Mida saate e-posti päises leida?

Kui saate e-kirja, on sellele palju rohkem kui silma peal. Kuigi te pöörate tavaliselt tähelepanu ainult sõnumi aadressile, teemaridale ja kehale, on iga e-kirja "kapoti all" palju rohkem teavet, mis võib anda teile palju lisateavet.

Miks vaeva vaadata e-posti päist?

See on väga hea küsimus. Enamasti ei oleks te kunagi vaja, kui:

• Te kahtlustate, et e-kiri on andmepüügi katse või rikutud
• Te soovite vaadata marsruudi teavet e-posti teel
• Sa oled uudishimulik geek

Sõltumata teie põhjustest on e-posti päiste lugemine tegelikult üsna lihtne ja võib olla väga paljastav.

Artikkel Märkus: meie ekraanipiltide ja andmete puhul kasutame Gmaili, kuid peaaegu iga teine ​​meiliklient peaks esitama sama teabe.

E-posti päise vaatamine

Vaadake Gmailis e-posti. Selle näite puhul kasutame allpool olevat e-posti.

Seejärel klõpsake paremas ülanurgas olevat noolt ja valige Näita originaali.

Saadud aknas on e-posti päise andmed lihtsas tekstis.

Märkus. Kõigis allpool näidatud e-posti päiseandmetes olen muutnud oma Gmaili aadressi näitamiseks [email protected] ja minu välist e-posti aadressi näitama [email protected] ja [email protected] samuti maskeeris minu e-posti serverite IP-aadress.

Tarnitud: [email protected]
Vastu võetud: 10.60.14.3-ga SMTP id l3csp18666oec;
Ti, 6. märts 2012 08:30:51 -0800 (PST)
Vastu võetud: 10.68.125.129 SMTP id-ga mq1mr1963003pbb.21.1331051451044;
Ti, 06.03.2012 08:30:51 -0800 (PST)
Tagasi-tee:
Vastuvõetud: alates exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
kasutajalt mx.google.com SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Teisipäev, 06.03.2012 08:30:50 -0800 (PST)
Saabunud-SPF: neutraalne (google.com: 64.18.2.16 ei ole lubatud ega eitanud [email protected] domeeni parimat arvamiskirjet) client-ip = 64.18.2.16;
Autentimise tulemused: mx.google.com; spf = neutraalne (google.com: 64.18.2.16 ei ole [email protected] domeeni parimate arvutustega lubatud ega keelatud) [email protected]
Vastuvõetud: mail.externalemail.com ([XXX.XXX.XXX.XXX]) (kasutades TLSv1) exprod7ob119.postini.com ([64.18.6.12]) SMTP-ga
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ti, 06.03.2012 08:30:50 PST
Vastuvõetud: MYSERVER.myserver.localist ([fe80 :: a805: c335: 8c71: cdb3])
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) koos mapi; Te, 6. märts
2012 11:30:48 -0500
Alates: Jason Faulkner
To: “[email protected]”
Kuupäev: teisipäev, 6. märts 2012 11:30:48 -0500
Teema: See on legitiimne e-kiri
Teema teema: see on legitiimne e-kiri
Teemaindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Sõnumi ID:
Kinnita keel: en-USA
Sisu-keel: en-USA
X-MS-Has-Attach:
X-MS-TNEF-korrelaator:
aktsepteerimiskeel: en-USA
Sisu tüüp: mitmeosaline / alternatiivne;
piiri = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versioon: 1.0

Kui loete e-posti päist, on andmed vastupidises kronoloogilises järjekorras, mis tähendab, et üleval olev info on viimane sündmus. Selleks, kui soovite saata e-kirja saatjalt saajale, alusta alumist. Selle e-kirja päiseid uurides näeme mitmeid asju.

Siin näeme saatva kliendi poolt loodud teavet. Sellisel juhul saadeti e-kiri Outlookist, nii et see on metaandmed Outlook lisab.

Alates: Jason Faulkner
To: “[email protected]”
Kuupäev: teisipäev, 6. märts 2012 11:30:48 -0500
Teema: See on legitiimne e-kiri
Teema teema: see on legitiimne e-kiri
Teemaindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Sõnumi ID:
Kinnita keel: en-USA
Sisu-keel: en-USA
X-MS-Has-Attach:
X-MS-TNEF-korrelaator:
aktsepteerimiskeel: en-USA
Sisu tüüp: mitmeosaline / alternatiivne;
piiri = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versioon: 1.0

Järgmises osas jälgitakse teed, mida e-kiri saadab serverisse serverisse. Pidage meeles, et need sammud (või humalad) on loetletud vastupidises kronoloogilises järjekorras. Tellimuse illustreerimiseks oleme paigutanud iga numbri kõrval vastava numbri. Pange tähele, et iga hüpp näitab üksikasju IP-aadressi ja vastava DNS-i tagasipöördumise kohta.

