Pagrindinis » kaip » Ką galite rasti el. Pašto antraštėje?

    Ką galite rasti el. Pašto antraštėje?

    Kai gausite el. Laišką, tai yra daug daugiau, nei atitinka akis. Paprastai atkreipkite dėmesį tik į pranešimo adresą, temos eilutę ir kūną, tačiau kiekviename el. Laiške yra daug daugiau informacijos, kuri gali suteikti jums papildomos informacijos..

    Kodėl nerimauti žiūri į el. Pašto antraštę?

    Tai labai geras klausimas. Daugeliu atvejų jums tikrai nereikės, nebent:

    • Įtariate, kad el. Laiškas yra sukčiavimo bandymas ar apgaulė
    • Norite peržiūrėti maršruto informaciją el
    • Jūs esate smalsus geekas

    Nepriklausomai nuo jūsų priežasčių, el. Laiškų antraščių skaitymas iš tikrųjų yra gana lengvas ir gali būti labai akivaizdus.

    Straipsnio pastaba: mūsų ekrano vaizdams ir duomenims mes naudojame „Gmail“, bet beveik visi kiti pašto klientai turėtų pateikti tą pačią informaciją.

    El. Pašto antraštės peržiūra

    „Gmail“ peržiūrėkite el. Laišką. Šiame pavyzdyje naudosime toliau pateiktą el. Laišką.

    Tada spustelėkite rodyklę viršutiniame dešiniajame kampe ir pasirinkite Rodyti originalą.

    Gautas langas turės paprasto teksto el. Antraštės duomenis.

    Pastaba: visuose žemiau pateiktuose el. Pašto antraštės duomenyse pakeitiau savo „Gmail“ adresą, kad būtų rodomas kaip [email protected] ir mano išorinis el. pašto adresas, kuris bus rodomas kaip [email protected] ir [email protected] taip pat užmaskavo mano el. pašto serverių IP adresą.

    Pristatytas į: [email protected]
    Gauta: iki 10.60.14.3 su SMTP ID l3csp18666oec;
    2012 m. Kovo 6 d. 08:30:51 -0800 (PST)
    Gauta: iki 10.68.125.129 su SMTP id mq1mr1963003pbb.21.1331051451044;
    Antradienis, 2012 m. Kovo 6 d. 08:30:51 -0800 (PST)
    Grįžimo kelias:
    Gauta: iš exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    pateikė mx.google.com su SMTP ID l7si25161491pbd.80.2012.03.06.08.30.49;
    2012 m. Kovo 6 d. 08:30:50 -0800 (PST)
    Gauta-SPF: neutrali (google.com: 64.18.2.16 nėra leistina ir neprieštarauja geriausiam „[email protected]“ domeno įrašui) kliento-ip = 64.18.2.16;
    Autentifikavimo rezultatai: mx.google.com; spf = neutral (google.com: 64.18.2.16 nėra leistina ir neprieštarauja geriausiam domeno [email protected] domeno įrašui) [email protected]
    Gauta: nuo mail.externalemail.com ([XXX.XXX.XXX.XXX]) (naudojant TLSv1) exprod7ob119.postini.com ([64.18.6.12]) su SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; 2012 m. Kovo 06 d. 08:30:50 PST
    Gauta: iš MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) su mapi; Antr., Kovo 6 d
    2012 11:30:48 -0500
    Iš: Jason Faulkner
    Į: „[email protected]
    Data: 2012 m. Kovo 6 d. 11:30:48 -0500
    Tema: Tai teisėtas el
    Temos tema: Tai teisėtas el
    Temos indeksas: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Pranešimo ID:
    Priimti kalbą: en-US
    Turinio kalba: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-koreliatorius:
    sutikimas: en-US
    Turinio tipas: kelių dalių / alternatyva;
    ribos = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME versija: 1.0

    Skaitydami el. Pašto antraštę duomenys yra atvirkštine chronologine tvarka, o tai reiškia, kad informacija viršuje yra naujausias įvykis. Todėl, jei norite atsekti el. Laišką iš siuntėjo į gavėją, pradėkite nuo apačios. Nagrinėdami šio el. Laiško antraštes matome keletą dalykų.

