cs.phhsnews.com


cs.phhsnews.com / Co najdete v hlavičce e-mailu?

Co najdete v hlavičce e-mailu?


Kdykoli obdržíte e-mail, je mnohem víc, než kolik odpovídá oku. Zatímco typicky věnujete pozornost pouze adresě, předmětu a textu zprávy, je k dispozici spousta dalších informací "pod kapucí" každého e-mailu, který vám může poskytnout množství dalších informací.

Proč se obtěžovat záhlaví e-mailu?

To je velmi dobrá otázka. Z velké části jste opravdu nepotřebovali, pokud:

  • máte podezření, že e-mail je pokus o phishing nebo spoof
  • Chcete zobrazit informace o směrování na cestě e-mailu
  • Jste zvědavý geek

Bez ohledu na vaše důvody je čtení záhlaví e-mailu docela snadné a může být velmi odhalené.

Poznámka k článku: Pro naše screenshoty a data použijeme službu Gmail, ale prakticky každý jiný poštovní klient by měl poskytnout tytéž informace

Zobrazení záhlaví e-mailu

V Gmailu zobrazte e-mail. Pro tento příklad použijeme následující e-mail:

Poté klikněte na šipku v pravém horním rohu a vyberte Zobrazit původní

Výsledné okno bude obsahovat údaje o hlavičce e-mailu v prostém textu. všechny údaje o hlavičce e-mailu, které zobrazuji níže Změnila jsem svou adresu Gmail, aby se zobrazila jako

[email protected] a moje externí e-mailová adresa se zobrazila jako [email protected] a [email protected] a maskoval IP adresu mých e-mailových serverů Doručeno: [email protected]

Přijato: 10.60.14.3 s SMTP id l3csp18666oec;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Přijato: 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Zpětná cesta:
Přijata: z exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
mx.google.com s SMTP id l7si25161491pbd.80.2012.03.06.08.30. 49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Přijaté-SPF: neutrální (google.com: 64.18.2.16 je ani povoleno ani odmítnuto podle nejlepšího hádaného záznamu pro doménu [email protected]) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com; spf = neutrální (google.com: 64.18.2.16 není povolen ani popřen podle nejlepšího hádaného záznamu pro doménu [email protected]) [email protected]
přijato: z mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (pomocí protokolu TLSv1) exprod7ob119.postini.com ([64.18.6.12]) s protokolem SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
přijato: z MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapi; Tue, 6 Mar 2012 11:30:48 - Tue, 6 Mar
2012 11:30:48 -0500
Od: Jason Faulkner
0500
Předmět: Toto je legit email
Téma tématu: Toto je legit email
Index tématu: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID zprávy:
-Jazyky: en-US
Obsah-jazyk: en-US <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
X-MS-Has-Attach:
Content-Language: en-US
MIME-Version: 1.0
Když čtete hlavičku e-mailu, data jsou v obráceném chronologickém pořadí, což znamená, že informace nahoře jsou nejvíce poslední událost. Pokud chcete sledovat e-mail od odesílatele k příjemci, začněte v dolní části. Při zkoumání záhlaví tohoto e-mailu vidíme několik věcí.
Zde vidíme informace generované odesílajícím klientem. V tomto případě byl e-mail odeslán z aplikace Outlook, takže se jedná o metadata aplikace Outlook přidává.
Od: Jason Faulkner
Komu: "[email protected]"
Datum: Út, 6 Mar 2012 11:30 : 48 -0500

Předmět: Toto je legit email

Téma tématu: Jedná se o legit email

Index tématu: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==

X-MS-TNEF-Correlator:
acceptlanguage: en-US
Jazyk: en-
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _" <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Verze MIME: 1.0
Následující část sleduje cestu, kterou odesílá e-mail z odesílajícího serveru na cílový server. Mějte na paměti, že tyto kroky (nebo chmel) jsou uvedeny v obráceném chronologickém pořadí. Do objednávky jsme umístili příslušné číslo vedle každého chmele. Všimněte si, že každý hop zobrazuje podrobnosti o adrese IP a příslušném DNS jménu.
Delivered-to: [email protected]
[6]
Received: 10.60.14.3 s SMTP id l3csp18666oec; > Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5]
Přijato: 10.68.125.129 s SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30: 51 -0800 (PST)

