Что вы можете найти в заголовке электронной почты?

2024 Автор: Geoffrey Carr | [email protected]. Последнее изменение: 2023-12-17 10:57

Всякий раз, когда вы получаете электронное письмо, это намного больше, чем кажется на первый взгляд. В то время как вы обычно обращаете внимание только на адрес, тему и текст сообщения, есть много информации, доступной «под капотом» каждого письма, которое может предоставить вам массу дополнительной информации.

Зачем беспокоиться о заголовке электронной почты?

Это очень хороший вопрос. По большей части вам действительно не понадобится, если:

Вы подозреваете, что письмо является попыткой фишинга или обманом
Вы хотите просмотреть информацию о маршрутизации по пути электронной почты
Вы любопытный выродка

Независимо от ваших причин, чтение заголовков электронной почты на самом деле довольно просто и может быть очень показательным.

Примечание к статье: для наших скриншотов и данных мы будем использовать Gmail, но практически каждый другой почтовый клиент должен предоставить эту же информацию.

Просмотр заголовка электронной почты

В Gmail просмотрите электронную почту. В этом примере мы будем использовать приведенный ниже адрес электронной почты.

Затем щелкните стрелку в правом верхнем углу и выберите «Показать оригинал».

Полученное окно будет содержать данные заголовка электронной почты в виде простого текста.

Примечание. Во всех данных заголовка электронной почты, которые я показываю ниже, я изменил свой адрес Gmail, чтобы показать как [email protected] и мой внешний адрес электронной почты, чтобы показать как [email protected] а также [email protected] а также замаскировал IP-адрес моих почтовых серверов.

Поставлено: [email protected] Поступило в редакцию: по 10.60.14.3 с SMTP id l3csp18666oec; Вт, 6 Мар 2012 08:30:51 -0800 (PST) Поступило в редакцию: 10.68.125.129 с идентификатором SMTP mq1mr1963003pbb.21.1331051451044; Вт, 06 Мар 2012 08:30:51 -0800 (PST) Обратный путь: Получено: от exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) по mx.google.com с SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Вт, 06 Мар 2012 08:30:50 -0800 (PST) Полученный-SPF: нейтральный (google.com: 64.18.2.16 не разрешен и не запрещен лучшей записью для домена [email protected]) client-ip = 64.18.2.16; Аутентификация-Результаты: mx.google.com; spf = neutral (google.com: 64.18.2.16 не разрешается и не запрещается с помощью лучшей записи об утере для домена [email protected]) [email protected] Получено: от mail.externalemail.com ([XXX.XXX.XXX.XXX]) (с использованием TLSv1) exprod7ob119.postini.com ([64.18.6.12]) с SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Вт, 06 Мар 2012 08:30:50 PST Поступило в редакцию: из MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3]) по MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3% 11]) с mapi; Вт, 6 марта 2012 11:30:48 -0500 От: Джейсон Фолкнер Кому: "[email protected]" Дата: Вт, 6 Мар 2012 11:30:48 -0500 Тема: Это законный адрес электронной почты Тема-Тема: Это законное письмо Индекс темы: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q == Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-язык: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-коррелятор: acceptlanguage: en-US Content-Type: multipart / alternative; граница =»_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_» MIME-версия: 1.0

Когда вы читаете заголовок электронной почты, данные находятся в обратном хронологическом порядке, что означает, что информация наверху является самым последним событием. Поэтому, если вы хотите отследить электронную почту от отправителя до получателя, начните снизу. Изучая заголовки этого письма, мы можем видеть несколько вещей.

Здесь мы видим информацию, сгенерированную отправляющим клиентом. В этом случае электронная почта была отправлена из Outlook, так что это добавление метаданных Outlook.


From: Jason Faulkner  To: “[email protected]”  Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

Следующая часть отслеживает путь, отправляемый электронной почтой от отправляющего сервера к целевому серверу. Имейте в виду, что эти шаги (или хмель) перечислены в обратном хронологическом порядке. Мы поместили соответствующий номер рядом с каждым прыжком, чтобы проиллюстрировать заказ. Обратите внимание, что каждый прыжок показывает подробную информацию об IP-адресе и соответствующем обратном DNS-имени.


Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path:  [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

Хотя это довольно обыденно для законных электронных писем, эта информация может быть довольно понятной, когда дело доходит до изучения спама или фишинговых писем.

Изучение фишинговой электронной почты - пример 1

В нашем первом примере фишинга мы рассмотрим электронное письмо, которое является очевидной попыткой фишинга. В этом случае мы могли бы идентифицировать это сообщение как мошенничество просто визуальными индикаторами, но для практики мы рассмотрим предупреждающие знаки в заголовках.