    Čia matome siunčiančiojo kliento sukurtą informaciją. Tokiu atveju el. Laiškas buvo išsiųstas iš „Outlook“, todėl tai yra metaduomenys „Outlook“.

    Iš: Jason Faulkner
    Į: „[email protected]
    Data: 2012 m. Kovo 6 d. 11:30:48 -0500
    Tema: Tai teisėtas el
    Temos tema: Tai teisėtas el
    Temos indeksas: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Pranešimo ID:
    Priimti kalbą: en-US
    Turinio kalba: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-koreliatorius:
    sutikimas: en-US
    Turinio tipas: kelių dalių / alternatyva;
    ribos = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME versija: 1.0

    Kitoje dalyje nurodomas kelias, kuriuo el. Laiškas siunčiamas iš siunčiančiojo serverio į paskirties serverį. Atminkite, kad šie veiksmai (arba apyniai) yra išvardyti atvirkštine chronologine tvarka. Mes pateikiame atitinkamą numerį šalia kiekvieno apynių, kad iliustruotume užsakymą. Atkreipkite dėmesį, kad kiekviena apykaita rodo išsamią informaciją apie IP adresą ir atitinkamą atvirkštinio DNS pavadinimą.

    Pristatytas į: [email protected]
    [6] Gauta: iki 10.60.14.3 su SMTP ID l3csp18666oec;
    2012 m. Kovo 6 d. 08:30:51 -0800 (PST)
    [5] Gauta: iki 10.68.125.129 su SMTP id mq1mr1963003pbb.21.1331051451044;
    Antradienis, 2012 m. Kovo 6 d. 08:30:51 -0800 (PST)
    Grįžimo kelias:
    [4] Gauta: iš exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    pateikė mx.google.com su SMTP ID l7si25161491pbd.80.2012.03.06.08.30.49;
    2012 m. Kovo 6 d. 08:30:50 -0800 (PST)
    [3] Gauta-SPF: neutrali (google.com: 64.18.2.16 nėra leistina ir neprieštarauja geriausiam „[email protected]“ domeno įrašui) kliento-ip = 64.18.2.16;
    Autentifikavimo rezultatai: mx.google.com; spf = neutral (google.com: 64.18.2.16 nėra leistina ir neprieštarauja geriausiam domeno [email protected] domeno įrašui) [email protected]
    [2] Gauta: nuo mail.externalemail.com ([XXX.XXX.XXX.XXX]) (naudojant TLSv1) exprod7ob119.postini.com ([64.18.6.12]) su SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; 2012 m. Kovo 06 d. 08:30:50 PST
    [1] Gauta: iš MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) su mapi; Antr., Kovo 6 d
    2012 11:30:48 -0500

    Nors teisėtas el. Laiškas yra gana kasdieniškas, ši informacija gali būti gana aiški, kai kalbama apie šlamšto ar sukčiavimo el. Laiškus.

    Sukčiavimo apsimetimo el. Pašto tyrimas - 1 pavyzdys

    Pirmasis mūsų sukčiavimo pavyzdys, mes išnagrinėsime el. Laišką, kuris yra akivaizdus bandymas apsimesti. Šiuo atveju mes galėtume nustatyti šį pranešimą kaip sukčiavimą paprasčiausiai vaizdiniais rodikliais, tačiau praktikoje pažvelgsime į įspėjamuosius ženklus antraštėse.

