Kotisivu » miten » Mitä voit löytää sähköpostin otsikossa?

    Mitä voit löytää sähköpostin otsikossa?

    Aina kun saat sähköpostiviestin, siihen on paljon enemmän, kuin se vastaa silmää. Vaikka yleensä kiinnität huomiota vain viestin osoitteeseen, aihepiiriin ja runkoon, jokaisesta sähköpostiviestistä on saatavilla paljon enemmän tietoa, joka voi tarjota sinulle runsaasti lisätietoja.

    Miksi vaivaudu katsomaan sähköpostin otsikkoa?

    Tämä on erittäin hyvä kysymys. Suurimmaksi osaksi sinun ei koskaan tarvitsisi, ellei:

    • Epäilet, että sähköposti on tietojenkalasteluyritys tai huijaus
    • Haluat tarkastella reititystietoja sähköpostin polulla
    • Olet utelias geek

    Riippumatta syistäsi sähköpostiosoitteiden lukeminen on todella helppoa ja se voi olla hyvin paljastava.

    Artikkeli Huomautus: Kuvakaappauksemme ja datamme osalta käytämme Gmailia, mutta käytännössä jokaisen muun postiasiakkaan pitäisi toimittaa myös samat tiedot.

    Sähköpostin otsikon tarkasteleminen

    Tarkastele Gmailissa sähköpostia. Tässä esimerkissä käytämme alla olevaa sähköpostia.

    Napsauta sitten oikeassa yläkulmassa olevaa nuolta ja valitse Näytä alkuperäinen.

    Tuloksena olevasta ikkunasta tulee sähköpostin otsikkotiedot tekstinä.

    Huomaa: Kaikissa alla olevissa sähköpostin otsikkotiedoissa olen muuttanut Gmail-osoitettani näyttämään [email protected] ja ulkoinen sähköpostiosoitteeni näyttää [email protected] ja [email protected] sekä peitti sähköpostipalvelimien IP-osoitteen.

    Toimitetaan: [email protected]
    Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp18666oec;
    Ti, 6. maaliskuuta 2012 08:30:51 -0800 (PST)
    Vastaanotettu: 10.68.125.129 SMTP-tunnuksella mq1mr1963003pbb.21.1331051451044;
    Ti, 06.3.2012 08:30:51 -0800 (PST)
    Paluu matka:
    Vastaanotettu: osoitteesta exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    lähettäjä mx.google.com SMTP-tunnuksella l7si25161491pbd.80.2012.03.06.08.30.49;
    Ti, 06.3.2012 08:30:50 -0800 (PST)
    Vastaanotettu-SPF: neutraali (google.com: 64.18.2.16 ei ole sallittua eikä kielletty [email protected] -alueen parhaiten arvaustietueella) client-ip = 64.18.2.16;
    Todennus-tulokset: mx.google.com; spf = neutraali (google.com: 64.18.2.16 ei ole sallittua eikä kielletty [email protected] parhaiden arvaustietueiden avulla) [email protected]
    Vastaanotettu: osoitteesta mail.externalemail.com ([XXX.XXX.XXX.XXX]) (käyttäen TLSv1: tä) exprod7ob119.postini.com ([64.18.6.12]) SMTP: llä
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ti, 06.3.2012 08:30:50 PST
    Vastaanotettu: osoitteesta MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) kartalla; Ti 6.6
    2012 11:30:48 -0500
    Lähettäjä: Jason Faulkner
    Vastaanottaja: “[email protected]
    Päivämäärä: ti, 6. maaliskuuta 2012 11:30:48 -0500
    Aihe: Tämä on legitiimi sähköposti
    Aihe-aihe: Tämä on legitiimi sähköposti
    Kierreindeksi: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Message-ID:
    Hyväksy-kieli: fi
    Sisältö-kieli: fi
    X-MS-Has-Liitä:
    X-MS-TNEF-korrelaattori:
    hyväksymiskieli: fi
    Sisältö-tyyppi: moniosainen / vaihtoehto;
    raja =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-versio: 1.0

    Kun luette sähköpostin otsikkoa, tiedot ovat käänteisessä kronologisessa järjestyksessä, mikä tarkoittaa, että yläosassa oleva tieto on viimeisin tapahtuma. Tästä syystä, jos haluat jäljittää lähettäjän sähköpostiviestin vastaanottajalle, aloita alhaalta. Katsellessamme tämän sähköpostiviestin otsikot näet useita asioita.

