Domača » kako » Kaj lahko najdete v glavi e-pošte?

    Kaj lahko najdete v glavi e-pošte?

    Vsakič, ko prejmete e-pošto, je veliko več, kot se zdi na prvi pogled. Medtem ko običajno upoštevate le naslov, naslov teme in besedilo sporočila, je na voljo veliko več informacij »pod pokrovom« vsakega elektronskega sporočila, ki vam lahko zagotovi veliko dodatnih informacij..

    Zakaj se trudimo pogledati glavo e-pošte?

    To je zelo dobro vprašanje. Večinoma ne boste nikoli potrebovali, če:

    • Sumite, da je e-poštni naslov poskus lažnega predstavljanja ali prevara
    • Oglejte si informacije o usmerjanju na poti e-pošte
    • Ti si radoveden geek

    Ne glede na vaše razloge, branje e-poštnih naslovov je pravzaprav zelo enostavno in lahko zelo razkrije.

    Članek Opomba: Za naše posnetke zaslona in podatke bomo uporabljali Gmail, vendar bi morali skoraj vsi drugi odjemalci pošte zagotoviti te iste podatke,.

    Ogled glave e-pošte

    V Gmailu si oglejte e-pošto. V tem primeru bomo uporabili spodnje e-poštno sporočilo.

    Nato kliknite puščico v zgornjem desnem kotu in izberite Prikaži izvirnik.

    Nastalo okno bo imelo podatke o glavi e-pošte v golem besedilu.

    Opomba: V vseh podatkih v glavi e-poštnega sporočila, ki jih prikažem spodaj, sem spremenila svoj Gmailov naslov, da se prikaže kot [email protected] in moj zunanji e-poštni naslov, ki ga moram prikazati kot [email protected] in [email protected] kot tudi prikriti IP naslov mojih e-poštnih strežnikov.

    Dostavljeno - Za: [email protected]
    Prejeto: z 10.60.14.3 s SMTP id l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    Prejeto: z 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Povratna pot:
    Prejeto: od exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    z mx.google.com z ID-jem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    Prejeti-SPF: nevtralen (google.com: 64.18.2.16 ni dovoljen niti zavrnjen z najboljšim zapisom domene za [email protected]) odjemalec-ip = 64.18.2.16;
    Rezultati preverjanja pristnosti: mx.google.com; spf = nevtralen (google.com: 64.18.2.16 ni dovoljen niti zavrnjen z najboljšim zapisom domene za [email protected]) [email protected]
    Prejeto: od mail.externalemail.com ([XXX.XXX.XXX.XXX]) (z uporabo TLSv1), ki ga je uporabil exprod7ob119.postini.com ([64.18.6.12]) z SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    Prejeto: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) z mapi; Tue, 6 Mar
    2012 11:30:48 -0500
    Od: Jason Faulkner
    V: »[email protected]«
    Datum: Tue, 6 Mar 2012 11:30:48 -0500
    Zadeva: To je zakonit e-poštni naslov
    Tema teme: To je zakonit email
    Indeks niti: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID sporočila:
    Accept-Language: en-US
    Vsebina - jezik: en-US
    X-MS-Has-Attach:
    Korelator X-MS-TNEF:
    acceptlanguage: en-US
    Vrsta vsebine: večdelni / alternativni;
    border = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-različica: 1.0

    Ko preberete glavo e-pošte, so podatki v obratnem kronološkem vrstnem redu, kar pomeni, da so informacije na vrhu najnovejši dogodek. Če želite slediti e-poštnemu sporočilu od pošiljatelja do prejemnika, začnite na dnu. Če pogledamo glave tega e-poštnega sporočila, lahko vidimo več stvari.

    Tukaj vidimo informacije, ki jih ustvari odjemalec pošiljatelj. V tem primeru je bila e-pošta poslana iz Outlooka, zato je to metapodatkov, ki jih Outlook dodaja.

    Od: Jason Faulkner
    V: »[email protected]«
    Datum: Tue, 6 Mar 2012 11:30:48 -0500
    Zadeva: To je zakonit e-poštni naslov
    Tema teme: To je zakonit email
    Indeks niti: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID sporočila:
    Accept-Language: en-US
    Vsebina - jezik: en-US
    X-MS-Has-Attach:
    Korelator X-MS-TNEF:
    acceptlanguage: en-US
    Vrsta vsebine: večdelni / alternativni;
    border = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-različica: 1.0

    Naslednji del sledi poti, ki jo e-poštni naslov prejme od strežnika za pošiljanje do ciljnega strežnika. Ne pozabite, da so ti koraki (ali hmelj) navedeni v obratnem kronološkem vrstnem redu. Ustrezno številko smo postavili poleg vsakega hmelja, da ponazorimo vrstni red. Upoštevajte, da vsak hop prikazuje podrobnosti o naslovu IP in ustreznem povratnem DNS imenu.

