Vad kan du hitta i en e-postrubrik?
När du får ett mail, är det mycket mer än det som möter ögat. Medan du vanligtvis bara uppmärksammar adress, ämnesrad och kropp i meddelandet finns det mycket mer information tillgänglig "under huven" i varje e-post som kan ge dig en mängd ytterligare information.
Varför bry sig om att titta på en e-postrubrik?
Det här är en mycket bra fråga. För det mesta skulle du verkligen aldrig behöva, om inte:
- Du misstänker att ett e-postmeddelande är ett phishing-försök eller en spoof
- Du vill visa rutningsinformation på e-postadressen
- Du är en nyfiken nörd
Oavsett dina skäl är läsning av e-postrubriker faktiskt ganska lätt och kan vara mycket avslöjande.
Artikel Anmärkning: För våra skärmdumpar och data använder vi Gmail, men nästan alla andra e-postklienter ska också ge samma information.
Visa e-postrubriken
I Gmail, se e-postmeddelandet. För det här exemplet använder vi e-postmeddelandet nedan.
Klicka sedan på pilen längst upp till höger och välj Visa original.
Det resulterande fönstret kommer att ha e-postrubrikdata i vanlig text.
Obs! I alla e-postrubrikdata som visas nedan har jag ändrat min Gmail-adress för att visa som [email protected] och min externa e-postadress för att visa som [email protected] och [email protected] samt maskerade IP-adressen till mina e-postservrar.
Levereras till: [email protected]
Mottagen: med 10.60.14.3 med SMTP-ID l3csp18666oec;
Tis 6 mar 2012 08:30:51 -0800 (PST)
Mottagen: med 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
Tis 06 mar 2012 08:30:51 -0800 (PST)
Return-Path:
Mottagen: från exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30.49;
Tis 06 mar 2012 08:30:50 -0800 (PST)
Received-SPF: neutral (google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected]) client-ip = 64.18.2.16;
Autentiseringsresultat: mx.google.com; spf = neutral (google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekordet för domänen [email protected]) [email protected]
Mottagen: från mail.externalemail.com ([XXX.XXX.XXX.XXX]) (med TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tis 06 mar 2012 08:30:50 PST
Mottagen: från MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tis, 6 mar
2012 11:30:48 -0500
Från: Jason Faulkner
Till: "[email protected]"
Datum: tis, 6 mar 2012 11:30:48 -0500
Ämne: Detta är ett legitimt e-postmeddelande
Ämne: Detta är ett legitimt e-postmeddelande
Trådindex: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelande-ID:
Accept-Language: en-US
Innehållsspråk: en-US
X-MS-Has-Bifoga:
X-MS-TNEF-Korrelatorn:
acceptlanguage: en-US
Innehållstyp: multipart / alternativ;
gräns =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Version: 1.0
När du läser en e-postrubrik är uppgifterna i omvänd kronologisk ordning, vilket betyder att informationen högst upp är den senaste händelsen. Därför, om du vill spåra e-post från avsändare till mottagare, börja längst ner. Genom att granska rubrikerna i det här meddelandet kan vi se flera saker.
Här ser vi information som genereras av den skickande klienten. I det här fallet skickades e-postmeddelandet från Outlook så det här är metadatat Outlook lägger till.
Från: Jason Faulkner
Till: "[email protected]"
Datum: tis, 6 mar 2012 11:30:48 -0500
Ämne: Detta är ett legitimt e-postmeddelande
Ämne: Detta är ett legitimt e-postmeddelande
Trådindex: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelande-ID:
Accept-Language: en-US
Innehållsspråk: en-US
X-MS-Has-Bifoga:
X-MS-TNEF-Korrelatorn:
acceptlanguage: en-US
Innehållstyp: multipart / alternativ;
gräns =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Version: 1.0
Nästa del spårar den väg som e-posten tar från den sändande servern till destinationsservern. Tänk på att dessa steg (eller humle) anges i omvänd kronologisk ordning. Vi har placerat respektive nummer bredvid varje hopp för att illustrera ordern. Observera att varje hopp visar detaljer om IP-adressen och respektive omvänd DNS-namn.
