Aina kun saat sähköpostiviestin, siihen on paljon enemmän kuin tavata silmä. Kun tyypillisesti kiinnität vain huomiota viestin osoitteeseen, aiheen riviin ja rungon tietoihin, on olemassa paljon enemmän tietoa jokaisen sähköpostiosoitteen alla, joka voi tarjota sinulle runsaasti lisätietoja.
Tämä on erittäin hyvä kysymys. Suurimmaksi osaksi et todellakaan tarvitsisi, ellei:
Riippumatta syistä, lukeminen sähköpostin otsikot on todella melko helppoa ja voi olla hyvin paljastava.
Artikkeli Huomaa: Kuvakaapamme ja tietomme ansiosta käytämme Gmailia, mutta käytännöllisesti katsoen jokainen muu sähköpostiyritys toimittaa samat tiedot.
Katsele sähköpostissa Gmailissa. Tätä esimerkkiä varten käytämme alla olevaa sähköpostia.
Napsauta sitten oikeassa yläkulmassa olevaa nuolta ja valitse Näytä alkuperäinen.
Tuloksena olevassa ikkunassa on sähköpostiotsikkotiedot selväkielisenä.
Huomaa: Kaikissa sähköpostin otsikkotiedoissa, jotka näytän alla, olen muuttanut Gmail-osoitettani näyttämään [email protected] ja ulkoisen sähköpostiosoiteni näytetään [email protected] ja [email protected] samoin kuin naamioituneet sähköpostipalvelimeni IP-osoitteeseen.
Toimitettu-osoitteeseen: [email protected]
Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp18666oec;
Ti, 6 maaliskuu 2012 08:30:51 -0800 (PST)
Vastaanotettu: 10.68.125.129 SMTP-tunnuksella mq1mr1963003pbb.21.1331051451044;
Ti, 06 maaliskuu 2012 08:30:51 -0800 (PST)
Paluu matka:
Vastaanotettu: osoitteesta exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com SMTP-tunnuksella l7si25161491pbd.80.2012.03.06.08.30.49;
Ti, 06 maaliskuu 2012 08:30:50 -0800 (PST)
Vastaanotettu-SPF: neutraali (google.com: 64.18.2.16 ei ole sallittu eikä kielletty hyvältä arvosanalla verkkotunnuksen [email protected]) client-ip = 64.18.2.16;
Todennus-tulokset: mx.google.com; spf = neutraali (google.com: 64.18.2.16 ei ole sallittua eikä kielletty parhaalla arvauksella verkkotunnuksessa [email protected]) [email protected]
Vastaanotettu osoitteesta mail.externalemail.com ([XXX.XXX.XXX.XXX]) (käyttäen TLSv1: tä) lähettäjälle exprod7ob119.postini.com ([64.18.6.12]) SMTP: llä
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ti, 06 maaliskuu 2012 08:30:50 PST
Vastaanotettu: MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) kartoituksella; Ti, 6. maaliskuuta
2012 11:30:48 -0500
Lähettäjä: Jason Faulkner
Vastaanottaja: "[email protected]"
Päivämäärä: ti, 6. maaliskuuta 2012 11:30:48 -0500
Aihe: Tämä on legit-sähköposti
Thread-Topic: Tämä on legit-sähköposti
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Hyväksy-kieli: en-US
Sisältö-kieli: en-US
X-MS-Has-Liitä:
X-MS-TNEF-korrelaattori:
acceptlanguage: en-US
Sisältötyyppi: monipuolinen / vaihtoehtoinen;
raja =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versio: 1.0
Kun lukee sähköpostin otsikko, tiedot ovat päinvastaisessa aikajärjestyksessä, eli yläosassa oleva tieto on viimeisin tapahtuma. Siksi jos haluat jäljittää sähköpostin lähettäjältä vastaanottajalle, aloita alareunasta. Tarkastelemalla tämän sähköpostiviestin otsikoita näemme useita asioita.
