем углу и выберите Показать оригинал..

    Полученное окно будет содержать данные заголовка электронного письма в виде простого текста..

    Примечание. Во всех данных заголовка электронной почты, указанных ниже, я изменил свой адрес Gmail, чтобы он отображался как [email protected] и мой внешний адрес электронной почты, чтобы показать как [email protected] а также [email protected] а также замаскировал IP-адрес моих почтовых серверов.

    Delivered-To: [email protected]
    Получено: по 10.60.14.3 с SMTP-идентификатором l3csp18666oec;
    Вт, 6 марта 2012 г. 08:30:51 -0800 (PST)
    Получено: 10.68.125.129 с идентификатором SMTP mq1mr1963003pbb.21.1331051451044;
    Вт, 06 марта 2012 г. 08:30:51 -0800 (PST)
    Обратный путь:
    Получено: от exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    по mx.google.com с SMTP-идентификатором l7si25161491pbd.80.2012.03.06.08.30.49;
    Вт, 06 марта 2012 г. 08:30:50 -0800 (PST)
    Получено-SPF: нейтрально (google.com: 64.18.2.16 не разрешено и не отклонено из-за записи наилучшего предположения для домена [email protected]) client-ip = 64.18.2.16;
    Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 64.18.2.16 не разрешен и не запрещен лучшей записью предположения для домена [email protected]) [email protected]
    Получено: от mail.externalemail.com ([XXX.XXX.XXX.XXX]) (с использованием TLSv1) от exprod7ob119.postini.com ([64.18.6.12]) с SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Вт, 06 марта 2012 г. 08:30:50 PST
    Получено: от MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) от
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) с mapi; Вт, 6 марта
    2012 11:30:48 -0500
    От: Джейсон Фолкнер
    Кому: «[email protected]»
    Дата: вторник, 6 марта 2012 г. 11:30:48 -0500
    Тема: Это законное письмо
    Тема-Тема: Это законное письмо
    Индекс потока: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Message-ID:
    Accept-Language: en-US
    Язык контента: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-коррелятор:
    acceptlanguage: en-US
    Тип контента: составной / альтернативный;
    граница =»_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_»
    MIME-версия: 1.0

    Когда вы читаете заголовок электронного письма, данные располагаются в обратном хронологическом порядке, то есть информация вверху - это самое последнее событие. Поэтому, если вы хотите отслеживать электронную почту от отправителя к получателю, начните с нижней части. Изучая заголовки этого письма, мы можем увидеть несколько вещей.

    Здесь мы видим информацию, сгенерированную отправляющим клиентом. В этом случае электронное письмо было отправлено из Outlook, так что это метаданные, которые Outlook добавляет.

    От: Джейсон Фолкнер
    Кому: «[email protected]»
    Дата: вторник, 6 марта 2012 г. 11:30:48 -0500
    Тема: Это законное письмо
    Тема-Тема: Это законное письмо
    Индекс потока: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Message-ID:
    Accept-Language: en-US
    Язык контента: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-коррелятор:
    acceptlanguage: en-US
    Тип контента: составной / альтернативный;
    граница =»_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_»
    MIME-версия: 1.0

    Следующая часть отслеживает путь, по которому электронная почта идет от отправляющего сервера к целевому серверу. Помните, что эти шаги (или прыжки) перечислены в обратном хронологическом порядке. Мы поместили соответствующий номер рядом с каждым прыжком, чтобы проиллюстрировать заказ. Обратите внимание, что каждый переход показывает подробности об IP-адресе и соответствующем обратном DNS-имени..

    Delivered-To: [email protected]
    [6] Получено: по 10.60.14.3 с SMTP-идентификатором l3csp18666oec;
    Вт, 6 марта 2012 г. 08:30:51 -0800 (PST)
    [5] Получено: 10.68.125.129 с SMTP-идентификатором mq1mr1963003pbb.21.1331051451044;
    Вт, 06 марта 2012 г. 08:30:51 -0800 (PST)
    Обратный путь:
    [4] Получено: от exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    по mx.google.com с SMTP-идентификатором l7si25161491pbd.80.2012.03.06.08.30.49;
    Вт, 06 марта 2012 г. 08:30:50 -0800 (PST)
    [3] Получено-SPF: нейтрально (google.com: 64.18.2.16 не разрешено и не отклонено из-за записи наилучшего предположения для домена [email protected]) client-ip = 64.18.2.16;
    Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 64.18.2.16 не разрешен и не запрещен лучшей записью предположения для домена [email protected]) [email protected]
    [2] Получено: от mail.externalemail.com ([XXX.XXX.XXX.XXX]) (с использованием TLSv1) от exprod7ob119.postini.com ([64.18.6.12]) с SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Вт, 06 марта 2012 г. 08:30:50 PST
    [1] Получено: от MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) от
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) с mapi; Вт, 6 марта
    2012 11:30:48 -0500