    Tässä näkyvät lähettävän asiakkaan tuottamat tiedot. Tässä tapauksessa sähköposti lähetettiin Outlookista, joten tämä on metatieto Outlook.

    Lähettäjä: Jason Faulkner
    Vastaanottaja: “[email protected]
    Päivämäärä: ti, 6. maaliskuuta 2012 11:30:48 -0500
    Aihe: Tämä on legitiimi sähköposti
    Aihe-aihe: Tämä on legitiimi sähköposti
    Kierreindeksi: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Message-ID:
    Hyväksy-kieli: fi
    Sisältö-kieli: fi
    X-MS-Has-Liitä:
    X-MS-TNEF-korrelaattori:
    hyväksymiskieli: fi
    Sisältö-tyyppi: moniosainen / vaihtoehto;
    raja =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-versio: 1.0

    Seuraavassa osassa jäljitetään polku, jonka sähköposti lähettää lähettävältä palvelimelta kohdepalvelimelle. Muista, että nämä vaiheet (tai humalat) on lueteltu kronologisessa järjestyksessä. Olemme sijoittaneet kunkin numeron vieressä numeron havainnollistamaan järjestystä. Huomaa, että jokainen hyppy näyttää yksityiskohtaisesti IP-osoitteen ja vastaavan käänteisen DNS-nimen.

    Toimitetaan: [email protected]
    [6] Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp18666oec;
    Ti, 6. maaliskuuta 2012 08:30:51 -0800 (PST)
    [5] Vastaanotettu: 10.68.125.129 SMTP-tunnuksella mq1mr1963003pbb.21.1331051451044;
    Ti, 06.3.2012 08:30:51 -0800 (PST)
    Paluu matka:
    [4] Vastaanotettu: osoitteesta exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    lähettäjä mx.google.com SMTP-tunnuksella l7si25161491pbd.80.2012.03.06.08.30.49;
    Ti, 06.3.2012 08:30:50 -0800 (PST)
    [3] Vastaanotettu-SPF: neutraali (google.com: 64.18.2.16 ei ole sallittua eikä kielletty [email protected] -alueen parhaiten arvaustietueella) client-ip = 64.18.2.16;
    Todennus-tulokset: mx.google.com; spf = neutraali (google.com: 64.18.2.16 ei ole sallittua eikä kielletty [email protected] parhaiden arvaustietueiden avulla) [email protected]
    [2] Vastaanotettu: osoitteesta mail.externalemail.com ([XXX.XXX.XXX.XXX]) (käyttäen TLSv1: tä) exprod7ob119.postini.com ([64.18.6.12]) SMTP: llä
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ti, 06.3.2012 08:30:50 PST
    [1] Vastaanotettu: osoitteesta MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) kartalla; Ti 6.6
    2012 11:30:48 -0500

    Vaikka tämä on melko arkipäivää lailliselle sähköpostille, nämä tiedot voivat olla varsin hämmentäviä, kun kyse on roskapostin tai tietojenkalastelusähköpostien tutkimisesta.

    Tietokalastelun sähköpostiviestin tarkastelu - Esimerkki 1

    Ensimmäisen phishing-esimerkkimme osalta tarkastelemme sähköpostiviestiä, joka on ilmeinen tietojenkalasteluyritys. Tässä tapauksessa voisimme tunnistaa tämän viestin petokseksi yksinkertaisesti visuaalisten indikaattoreiden avulla, mutta käytännössä tarkastelemme otsikoiden varoitusmerkkejä.

