Kad god primite e-mail, to je puno više od toga što se susreće s okom. Dok obično obratite pozornost samo na adresu, redak predmeta i tijelo poruke, postoji puno više informacija koje su dostupne "ispod poklopca" svake e-pošte koja vam može pružiti bogatstvo dodatnih informacija.
Ovo je vrlo dobro pitanje. U većini slučajeva, stvarno ne biste nikada trebali, osim ako:
Bez obzira na vaše razloge, čitanje zaglavlja e-pošte zapravo je prilično jednostavno i može biti vrlo otkriva.
Članak Napomena: za naše snimke zaslona i podatke koristit ćemo Gmail, ali gotovo svaki drugi klijent e-pošte trebao bi pružiti te iste podatke.
Na Gmailu pogledajte e-poštu. Za ovaj primjer koristit ćemo poruku e-pošte u nastavku.
Zatim kliknite strelicu u gornjem desnom kutu i odaberite Prikaži original.
Rezultat prozor će imati podatke zaglavlja e-pošte u običnom tekstu.
Napomena: u svim podacima zaglavlja e-pošte koje prikazujem u nastavku promijenio sam Gmail adresu za prikazivanje kao [email protected] i moja vanjska adresa e-pošte za prikazivanje kao [email protected] i [email protected] kao i maskirani IP adresa mojih poslužitelja e-pošte.
Isporučeno: [email protected]
Primljeno: do 10.60.14.3 s SMTP id l3csp18666oec;
Utorak, 6. ožujka 2012 08:30:51 -0800 (PST)
Primljeno: do 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
Uto, 06 ožu 2012 08:30:51 -0800 (PST)
Povratni put:
Primljeno: od exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
po mx.google.com s SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Uto, 06 ožu 2012 08:30:50 -0800 (PST)
Primljeno-SPF: neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno po najboljoj rekciji za domenu od [email protected]) client-ip = 64.18.2.16;
Rezultati za provjeru autentičnosti: mx.google.com; spf = neutral (google.com: 64.18.2.16 nije dopušten ni negiran najboljim recenziranim zapisom za domenu [email protected]) [email protected]
Primljeno: s adrese mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomoću TLSv1) putem adrese exprod7ob119.postini.com ([64.18.6.12]) s SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Uto, 06 ožu 2012 08:30:50 PST
Primljeno: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od strane
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapi; Utorak, 6. ožujka
2012 11:30:48 -0500
Od: Jason Faulkner
Za: "[email protected]"
Datum: utorak, 6. ožujka 2012 11:30:48 -0500
Predmet: Ovo je legitna e-pošta
Tema o temi: Ovo je legitna e-pošta
Indeks teme: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID poruke:
Prihvaćam-jezik: hr-US
Jezik sadržaja: en-US
X-MS ima pričvrstiti:
X-MS TNEF-koreliranje:
acceptlanguage: en-US
Vrsta sadržaja: višedijelni / alternativni;
Granica =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-verzija: 1.0
Kada pročitate zaglavlje e-pošte, podaci su u obrnutom kronološkom redoslijedu, što znači da su informacije na vrhu posljednji događaj. Stoga, ako želite pratiti e-poštu od pošiljatelja do primatelja, počnite na dnu. Ispitujući zaglavlja ove e-poruke možemo vidjeti nekoliko stvari.
Ovdje vidimo podatke koje generira klijent slanja. U ovom slučaju, e-pošta je poslana iz programa Outlook tako da je to metapodataka koji Outlook dodaje.
Od: Jason Faulkner
Za: "[email protected]"
Datum: utorak, 6. ožujka 2012 11:30:48 -0500
Predmet: Ovo je legitna e-pošta
Tema o temi: Ovo je legitna e-pošta
Indeks teme: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID poruke:
Prihvaćam-jezik: hr-US
Jezik sadržaja: en-US
X-MS ima pričvrstiti:
X-MS TNEF-koreliranje:
acceptlanguage: en-US
Vrsta sadržaja: višedijelni / alternativni;
Granica =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-verzija: 1.0
Sljedeći dio prati put e-pošte od poslužitelja slanja do odredišnog poslužitelja. Imajte na umu da su ti koraci (ili hmelj) navedeni u obrnutom kronološkom redoslijedu. Postavili smo odgovarajući broj pored svake skokove kako bismo ilustrirali redoslijed. Imajte na umu da svaki hop prikazuje detalje o IP adresi i odgovarajućem DNS nazivu.