    Несмотря на то, что это является довольно обыденным для легитимной электронной почты, эта информация может быть весьма полезной, когда дело доходит до изучения спама или фишинговых писем..

    Изучение фишингового письма - пример 1

    Для нашего первого примера фишинга мы рассмотрим электронное письмо, которое является очевидной попыткой фишинга. В этом случае мы могли бы идентифицировать это сообщение как мошенничество просто по визуальным индикаторам, но для практики мы рассмотрим предупреждающие знаки в заголовках..

    Delivered-To: [email protected]
    Получено: по 10.60.14.3 с SMTP-идентификатором l3csp12958oec;
    Пн, 5 марта 2012 23:11:29 -0800 (PST)
    Получено: по 10.236.46.164 с идентификатором SMTP r24mr7411623yhb.101.1331017888982;
    Пн, 05 Mar 2012 23:11:28 -0800 (PST)
    Обратный путь:
    Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    mx.google.com с идентификатором ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
    Пн, 05 Mar 2012 23:11:28 -0800 (PST)
    Получено-SPF: сбой (google.com: домен [email protected] не определяет XXX.XXX.XXX.XXX в качестве разрешенного отправителя) client-ip = XXX.XXX.XXX.XXX;
    Результаты аутентификации: mx.google.com; spf = hardfail (google.com: домен [email protected] не обозначает XXX.XXX.XXX.XXX в качестве разрешенного отправителя) [email protected]
    Получено: с MailEnable Postoffice Connector; Вт, 6 марта 2012 г. 02:11:20 -0500
    Получено: от mail.lovingtour.com ([211.166.9.218]) от ms.externalemail.com с помощью MailEnable ESMTP; Вт, 6 марта 2012 г. 02:11:10 -0500
    Получено: от пользователя ([118.142.76.58])
    mail.lovingtour.com
    ; Пн, 5 марта 2012 21:38:11 +0800
    Message-ID:
    Ответить на:
    От: «[email protected]»
    Тема: Уведомление
    Дата: пн, 5 марта 2012 21:20:57 +0800
    MIME-версия: 1.0
    Тип контента: составной / смешанный;
    граница =»- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Приоритет Х: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Произведено Microsoft MimeOLE V6.00.2600.0000
    X-ME-байесовский: 0,000000

    Первый красный флаг находится в области информации о клиенте. Обратите внимание, что добавленные метаданные ссылаются на Outlook Express. Маловероятно, что Visa настолько отстает от времени, что кто-то вручную отправляет электронные письма с помощью 12-летнего почтового клиента..

    Ответить на:
    От: «[email protected]»
    Тема: Уведомление
    Дата: пн, 5 марта 2012 21:20:57 +0800
    MIME-версия: 1.0
    Тип контента: составной / смешанный;
    граница =»- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Приоритет Х: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Произведено Microsoft MimeOLE V6.00.2600.0000
    X-ME-байесовский: 0,000000

    Теперь проверка первого перехода в маршрутизации электронной почты показывает, что отправитель находился по IP-адресу 118.142.76.58, а его электронная почта передавалась через почтовый сервер mail.lovingtour.com..

    Получено: от пользователя ([118.142.76.58])
    mail.lovingtour.com
    ; Пн, 5 марта 2012 21:38:11 +0800

    Просматривая информацию об IP с помощью утилиты Nirsoft IPNetInfo, мы видим, что отправитель находится в Гонконге, а почтовый сервер находится в Китае..

    Излишне говорить, что это немного подозрительно.

    Остальные пересылки по электронной почте в данном случае не имеют особого значения, поскольку они показывают, что электронная почта переходит вокруг законного серверного трафика до окончательной доставки..

    Изучение фишингового письма - пример 2

    Для этого примера наше фишинговое письмо выглядит гораздо более убедительно. Здесь есть несколько визуальных индикаторов, если вы посмотрите достаточно внимательно, но опять же для целей этой статьи мы собираемся ограничить наше исследование заголовками писем.