    Toimitetaan: [email protected]
    Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp12958oec;
    Ma, 5. maaliskuuta 2012 23:11:29 -0800 (PST)
    Vastaanotettu: 10.236.46.164 SMTP-tunnuksella r24mr7411623yhb.101.1331017888982;
    Ma, 5. maaliskuuta 2012 23:11:28 -0800 (PST)
    Paluu matka:
    Vastaanotettu: osoitteesta ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    käyttäjältä mx.google.com ESMTP-tunnuksella t19si8451178ani.110.2012.03.05.23.11.28;
    Ma, 5. maaliskuuta 2012 23:11:28 -0800 (PST)
    Vastaanotettu-SPF: epäonnistuminen (google.com: [email protected] verkkotunnus ei määritä XXX.XXX.XXX.XXX sallittuna lähettäjänä) client-ip = XXX.XXX.XXX.XXX;
    Todennus-tulokset: mx.google.com; spf = hardfail (google.com: [email protected] verkkotunnus ei nimeä XXX.XXX.XXX.XXX sallituksi lähettäjäksi) [email protected]
    Vastaanotettu: MailEnable Postoffice Connectorilla; Ti, 6. maaliskuuta 2012 02:11:20 -0500
    Vastaanotettu: osoitteesta mail.lovingtour.com ([211.166.9.218]) ms.externalemail.com ja MailEnable ESMTP; Ti, 6. maaliskuuta 2012 02:11:10 -0500
    Vastaanotettu: käyttäjältä ([118.142.76.58])
    lähettäjä mail.lovingtour.com
    ; Ma, 5. maaliskuuta 2012 21:38:11 +0800
    Message-ID:
    Vastata:
    Mistä: “[email protected]
    Aihe: Ilmoitus
    Päivämäärä: ma, 5. maaliskuuta 2012 21:20:57 +0800
    MIME-versio: 1.0
    Sisältö-tyyppi: moniosainen / sekoitettu;
    raja =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-prioriteetti: 3
    X-MSMail-prioriteetti: Normaali
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Tuottanut Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Ensimmäinen punainen lippu on asiakastietoalueella. Huomaa tässä metatiedot lisätty viittaukset Outlook Express. On epätodennäköistä, että Visa on niin kaukana aikoista, jolloin heillä on joku manuaalisesti lähettämästä sähköpostiviestejä 12-vuotias sähköpostiohjelmaan.

    Vastata:
    Mistä: “[email protected]
    Aihe: Ilmoitus
    Päivämäärä: ma, 5. maaliskuuta 2012 21:20:57 +0800
    MIME-versio: 1.0
    Sisältö-tyyppi: moniosainen / sekoitettu;
    raja =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-prioriteetti: 3
    X-MSMail-prioriteetti: Normaali
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Tuottanut Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Nyt tutkimalla ensimmäistä hyppyä sähköpostin reitityksessä paljastaa, että lähettäjä sijaitsi IP-osoitteessa 118.142.76.58 ja heidän sähköpostinsa välitettiin postin palvelimen mail.lovingtour.com kautta..

    Vastaanotettu: käyttäjältä ([118.142.76.58])
    lähettäjä mail.lovingtour.com
    ; Ma, 5. maaliskuuta 2012 21:38:11 +0800

    Etsitkö IP-tietoja Nirsoftin IPNetInfo-apuohjelman avulla, näemme, että lähettäjä sijaitsee Hongkongissa ja postipalvelin sijaitsee Kiinassa.

    Tarpeetonta sanoa, että tämä on vähän epäilyttävää.

    Loput sähköpostiviestit eivät ole tässä tapauksessa merkityksellisiä, koska ne osoittavat sähköpostin, joka pomppii laillisen palvelinliikenteen ympärille ennen kuin se lopulta toimitetaan.

    Tietokalastelun sähköpostin tarkastelu - Esimerkki 2

    Tässä esimerkissä phishing-sähköpostisi on paljon vakuuttavampi. Tässä on muutamia visuaalisia indikaattoreita, jos tarkastelet tarpeeksi kovasti, mutta tämän artikkelin tarkoituksia varten aiomme rajoittaa tutkimuksemme vain sähköpostin otsikoihin.