Zpětná cesta:

[4]
Přijata: z exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) od mx.google .com s SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Přijaté-SPF: neutrální (google. com: 64.18.2.16 není povoleno ani odmítnuto podle nejlepšího hádaného záznamu pro doménu [email protected]) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com; spf = neutrál (google.com: 64.18.2.16 není přípustný ani odmítnut podle nejlepšího hádaného záznamu pro doménu [email protected]) [email protected]
[2]
přijato: od mail.externalemail.com ([XXX.XXX.XXX.XXX]) (pomocí TLSv1) pomocí exprod7ob119.postini.com ([64.18.6.12]) s protokolem SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Tue, 06 Mar 2012 08:30:50 PST
[1]
Přijato: z MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3])
MYSERVER.myserver. lokální ([fe80 :: a805: c335: 8c71: cdb3% 11]) s mapi; Tue, 6 Mar 2012 11:30:48 -0500
Zatímco toto je docela normální pro legitimní e-mail, tyto informace mohou být dost rozpoznatelné při zkoumání spamu nebo phishingu.
E-mail - Příklad 1 Pro náš první příklad phishingu budeme zkoumat e-mail, který je zjevným pokusem o phishing. V tomto případě bychom tuto zprávu mohli označit jako podvod jednoduše vizuálními indikátory, ale pro praxi se podíváme na varovné značky uvnitř záhlaví.
Delivered-To: [email protected]
Received: by 10.60.14.3 s SMTP id l3csp12958oec; Mon, 5 Mar 2012 23:11:29 -0800 (PST)
Přijato: 10.236.46.164 s SMTP id r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)

Cesta návratu:

Přijatá: z ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])

mx .google.com s ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;

Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Přijaté-SPF: selhání (google.com: doména [email protected] nenahládí XXX.XXX.XXX.XXX jako povoleného odesílatele) client-ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com; spf = hardfail (google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX jako povoleného odesílatele) [email protected]
přijato: s MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
Přijato: z mail.lovingtour.com ([211.166.9.218]) ms.externalemail.com s MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
přijato: od uživatele ([118.142.76.58])
mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
ID zprávy:
Odpovědět na:
Od: "[email protected]"
Předmět: Oznámení
Datum: Po , 5 Mar 2012 21:20:57 +0800
MIME-Verze: 1.0
Typ obsahu: vícestupňová / smíšená;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
3 <[email protected]>
Priorita X-MSMail: Normální
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-ME-Bayesian: 0.000000 Microsoft MimeOLE V6.00.2600.0000

První červená vlajka je v oblasti informací o klientovi.Vzhledem k tomu, že přidaná metadata odkazuje na aplikaci Outlook Express, je nepravděpodobné, že Visa je tak daleko za to, že někdo ručně posílá e-maily pomocí 12letého e-mailového klienta.
Odpovědět na:
Od: "[email protected]"
Předmět: Oznámení
Datum: Mon, 5 Mar 2012 21:20:57 +0800
Typ X-MSMail: Normální
X-Mailer: Microsoft Outlook Express 6.00 X-Mailer: X-MimeOLE: Vyrobeno společností Microsoft MimeOLE V6.00.2600.0000

X-ME-Bayesian: 0.000000

.76.58 a jejich e-mail byl přesměrován prostřednictvím poštovního serveru mail.lovingtour.com
přijato: z uživatele ([118.142.76.58])
mail.lovingtour.com
; : 38: 11 +0800
Hledáme informace o IP pomocí nástroje IPNetInfo společnosti Nirsoft, uvidíme, že se odesílatel nachází v Hongkongu a poštovní server se nachází v Číně.
Netřeba říkat, že je to trochu podezřelé.
Zbytek e-mailového chmele není v tomto případě skutečně relevantní, neboť s jak se e-mail skrývá kolem legitimní návštěvy serveru před konečným doručením.
Zkoumání phishingového e-mailu - Příklad 2
V tomto příkladu je náš phishing e-mail mnohem přesvědčivější. Zde je několik vizuálních indikátorů, pokud se podíváte dost tvrdě, ale opět pro účely tohoto článku budeme omezovat naše vyšetřování na e-mailové záhlaví.
Delivered-To: [email protected] 10.60.14.3 s SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)