    Pristatytas į: [email protected]
    Gauta: iki 10.60.14.3 su SMTP ID l3csp12958oec;
    Pirmadienis, kovo 5, 2012 23:11:29 -0800 (PST)
    Gauta: iki 10.236.46.164 su SMTP id r24mr7411623yhb.101.1331017888982;
    Pirmadienis, kovo 5, 2012 23:11:28 -0800 (PST)
    Grįžimo kelias:
    Gauta: iš ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    pateikė mx.google.com su ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
    Pirmadienis, kovo 5, 2012 23:11:28 -0800 (PST)
    Gautas-SPF: nepavyksta (google.com: „[email protected]“ domenas nenurodo XXX.XXX.XXX.XXX kaip leistinas siuntėjas) client-ip = XXX.XXX.XXX.XXX;
    Autentifikavimo rezultatai: mx.google.com; spf = hardfail (google.com: [email protected] domenas nenurodo XXX.XXX.XXX.XXX kaip leistinas siuntėjas) [email protected]
    Gauta: su „MailEnable Postoffice Connector“; 2012 m. Kovo 6 d. 02:11:20 -0500
    Gavo: nuo mail.lovingtour.com ([211.166.9.218]) iki ms.externalemail.com su MailEnable ESMTP; 2012 m. Kovo 6 d. 02:11:10 -0500
    Gauta: iš vartotojo ([118.142.76.58])
    pateikė mail.lovingtour.com
    ; Pirmadienis, kovo 5, 2012 21:38:11 +0800
    Pranešimo ID:
    Atsakinėti į:
    Nuo: „[email protected]
    Tema: Pranešimas
    Data: 2012 m. Kovo 5 d., 21:20:57 +0800
    MIME versija: 1.0
    Turinio tipas: kelių dalių / mišrios;
    borderary = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X prioritetas: 3
    X-MSMail prioritetas: normalus
    „X-Mailer“: „Microsoft Outlook Express“ 6.00.2600.0000
    X-MimeOLE: Gamintojas Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Pirmoji raudona vėliava yra kliento informacijos srityje. Pastaba čia metaduomenys pridedami nuorodos „Outlook Express“. Mažai tikėtina, kad „Visa“ iki šiol atsilieka nuo laiko, kada jie kas nors rankiniu būdu siunčia el. Laiškus naudodami 12 metų el. Pašto klientą.

    Atsakinėti į:
    Nuo: „[email protected]
    Tema: Pranešimas
    Data: 2012 m. Kovo 5 d., 21:20:57 +0800
    MIME versija: 1.0
    Turinio tipas: kelių dalių / mišrios;
    borderary = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X prioritetas: 3
    X-MSMail prioritetas: normalus
    „X-Mailer“: „Microsoft Outlook Express“ 6.00.2600.0000
    X-MimeOLE: Gamintojas Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Išnagrinėjus pirmąjį el. Pašto maršruto šuolį paaiškėja, kad siuntėjas buvo IP adresas 118.142.76.58, o jų el. Laiškas buvo perduotas per pašto serverį mail.lovingtour.com.

    Gauta: iš vartotojo ([118.142.76.58])
    pateikė mail.lovingtour.com
    ; Pirmadienis, kovo 5, 2012 21:38:11 +0800

    Ieškodami IP informacijos naudojant „Nirsoft“ IPNetInfo naudingumą, mes matome, kad siuntėjas įsikūręs Honkonge, o pašto serveris yra Kinijoje.

    Nereikia nė sakyti, kad tai šiek tiek įtartina.

    Likusieji elektroninio pašto apyvartos šiuo atveju nėra tinkami, nes jie rodo, kad el. Laiškas grįžta į teisėtą serverio srautą prieš galutinai pristatant.

    Sukčiavimo apsimetimo el. Pašto tyrimas - 2 pavyzdys

    Šiuo pavyzdžiu mūsų sukčiavimo el. Laiškas yra daug įtikinamesnis. Čia yra keletas vizualių rodiklių, jei jums atrodo pakankamai sunku, bet šio straipsnio tikslais dar kartą apribosime tyrimą tik el. Laiškų antraštėmis.