Levereras till: [email protected]
[6] Mottagen: med 10.60.14.3 med SMTP-ID l3csp18666oec;
Tis 6 mar 2012 08:30:51 -0800 (PST)
[5] Mottagen: med 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
Tis 06 mar 2012 08:30:51 -0800 (PST)
Return-Path:
[4] Mottagen: från exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30.49;
Tis 06 mar 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutral (google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected]) client-ip = 64.18.2.16;
Autentiseringsresultat: mx.google.com; spf = neutral (google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekordet för domänen [email protected]) [email protected]
[2] Mottagen: från mail.externalemail.com ([XXX.XXX.XXX.XXX]) (med TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tis 06 mar 2012 08:30:50 PST
[1] Mottagen: från MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tis, 6 mar
2012 11:30:48 -0500
Även om detta är ganska vardagligt för ett legitimt e-postmeddelande, kan den här informationen vara ganska stor när det gäller att undersöka spam- eller phishing-e-postmeddelanden.
Granska en Phishing-e-post - Exempel 1
För vårt första phishing-exempel kommer vi att undersöka ett e-postmeddelande som är ett uppenbart phishing-försök. I det här fallet kunde vi identifiera detta meddelande som ett bedrägeri helt enkelt av de visuella indikatorerna, men för övning kommer vi att titta på varningsskyltarna i rubrikerna.
Levereras till: [email protected]
Mottagen: med 10.60.14.3 med SMTP-ID l3csp12958oec;
Må, 5 mar 2012 23:11:29 -0800 (PST)
Mottagen: med 10.236.46.164 med SMTP-ID r24mr7411623yhb.101.1331017888982;
Må, 05 mar 2012 23:11:28 -0800 (PST)
Return-Path:
Mottagen: från ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx.google.com med ESMTP-ID t19si8451178ani.110.2012.03.05.23.11.28;
Må, 05 mar 2012 23:11:28 -0800 (PST)
Mottagen-SPF: misslyckas (google.com: domain of [email protected] designerar inte XXX.XXX.XXX.XXX som tillåten avsändare) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultat: mx.google.com; spf = hardfail (google.com: domain of [email protected] designerar inte XXX.XXX.XXX.XXX som tillåten avsändare) [email protected]
Mottagen: med MailEnable Postoffice Connector; Tis 6 mar 2012 02:11:20 -0500
Mottagen: från mail.lovingtour.com ([211.166.9.218]) av ms.externalemail.com med MailEnable ESMTP; Tis 6 mar 2012 02:11:10 -0500
Mottagen: från användaren ([118.142.76.58])
via mail.lovingtour.com
; Må, 5 mar 2012 21:38:11 +0800
Meddelande-ID:
Svara till:
Från: "[email protected]"
Ämne: Meddelande
Datum: må 5 mar 2012 21:20:57 +0800
MIME-Version: 1.0
Innehållstyp: multipart / mixed;
gräns =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Producerad av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Den första röda flaggan finns i klientinformationsområdet. Observera här metadata som har lagt till referenser för Outlook Express. Det är osannolikt att Visa är så långt efter de tider som de har någon manuellt att skicka e-postmeddelanden med en 12-årig e-postklient.
Svara till:
Från: "[email protected]"
Ämne: Meddelande
Datum: må 5 mar 2012 21:20:57 +0800
MIME-Version: 1.0
Innehållstyp: multipart / mixed;
gräns =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Producerad av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Nu undersöker den första hoppen i e-postrutingen avslöjar att avsändaren var belägen på IP-adressen 118.142.76.58 och deras e-postmeddelanden vidarebefordrades via e-postservern mail.lovingtour.com.
Mottagen: från användaren ([118.142.76.58])
via mail.lovingtour.com
; Må, 5 mar 2012 21:38:11 +0800
Titta på IP-informationen med hjälp av Nirfsys IPNetInfo-verktyg, vi kan se avsändaren var belägen i Hong Kong och postservern ligger i Kina.