Täällä näemme lähettävän asiakkaan tuottamaa tietoa. Tällöin sähköposti lähetettiin Outlookilta, joten tämä on metatieto, jonka Outlook lisää.
Lähettäjä: Jason Faulkner
Vastaanottaja: "[email protected]"
Päivämäärä: ti, 6. maaliskuuta 2012 11:30:48 -0500
Aihe: Tämä on legit-sähköposti
Thread-Topic: Tämä on legit-sähköposti
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Hyväksy-kieli: en-US
Sisältö-kieli: en-US
X-MS-Has-Liitä:
X-MS-TNEF-korrelaattori:
acceptlanguage: en-US
Sisältötyyppi: monipuolinen / vaihtoehtoinen;
raja =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versio: 1.0
Seuraava osa jäljittää polun, jonka sähköposti lähettää lähettävän palvelimen kohdepalvelimelta. Muista, että nämä vaiheet (tai humalat) on lueteltu päinvastaisessa aikajärjestyksessä. Olemme asettaneet jokaisen hopin vieressä olevan numeron järjestyksen havainnollistamiseksi. Huomaa, että jokainen hop näyttää yksityiskohdat IP-osoitteesta ja vastaavasta käänteisen DNS-nimen.
Toimitettu-osoitteeseen: [email protected]
[6] Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp18666oec;
Ti, 6 maaliskuu 2012 08:30:51 -0800 (PST)
[5] Vastaanotettu: 10.68.125.129 SMTP-tunnuksella mq1mr1963003pbb.21.1331051451044;
Ti, 06 maaliskuu 2012 08:30:51 -0800 (PST)
Paluu matka:
[4] Vastaanotettu: osoitteesta exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com SMTP-tunnuksella l7si25161491pbd.80.2012.03.06.08.30.49;
Ti, 06 maaliskuu 2012 08:30:50 -0800 (PST)
[3] Vastaanotettu-SPF: neutraali (google.com: 64.18.2.16 ei ole sallittu eikä kielletty hyvältä arvosanalla verkkotunnuksen [email protected]) client-ip = 64.18.2.16;
Todennus-tulokset: mx.google.com; spf = neutraali (google.com: 64.18.2.16 ei ole sallittua eikä kielletty parhaalla arvauksella verkkotunnuksessa [email protected]) [email protected]
[2] Vastaanotettu osoitteesta mail.externalemail.com ([XXX.XXX.XXX.XXX]) (käyttäen TLSv1: tä) lähettäjälle exprod7ob119.postini.com ([64.18.6.12]) SMTP: llä
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ti, 06 maaliskuu 2012 08:30:50 PST
[1] Vastaanotettu: MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) kartoituksella; Ti, 6. maaliskuuta
2012 11:30:48 -0500
Vaikka tämä on melko arkipäiväinen lailliselle sähköpostiviestille, nämä tiedot voivat olla varsin selkeitä, kun tarkastellaan roskapostia tai phishing-sähköpostiviestejä.
Ensimmäiselle phishing-esimerkillemme tarkastelemme sähköpostia, joka on selvä tietojenkalasteluyritys. Tässä tapauksessa voisimme tunnistaa tämän viestin petoksena pelkästään visuaalisilla indikaattoreilla, mutta käytännössä me tarkastelemme otsikoiden varoitusmerkeitä.
