Prečo sa obťažovať pri pohľade na hlavičku e-mailu?
To je veľmi dobrá otázka. Z väčšej časti by ste to nikdy nepotrebovali, ak:
- Máte podozrenie, že e-mail je pokus o neoprávnené získavanie údajov alebo falšovanie
- Chcete zobraziť informácie o smerovaní na ceste e-mailu
- Ste zvedavý geek
Bez ohľadu na vaše dôvody, čítanie e-mailových hlavičiek je vlastne pomerne jednoduché a môže byť veľmi odhaľujúce.
Článok Poznámka: Na naše screenshoty a dáta budeme používať službu Gmail, ale prakticky každý ďalší poštový klient by mal poskytnúť tie isté informácie.
Zobrazenie hlavičky e-mailu
V službe Gmail zobrazte e-mail. V tomto príklade použijeme nižšie uvedený e-mail.
Poznámka: Vo všetkých hlavičkových údajoch e-mailu, ktoré zobrazujem nižšie, som zmenil svoju adresu v službe Gmail tak, aby sa zobrazovala ako [email protected] a moju externú e - mailovú adresu zobrazenú ako [email protected] a [email protected] rovnako ako maskovanie IP adresy môjho e-mailového servera.
Doručené: [email protected] Prijaté: do 10.60.14.3 s SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) Prijaté: o 10.68.125.129 s ID SMTP mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path:
Keď čítate záhlavie e-mailu, údaje sú v obrátenom chronologickom poradí, čo znamená, že informácie v hornej časti sú poslednou udalosťou. Preto, ak chcete sledovať e-mail od odosielateľa k príjemcovi, začnite v spodnej časti. Pri preskúmaní záhlavia tohto e-mailu môžeme vidieť niekoľko vecí.
Tu vidíme informácie generované odosielajúcim klientom. V tomto prípade bol e-mail odoslaný z programu Outlook, takže ide o metadáta, ktorú program Outlook pridáva.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Nasledujúca časť určuje cestu, ktorú pošle e-mail z vysielajúceho servera na cieľový server. Majte na pamäti, že tieto kroky (alebo chmeľ) sú uvedené v obrátenom chronologickom poradí. Na zobrazenie poradia sme umiestnili príslušné číslo vedľa každého chmeľa. Všimnite si, že každý hop zobrazuje podrobnosti o adrese IP a príslušnom DNS názve.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Zatiaľ čo toto je dosť bežné pre legitímne e-maily, tieto informácie môžu byť celkom rozpoznateľné, pokiaľ ide o skúmanie spamu alebo phishingových e-mailov.
Skúmanie phishingového e-mailu - príklad 1
Pre náš prvý príklad phishingu budeme skúmať e-mail, ktorý je zjavným pokusom o phishing. V tomto prípade by sme túto správu mohli označiť ako podvod jednoducho vizuálnymi ukazovateľmi, ale pre prax sa pozrieme na varovné značky v hlavičkách.
Doručené: [email protected] Prijaté: do 10.60.14.3 s SMTP id l3csp12958oec; Mon, 5 Mar 2012 23:11:29 -0800 (PST) Doručené: 10.236.46.164 s SMTP id r24mr7411623yhb.101.1331017888982; Mon, 05 Mar 2012 23:11:28 -0800 (PST) Return-Path:
Prvá červená vlajka je v oblasti informácií o klientoch. Všimnite si tu referencie pridanej metaúdaje Outlook Express. Je nepravdepodobné, že spoločnosť Visa je tak ďaleko za časom, keď niekto ručne posielal e-maily pomocou 12-ročného e-mailového klienta.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Teraz, keď preskúmame prvý krok v smerovaní e-mailu, je zrejmé, že odosielateľ bol umiestnený na IP adrese 118.142.76.58 a jeho e-mail bol odoslaný poštovým serverom mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Pri pohľade na informácie IP pomocou nástroja IPNetInfo spoločnosti Nirsoft môžeme vidieť, že odosielateľ bol umiestnený v Hongkongu a poštový server sa nachádza v Číne.
Zvyšok e-mailového chmeľu nie je v tomto prípade skutočne dôležitý, pretože zobrazuje e-mail, ktorý sa pred konečným dodaním zobrazuje okolo legitímneho prenosu na serveri.
Skúmanie phishingového e-mailu - príklad 2
Pre tento príklad je náš phishing e-mail oveľa presvedčivejší. Tu je niekoľko vizuálnych ukazovateľov, ak sa pozriete dostatočne tvrdo, ale znova pre účely tohto článku budeme obmedzovať naše vyšetrovanie na e-mailové hlavičky.
Doručené: [email protected] Prijaté: do 10.60.14.3 s SMTP id l3csp15619oec; Tue, 6 Mar 2012 04:27:20 -0800 (PST) Doručené: 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870; Tue, 06 Mar 2012 04:27:19 -0800 (PST) Return-Path:
V tomto príklade sa nepoužila aplikácia poštového klienta, skôr skript PHP so zdrojovou adresou IP 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Ak sa však pozrieme na prvý e-mailový skok, zdá sa, že je to legitímne, pretože názov domény vysielajúceho servera sa zhoduje s e-mailovou adresou. Buďte však opatrní, pretože spammer by mohol ľahko pomenovať svoj server "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Preskúmanie ďalšieho kroku rozpadá tento dom kariet. Môžete vidieť, že druhý hop (kde je prijatý legitímnym e-mailovým serverom) rieši odosielajúci server späť na doménu "dynamic-pool-xxx.hcm.fpt.vn", nie na "intuit.com" s rovnakou IP adresou uvedené v PHP skripte.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Zobrazenie informácií o adrese IP potvrdzuje podozrenie, pretože umiestnenie poštového servera sa vráti späť do Vietnamu.
záver
Zatiaľ čo zobrazovanie hlavičiek e-mailov pravdepodobne nie je súčasťou vašich bežných každodenných potrieb, existujú prípady, keď informácie obsiahnuté v nich môžu byť dosť cenné. Ako sme ukázali vyššie, môžete pomerne ľahko identifikovať odosielateľov maškarujúcich ako niečo, čo nie sú. Pri veľmi dobre vykonávanom podvode, kde sú vizuálne pokyny presvedčivé, je mimoriadne ťažké (ak nie nemožné) zosobniť skutočné poštové servery a prezeranie informácií vnútri hlavičiek e-mailov môže rýchlo odhaliť nejaké šikanovanie.
odkazy
Stiahnite si IPNetInfo od spoločnosti Nirsoft