    Dostavljeno - Za: [email protected]
    [6] Prejeto: z 10.60.14.3 s SMTP id l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    [5] Prejeto: z 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Povratna pot:
    [4] Prejeto: od exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    z mx.google.com z ID-jem SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    [3] Prejeti-SPF: nevtralen (google.com: 64.18.2.16 ni dovoljen niti zavrnjen z najboljšim zapisom domene za [email protected]) odjemalec-ip = 64.18.2.16;
    Rezultati preverjanja pristnosti: mx.google.com; spf = nevtralen (google.com: 64.18.2.16 ni dovoljen niti zavrnjen z najboljšim zapisom domene za [email protected]) [email protected]
    [2] Prejeto: od mail.externalemail.com ([XXX.XXX.XXX.XXX]) (z uporabo TLSv1), ki ga je uporabil exprod7ob119.postini.com ([64.18.6.12]) z SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
    [1] Prejeto: od MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) od
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) z mapi; Tue, 6 Mar
    2012 11:30:48 -0500

    Čeprav je to legitimno e-poštno sporočilo, je to precej preprosto, vendar je to lahko precej očitno, ko gre za preiskovanje neželene pošte ali lažnega predstavljanja e-poštnih sporočil.

    Preverjanje e-pošte z lažnim predstavljanjem - Primer 1

    Za naš prvi primer lažnega predstavljanja bomo pregledali e-pošto, ki je očiten poskus lažnega predstavljanja. V tem primeru bi lahko to sporočilo označili kot goljufijo samo z vizualnimi kazalniki, za prakso pa si bomo ogledali opozorilne znake znotraj glave.

    Dostavljeno - Za: [email protected]
    Prejeto: z 10.60.14.3 s SMTP id l3csp12958oec;
    Pon, 5 Mar 2012 23:11:29 -0800 (PST)
    Prejeto: z 10.236.46.164 z ID-jem SMTP r24mr7411623yhb.101.1331017888982;
    Pon, 05 Mar 2012 23:11:28 -0800 (PST)
    Povratna pot:
    Prejeto: na ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    z mx.google.com z ID-jem ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
    Pon, 05 Mar 2012 23:11:28 -0800 (PST)
    Prejeti-SPF: neuspešno (google.com: domena [email protected] ne označuje XXX.XXX.XXX.XXX kot dovoljenega pošiljatelja) odjemalec-ip = XXX.XXX.XXX.XXX;
    Rezultati preverjanja pristnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označuje XXX.XXX.XXX.XXX kot dovoljenega pošiljatelja) [email protected]
    Prejeto: z PostExable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
    Prejeto: od mail.lovingtour.com ([211.166.9.218]) v odseku ms.exnamemail.com z MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
    Prejeto: od uporabnika ([118.142.76.58])
    z mail.lovingtour.com
    ; Pon, 5 Mar 2012 21:38:11 +0800
    ID sporočila:
    Odgovori na:
    Od: “[email protected]
    Zadeva: Obvestilo
    Datum: Pon, 5 Mar 2012 21:20:57 +0800
    MIME-različica: 1.0
    Vrsta vsebine: večdelni / mešani;
    border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Prednostna naloga: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: proizvaja Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Prva rdeča zastavica je v področju za informacije o odjemalcu. Obvestilo o dodanih metapodatkih za Outlook Express. Malo verjetno je, da je Visa zaostajala za časom, ko nekdo ročno pošilja e-pošto z 12-letnim e-poštnim odjemalcem.

    Odgovori na:
    Od: “[email protected]
    Zadeva: Obvestilo
    Datum: Pon, 5 Mar 2012 21:20:57 +0800
    MIME-različica: 1.0
    Vrsta vsebine: večdelni / mešani;
    border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Prednostna naloga: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: proizvaja Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Zdaj preučujemo prvi hop v usmerjanju e-pošte in razkrivamo, da se je pošiljatelj nahajal na naslovu IP 118.142.76.58 in da je bil njegov e-poštni naslov posredovan prek poštnega strežnika mail.lovingtour.com.

    Prejeto: od uporabnika ([118.142.76.58])
    z mail.lovingtour.com
    ; Pon, 5 Mar 2012 21:38:11 +0800

    Če iščete informacije IP s pripomočkom IPNetInfo podjetja Nirsoft, lahko vidimo, da se je pošiljatelj nahajal v Hong Kongu in da je poštni strežnik na Kitajskem.

    Ni treba posebej poudarjati, da je to nekoliko sumljivo.

    Preostali del hmelja za e-pošto v tem primeru dejansko ni pomemben, saj prikazujejo e-poštno sporočilo, ki odskočuje okrog zakonitega strežniškega prometa, preden je končno dostavljeno.