Tarnitud: [email protected]
[6] Vastu võetud: 10.60.14.3-ga SMTP id l3csp18666oec;
Ti, 6. märts 2012 08:30:51 -0800 (PST)
[5] Vastu võetud: 10.68.125.129 SMTP id-ga mq1mr1963003pbb.21.1331051451044;
Ti, 06.03.2012 08:30:51 -0800 (PST)
Tagasi-tee:
[4] Vastuvõetud: alates exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
kasutajalt mx.google.com SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Teisipäev, 06.03.2012 08:30:50 -0800 (PST)
[3] Saabunud-SPF: neutraalne (google.com: 64.18.2.16 ei ole lubatud ega eitanud [email protected] domeeni parimat arvamiskirjet) client-ip = 64.18.2.16;
Autentimise tulemused: mx.google.com; spf = neutraalne (google.com: 64.18.2.16 ei ole [email protected] domeeni parimate arvutustega lubatud ega keelatud) [email protected]
[2] Vastuvõetud: mail.externalemail.com ([XXX.XXX.XXX.XXX]) (kasutades TLSv1) exprod7ob119.postini.com ([64.18.6.12]) SMTP-ga
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ti, 06.03.2012 08:30:50 PST
[1] Vastuvõetud: MYSERVER.myserver.localist ([fe80 :: a805: c335: 8c71: cdb3])
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) koos mapi; Te, 6. märts
2012 11:30:48 -0500

Kuigi see on õigustatud e-posti jaoks küllaltki tavaline, võib see teave olla rämpsposti või andmepüügi e-kirjade kontrollimisel üsna räägitav.

Andmepüügi e-posti uurimine - näide 1

Meie esimese andmepüügi näite puhul uurime me e-kirja, mis on ilmselge andmepüügi katse. Sellisel juhul võiksime seda sõnumit pettusena visuaalsete indikaatorite abil tuvastada, kuid praktikas vaatleme pealkirjade hoiatussilte.

Tarnitud: [email protected]
Vastu võetud: 10.60.14.3 SMTP id l3csp12958oec;
Esmaspäev, 5. märts 2012 23:11:29 -0800 (PST)
Vastu võetud: 10.236.46.164 SMTP id r24mr7411623yhb.101.1331017888982;
Esmaspäev, 05.03.2012 23:11:28 -0800 (PST)
Tagasi-tee:
Vastuvõetud: alates ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
kasutajalt mx.google.com ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Esmaspäev, 05.03.2012 23:11:28 -0800 (PST)
Vastuvõetud SPF: ebaõnnestus (google.com: [email protected] domeen ei määra XXX.XXX.XXX.XXX lubatud saatjana) client-ip = XXX.XXX.XXX.XXX;
Autentimise tulemused: mx.google.com; spf = hardfail (google.com: [email protected] domeen ei tähenda XXX.XXX.XXX.XXXi lubatud saatjana) [email protected]
Vastuvõetud: MailEnable Postoffice Connectoriga; Ti, 6. märts 2012 02:11:20 -0500
Vastu võetud: mail.lovingtour.com ([211.166.9.218]) kasutajalt ms.externalemail.com MailEnable ESMTP-ga; Ti, 6 märts 2012 02:11:10 -0500
Vastu võetud: kasutajalt ([118.142.76.58])
aadressil mail.lovingtour.com
; Esmaspäev, 5. märts 2012 21:38:11 +0800
Sõnumi ID:
Vastama:
Alates: “[email protected]”
Teema: Teade
Kuupäev: esmaspäev, 5. märts 2012 21:20:57 +0800
MIME-versioon: 1.0
Sisu-tüüp: mitmeosaline / segatud;
piiri = ”- = _ JärgminePart_000_0055_01C2A9A6.1C1757C0"
X-prioriteet: 3
X-MSMail-prioriteet: tavaline
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: toodetud Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000

Esimene punane lipp on klienditeabe piirkonnas. Pange tähele, et metaandmed on lisatud Outlook Expressile. On ebatõenäoline, et Visa on nii kaugel aegadest, mil neil on keegi manuaalselt e-posti teel 12-aastase e-posti kliendi kaudu.

Vastama:
Alates: “[email protected]”
Teema: Teade
Kuupäev: esmaspäev, 5. märts 2012 21:20:57 +0800
MIME-versioon: 1.0
Sisu-tüüp: mitmeosaline / segatud;
piiri = ”- = _ JärgminePart_000_0055_01C2A9A6.1C1757C0"
X-prioriteet: 3
X-MSMail-prioriteet: tavaline
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: toodetud Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000

Nüüd uurides e-posti marsruutimise esimest hopi, selgub, et saatja asub IP-aadressil 118.142.76.58 ja nende e-kiri edastati postiserveri mail.lovingtour.com kaudu..

Vastu võetud: kasutajalt ([118.142.76.58])
aadressil mail.lovingtour.com
; Esmaspäev, 5. märts 2012 21:38:11 +0800

Vaadates IP-teavet Nirsoft'i IPNetInfo utiliidi abil, näeme, et saatja asub Hongkongis ja meiliserver asub Hiinas.

Ütlematagi selge, et see on natuke kahtlane.

Ülejäänud e-posti humalad ei ole käesoleval juhul tõesti asjakohased, kuna need näitavad e-posti, mis põrkab ümber seadusliku serveri liikluse, enne kui lõpuks seda tarnitakse.