Det är naturligtvis lite misstänksamt att säga.
Resten av e-posthopparna är inte särskilt relevanta i det här fallet eftersom de visar e-posten studsar om legitim servertrafik innan den äntligen levereras.
Granska en Phishing Email - Exempel 2
I det här exemplet är vårt phishing-mail mycket övertygande. Det finns några visuella indikatorer här om du ser tillräckligt hårt ut, men igen i den här artikeln ska vi begränsa vår undersökning till e-postrubriker.
Levereras till: [email protected]
Mottagen: med 10.60.14.3 med SMTP-ID l3csp15619oec;
Tis 6 mar 2012 04:27:20 -0800 (PST)
Mottagen: med 10.236.170.165 med SMTP-ID p25mr8672800yhl.123.1331036839870;
Tis 06 mar 2012 04:27:19 -0800 (PST)
Return-Path:
Mottagen: från ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx.google.com med ESMTP-id o2si20048188yhn.34.2012.03.06.04.27.19;
Tis 06 mar 2012 04:27:19 -0800 (PST)
Mottagen-SPF: misslyckas (google.com: domain of [email protected] utpekar inte XXX.XXX.XXX.XXX som tillåten avsändare) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultat: mx.google.com; spf = hardfail (google.com: domain of [email protected] designerar inte XXX.XXX.XXX.XXX som tillåten avsändare) [email protected]
Mottagen: med MailEnable Postoffice Connector; Tis 6 mar 2012 07:27:13 -0500
Mottagen: från dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tis 6 mar 2012 07:27:08 -0500
Mottagen: från apache av intuit.com med lokala (Exim 4.67)
(kuvert-från)
id GJMV8N-8BERQW-93
för ; Tis 6 mar 2012 19:27:05 +0700
Till:
Ämne: Din Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php för 118.68.152.212
Från: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-prioritet: 1
MIME-Version: 1.0
Innehållstyp: multipart / alternativ;
gräns =”- 03060500702080404010506"
Message-Id:
Datum: tis, 6 mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
I det här exemplet användes inte en postklientapplikation, snarare ett PHP-skript med käll-IP-adressen till 118.68.152.212.
Till:
Ämne: Din Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php för 118.68.152.212
Från: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-prioritet: 1
MIME-Version: 1.0
Innehållstyp: multipart / alternativ;
gräns =”- 03060500702080404010506"
Message-Id:
Datum: tis, 6 mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
Men när vi tittar på den första e-posthoppet verkar det vara legitimt eftersom den sändande serverns domännamn matchar e-postadressen. Men var försiktig med detta eftersom en spammare lätt kan namnge sin server "intuit.com".
Mottagen: från apache av intuit.com med lokala (Exim 4.67)
(kuvert-från)
id GJMV8N-8BERQW-93
för ; Tis 6 mar 2012 19:27:05 +0700
Genom att granska nästa steg smuler detta korthus. Du kan se den andra hoppen (där den mottas av en legitim e-postserver) löser den sändande servern tillbaka till domänen "dynamic-pool-xxx.hcm.fpt.vn", inte "intuit.com" med samma IP-adress anges i PHP-skriptet.
Mottagen: från dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tis 6 mar 2012 07:27:08 -0500
Visa IP-adressinformationen bekräftar misstanken eftersom postserverens plats löser tillbaka till Viet Nam.
Medan det här exemplet är lite smartare kan du se hur snabbt bedrägeriet avslöjas med endast en liten undersökning.
Slutsats
Medan du tittar på e-postrubriker förmodligen inte är en del av dina typiska dagliga behov finns det fall där informationen i dem kan vara ganska värdefull. Som vi visade ovan kan du ganska enkelt identifiera avsändare masquerading som något de inte är. För en mycket bra exekverad bluff där visuella ledtrådar är övertygande är det extremt svårt (om inte omöjligt) att efterlikna faktiska postservrar och granska informationen inom e-posthuvudet kan snabbt avslöja någon chicanery.
länkar
Hämta IPNetInfo från Nirsoft