Hvorfor bry deg om å se på en e-postadresse?
Dette er et veldig godt spørsmål. For det meste ville du egentlig aldri trenger å med mindre:
- Du mistenker at en e-post er et phishing-forsøk eller en spoof
- Du vil vise rutingsinformasjon på e-postens bane
- Du er en nysgjerrig geek
Uansett årsakene er det å lese e-post overskrifter faktisk ganske enkelt og kan være veldig avslørende.
Artikkel Merk: For våre skjermbilder og data bruker vi Gmail, men nesten alle andre postklienter skal også gi samme informasjon.
Vise e-posthodet
I Gmail, se e-posten. For dette eksempelet bruker vi e-posten nedenfor.
Merk: I alle e-post header dataene jeg viser nedenfor har jeg endret Gmail-adressen min for å vise som [email protected] og min eksterne e-postadresse for å vise som [email protected] og [email protected] samt maskert IP-adressen til e-postserverne mine.
Leveres til: [email protected] Mottatt: ved 10.60.14.3 med SMTP ID l3csp18666oec; Tirsdag, 6 mars 2012 08:30:51 -0800 (PST) Mottatt: ved 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044; Tirsdag, 06 mars 2012 08:30:51 -0800 (PST) Return-Path:
Når du leser en e-post header, er dataene i omvendt kronologisk rekkefølge, noe som betyr at informasjonen øverst er den siste hendelsen. Derfor hvis du vil spore e-posten fra avsender til mottaker, starter du nederst. Ved å undersøke overskriftene i denne e-posten kan vi se flere ting.
Her ser vi informasjon generert av senderklienten. I dette tilfellet ble e-posten sendt fra Outlook, så dette er metadataen Outlook legger til.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Den neste delen sporer banen e-posten tar fra sendingsserveren til destinationsserveren. Husk at disse trinnene (eller humle) er oppført i omvendt kronologisk rekkefølge. Vi har plassert respektive nummer ved siden av hvert hopp for å illustrere bestillingen. Merk at hvert hopp viser detalj om IP-adressen og det respektive omvendte DNS-navnet.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Selv om dette er ganske vanlig for en legitim e-post, kan denne informasjonen ganske fortellende når det gjelder å undersøke e-postadresser for e-post eller phishing.
Undersøk en Phishing-e-post - Eksempel 1
For vårt første phishing-eksempel, undersøker vi en e-post som er et åpenbart phishing-forsøk. I dette tilfellet kunne vi identifisere denne meldingen som en svindel bare ved de visuelle indikatorene, men for øvelse vil vi se på advarselsskiltene i topptekstene.
Leveres til: [email protected] Mottatt: ved 10.60.14.3 med SMTP ID l3csp12958oec; Ma, 5 mars 2012 23:11:29 -0800 (PST) Mottatt: ved 10.236.46.164 med SMTP ID r24mr7411623yhb.101.1331017888982; Ma, 05 mars 2012 23:11:28 -0800 (PST) Return-Path:
Det første røde flagget er i klientinformasjonsområdet. Legg merke til at metadataene tilsier referanser til Outlook Express. Det er usannsynlig at Visa er så langt bak tiden de har noen manuelt å sende e-post med en 12 år gammel e-postklient.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Nå undersøker den første hoppen i e-rutingen avslører at avsenderen var lokalisert på IP-adressen 118.142.76.58, og e-posten ble videreformidlet via e-postserveren mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Ser opp IP-informasjonen ved hjelp av Nirsoft's IPNetInfo-verktøy, vi kan se avsenderen var lokalisert i Hong Kong og postserveren ligger i Kina.
Resten av e-posthoppen er ikke særlig relevant i dette tilfellet da de viser e-posten som hopper rundt legitim servertrafikk før den endelig blir levert.
Undersøk en Phishing-e-post - Eksempel 2
For dette eksempelet er vår phishing-e-post mye mer overbevisende. Det er noen visuelle indikatorer her hvis du ser hardt ut, men igjen for denne artiklens formål skal vi begrense vår undersøkelse til e-postheader.
Leveres til: [email protected] Mottatt: ved 10.60.14.3 med SMTP ID l3csp15619oec; Tirsdag, 6 mars 2012 04:27:20 -0800 (PST) Mottatt: med 10.236.170.165 med SMTP-ID p25mr8672800yhl.123.1331036839870; Tirsdag, 06 mars 2012 04:27:19 -0800 (PST) Return-Path:
I dette eksemplet ble det ikke brukt et postklientprogram, heller et PHP-skript med kilde-IP-adressen til 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Men når vi ser på det første e-posthoppet, ser det ut til at det er legitimt som sendingens servernavn matcher e-postadressen. Vær imidlertid skeptisk til dette som en spammer kunne lett nevne serveren deres "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Ved å undersøke neste trinn smuldrer dette huset med kort. Du kan se det andre hoppet (hvor det mottas av en legitim e-postserver) løser sendingsserveren tilbake til domenet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresse angitt i PHP-skriptet.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Vise IP-adressens informasjon bekrefter mistanken da posisjonsserverens beliggenhet løser tilbake til Viet Nam.
Konklusjon
Mens du ser på e-postoverskrifter, sannsynligvis ikke er en del av de typiske daglige behovene dine, er det tilfeller hvor informasjonen i dem kan være ganske verdifull. Som vi viste over, kan du ganske enkelt identifisere avsendere masquerading som noe de ikke er. For en veldig godt utført svindel der visuelle signaler er overbevisende, er det ekstremt vanskelig (om ikke umulig) å etterligne faktiske e-postservere og gjennomgå informasjonen inne i e-postoverskrifter, kan raskt avsløre noen chicanery.
lenker
Last ned IPNetInfo fra Nirsoft