Почетна » како да » Шта можете пронаћи у заглављу е-поште?

    Шта можете пронаћи у заглављу е-поште?

    Кад год примите е-пошту, постоји много више тога него што се чини. Иако обично обраћате пажњу само на адресу, линију поруке и тело поруке, постоји много више информација које су доступне „под хаубом“ сваке поруке е-поште која вам може пружити мноштво додатних информација.

    Зашто се гњавити гледајући заглавље е-поште?

    Ово је веома добро питање. За већи део, заиста нећете морати да:

    • Сумњате да је е-маил покушај крађе идентитета или лажирање
    • Желите да погледате информације о усмеравању на путу е-поште
    • Ти си чудан штребер

    Без обзира на ваше разлоге, читање заглавља е-поште је заправо прилично лако и може бити врло открива.

    Чланак Напомена: За наше снимке екрана и податке користићемо Гмаил, али практично сваки други клијент поште треба да пружи те исте информације.

    Преглед заглавља е-поште

    У Гмаил-у прегледајте е-пошту. За овај пример, користићемо доле наведени емаил.

    Затим кликните на стрелицу у горњем десном углу и изаберите Прикажи оригинал.

    Прозор ће имати податке заглавља е-поште у обичном тексту.

    Напомена: У свим подацима заглавља е-поште које сам приказао испод, променио сам своју Гмаил адресу да би се приказао као миемаил@гмаил.цом и моју спољну е-адресу за приказивање као јфаулкнер@ектерналемаил.цом и јасон@миемаил.цом као и маскирана ИП адреса мојих сервера е-поште.

    Испоручено-то: миемаил@гмаил.цом
    Примљено: од 10.60.14.3 са СМТП ид л3цсп18666оец;
    Туе, 6 Мар 2012 08:30:51 -0800 (ПСТ)
    Примљено: од 10.68.125.129 са СМТП ид мк1мр1963003пбб.21.1331051451044;
    Туе, 06 Мар 2012 08:30:51 -0800 (ПСТ)
    Повратни пут:
    Рецеивед: фром екпрод7ог119.обсмтп.цом (екпрод7ог119.обсмтп.цом. [64.18.2.16])
    од мк.гоогле.цом са СМТП ид л7си25161491пбд.80.2012.03.06.08.30.49;
    Туе, 06 Мар 2012 08:30:50 -0800 (ПСТ)
    Примљено-СПФ: неутрално (гоогле.цом: 64.18.2.16 није дозвољено нити одбијено од стране претпостављеног записа за домен јфаулкнер@ектерналемаил.цом) клијент-ип = 64.18.2.16;
    Аутхентицатион-Ресултс: мк.гоогле.цом; спф = неутралан (гоогле.цом: 64.18.2.16 није дозвољен нити одбијен од стране најбољег претпостављеног записа за домен јфаулкнер@ектерналемаил.цом) смтп.маил=јфаулкнер@ектерналемаил.цом
    Примљено: фром маил.ектерналемаил.цом ([КСКСКС.КСКСКС.КСКСКС.КСКСКС]) (користећи ТЛСв1) према екпрод7об119.постини.цом ([64.18.6.12]) са СМТП
    ИД ДСНКТ1И7уСЕвирМЛцо/атцАоН+95ПМку3И/9@постини.цом; Туе, 06 Мар 2012 08:30:50 ПСТ
    Примљено: од МИСЕРВЕР.мисервер.лоцал ([фе80 :: а805: ц335: 8ц71: цдб3]) од
    МИСЕРВЕР.мисервер.лоцал ([фе80 :: а805: ц335: 8ц71: цдб3% 11]) с мапи; Уто, 6 мар
    2012 11:30:48 -0500
    Од: Јасон Фаулкнер
    За: “миемаил@гмаил.цом”
    Дате: Туе, 6 Мар 2012 11:30:48 -0500
    Тема: Ово је легитимна е-пошта
    Тема теме: Ово је легитимна е-пошта
    Тема-индекс: Ацз7тнУиКЗВВЦцрУК +++ КВд6авхл + К ==
    ИД поруке:
    Аццепт-Лангуаге: ен-УС
    Садржај-Језик: ен-УС
    Кс-МС-Хас-Аттацх:
    Кс-МС-ТНЕФ-корелатор:
    аццептлангуаге: ен-УС
    Цонтент-Типе: мултипарт / алтернативе;
    боундари = ”_ 000_682А3А66Ц6ЕАЦ245Б3Б7Б088ЕФ360Е15А2Б30Б10Д5ХАРДХАТ2хардх_”
    МИМЕ-Верзија: 1.0