    Preverjanje e-pošte z lažnim predstavljanjem - Primer 2

    V tem primeru je naša lažna e-pošta veliko bolj prepričljiva. Tukaj je nekaj vizualnih kazalnikov, če pogledate dovolj trdo, vendar bomo za namene tega članka omejili našo preiskavo na glave e-pošte.

    Dostavljeno - Za: [email protected]
    Prejeto: z 10.60.14.3 s SMTP id l3csp15619oec;
    Tue, 6 Mar 2012 04:27:20 -0800 (PST)
    Prejeto: z 10.236.170.165 z ID-jem SMTP p25mr8672800yhl.123.1331036839870;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Povratna pot:
    Prejeto: na ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    mx.google.com z ID-jem ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Prejeti-SPF: neuspešno (google.com: domena [email protected] ne označuje XXX.XXX.XXX.XXX kot dovoljenega pošiljatelja) odjemalec-ip = XXX.XXX.XXX.XXX;
    Rezultati preverjanja pristnosti: mx.google.com; spf = hardfail (google.com: domena [email protected] ne označuje XXX.XXX.XXX.XXX kot dovoljenega pošiljatelja) [email protected]
    Prejeto: z PostExable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
    Prejeto: od dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]), uporabnika ms.externalemail.com z MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
    Prejeto: od apache z intuit.com z lokalnim (Exim 4.67)
    (ovojnica-od)
    id GJMV8N-8BERQW-93
    za; Tue, 6 Mar 2012 19:27:05 +0700
    Za:
    Zadeva: Vaš račun Intuit.com.
    X-PHP-skript: intuit.com/sendmail.php za 118.68.152.212
    Od: “INTUIT INC.”
    X-pošiljatelj: »INTUIT INC.«
    X-Mailer: PHP
    X-Prednost: 1
    MIME-različica: 1.0
    Vrsta vsebine: večdelni / alternativni;
    meja = ”- 03060500702080404010506"
    ID sporočila:
    Datum: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    V tem primeru ni bil uporabljen program za odjemalca pošte, temveč PHP skript z izvornim naslovom IP 118.68.152.212.

    Za:
    Zadeva: Vaš račun Intuit.com.
    X-PHP-skript: intuit.com/sendmail.php za 118.68.152.212
    Od: “INTUIT INC.”
    X-pošiljatelj: »INTUIT INC.«
    X-Mailer: PHP
    X-Prednost: 1
    MIME-različica: 1.0
    Vrsta vsebine: večdelni / alternativni;
    meja = ”- 03060500702080404010506"
    ID sporočila:
    Datum: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Vendar, ko pogledamo prvi e-poštni hop, se zdi, da je zakonit, saj ime domene pošiljateljevega strežnika ustreza e-poštnemu naslovu. Vendar pa bodite pozorni na to, ker bi lahko spammer zlahka poimenoval svoj strežnik »intuit.com«.

    Prejeto: od apache z intuit.com z lokalnim (Exim 4.67)
    (ovojnica-od)
    id GJMV8N-8BERQW-93
    za; Tue, 6 Mar 2012 19:27:05 +0700

    Preverjanje naslednjega koraka razpada to hišo kart. Vidite lahko drugi hop (kjer ga prejme legitimni e-poštni strežnik), ki strežnika za pošiljanje razreši nazaj v domeno “dynamic-pool-xxx.hcm.fpt.vn”, ne pa “intuit.com” z istim IP naslovom. v skriptu PHP.

    Prejeto: od dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]), uporabnika ms.externalemail.com z MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

    Ogled informacij o naslovu IP potrjuje sum, da je lokacija poštnega strežnika rešena nazaj v Vietnam.

    Čeprav je ta primer nekoliko bolj pameten, lahko vidite, kako hitro se razkrije goljufija z le malo preiskave.

    Zaključek

    Medtem ko pregledovanje naslovov e-poštnih sporočil verjetno ni del vaših običajnih dnevnih potreb, obstajajo primeri, ko so lahko informacije, ki jih vsebujejo, zelo dragocene. Kot smo pokazali zgoraj, lahko zelo enostavno identificirate pošiljatelje, ki se maskirajo kot nekaj, kar niso. Za zelo dobro izvedeno prevaro, kjer so vizualni namigi prepričljivi, je zelo težko (če ne celo nemogoče) predstavljati dejanske poštne strežnike in pregledovanje informacij znotraj glave e-poštnih sporočil lahko hitro razkrije kakršno koli šikaniranje.

    Povezave

    Prenesite IPNetInfo iz Nirsofta

    Kaj povzroča File prenesli iz interneta Opozorilo in kako lahko enostavno ga odstranite?
    Kaj pride po Web 2.0?
    Kaj lahko storite z zdravjem Samsung?
    Naslednji članek
    Kaj lahko res pričakujete od servisnega paketa SP1 za Windows Vista?
    Prejšnji članek
    Kaj lahko storite z Samsung Bixby?