Isporučeno: [email protected]
[6] Primljeno: do 10.60.14.3 s SMTP id l3csp18666oec;
Utorak, 6. ožujka 2012 08:30:51 -0800 (PST)
[5] Primljeno: do 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
Uto, 06 ožu 2012 08:30:51 -0800 (PST)
Povratni put:
[4] Primljeno: od exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
po mx.google.com s SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Uto, 06 ožu 2012 08:30:50 -0800 (PST)
[3] Primljeno-SPF: neutralno (google.com: 64.18.2.16 nije dopušteno niti odbijeno po najboljoj rekciji za domenu od [email protected]) client-ip = 64.18.2.16;
Rezultati za provjeru autentičnosti: mx.google.com; spf = neutral (google.com: 64.18.2.16 nije dopušten ni negiran najboljim recenziranim zapisom za domenu [email protected]) [email protected]
[2] Primljeno: s adrese mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomoću TLSv1) putem adrese exprod7ob119.postini.com ([64.18.6.12]) s SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Uto, 06 ožu 2012 08:30:50 PST
[1] Primljeno: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od strane
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapi; Utorak, 6. ožujka
2012 11:30:48 -0500
Iako je ovo prilično svjetovno za legitimnu e-poštu, te informacije mogu biti dojmljive kada se radi o ispitivanju neželjene e-pošte ili e-pošte za krađu identiteta.
Za naš prvi primjer za phishing pregledat ćemo poruku e-pošte koja je očiti pokušaj krađe identiteta. U ovom slučaju ovu poruku možemo identificirati kao prijevaru jednostavno vizualnim pokazateljima, ali za praksu ćemo pogledati znakove upozorenja unutar zaglavlja.
Isporučeno: [email protected]
Primljeno: do 10.60.14.3 sa SMTP id l3csp12958oec;
Pon, 5 ožu 2012 23:11:29 -0800 (PST)
Primljeno: do 10.236.46.164 s SMTP id r24mr7411623yhb.101.1331017888982;
Pon, 05 ožu 2012 23:11:28 -0800 (PST)
Povratni put:
Primljeno: od ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
s mx.google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Pon, 05 ožu 2012 23:11:28 -0800 (PST)
Primljeno-SPF: fail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) client-ip = XXX.XXX.XXX.XXX;
Rezultati za provjeru autentičnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected]
Primljeno: s MailEnable Postoffice Connector; Uto, 6 ožu 2012 02:11:20 -0500
Primljeno: od mail.lovingtour.com ([211.166.9.218]) ms.externalemail.com s MailEnable ESMTP; Uto, 6. ožujka 2012 02:11:10 -0500
Primljeno: od korisnika ([118.142.76.58])
po mail.lovingtour.com
; Pon, 5 ožu 2012 21:38:11 +0800
ID poruke:
Odgovarati na:
Od: "[email protected]"
Predmet: Obavijest
Datum: pon, 5 ožu 2012 21:20:57 +0800
MIME-verzija: 1.0
Vrsta sadržaja: multipart / mixed;
Granica =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioritet: 3
X-MSMail prioritet: Normalan
X-pošte: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Proizvedeno od tvrtke Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Prva crvena zastava nalazi se u području informacija klijenta. Ovdje primijetite da metapodaci dodaju reference na Outlook Express. Malo je vjerojatno da je Visa tako daleko iza vremena da im netko ručno šalje poruke e-pošte pomoću 12-godišnjeg klijenta e-pošte.
Odgovarati na:
Od: "[email protected]"
Predmet: Obavijest
Datum: pon, 5 ožu 2012 21:20:57 +0800
MIME-verzija: 1.0
Vrsta sadržaja: multipart / mixed;
Granica =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioritet: 3
X-MSMail prioritet: Normalan
X-pošte: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Proizvedeno od tvrtke Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Sada ispitivanje prve skok u usmjeravanju e-pošte otkriva da je pošiljatelj bio smješten na IP adresi 118.142.76.58, a njihova e-pošta prenesena je putem poslužitelja e-pošte mail.lovingtour.com.
Primljeno: od korisnika ([118.142.76.58])
po mail.lovingtour.com
; Pon, 5 ožu 2012 21:38:11 +0800
Traženje IP podataka pomoću Nirsoftovog IPNetInfo uslužnog programa, možemo vidjeti da je pošiljatelj bio smješten u Hong Kongu, a poslužitelj pošte nalazi se u Kini.
Nepotrebno je reći da je ovo malo sumnjivo.
Ostali e-mail hmovi nisu stvarno relevantni u ovom slučaju jer pokazuju e-poštu odskakanje oko legitimnog prometa poslužitelja prije nego što se isporučuje.