    Delivered-To: [email protected]
    Получено: по 10.60.14.3 с SMTP-идентификатором l3csp15619oec;
    Вт, 6 марта 2012 г. 04:27:20 -0800 (PST)
    Получено: по 10.236.170.165 с идентификатором SMTP p25mr8672800yhl.123.1331036839870;
    Вт, 06 марта 2012 г. 04:27:19 -0800 (PST)
    Обратный путь:
    Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    mx.google.com с идентификатором ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
    Вт, 06 марта 2012 г. 04:27:19 -0800 (PST)
    Получено-SPF: сбой (google.com: домен [email protected] не определяет XXX.XXX.XXX.XXX в качестве разрешенного отправителя) client-ip = XXX.XXX.XXX.XXX;
    Результаты аутентификации: mx.google.com; spf = hardfail (google.com: домен [email protected] не определяет XXX.XXX.XXX.XXX в качестве разрешенного отправителя) [email protected]
    Получено: с MailEnable Postoffice Connector; Вт, 6 марта 2012 г. 07:27:13 -0500
    Получено: от dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) от ms.externalemail.com с помощью MailEnable ESMTP; Вт, 6 марта 2012 г. 07:27:08 -0500
    Получено: от apache от intuit.com с локальным (Exim 4.67)
    (конверт из)
    id GJMV8N-8BERQW-93
    за ; Вт, 6 марта 2012 19:27:05 +0700
    Для того, чтобы:
    Тема: Ваш счет на Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php для 118.68.152.212
    От: «ИНТУИТ ИНК.»
    X-Sender: «INTUIT INC.»
    X-Mailer: PHP
    Приоритет Х: 1
    MIME-версия: 1.0
    Тип контента: составной / альтернативный;
    Граничные =»- 03060500702080404010506"
    Message-Id:
    Дата: вт, 6 марта 2012 19:27:05 +0700
    X-ME-байесовский: 0,000000

    В этом примере почтовое клиентское приложение не использовалось, а был скрипт PHP с исходным IP-адресом 118.68.152.212..

    Для того, чтобы:
    Тема: Ваш счет на Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php для 118.68.152.212
    От: «ИНТУИТ ИНК.»
    X-Sender: «INTUIT INC.»
    X-Mailer: PHP
    Приоритет Х: 1
    MIME-версия: 1.0
    Тип контента: составной / альтернативный;
    Граничные =»- 03060500702080404010506"
    Message-Id:
    Дата: вт, 6 марта 2012 19:27:05 +0700
    X-ME-байесовский: 0,000000

    Тем не менее, когда мы смотрим на первый прыжок электронной почты, он кажется законным, поскольку доменное имя отправляющего сервера совпадает с адресом электронной почты. Однако, будьте осторожны с этим, так как спамер может легко назвать свой сервер «intuit.com»..

    Получено: от apache от intuit.com с локальным (Exim 4.67)
    (конверт из)
    id GJMV8N-8BERQW-93
    за ; Вт, 6 марта 2012 19:27:05 +0700

    При рассмотрении следующего шага рушится этот карточный домик. Вы можете видеть, что второй прыжок (где он получен законным почтовым сервером) разрешает отправляющий сервер обратно в домен «dynamic-pool-xxx.hcm.fpt.vn», а не «intuit.com» с тем же IP-адресом указано в сценарии PHP.

    Получено: от dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) от ms.externalemail.com с помощью MailEnable ESMTP; Вт, 6 марта 2012 г. 07:27:08 -0500

    Просмотр информации об IP-адресе подтверждает подозрение, что местоположение почтового сервера разрешается во Вьетнам..

    Хотя этот пример немного более умный, вы можете увидеть, как быстро выявляется мошенничество, лишь немного разобравшись.

    Заключение

    Хотя просмотр заголовков электронной почты, вероятно, не является частью ваших типичных повседневных потребностей, в некоторых случаях информация, содержащаяся в них, может быть весьма полезной. Как мы показали выше, вы можете легко идентифицировать отправителей, маскирующихся под то, чем они не являются. Для очень хорошо выполненного мошенничества, где визуальные подсказки убедительны, чрезвычайно трудно (если не невозможно) олицетворять фактические почтовые серверы, и просмотр информации внутри заголовков электронной почты может быстро выявить любую хитрость.

    связи

    Скачать IPNetInfo от Nirsoft