Защо да се мъчим да разглеждаме заглавието на имейл?
Това е много добър въпрос. В по-голямата си част наистина не бихте имали нужда, освен ако:
- Подозирате, че имейл е фишинг опит или измама
- Искате да видите информация за маршрутизиране по пътя на имейла
- Вие сте любопитен гейк
Независимо от причините, четенето на заглавия на имейли е всъщност доста лесно и може да бъде много разкриващо.
Забележка към статията: За нашите екранни снимки и данни ще използваме Gmail, но на практика всеки друг клиент за електронна поща трябва да предостави същата тази информация.
Преглед на заглавката на имейла
В Gmail вижте имейла. За този пример ще използваме имейла по-долу.
Забележка: Във всички данни от заглавната част на имейла, които показвам по-долу, промених адреса си в Gmail, за да се показва като [email protected] и моя външен имейл адрес, който да се показва като [email protected] и [email protected] както и маскира IP адреса на моите имейл сървъри.
Доставяно до: [email protected] Получено: от 10.60.14.3 с SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) Получено: от 10.68.125.129 с SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Път за връщане:
Когато четете заглавие на имейл, данните са в обратен хронологичен ред, което означава, че информацията в горната част е последното събитие. Ето защо, ако искате да проследите имейла от изпращача до получателя, започнете от дъното. Разглеждайки заглавията на този имейл, можем да видим няколко неща.
Тук виждаме информация, генерирана от изпращащия клиент. В този случай имейлът бе изпратен от Outlook, така че това е метаданните, които Outlook добавя.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Следващата част проследява пътя, който се получава от изпращащия сървър до целевия сървър. Имайте предвид, че тези стъпки (или хмел) са изброени в обратен хронологичен ред. Разположихме съответния номер до всеки хмел, за да илюстрираме реда. Обърнете внимание, че всеки хоп показва подробности за IP адреса и съответното DNS име.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Докато това е доста нормално за легитимен имейл, тази информация може да бъде доста разясняваща, когато става дума за разглеждане на спам или фишинг имейли.
Разглеждане на имейл за фишинг - Пример 1
За първия пример за фишинг ще разгледаме имейл, който е очевиден фишинг опит. В този случай бихме могли да идентифицираме това съобщение като измама само с визуални показатели, но за практиката ще разгледаме предупредителните знаци в заглавията.
Доставяно до: [email protected] Получено: до 10.60.14.3 с SMTP id l3csp12958oec; Понеделник, 5 Мар 2012 23:11:29 -0800 (PST) Получено: от 10.236.46.164 с SMTP id r24mr7411623yhb.101.1331017888982; Mon, 05 Mar 2012 23:11:28 -0800 (PST) Път за връщане:
Първото червено знаме се намира в информационната зона на клиента. Забележете тук добавените метаданни препратки Outlook Express. Малко вероятно е Visa да е толкова далеч от времето, когато има някой, който ръчно изпраща имейли, използвайки 12-годишен имейл клиент.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Сега, разглеждайки първия хоп в маршрута на електронната поща, се вижда, че подателят е бил на IP адрес 118.142.76.58, а техният имейл е препредаден през пощенския сървър mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Търсейки информацията за IP, използвайки IPNetInfo на Nirsoft, можем да видим, че подателят се намира в Хонг Конг, а пощенският сървър се намира в Китай.
Останалата част от електронната поща не е релевантна в този случай, тъй като те показват, че електронната поща се отклонява около легитимния трафик на сървъри, преди да бъде окончателно доставена.
Разглеждане на имейл за фишинг - Пример 2
За този пример нашият фишинг имейл е много по-убедителен. Има няколко визуални показатели тук, ако изглеждате достатъчно трудно, но отново за целите на тази статия ще ограничим разследването до имейл заглавията.
Доставяно до: [email protected] Получено: от 10.60.14.3 с SMTP id l3csp15619oec; Tue, 6 Mar 2012 04:27:20 -0800 (PST) Получено: от 10.236.170.165 с SMTP id p25mr8672800yhl.123.1331036839870; Tue, 06 Mar 2012 04:27:19 -0800 (PST) Път за връщане:
В този пример не беше използвано приложение за пощенски клиент, а по-скоро PHP скрипт с IP адрес на източника на 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Въпреки това, когато погледнем първия имейл хоп, изглежда, че е легитимен, тъй като името на домейна на изпращащия сървър съответства на имейл адреса. Въпреки това, бъдете предпазливи от това, тъй като спамът може лесно да назове техния сървър "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Разглеждането на следващата стъпка рухва тази къща с карти. Можете да видите втория хоп (където той е получен от легитимен сървър за електронна поща), решава изпращащия сървър обратно до домейна "dynamic-pool-xxx.hcm.fpt.vn", а не "intuit.com" със същия IP адрес посочен в PHP скрипта.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Преглеждането на информацията за IP адреса потвърждава подозрението, тъй като местоположението на пощенския сървър се връща обратно в Виетнам.
заключение
Докато разглеждането на заглавията на имейлите вероятно не е част от типичните ежедневни потребности, има случаи, в които съдържащата се в тях информация може да бъде доста ценна. Както показахме по-горе, можете лесно да установите, че подателите се маскират като нещо, което не са. За много добре изпълнена измама, при която визуалните знаци са убедителни, е изключително трудно (ако не и невъзможно) да се представяте за истински пощенски сървъри и преглеждането на информацията вътре в заглавията на имейлите бързо може да разкрие някаква неприятност.
звена
Изтеглете IPNetInfo от Nirsoft