Kāpēc nomodā aplūkot e-pasta galveni?
Tas ir ļoti labs jautājums. Lielākoties jūs patiešām nekad nebūtu nepieciešams, ja vien:
- Jūs domājat, ka e-pasts ir pikšķerēšanas mēģinājums vai spoofings
- Jūs vēlaties apskatīt maršrutu informāciju e-pasta ceļā
- Jūs esat ziņkārīgs geek
Neatkarīgi no jūsu iemesliem e-pasta galvenes lasīšana patiešām ir pavisam vienkārša, un tā var būt ļoti atklāta.
Pants Piezīme: mūsu ekrānuzņēmumiem un datiem mēs izmantosim Gmail, taču gandrīz katram citam pasta klientam vajadzētu sniegt šo pašu informāciju.
E-pasta galvenes apskate
Pakalpojumā Gmail skatiet e-pastu. Šajā piemērā mēs izmantosim e-pastu zemāk.
Piezīme. Visos tālāk norādītajos e-pasta galvenes datos esmu mainījis savu Gmail adresi, lai to parādītu kā [email protected] un mana ārējā e-pasta adrese, lai parādītu kā [email protected] un [email protected] kā arī maskēja manu e-pasta serveru IP adresi.
Piegādāts: [email protected] Saņemts: ar 10.60.14.3 ar SMTP id l3csp18666oec; T, 06 Mar 2012 08:30:51 -0800 (PST) Saņemts: ar 10.68.125.129 ar SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Atgriešanās ceļš:
Kad jūs lasāt e-pasta galvenes, dati ir apgrieztā hronoloģiskā secībā, kas nozīmē, ka informācija augšpusē ir visjaunākais notikums. Tādēļ, ja vēlaties izsekot e-pastu no sūtītāja saņēmējam, sāciet no apakšas. Aplūkojot šī e-pasta galvenes, mēs varam redzēt vairākas lietas.
Šeit mēs redzam informāciju, kuru sūtījis klients. Šajā gadījumā e-pasta ziņojums tika nosūtīts no Outlook, tāpēc tas ir metadatu pakotne Outlook.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Nākamajā daļā tiek parādīts ceļš, ko e-pasts ņem no nosūtīšanas servera uz galamērķa serveri. Paturiet prātā, ka šīs darbības (vai apiņi) ir uzskaitītas apgrieztā hronoloģiskā secībā. Mēs esam ievietojuši attiecīgo skaitli blakus katram aprakstam, lai ilustrētu pasūtījumu. Ņemiet vērā, ka katrs aplems parāda IP adresi un attiecīgo reverso DNS nosaukumu.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Lai gan tas ir diezgan ikdienišķs par likumīgu e-pastu, šī informācija var būt diezgan stāsta, kad runa ir par surogātpasta vai pikšķerēšanas e-pasta ziņojumu pārbaudi.
Pārbaudiet pikšķerēšanas e-pastu - 1. piemērs
Mūsu pirmajam pikšķerēšanas gadījumam mēs izskatīsim e-pastu, kas ir acīmredzams pikšķerēšanas mēģinājums. Šajā gadījumā mēs varam identificēt šo ziņojumu kā krāpšanu, vienkārši izmantojot vizuālos rādītājus, bet praksē mēs apskatīsim brīdinājuma zīmes virsrakstos.
Piegādāts: [email protected] Saņemts: ar 10.60.14.3 ar SMTP id l3csp12958oec; Mon, 05 Mar 2012 23:11:29 -0800 (PST) Saņemts: ar 10.236.46.164 ar SMTP id r24mr7411623yhb.101.1331017888982; Mon, 05 Mar 2012 23:11:28 -0800 (PST) Atgriešanās ceļš:
Pirmais sarkans karogs ir klienta informācijas apgabalā. Piezīme šeit metadatu pievienotās atsauces Outlook Express. Maz ticams, ka Visa ir tik tālu aiz laikiem, kad viņiem ir kāds manuāli sūtīt e-pastus, izmantojot 12 gadu veco e-pasta klientu.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Tagad, aplūkojot pirmo e-pasta maršrutēšanu, tiek atklāts, ka sūtītājs atrodas IP adresē 118.142.76.58 un to e-pasts tika nosūtīts pa pasta serveri mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Pārlūkojot IP informāciju, izmantojot Nirsoft IPNetInfo lietderību, varam redzēt, ka sūtītājs atrodas Honkongā un pasta serveris atrodas Ķīnā.
Pārējās e-pasta apiņus šajā gadījumā patiešām neattiecas, jo tie parāda, ka e-pasta ziņojums tiek virzīts uz leģitīmo servera datplūsmu, pirms to beidzot piegādā.
Pārbaudiet pikšķerēšanas e-pastu - 2. piemērs
Šajā piemērā mūsu pikšķerēšanas e-pasts ir daudz pārliecinošāks. Šeit ir daži vizuāli indikatori, ja jūs izskatāties pietiekami stingri, bet atkal šī panta mērķiem mēs ierobežosim izmeklēšanu uz e-pasta galvenēm.
Piegādāts: [email protected] Saņemts: ar 10.60.14.3 ar SMTP id l3csp15619oec; T, 06 Mar 2012 04:27:20 -0800 (PST) Saņemts: 10.236.170.165 ar SMTP id p25mr8672800yhl.123.1331036839870; Tue, 06 Mar 2012 04:27:19 -0800 (PST) Atgriešanās ceļš:
Šajā piemērā pasta servera lietojumprogramma netika izmantota, nevis PHP skripts ar avota IP adresi 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Tomēr, skatot pirmo e-pasta apiņu, šķiet, ka tas ir legit, jo nosūtīšanas servera domēna nosaukums atbilst e-pasta adresei. Tomēr, esiet piesardzīgs par to, kā surogātpasta izplatītājs var viegli nosaukt savu serveri "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Pārbaudot nākamo soli, šī kāršu māja kustas. Jūs varat redzēt otro apiņu (ja to saņem likumīgs e-pasta serveris) atdala nosūtīšanas serveri atpakaļ domēnā "dynamic -pool-xxx.hcm.fpt.vn", nevis "intuit.com" ar to pašu IP adresi norādīts PHP skriptā.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
IP adreses informācijas skatīšana apstiprina aizdomas, ka pasta servera atrašanās vieta atgriežas Vjetnamā.
Secinājums
Pārlūkojot e-pasta galvenes, iespējams, nav daļa no jūsu ikdienas vajadzībām, ir gadījumi, kad tajās esošā informācija var būt diezgan vērtīga. Kā mēs parādījām iepriekš, jūs viegli varat viegli identificēt sūtītājus, kuri maskējas, jo tie nav. Par ļoti labi izpildītu scam, kur vizuālie norādījumi ir pārliecinoši, ir ārkārtīgi grūti (ja ne neiespējami) uzdoties par faktiskajiem pasta serveriem un pārskatīt informāciju e-pasta galvenēs, var ātri atklāt jebkuru kļūdu.
Saites
Lejupielādēt IPNetInfo no Nirsoft