    Када прочитате заглавље е-поште, подаци су у обрнутом хронолошком реду, што значи да је информација на врху најновији догађај. Ако желите да пратите е-пошту од пошиљаоца до примаоца, почните од дна. Прегледом заглавља ове е-поруке видимо неколико ствари.

    Овде видимо информације које генерише клијент који шаље податке. У овом случају, е-пошта је послата из Оутлоока, тако да је то метаподаци које Оутлоок додаје.

    Од: Јасон Фаулкнер
    За: “миемаил@гмаил.цом”
    Дате: Туе, 6 Мар 2012 11:30:48 -0500
    Тема: Ово је легитимна е-пошта
    Тема теме: Ово је легитимна е-пошта
    Тема-индекс: Ацз7тнУиКЗВВЦцрУК +++ КВд6авхл + К ==
    ИД поруке:
    Аццепт-Лангуаге: ен-УС
    Садржај-Језик: ен-УС
    Кс-МС-Хас-Аттацх:
    Кс-МС-ТНЕФ-корелатор:
    аццептлангуаге: ен-УС
    Цонтент-Типе: мултипарт / алтернативе;
    боундари = ”_ 000_682А3А66Ц6ЕАЦ245Б3Б7Б088ЕФ360Е15А2Б30Б10Д5ХАРДХАТ2хардх_”
    МИМЕ-Верзија: 1.0

    Следећи део прати путању коју емаил шаље од сервера за слање до одредишног сервера. Имајте на уму да су ови кораци (или скокови) наведени у обрнутом хронолошком реду. Ставили смо одговарајући број поред сваког хопа да илуструјемо редослед. Имајте на уму да сваки хоп показује детаље о ИП адреси и одговарајућем обрнутом ДНС имену.

    Испоручено-то: миемаил@гмаил.цом
    [6] Примљено: од 10.60.14.3 са СМТП ид л3цсп18666оец;
    Туе, 6 Мар 2012 08:30:51 -0800 (ПСТ)
    [5] Примљено: од 10.68.125.129 са СМТП ид мк1мр1963003пбб.21.1331051451044;
    Туе, 06 Мар 2012 08:30:51 -0800 (ПСТ)
    Повратни пут:
    [4] Рецеивед: фром екпрод7ог119.обсмтп.цом (екпрод7ог119.обсмтп.цом. [64.18.2.16])
    од мк.гоогле.цом са СМТП ид л7си25161491пбд.80.2012.03.06.08.30.49;
    Туе, 06 Мар 2012 08:30:50 -0800 (ПСТ)
    [3] Примљено-СПФ: неутрално (гоогле.цом: 64.18.2.16 није дозвољено нити одбијено од стране претпостављеног записа за домен јфаулкнер@ектерналемаил.цом) клијент-ип = 64.18.2.16;
    Аутхентицатион-Ресултс: мк.гоогле.цом; спф = неутралан (гоогле.цом: 64.18.2.16 није дозвољен нити одбијен од стране најбољег претпостављеног записа за домен јфаулкнер@ектерналемаил.цом) смтп.маил=јфаулкнер@ектерналемаил.цом
    [2] Примљено: фром маил.ектерналемаил.цом ([КСКСКС.КСКСКС.КСКСКС.КСКСКС]) (користећи ТЛСв1) према екпрод7об119.постини.цом ([64.18.6.12]) са СМТП
    ИД ДСНКТ1И7уСЕвирМЛцо/атцАоН+95ПМку3И/9@постини.цом; Туе, 06 Мар 2012 08:30:50 ПСТ
    [1] Примљено: од МИСЕРВЕР.мисервер.лоцал ([фе80 :: а805: ц335: 8ц71: цдб3]) од
    МИСЕРВЕР.мисервер.лоцал ([фе80 :: а805: ц335: 8ц71: цдб3% 11]) с мапи; Уто, 6 мар
    2012 11:30:48 -0500