Andmepüügi e-posti uurimine - näide 2

Selle näite puhul on meie andmepüügi e-kiri palju veenvam. Siin näete mõningaid visuaalseid näitajaid, kui vaatate piisavalt kõvasti, kuid käesoleva artikli mõistes me piirame oma uurimist ainult e-posti päistega.

Tarnitud: [email protected]
Vastuvõetud: 10.60.14.3-ga SMTP id l3csp15619oec;
Teisipäev, 6. märts 2012 04:27:20 -0800 (PST)
Vastu võetud: 10.236.170.165 SMTP id p25mr8672800yhl.123.1331036839870;
Teisipäev, 06.03.2012 04:27:19 -0800 (PST)
Tagasi-tee:
Vastuvõetud: alates ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
kasutajalt mx.google.com ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Teisipäev, 06.03.2012 04:27:19 -0800 (PST)
Vastuvõetud SPF: ebaõnnestumine (google.com: [email protected] domeen ei määra lubatud saatjana XXX.XXX.XXX.XXX) client-ip = XXX.XXX.XXX.XXX;
Autentimise tulemused: mx.google.com; spf = hardfail (google.com: [email protected] domeen ei tähenda XXX.XXX.XXX.XXXit lubatud saatjana) [email protected]
Vastuvõetud: MailEnable Postoffice Connectoriga; Ti, 6. märts 2012 07:27:13 -0500
Vastuvõetud: alates dünaamiline-pool-xxx.hcm.fpt.vn ([118.68.152.212]) kasutajalt ms.externalemail.com MailEnable ESMTP-ga; Ti, 6. märts 2012 07:27:08 -0500
Vastuvõetud: alates apache poolt intuit.com kohaliku (Exim 4.67)
(ümbrik-alates)
id GJMV8N-8BERQW-93
jaoks; Ti, 6. märts 2012 19:27:05 +0700
Et:
Teema: Teie Intuit.com arve.
X-PHP-skript: intuit.com/sendmail.php jaoks 118,68.152.212
Alates: “INTUIT INC.”
X-Sender: “INTUIT INC.”
X-Mailer: PHP
X-prioriteet: 1
MIME-versioon: 1.0
Sisu tüüp: mitmeosaline / alternatiivne;
piir = "- 03060500702080404010506"
Sõnumi Id:
Kuupäev: teisipäev, 6. märts 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000

Selles näites ei kasutatud meilikliendi rakendust, pigem PHP skripti, mille allika IP aadress oli 118.68.152.212.

Et:
Teema: Teie Intuit.com arve.
X-PHP-skript: intuit.com/sendmail.php jaoks 118,68.152.212
Alates: “INTUIT INC.”
X-Sender: “INTUIT INC.”
X-Mailer: PHP
X-prioriteet: 1
MIME-versioon: 1.0
Sisu tüüp: mitmeosaline / alternatiivne;
piir = "- 03060500702080404010506"
Sõnumi Id:
Kuupäev: teisipäev, 6. märts 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000

Kui me vaatame esimest e-posti aadressi, tundub see olevat legit, kuna saatva serveri domeeninimi vastab e-posti aadressile. Kuid olge sellest ettevaatlik, kuna rämpspostisaatja võib oma serverit lihtsalt intuit.com nimetada.

Vastuvõetud: alates apache poolt intuit.com kohaliku (Exim 4.67)
(ümbrik-alates)
id GJMV8N-8BERQW-93
jaoks; Ti, 6. märts 2012 19:27:05 +0700

Järgmise sammu uurimine mureneb selle kaardimaja. Te näete teist lootust (kus see on õigustatud e-posti serveri poolt) lahendab saatva serveri tagasi domeeni „dynamic-pool-xxx.hcm.fpt.vn”, mitte sama intuit.com-ga sama IP-aadressiga on märgitud PHP skriptis.

Vastuvõetud: alates dünaamiline-pool-xxx.hcm.fpt.vn ([118.68.152.212]) kasutajalt ms.externalemail.com MailEnable ESMTP-ga; Ti, 6. märts 2012 07:27:08 -0500

IP-aadressi teabe vaatamine kinnitab kahtlust postiserveri asukoha lahendamiseks Vietnami.

Kuigi see näide on natuke targem, näete, kui kiiresti pettus ilmneb vaid vähese juurdlusega.

Järeldus

Kuigi e-posti päiste vaatamine ei ole ilmselt osa teie tavalisest igapäevastest vajadustest, on juhtumeid, kus neis sisalduv teave võib olla üsna väärtuslik. Nagu me ülalpool näitasime, saate saatjaid, kes on maskeerunud kui midagi, lihtsalt identifitseerida. Väga hästi teostatud kelmuse puhul, kus visuaalsed näpunäited on veenvad, on väga raske (kui mitte võimatu) tegelike postiserverite kehastamine ja e-posti päiste sees oleva teabe ülevaatamine kiiresti paljastada mis tahes chicanery.

Lingid

Lae IPNetInfo Nirsoftist