Toimitettu-osoitteeseen: [email protected]
Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp12958oec;
Mon, 5 Mar 2012 23:11:29 -0800 (PST)
Saadut: 10.236.46.164 SMTP-tunnuksella r24mr7411623yhb.101.1331017888982;
Ma, 05 maalis 2012 23:11:28 -0800 (PST)
Paluu matka:
Vastaanotettu: ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
mx.google.com ESMTP-tunnuksella t19si8451178ani.110.2012.03.05.23.11.28;
Ma, 05 maalis 2012 23:11:28 -0800 (PST)
Vastaanotettu-SPF: epäonnistui (google.com: domain [email protected] ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjänä) client-ip = XXX.XXX.XXX.XXX;
Todennus-tulokset: mx.google.com; spf = hardfail (google.com: domain [email protected] ei nimitä XXX.XXX.XXX.XXX sallituksi lähettäjänä) [email protected]
Vastaanotetut: MailEnable-keskikonsoliin; Ti, 6. maaliskuuta 2012 02:11:20 -0500
Vastaanotettu osoitteesta mail.lovingtour.com ([211.166.9.218]) ms.externalemail.com kanssa MailEnable ESMTP; Ti, 6 maaliskuu 2012 02:11:10 -0500
Vastaanotettu: käyttäjältä ([118.142.76.58])
by mail.lovingtour.com
; Ma, 05 maaliskuu 2012 21:38:11 +0800
Message-ID:
Vastata:
Lähettäjä: "[email protected]"
Aihe: Ilmoitus
Päivämäärä: ma, 5. maaliskuuta 2012 21:20:57 +0800
MIME-versio: 1.0
Sisältötyyppi: multipart / mixed;
raja =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioriteetti: 3
X-MSMail-prioriteetti: Normaali
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Tuottaa Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Ensimmäinen punainen lippu on asiakkaan tiedot-alueella. Huomaa metatiedot lisätään viitteisiin Outlook Express. On epätodennäköistä, että Visa on niin kaukana, että heillä on joku lähettämällä sähköposteja manuaalisesti 12 vuoden ikäisellä sähköpostiohjelmalla.
Vastata:
Lähettäjä: "[email protected]"
Aihe: Ilmoitus
Päivämäärä: ma, 5. maaliskuuta 2012 21:20:57 +0800
MIME-versio: 1.0
Sisältötyyppi: multipart / mixed;
raja =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioriteetti: 3
X-MSMail-prioriteetti: Normaali
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Tuottaa Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Nyt tarkastelemalla ensimmäistä hop-ohjelmaa reitityksessä paljastuu, että lähettäjä oli IP-osoitteessa 118.142.76.58 ja heidän sähköpostinsa välitettiin sähköpostipalvelimen mail.lovingtour.com kautta.
Vastaanotettu: käyttäjältä ([118.142.76.58])
by mail.lovingtour.com
; Ma, 05 maaliskuu 2012 21:38:11 +0800
Nirsoftin IPNetInfo-apuohjelman IP-tietojen etsiminen näemme, että lähettäjä oli Hongkongissa ja postipalvelin sijaitsee Kiinassa.
Tarpeetonta sanoa, että tämä on hieman epäilyttävää.
Muut sähköpostin humalat eivät ole tällä hetkellä merkityksellisiä, koska ne osoittavat, että sähköposti pyörii legitiimiä palveluliikennettä ennen lopullista toimittamista.
Tässä esimerkissä phishing-sähköpostiosoitteemme on paljon vakuuttavampi. Tässä on muutamia visuaalisia indikaattoreita, jos näytät tarpeeksi kovaa, mutta tämän artikkelin tarkoituksena on rajoittaa tutkimustemme sähköpostin otsikoihin.
Toimitettu-osoitteeseen: [email protected]
Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp15619oec;
Ti, 06 maaliskuu 2012 04:27:20 -0800 (PST)
Saadut: 10.236.170.165 SMTP-tunnuksella p25mr8672800yhl.123.1331036839870;
Ti, 06 maaliskuu 2012 04:27:19 -0800 (PST)
Paluu matka:
Vastaanotettu: ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
mx.google.com ESMTP-tunnuksella o2si20048188yhn.34.2012.03.06.04.27.19;
Ti, 06 maaliskuu 2012 04:27:19 -0800 (PST)
Vastaanotettu-SPF: epäonnistui (google.com: domain [email protected] ei osoita XXX.XXX.XXX.XXX sallituksi lähettäjänä) client-ip = XXX.XXX.XXX.XXX;
Todennus-tulokset: mx.google.com; spf = hardfail (google.com: domain [email protected] ei nimitä XXX.XXX.XXX.XXX sallituksi lähettäjänä) [email protected]
Vastaanotetut: MailEnable-keskikonsoliin; Ti, 6. maaliskuuta 2012 07:27:13 -0500
Vastaanotettu: ms.externalemail.com: n dynamic -pool-xxx.hcm.fpt.vn ([118.68.152.212]) avulla MailEnable ESMTP; Ti, 06 maaliskuu 2012 07:27:08 -0500
Vastaanotettu: paikalliselta (Exim 4.67)
(kirjekuori)
id GJMV8N-8BERQW-93
varten; Ti, 6. maaliskuuta 2012 19:27:05 +0700
To:
Aihe: Intuit.com-lasku.