    Иако је ово прилично земаљско за легитимну е-пошту, ове информације могу бити прилично јасне када је у питању преглед нежељене поште или е-поште за крађу идентитета.

    Испитивање е-поште за крађу идентитета - Пример 1

    За наш први пример пхисхинг, ми ћемо испитати е-маил који је очигледан покушај пхисхинга. У овом случају можемо идентификовати ову поруку као превару само визуелним индикаторима, али за праксу ћемо погледати знакове упозорења у заглављу.

    Испоручено-то: миемаил@гмаил.цом
    Примљено: од 10.60.14.3 са СМТП ид л3цсп12958оец;
    Мон, 5 Мар 2012 23:11:29 -0800 (ПСТ)
    Примљено: од 10.236.46.164 са СМТП ид р24мр7411623ихб.101.1331017888982;
    Мон, 05 Мар 2012 23:11:28 -0800 (ПСТ)
    Повратни пут:
    Примљено: фром мс.ектерналемаил.цом (мс.ектерналемаил.цом. [КСКСКС.КСКСКС.КСКСКС.КСКСКС])
    од мк.гоогле.цом са ЕСМТП ид т19си8451178ани.110.2012.03.05.23.11.28;
    Мон, 05 Мар 2012 23:11:28 -0800 (ПСТ)
    Примљено-СПФ: неуспешно (гоогле.цом: домен сецуритиалерт@верифибивиса.цом не означава КСКСКС.КСКСКС.КСКСКС.КСКСКС као дозвољен пошиљаоц) клијент-ип = КСКСКС.КСКСКС.КСКСКС.КСКСКС;
    Аутхентицатион-Ресултс: мк.гоогле.цом; спф = хардфаил (гоогле.цом: домен сецуритиалерт@верифибивиса.цом не означава КСКСКС.КСКСКС.КСКСКС.КСКСКС као дозвољен пошиљаоц) смтп.маил=сецуритиалерт@верифибивиса.цом
    Примљено: са МаилЕнабле Постоффице конектором; Туе, 6 Мар 2012 02:11:20 -0500
    Примљено: од маил.ловингтоур.цом ([211.166.9.218]) од мс.ектерналемаил.цом са МаилЕнабле ЕСМТП; Туе, 6 Мар 2012 02:11:10 -0500
    Рецеивед: фром Усер ([118.142.76.58])
    би маил.ловингтоур.цом
    ; Мон, 5 Мар 2012 21:38:11 +0800
    ИД поруке:
    Одговарати на:
    Од: “сецуритиалерт@верифибивиса.цом”
    Предмет: Обавештење
    Дате: Мон, 5 Мар 2012 21:20:57 +0800
    МИМЕ-Верзија: 1.0
    Цонтент-Типе: мултипарт / микед;
    боундари = ”- = _ НектПарт_000_0055_01Ц2А9А6.1Ц1757Ц0"
    Кс-Приоритет: 3
    Кс-МСМаил-Приорити: Нормал
    Кс-Маилер: Мицрософт Оутлоок Екпресс 6.00.2600.0000
    Кс-МимеОЛЕ: произвела Мицрософт МимеОЛЕ В6.00.2600.0000
    Кс-МЕ-Баиесиан: 0.000000

    Прва црвена заставица се налази у информационом подручју клијента. Обратите пажњу да су метаподаци додали референце Оутлоок Екпресс. Мало је вероватно да је Виса далеко иза времена када неко има ручно слање е-поште користећи 12-годишњи клијент е-поште.

