Всякий раз, когда вы получаете электронное письмо, это гораздо больше, чем кажется на первый взгляд. Хотя вы обычно обращаете внимание только на адрес отправителя, строку темы и текст сообщения, под капотом каждого электронного письма имеется гораздо больше информации, которая может предоставить вам массу дополнительной информации.



Зачем смотреть на заголовок электронного письма?

Это очень хороший вопрос. По большей части вам действительно никогда не понадобится, если:

  • Вы подозреваете, что письмо является попыткой фишинга или подделкой
  • Вы хотите просмотреть информацию о маршрутизации в пути к электронному письму
  • Ты любопытный компьютерщик

Независимо от ваших причин, чтение заголовков писем на самом деле довольно легко и может быть очень показательным.

Примечание к статье: для наших снимков экрана и данных мы будем использовать Gmail, но практически любой другой почтовый клиент также должен предоставлять ту же информацию.

Просмотр заголовка электронного письма

В Gmail просмотрите письмо. В этом примере мы будем использовать адрес электронной почты, указанный ниже.

Реклама

Затем щелкните стрелку в правом верхнем углу и выберите Показать оригинал.

В появившемся окне будут данные заголовка электронного письма в виде обычного текста.

Примечание. Во всех данных заголовка электронной почты, которые я показываю ниже, я изменил свой адрес Gmail, чтобы он отображался как myemail@gmail.com и мой внешний адрес электронной почты, чтобы отображаться как jfaulkner@externalemail.com и jason@myemail.com а также замаскировал IP-адрес моих почтовых серверов.

Кому доставлено: myemail@gmail.com
Получено: 10.60.14.3 с SMTP id l3csp18666oec;
Вт, 6 марта 2012 г., 08:30:51 -0800 (PST)
Поступило: 10.68.125.129 с идентификатором SMTP mq1mr1963003pbb.21.1331051451044;
Вт, 06 марта 2012 г. 08:30:51 -0800 (PST)
Обратный путь:
Получено: от exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
от mx.google.com с идентификатором SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Вт, 06 марта 2012 г., 08:30:50 -0800 (PST)
Received-SPF: нейтральный (google.com: 64.18.2.16 не разрешен и не запрещен записью наилучшего предположения для домена jfaulkner@externalemail.com) client-ip = 64.18.2.16;
Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 64.18.2.16 не разрешен и не запрещен записью наилучшего предположения для домена jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
Получено: от mail.externalemail.com ([XXX.XXX.XXX.XXX]) (с использованием TLSv1) от exprod7ob119.postini.com ([64.18.6.12]) с SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Вт, 6 марта 2012 г. 08:30:50 PST
Получено: с MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) пользователем
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) с mapi; Вт, 6 мар.
2012 11:30:48 -0500
От: Джейсон Фолкнер
Кому: myemail@gmail.com
Дата: 6 марта 2012 г., 11:30:48 -0500
Тема: Это правильный адрес электронной почты
Тема-Тема: Это законное электронное письмо
Индекс темы: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Идентификатор сообщения:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Коррелятор:
acceptlanguage: en-US
Тип содержимого: составной / альтернативный;
border = _000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_
MIME-версия: 1.0

Когда вы читаете заголовок электронного письма, данные располагаются в обратном хронологическом порядке, то есть информация вверху является самым последним событием. Поэтому, если вы хотите отследить электронную почту от отправителя до получателя, начните снизу. Изучив заголовки этого письма, мы можем увидеть несколько вещей.

Здесь мы видим информацию, сгенерированную отправляющим клиентом. В этом случае электронное письмо было отправлено из Outlook, поэтому это метаданные, которые добавляет Outlook.

От: Джейсон Фолкнер
Кому: myemail@gmail.com
Дата: 6 марта 2012 г., 11:30:48 -0500
Тема: Это правильный адрес электронной почты
Тема-Тема: Это законное электронное письмо
Индекс темы: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Идентификатор сообщения:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Коррелятор:
acceptlanguage: en-US
Тип содержимого: составной / альтернативный;
border = _000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_
MIME-версия: 1.0

Реклама

В следующей части прослеживается путь, по которому электронное письмо идет от отправляющего сервера к целевому. Имейте в виду, что эти шаги (или прыжки) перечислены в обратном хронологическом порядке. Мы поместили соответствующий номер рядом с каждым переходом, чтобы проиллюстрировать порядок. Обратите внимание, что каждый переход показывает подробную информацию об IP-адресе и соответствующем обратном DNS-имени.