    Toimitetaan: [email protected]
    Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp15619oec;
    Ti, 6. maaliskuuta 2012 04:27:20 -0800 (PST)
    Vastaanotettu: 10.236.170.165 SMTP-tunnuksella p25mr8672800yhl.123.1331036839870;
    Ti, 06 maalis 2012 04:27:19 -0800 (PST)
    Paluu matka:
    Vastaanotettu: osoitteesta ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    lähettäjä mx.google.com ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
    Ti, 06 maalis 2012 04:27:19 -0800 (PST)
    Vastaanotettu-SPF: epäonnistuminen (google.com: [email protected] ei nimeä XXX.XXX.XXX.XXX sallittuna lähettäjänä) client-ip = XXX.XXX.XXX.XXX;
    Todennus-tulokset: mx.google.com; spf = hardfail (google.com: [email protected] ei nimeä XXX.XXX.XXX.XXX sallittuna lähettäjänä) [email protected]
    Vastaanotettu: MailEnable Postoffice Connectorilla; Ti, 6. maaliskuuta 2012 07:27:13 -0500
    Vastaanotettu: osoitteesta dynaaminen-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com MailEnable ESMTP: llä; Ti, 6. maaliskuuta 2012 07:27:08 -0500
    Vastaanotettu: apache-palvelusta intuit.com ja paikalliset (Exim 4.67)
    (kirjekuori)
    tunnus GJMV8N-8BERQW-93
    varten; Ti, 6. maaliskuuta 2012 19:27:05 +0700
    To:
    Aihe: Intuit.com-laskusi.
    X-PHP-Script: intuit.com/sendmail.php varten 118.68.152.212
    Lähettäjä: “INTUIT INC.”
    X-Sender: “INTUIT INC.”
    X-Mailer: PHP
    X-prioriteetti: 1
    MIME-versio: 1.0
    Sisältö-tyyppi: moniosainen / vaihtoehto;
    raja =”- 03060500702080404010506"
    Message-Id:
    Päivämäärä: ti, 6. maaliskuuta 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Tässä esimerkissä ei käytetty sähköpostiohjelmasovellusta, pikemminkin PHP-komentosarjaa, jonka lähde-IP-osoite oli 118.68.152.212.

    To:
    Aihe: Intuit.com-laskusi.
    X-PHP-Script: intuit.com/sendmail.php varten 118.68.152.212
    Lähettäjä: “INTUIT INC.”
    X-Sender: “INTUIT INC.”
    X-Mailer: PHP
    X-prioriteetti: 1
    MIME-versio: 1.0
    Sisältö-tyyppi: moniosainen / vaihtoehto;
    raja =”- 03060500702080404010506"
    Message-Id:
    Päivämäärä: ti, 6. maaliskuuta 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Kuitenkin, kun tarkastelemme ensimmäistä sähköpostiviestiä, se näyttää olevan legit, koska lähettävän palvelimen verkkotunnus vastaa sähköpostiosoitetta. Varo kuitenkin siitä, että roskapostin voi helposti nimetä palvelimensa intuit.com.

    Vastaanotettu: apache-palvelusta intuit.com ja paikalliset (Exim 4.67)
    (kirjekuori)
    tunnus GJMV8N-8BERQW-93
    varten; Ti, 6. maaliskuuta 2012 19:27:05 +0700

    Seuraavan vaiheen tarkastelu murenee korttien talon. Voit nähdä toisen hypyn (jossa laillinen sähköpostipalvelin vastaanottaa) palauttaa lähettävän palvelimen takaisin verkkotunnukseen "dynamic-pool-xxx.hcm.fpt.vn", ei "intuit.com", jolla on sama IP-osoite PHP-komentosarjassa.

    Vastaanotettu: osoitteesta dynaaminen-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com MailEnable ESMTP: llä; Ti, 6. maaliskuuta 2012 07:27:08 -0500

    IP-osoitetietojen tarkastelu vahvistaa epäilyn, kun postipalvelimen sijainti ratkaistaan ​​takaisin Vietnamiin.

    Vaikka tämä esimerkki on hieman älykkäämpi, voit nähdä kuinka nopeasti petos paljastuu vain vähän tutkimusta.

    johtopäätös

    Kun katsot sähköpostiosoitteita luultavasti ei ole osa tyypillisiä päivittäisiä tarpeitasi, on tapauksia, joissa niihin sisältyvät tiedot voivat olla varsin arvokkaita. Kuten edellä osoitimme, voit helposti tunnistaa lähettäjät, jotka naamioivat sellaisiksi kuin ne eivät ole. Hyvin toteutettu huijaus, jossa visuaaliset vihjeet ovat vakuuttavia, on äärimmäisen vaikeaa (jos ei mahdotonta) kuvitella todellisia postipalvelimia ja tarkistaa sähköpostin otsikkojen sisällä olevat tiedot nopeasti paljastamalla kaikki chicanery.

    Linkit

    Lataa IPNetInfo Nirsoftilta