    Одговарати на:
    Од: “сецуритиалерт@верифибивиса.цом”
    Предмет: Обавештење
    Дате: Мон, 5 Мар 2012 21:20:57 +0800
    МИМЕ-Верзија: 1.0
    Цонтент-Типе: мултипарт / микед;
    боундари = ”- = _ НектПарт_000_0055_01Ц2А9А6.1Ц1757Ц0"
    Кс-Приоритет: 3
    Кс-МСМаил-Приорити: Нормал
    Кс-Маилер: Мицрософт Оутлоок Екпресс 6.00.2600.0000
    Кс-МимеОЛЕ: произвела Мицрософт МимеОЛЕ В6.00.2600.0000
    Кс-МЕ-Баиесиан: 0.000000

    Сада испитивање првог скока у рутирању е-поште открива да је пошиљалац био лоциран на ИП адреси 118.142.76.58 и њихова е-пошта је прослеђена путем маил сервера маил.ловингтоур.цом.

    Рецеивед: фром Усер ([118.142.76.58])
    би маил.ловингтоур.цом
    ; Мон, 5 Мар 2012 21:38:11 +0800

    Тражење ИП информација помоћу Нирсофтовог ИПНетИнфо услужног програма, можемо видети да се пошиљалац налазио у Хонг Конгу и да се сервер за пошту налази у Кини.

    Непотребно је рећи да је ово мало сумњиво.

    Остатак е-маил скокова није стварно релевантан у овом случају јер показују да се е-пошта одскочила око легитимног сервера пре него што је коначно испоручена.

    Испитивање е-поште за крађу идентитета - Пример 2

    За овај пример, наша пхисхинг емаил порука је много увјерљивија. Постоји неколико визуелних индикатора ако погледате довољно чврсто, али опет у сврху овог чланка ограничићемо нашу истрагу на заглавља е-поште.

    Испоручено-то: миемаил@гмаил.цом
    Примљено: од 10.60.14.3 са СМТП ид л3цсп15619оец;
    Туе, 6 Мар 2012 04:27:20 -0800 (ПСТ)
    Примљено: 10.236.170.165 са СМТП ид п25мр8672800ихл.123.1331036839870;
    Туе, 06 Мар 2012 04:27:19 -0800 (ПСТ)
    Повратни пут:
    Примљено: фром мс.ектерналемаил.цом (мс.ектерналемаил.цом. [КСКСКС.КСКСКС.КСКСКС.КСКСКС])
    од мк.гоогле.цом са ЕСМТП ид о2си20048188ихн.34.2012.03.06.04.27.19;
    Туе, 06 Мар 2012 04:27:19 -0800 (ПСТ)
    Примљено-СПФ: неуспешно (гоогле.цом: домен сецурити@интуит.цом не означава КСКСКС.КСКСКС.КСКСКС.КСКСКС као дозвољен пошиљаоц) клијент-ип = КСКСКС.КСКСКС.КСКСКС.КСКСКС;
    Аутхентицатион-Ресултс: мк.гоогле.цом; спф = хардфаил (гоогле.цом: домен сецурити@интуит.цом не означава КСКСКС.КСКСКС.КСКСКС.КСКСКС као дозвољен пошиљаоц) смтп.маил=сецурити@интуит.цом
    Примљено: са МаилЕнабле Постоффице конектором; Туе, 6 Мар 2012 07:27:13 -0500
    Примљено: фром динамиц-поол-ккк.хцм.фпт.вн ([118.68.152.212]) од мс.ектерналемаил.цом са МаилЕнабле ЕСМТП; Туе, 6 Мар 2012 07:27:08 -0500
    Рецеивед: фром апацхе од интуит.цом витх лоцал (Еким 4.67)
    (коверта-од)
    ид ГЈМВ8Н-8БЕРКВ-93
    за ; Туе, 6 Мар 2012 19:27:05 +0700
    До:
    Предмет: Ваша Интуит.цом фактура.
    Кс-ПХП-скрипт: интуит.цом/сендмаил.пхп фор 118.68.152.212
    Од: “ИНТУИТ ИНЦ.”
    Кс-Сендер: „ИНТУИТ ИНЦ.“
    Кс-Маилер: ПХП
    Кс-Приоритет: 1
    МИМЕ-Верзија: 1.0
    Цонтент-Типе: мултипарт / алтернативе;
    граница = ”- 03060500702080404010506"
    Ид-поруке:
    Дате: Туе, 6 Мар 2012 19:27:05 +0700
    Кс-МЕ-Баиесиан: 0.000000