Кому доставлено: myemail@gmail.com
[6] Получено: 10.60.14.3 с SMTP id l3csp18666oec;
Вт, 6 марта 2012 г., 08:30:51 -0800 (PST)
[5] Поступило: 10.68.125.129 с идентификатором SMTP mq1mr1963003pbb.21.1331051451044;
Вт, 06 марта 2012 г. 08:30:51 -0800 (PST)
Обратный путь:
[4] Получено: от exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
от mx.google.com с идентификатором SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Вт, 06 марта 2012 г., 08:30:50 -0800 (PST)
[3] Received-SPF: нейтральный (google.com: 64.18.2.16 не разрешен и не запрещен записью наилучшего предположения для домена jfaulkner@externalemail.com) client-ip = 64.18.2.16;
Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 64.18.2.16 не разрешен и не запрещен записью наилучшего предположения для домена jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
[два] Получено: от mail.externalemail.com ([XXX.XXX.XXX.XXX]) (с использованием TLSv1) от exprod7ob119.postini.com ([64.18.6.12]) с SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Вт, 6 марта 2012 г. 08:30:50 PST
[один] Получено: с MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) пользователем
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) с mapi; Вт, 6 мар.
2012 11:30:48 -0500

Хотя это довольно банально для законной электронной почты, эта информация может быть весьма полезной, когда дело доходит до проверки спама или фишинговых писем.

Проверка фишингового письма - пример 1

В нашем первом примере фишинга мы рассмотрим электронное письмо, которое является очевидной попыткой фишинга. В этом случае мы могли бы идентифицировать это сообщение как мошенничество просто по визуальным индикаторам, но для практики мы рассмотрим предупреждающие знаки в заголовках.

Кому доставлено: myemail@gmail.com
Получено: 10.60.14.3 с идентификатором SMTP l3csp12958oec;
Пн, 5 марта 2012 г. 23:11:29 -0800 (PST)
Получено: 10.236.46.164 с SMTP id r24mr7411623yhb.101.1331017888982;
Пн, 05 марта 2012 23:11:28 -0800 (PST)
Обратный путь:
Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
от mx.google.com с идентификатором ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Пн, 05 марта 2012 23:11:28 -0800 (PST)
Received-SPF: сбой (google.com: домен securityalert@verifybyvisa.com не определяет XXX.XXX.XXX.XXX в качестве разрешенного отправителя) client-ip = XXX.XXX.XXX.XXX;
Результаты аутентификации: mx.google.com; spf = hardfail (google.com: домен securityalert@verifybyvisa.com не определяет XXX.XXX.XXX.XXX в качестве разрешенного отправителя) smtp.mail=securityalert@verifybyvisa.com
Получено: с помощью MailEnable Postoffice Connector; Вт, 6 мар 2012 02:11:20 -0500
Получено: от mail.lovingtour.com ([211.166.9.218]) через ms.externalemail.com с MailEnable ESMTP; Вт, 6 мар 2012 02:11:10 -0500
Получено: от пользователя ([118.142.76.58])
по mail.lovingtour.com
; Пн, 5 мар 2012 21:38:11 +0800
Идентификатор сообщения:
Ответить на:
От: securityalert@verifybyvisa.com
Тема: Уведомление
Дата: пн, 5 марта 2012 г. 21:20:57 +0800
MIME-версия: 1.0
Content-Type: составной / смешанный;
border = —- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-приоритет: 3
X-MSMail-Priority: Обычный
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Произведено Microsoft MimeOLE V6.00.2600.0000
X-ME-байесовский: 0,000000

Первый красный флаг находится в области информации о клиенте. Обратите внимание, что добавленные метаданные ссылаются на Outlook Express. Маловероятно, что Visa настолько отстает от времени, что у них есть кто-то вручную, отправляющий электронные письма с помощью почтового клиента 12-летней давности.

Ответить на:
От: securityalert@verifybyvisa.com
Тема: Уведомление
Дата: пн, 5 марта 2012 г. 21:20:57 +0800
MIME-версия: 1.0
Content-Type: составной / смешанный;
border = —- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-приоритет: 3
X-MSMail-Priority: Обычный
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Произведено Microsoft MimeOLE V6.00.2600.0000
X-ME-байесовский: 0,000000

Теперь изучение первого перехода в маршрутизации электронной почты показывает, что отправитель находился по IP-адресу 118.142.76.58, и его электронная почта была ретранслирована через почтовый сервер mail.lovingtour.com.

Получено: от пользователя ([118.142.76.58])
по mail.lovingtour.com
; Пн, 5 мар 2012 21:38:11 +0800

Реклама

Просматривая IP-информацию с помощью утилиты Nirsoft IPNetInfo, мы видим, что отправитель находился в Гонконге, а почтовый сервер - в Китае.

Излишне говорить, что это немного подозрительно.

Остальные переходы электронной почты не имеют особого значения в этом случае, поскольку они показывают, что электронное письмо прыгает вокруг законного трафика сервера, прежде чем окончательно будет доставлено.