Image

Поставлено: [email protected] Поступило в редакцию: 10.60.14.3 с SMTP id l3csp12958oec; Пн, 5 Мар 2012 23:11:29 -0800 (PST) Поступило в редакцию: 10.236.46.164 с идентификатором SMTP r24mr7411623yhb.101.1331017888982; Пн, 05 Мар 2012 23:11:28 -0800 (PST) Обратный путь: Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) через mx.google.com с помощью ESMTP id t19si8451178ani.110.2012.03.05.23.11.28; Пн, 05 Мар 2012 23:11:28 -0800 (PST) Received-SPF: fail (google.com: домен [email protected] не указывает XXX.XXX.XXX.XXX в качестве разрешенного отправителя) client-ip = XXX.XXX.XXX.XXX; Аутентификация-Результаты: mx.google.com; spf = hardfail (google.com: домен [email protected] не указывает XXX.XXX.XXX.XXX в качестве разрешенного отправителя) [email protected] Получено: с MailEnable Postoffice Connector; Вт, 6 Мар 2012 02:11:20 -0500 Получено: от mail.lovingtour.com ([211.166.9.218]) от ms.externalemail.com с MailEnable ESMTP; Вт, 6 мар 2012 02:11:10 -0500 Поступило в редакцию: от пользователя ([118.142.76.58]) по mail.lovingtour.com; Пн, 5 Мар 2012 21:38:11 +0800 Идентификатор сообщения: <[email protected]> Ответить на: От: "[email protected]" Тема: Уведомление Дата: Пн, 5 Мар 2012 21:20:57 +0800 MIME-версия: 1.0 Content-Type: multipart / mixed; граница =»- = _ NextPart_000_0055_01C2A9A6.1C1757C0" X-приоритет: 3 Приоритет X-MSMail: Обычный X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: выпущено Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0,000000

Первый красный флаг находится в области информации клиента. Обратите внимание, что метаданные добавили ссылки Outlook Express. Маловероятно, что Visa настолько отстает от времени, что у них есть кто-то, кто вручную отправляет электронные письма, используя 12-летний почтовый клиент.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Теперь, изучая первый переход в маршрутизации электронной почты, выясняется, что отправитель находился по IP-адресу 118.142.76.58, и их электронная почта была передана через почтовый сервер mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Поднимая IP-информацию с помощью утилиты IPNetInfo от Nirsoft, мы видим, что отправитель находится в Гонконге, а почтовый сервер находится в Китае.

Image

Излишне говорить, что это немного подозрительно.

В этом случае остальная часть переходов электронной почты не имеет особого значения, поскольку они показывают, что сообщение электронной почты подпрыгивает вокруг законного трафика сервера, прежде чем, наконец, будет доставлено.

Изучение фишинговой почты - пример 2

В этом примере наше фишинговое письмо гораздо более убедительно. Здесь есть несколько визуальных индикаторов, если вы выглядите достаточно жестко, но опять же для целей этой статьи мы собираемся ограничить наше расследование заголовками электронной почты.

Image

Поставлено: [email protected] Поступило в редакцию: 10.60.14.3 с идентификатором SMTP l3csp15619oec; Вт, 6 Мар 2012 04:27:20 -0800 (PST) Поступило в редакцию: 10.236.170.165 с идентификатором SMTP p25mr8672800yhl.123.1331036839870; Вт, 06 Мар 2012 04:27:19 -0800 (PST) Обратный путь: Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) через mx.google.com с ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19; Вт, 06 Мар 2012 04:27:19 -0800 (PST) Received-SPF: fail (google.com: домен [email protected] не указывает XXX.XXX.XXX.XXX в качестве разрешенного отправителя) client-ip = XXX.XXX.XXX.XXX; Аутентификация-Результаты: mx.google.com; spf = hardfail (google.com: домен [email protected] не указывает XXX.XXX.XXX.XXX в качестве разрешенного отправителя) [email protected] Получено: с MailEnable Postoffice Connector; Вт, 6 Мар 2012 07:27:13 -0500 Получено: от dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) от ms.externalemail.com с MailEnable ESMTP; Вт, 6 Мар 2012 07:27:08 -0500 Получено: от apache by intuit.com с локальным (Исх.467) (Конверт из ) id GJMV8N-8BERQW-93 за ; Вт, 6 марта 2012 19:27:05 +0700 Для того, чтобы: Тема: Ваш счет-фактура Intuit.com. X-PHP-Script: intuit.com/sendmail.php для 118.68.152.212 От: «ИНТУИТ ИНК». X-Sender: «INTUIT INC». X-Mailer: PHP X-приоритет: 1 MIME-версия: 1.0 Content-Type: multipart / alternative; граница =»---- +03060500702080404010506" Message-Id: Дата: Вт, 6 марта 2012 19:27:05 +0700 X-ME-Bayesian: 0,000000

В этом примере приложение почтового клиента не использовалось, а скорее скрипт PHP с исходным IP-адресом 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Однако, когда мы смотрим на первый электронный хост, он кажется законным, поскольку доменное имя отправляющего сервера соответствует адресу электронной почты. Однако будьте осторожны, поскольку спамер может легко назвать свой сервер «intuit.com».
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Изучение следующего шага разрушает этот карточный домик. Вы можете видеть, что второй прыжок (где он получен законным почтовым сервером) решает сервер отправки обратно в домен «dynamic -pool-xxx.hcm.fpt.vn», а не «intuit.com» с тем же IP-адресом указанных в скрипте PHP.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Просмотр информации о IP-адресе подтверждает подозрение, поскольку местоположение почтового сервера возвращается во Вьетнам.

Хотя этот пример немного более умен, вы можете видеть, как быстро выявляется мошенничество с небольшим расследованием.

Заключение

Хотя просмотр заголовков электронной почты, вероятно, не является частью ваших типичных повседневных потребностей, бывают случаи, когда информация, содержащаяся в них, может быть весьма ценной. Как мы показали выше, вы можете легко идентифицировать отправителей, маскирующихся как нечто, что они не являются. Для очень хорошо выполненного мошенничества, где визуальные подсказки убедительны, чрезвычайно сложно (если не невозможно) олицетворять фактические почтовые серверы, и просмотр информации внутри заголовков электронной почты может быстро выявить любые придирки.

связи

Загрузить IPNetInfo от Nirsoft