    У овом примеру, апликација клијента поште није коришћена, већ ПХП скрипт са изворном ИП адресом 118.68.152.212.

    До:
    Предмет: Ваша Интуит.цом фактура.
    Кс-ПХП-скрипт: интуит.цом/сендмаил.пхп фор 118.68.152.212
    Од: “ИНТУИТ ИНЦ.”
    Кс-Сендер: „ИНТУИТ ИНЦ.“
    Кс-Маилер: ПХП
    Кс-Приоритет: 1
    МИМЕ-Верзија: 1.0
    Цонтент-Типе: мултипарт / алтернативе;
    граница = ”- 03060500702080404010506"
    Ид-поруке:
    Дате: Туе, 6 Мар 2012 19:27:05 +0700
    Кс-МЕ-Баиесиан: 0.000000

    Међутим, када погледамо први емаил хоп, чини се да је легитиман јер име домена сервера за слање одговара адреси е-поште. Међутим, будите опрезни са овим јер би спамер могао лако да назове свој сервер "интуит.цом".

    Рецеивед: фром апацхе од интуит.цом витх лоцал (Еким 4.67)
    (коверта-од)
    ид ГЈМВ8Н-8БЕРКВ-93
    за ; Туе, 6 Мар 2012 19:27:05 +0700

    Испитивање следећег корака руши ову кућу од карата. Можете да видите други хоп (где га прима легитимни сервер е-поште) решава слање сервера назад у домену “динамиц-поол-ккк.хцм.фпт.вн”, а не “интуит.цом” са истом ИП адресом наведено у ПХП скрипти.

    Примљено: фром динамиц-поол-ккк.хцм.фпт.вн ([118.68.152.212]) од мс.ектерналемаил.цом са МаилЕнабле ЕСМТП; Туе, 6 Мар 2012 07:27:08 -0500

    Преглед информација о ИП адреси потврђује сумњу као решење локације сервера поште у Вијетнам.

    Иако је овај примјер мало паметнији, можете видјети колико брзо се открива пријевара са само малом количином истраге.

    Закључак

    Иако приказивање заглавља е-поште вероватно није део ваших свакодневних потреба, постоје случајеви у којима информације садржане у њима могу бити веома вредне. Као што смо горе показали, можете врло лако препознати пошиљатеље који се маскирају као нешто што нису. За веома добро изведену превара у којој су визуелни знакови убедљиви, изузетно је тешко (ако не и немогуће) представљати стварне поштанске сервере и преглед информација унутар заглавља е-поште може брзо да открије било какво шиканирање.

    Линкови

    Преузмите ИПНетИнфо из Нирсофт-а

    Што узрокује датотеку преузету с интернета Упозорење и како га могу једноставно уклонити?
    Шта долази након Веб 2.0?
    Шта можете да урадите са Самсунг Хеалтх-ом?
    Следећи чланак
    Шта заиста можете очекивати од Виндовс Виста сервисног пакета 1?
    Превиоус артицле
    Шта можете да урадите са Самсунг-овим Бикби-јем?