Проверка фишингового письма - пример 2

В этом примере гораздо убедительнее выглядит наше фишинговое письмо. Если вы внимательно присмотритесь, здесь есть несколько визуальных индикаторов, но, опять же, для целей этой статьи мы собираемся ограничить наше расследование заголовками писем.

Кому доставлено: myemail@gmail.com
Получено: 10.60.14.3 с идентификатором SMTP l3csp15619oec;
Вт, 6 марта 2012 г., 04:27:20 -0800 (PST)
Получено: 10.236.170.165 с SMTP id p25mr8672800yhl.123.1331036839870;
Вт, 06 марта 2012 г., 04:27:19 -0800 (PST)
Обратный путь:
Получено: от ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
от mx.google.com с идентификатором ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Вт, 06 марта 2012 г., 04:27:19 -0800 (PST)
Received-SPF: сбой (google.com: домен security@intuit.com не определяет XXX.XXX.XXX.XXX в качестве разрешенного отправителя) client-ip = XXX.XXX.XXX.XXX;
Результаты аутентификации: mx.google.com; spf = hardfail (google.com: домен security@intuit.com не определяет XXX.XXX.XXX.XXX в качестве разрешенного отправителя) smtp.mail=security@intuit.com
Получено: с помощью MailEnable Postoffice Connector; Вт, 6 мар 2012 07:27:13 -0500
Получено: от dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) от ms.externalemail.com с MailEnable ESMTP; Вт, 6 мар 2012 07:27:08 -0500
Получено: от apache через intuit.com с локальным (Exim 4.67)
(конверт-из)
id GJMV8N-8BERQW-93
за ; Вт, 6 мар 2012 19:27:05 +0700
К:
Тема: Ваш счет Intuit.com.
X-PHP-Script: intuit.com/sendmail.php для 118.68.152.212
От: INTUIT INC.
X-Sender: INTUIT INC.
X-Mailer: PHP
X-приоритет: 1
MIME-версия: 1.0
Тип содержимого: составной / альтернативный;
border = ———— 03060500702080404010506 ″
Идентификатор сообщения:
Дата: Вт, 6 марта 2012 г. 19:27:05 +0700
X-ME-байесовский: 0,000000

В этом примере не использовалось приложение почтового клиента, а был сценарий PHP с исходным IP-адресом 118.68.152.212.

К:
Тема: Ваш счет Intuit.com.
X-PHP-Script: intuit.com/sendmail.php для 118.68.152.212
От: INTUIT INC.
X-Sender: INTUIT INC.
X-Mailer: PHP
X-приоритет: 1
MIME-версия: 1.0
Тип содержимого: составной / альтернативный;
border = ———— 03060500702080404010506 ″
Идентификатор сообщения:
Дата: Вт, 6 марта 2012 г. 19:27:05 +0700
X-ME-байесовский: 0,000000

Однако, когда мы смотрим на первый переход по электронной почте, он кажется правильным, поскольку доменное имя отправляющего сервера совпадает с адресом электронной почты. Однако будьте осторожны с этим, поскольку спамер может легко назвать свой сервер intuit.com.

Получено: от apache через intuit.com с локальным (Exim 4.67)
(конверт-из)
id GJMV8N-8BERQW-93
за ; Вт, 6 мар 2012 19:27:05 +0700

Реклама

При рассмотрении следующего шага этот карточный домик рассыпается. Вы можете видеть, что второй переход (где он получен законным почтовым сервером) разрешает отправляющий сервер обратно в домен dynamic-pool-xxx.hcm.fpt.vn, а не intuit.com с тем же IP-адресом, который указан в PHP сценарий.

Получено: от dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) от ms.externalemail.com с MailEnable ESMTP; Вт, 6 мар 2012 07:27:08 -0500

Просмотр информации об IP-адресе подтверждает подозрение, поскольку местоположение почтового сервера возвращается во Вьетнам.

Хотя этот пример немного более умный, вы можете увидеть, как быстро раскрывается мошенничество, при небольшом расследовании.

Вывод

Хотя просмотр заголовков сообщений электронной почты, вероятно, не является частью ваших повседневных потребностей, бывают случаи, когда содержащаяся в них информация может быть весьма ценной. Как мы показали выше, вы можете довольно легко идентифицировать отправителей, маскирующихся под то, кем они не являются. Для очень хорошо выполненного мошенничества, когда визуальные подсказки убедительны, чрезвычайно сложно (если не невозможно) выдать себя за реальные почтовые серверы, а просмотр информации внутри заголовков электронной почты может быстро выявить любые ухищрения.

Ссылки

Скачать IPNetInfo от Nirsoft

ПРОЧИТАЙТЕ СЛЕДУЮЩИЙ