X-PHP-Script: intuit.com/sendmail.php 118.68.152.212
Lähettäjä: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-prioriteetti: 1
MIME-versio: 1.0
Sisältötyyppi: monipuolinen / vaihtoehtoinen;
raja =”- 03060500702080404010506"
Message-Id:
Päivämäärä: ti, 6. maaliskuuta 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Tässä esimerkissä ei käytetä sähköpostiohjelmasovellusta, vaan PHP-komentosarjaa, jonka lähteen IP-osoite on 118.68.152.212.
To:
Aihe: Intuit.com-lasku.
X-PHP-Script: intuit.com/sendmail.php 118.68.152.212
Lähettäjä: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-prioriteetti: 1
MIME-versio: 1.0
Sisältötyyppi: monipuolinen / vaihtoehtoinen;
raja =”- 03060500702080404010506"
Message-Id:
Päivämäärä: ti, 6. maaliskuuta 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Kuitenkin, kun tarkastelemme ensimmäistä sähköpostin hopia, se näyttää olevan legit, koska lähettävän palvelimen verkkotunnus vastaa sähköpostiosoitetta. Ole varovainen tästä, koska roskapostittaja voisi helposti nimetä palvelimen "intuit.com".
Vastaanotettu: paikalliselta (Exim 4.67)
(kirjekuori)
id GJMV8N-8BERQW-93
varten; Ti, 6. maaliskuuta 2012 19:27:05 +0700
Seuraavan vaiheen tutkiminen murentaa tämän korttitalon. Voit nähdä toisen hopin (jossa se vastaanottaa oikeutettua sähköpostipalvelinta) ratkaisee lähettävän palvelimen takaisin verkkotunnukseen "dynamic-pool-xxx.hcm.fpt.vn" eikä "intuit.com", jolla on sama IP-osoite ilmoitettu PHP-skripti.
Vastaanotettu: ms.externalemail.com: n dynamic -pool-xxx.hcm.fpt.vn ([118.68.152.212]) avulla MailEnable ESMTP; Ti, 06 maaliskuu 2012 07:27:08 -0500
IP-osoitetietojen tarkastelu vahvistaa epäluulon, kun postipalvelimen sijainti palautuu Vietnamiin.
Vaikka tämä esimerkki on hieman älykkäämpi, näet, kuinka nopeasti petos paljastuu vain vähäisellä tutkimuksella.
Tarkastellessasi sähköpostin otsakkeita luultavasti ei ole osa tyypillisiä päivittäisiä tarpeitasi, on olemassa tapauksia, joissa niiden sisältämät tiedot voivat olla varsin arvokkaita. Kuten edellä olemme osoittaneet, voit helposti tunnistaa lähettäjät masquerading kuin jotain he eivät ole. Hyvin suoritettu huijaus, jossa visuaaliset vihjeet ovat vakuuttavia, on äärimmäisen vaikeaa (jos ei mahdotonta) esiintyä varsinaisia sähköpostipalvelimia ja tarkistaa sähköpostin otsikoiden sisältämät tiedot voivat nopeasti paljastaa kaikenlaiset haittaohjelmat.
Lataa Nirsoftilta IPNetInfo