    Pristatytas į: [email protected]
    Gauta: iki 10.60.14.3 su SMTP ID l3csp15619oec;
    2012 m. Kovo 6 d. 04:27:20 -0800 (PST)
    Gauta: iki 10.236.170.165 su SMTP id p25mr8672800yhl.123.1331036839870;
    Antradienis, 06.03.2012 04:27:19 -0800 (PST)
    Grįžimo kelias:
    Gauta: iš ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    pateikė mx.google.com su ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
    Antradienis, 06.03.2012 04:27:19 -0800 (PST)
    Gautas-SPF: nepavyko (google.com: „[email protected]“ domenas nenurodo XXX.XXX.XXX.XXX kaip leistinas siuntėjas) client-ip = XXX.XXX.XXX.XXX;
    Autentifikavimo rezultatai: mx.google.com; spf = hardfail (google.com: „[email protected]“ domenas nenurodo XXX.XXX.XXX.XXX kaip leistinas siuntėjas) [email protected]
    Gauta: su „MailEnable Postoffice Connector“; 2012 m. Kovo 6 d. 07:27:13 -0500
    Gauta: iš dinaminio-pool-xxx.hcm.fpt.vn ([118.68.152.212]) iki ms.externalemail.com su MailEnable ESMTP; 2012 m. Kovo 6 d. 07:27:08 -0500
    Gauta: nuo apache iki intuit.com su vietiniais (Exim 4.67)
    (vokai nuo)
    id GJMV8N-8BERQW-93
    dėl ; 2012 m. Kovo 6 d. 19:27:05 +0700
    Į:
    Tema: Jūsų „Intuit.com“ sąskaita.
    X-PHP-Script: intuit.com/sendmail.php už 118.68.152.212
    Nuo: „INTUIT INC.“
    X-Sender: „INTUIT INC.“
    X-Mailer: PHP
    X prioritetas: 1
    MIME versija: 1.0
    Turinio tipas: kelių dalių / alternatyva;
    riba = "- 03060500702080404010506"
    Pranešimo ID:
    Data: 2012 m. Kovo 6 d. 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Šiame pavyzdyje nebuvo naudojama pašto kliento programa, o PHP scenarijus su šaltinio IP adresu 118.68.152.212.

    Į:
    Tema: Jūsų „Intuit.com“ sąskaita.
    X-PHP-Script: intuit.com/sendmail.php už 118.68.152.212
    Nuo: „INTUIT INC.“
    X-Sender: „INTUIT INC.“
    X-Mailer: PHP
    X prioritetas: 1
    MIME versija: 1.0
    Turinio tipas: kelių dalių / alternatyva;
    riba = "- 03060500702080404010506"
    Pranešimo ID:
    Data: 2012 m. Kovo 6 d. 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Tačiau, kai pažvelgsime į pirmąjį el. Laišką, atrodo, kad jis yra teisėtas, nes siunčiančiojo serverio domeno vardas atitinka el. Tačiau būkite atsargūs, nes šlamštas gali lengvai pavadinti savo serverį „intuit.com“.

    Gauta: nuo apache iki intuit.com su vietiniais (Exim 4.67)
    (vokai nuo)
    id GJMV8N-8BERQW-93
    dėl ; 2012 m. Kovo 6 d. 19:27:05 +0700

    Nagrinėjant kitą žingsnį, šis kortelių namelis sutrūksta. Jūs galite pamatyti antrą apynių (kur jį gauna teisėtas el. Pašto serveris) išsprendžia siuntimo serverį atgal į domeną „dynamic-pool-xxx.hcm.fpt.vn“, o ne „intuit.com“ su tuo pačiu IP adresu nurodyta PHP scenarijuje.

    Gauta: iš dinaminio-pool-xxx.hcm.fpt.vn ([118.68.152.212]) iki ms.externalemail.com su MailEnable ESMTP; 2012 m. Kovo 6 d. 07:27:08 -0500

    IP adreso informacijos peržiūra patvirtina įtarimą, kai pašto serverio vieta išsprendžia atgal į Vietnamą.

    Nors šis pavyzdys yra šiek tiek protingesnis, galite pamatyti, kiek greitai apgaulė atskleidžiama tik nedideliu tyrimu.

    Išvada

    Žiūrint el. Laiškų antraštes tikriausiai nėra jūsų įprastų kasdienių poreikių dalis, yra atvejų, kai juose esanti informacija gali būti gana vertinga. Kaip parodėme pirmiau, galite gana lengvai atpažinti siuntėjus, kurie yra maskuojami kaip kažkas, ko jie nėra. Dėl labai gerai atlikto sukčiavimo, kai vizualūs užuomonai yra įtikinami, labai sunku (jei ne neįmanoma) įsivaizduoti tikruosius pašto serverius ir peržiūrėti informaciją el..

    Nuorodos

    Atsisiųskite IPNetInfo iš „Nirsoft“