Za ovaj primjer, naša e-poruka za krađu identiteta mnogo je više uvjerljiva. Ovdje postoji nekoliko vizualnih pokazatelja ako vam je dovoljno teško, ali za svrhe ovog članka ograničit ćemo istragu na zaglavlja e-pošte.
Isporučeno: [email protected]
Primljeno: do 10.60.14.3 sa SMTP id l3csp15619oec;
Utorak, 6. ožujka 2012 04:27:20 -0800 (PST)
Primljeno: do 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870;
Uto, 06 ožu 2012 04:27:19 -0800 (PST)
Povratni put:
Primljeno: od ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
mx.google.com s ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Uto, 06 ožu 2012 04:27:19 -0800 (PST)
Primljeno-SPF: fail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) client-ip = XXX.XXX.XXX.XXX;
Rezultati za provjeru autentičnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označava XXX.XXX.XXX.XXX kao dopušteni pošiljatelj) [email protected]
Primljeno: s MailEnable Postoffice Connector; Uto, 06 mar 2012 07:27:13 -0500
Primljeno: od dinamičkog-praza-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com s MailEnable ESMTP; Uto, 6. ožujak 2012 07:27:08 -0500
Primljeno: od apachea intuit.com s lokalnim (Exim 4.67)
(omotnica-od)
id GJMV8N-8BERQW-93
za; Uto, 6. ožujka 2012 19:27:05 +0700
Do:
Predmet: faktura tvrtke Intuit.com.
X-PHP-Script: intuit.com/sendmail.php za 118.68.152.212
Od: "INTUIT INC."
X-pošiljatelj: "INTUIT INC."
X-Mailer: PHP
X-prioritet: 1
MIME-verzija: 1.0
Vrsta sadržaja: višedijelni / alternativni;
rubni =”- 03060500702080404010506"
ID poruke:
Datum: uto, 6. ožujka 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
U ovom primjeru nije primijenjena aplikacija klijenta e-pošte, već PHP skripta s izvornom IP adresom od 118.68.152.212.
Do:
Predmet: faktura tvrtke Intuit.com.
X-PHP-Script: intuit.com/sendmail.php za 118.68.152.212
Od: "INTUIT INC."
X-pošiljatelj: "INTUIT INC."
X-Mailer: PHP
X-prioritet: 1
MIME-verzija: 1.0
Vrsta sadržaja: višedijelni / alternativni;
rubni =”- 03060500702080404010506"
ID poruke:
Datum: uto, 6. ožujka 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Međutim, kada pogledamo prvu e-poštu, to izgleda kao legit kao naziv poslužitelja za slanje odgovara adresi e-pošte. Međutim, budite oprezni s time što bi spameri mogli lako imenovati svoje poslužitelje "intuit.com".
Primljeno: od apachea intuit.com s lokalnim (Exim 4.67)
(omotnica-od)
id GJMV8N-8BERQW-93
za; Uto, 6. ožujka 2012 19:27:05 +0700
Ispitujući sljedeći korak crmlja ova kuća kartica. Možete vidjeti drugu skok (gdje ga prima legitiman poslužitelj e-pošte) rješava poslužitelj za slanje natrag na domenu "dynamic-pool-xxx.hcm.fpt.vn", a ne "intuit.com" s istom IP adresom naznačeno u PHP skripti.
Primljeno: od dinamičkog-praza-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com s MailEnable ESMTP; Uto, 6. ožujak 2012 07:27:08 -0500
Pregled podataka o IP adresi potvrđuje sumnju jer se mjesto poštanskog poslužitelja riješi natrag u Viet Nam.
Iako je ovaj primjer ponešto pametniji, možete vidjeti kako se brzo otkriva prijevara samo uz neznatnu istragu.
Prilikom pregledavanja zaglavlja e-pošte vjerojatno nije dio vaših tipičnih svakodnevnih potreba, postoje slučajevi u kojima informacije sadržane u njima mogu biti vrlo vrijedne. Kao što smo ranije pokazali, možete jednostavno identificirati pošiljatelje koji se masquerading kao nešto što oni nisu. Za vrlo dobro izvršene prijevare gdje su vizualni znakovi uvjerljivi, iznimno je teško (ako ne i nemoguće) lažno predstavljati stvarne poslužitelje e-pošte i pregledavanje informacija unutar zaglavlja e-pošte mogu brzo otkriti bilo kakve poteškoće.
Preuzmite IPNetInfo od Nirsofta