Přijato: 10.236.170.165 s SMTP id p25mr8672800yhl.123.1331036839870;

Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Cesta návratu:
přijatá: z ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])

mx .google.com s ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;

Tue, 06 Mar 2012 04:27:19 -0800 (PST)

Přijaté-SPF: selhání (google.com: doména [email protected] nenahládí XXX.XXX.XXX.XXX jako povoleného odesílatele) client-ip = XXX.XXX.XXX.XXX;

Autentifikace-Výsledky: mx.google.com; spf = hardfail (google.com: doména [email protected] nenaznačuje XXX.XXX.XXX.XXX jako oprávněného odesílatele) [email protected]

Přijaté: s MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500

přijato: z dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com s MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Přijato: z apache od intuit.com s lokální (Exim 4.67)
(obálka-od
)
id GJMV8N-8BERQW-
pro
; Tue, 6 Mar 2012 19:27:05 +0700
Do:
Předmět: Vaše faktury Intuit.com
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
Od: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
Priorita X: 1
MIME-Version : multipart / alternativní boundary = "- 03060500702080404010506"
Zpráva-Id:
Datum: Út, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
V tomto příkladu nebyla použita aplikace poštovního klienta, spíše skript PHP se zdrojovou adresou IP 118.68.152.212
Komu:
Předmět: Vaše faktura Intuit.com
X-PHP- Skript: intuit.com/sendmail.php pro 118.68.152.212
Od: "INTUIT INC."
X-Sender: "INTUIT INC."
1
Verze MIME: 1.0
Typ obsahu: vícenásobná / alternativní;
boundary = "- 03060500702080404010506"
05 +0700
X-ME-Bayesian: 0.000000
Nicméně, když se podíváme na první e-mail hop, že název domény odesílajícího serveru odpovídá e-mailové adrese. Buďte ale opatrní, protože spammer mohl snadno pojmenovat svůj server "intuit.com".

Přijaté: z apache od intuit.com s lokálním (Exim 4.67)

(obálka -
)
id GJMV8N-8BERQW-93 pro
; Tue, 6 Mar 2012 19:27:05 +0700
Zkoumání dalšího kroku rozpadá tento dům z karet. Můžete vidět, že druhý hop (kde je přijat legitimním e-mailovým serverem) přenáší odesílající server zpět na doménu "dynamic-pool-xxx.hcm.fpt.vn", nikoliv "intuit.com" se stejnou IP adresou uvedeno ve skriptu PHP
Bylo přijato: z dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) ms.externalemail.com s MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Zobrazování informací o adrese IP potvrzuje podezření, protože umístění poštovního serveru se vyřeší zpět do Vietnamu.
Zatímco tento příklad je trochu chytřejší, můžete vidět, jak rychle dochází k odhalení podvodu pouze s trochou průzkumu.
Závěr
Zatímco prohlížení e-mailových hlaviček pravděpodobně není součástí vašich typických každodenních potřeb, existují případy, kdy informace obsažené v nich mohou být docela cenný. Jak jsme ukázali výše, můžete snadno identifikovat odesílatele, kteří se skládají za něco, co nejsou. Pro velmi dobře provedený podvod, kdy jsou vizuální pokyny přesvědčivé, je extrémně obtížné (ne-li nemožné) vydávat se za skutečné poštovní servery a prohlížení informací uvnitř hlaviček e-mailů může rychle odhalit jakýkoli šikanování.
Odkazy
Stáhnout IPNetInfo z Nirsoft


Jak získat přístup ke seznamům běžících aplikací systému Android v aplikaci 6.0 Marshmallow a výše

Jak získat přístup ke seznamům běžících aplikací systému Android v aplikaci 6.0 Marshmallow a výše

V systému Android 5.x a níže byl přístup k vašemu seznamu spuštěných aplikací jednoduchý - přeskočte do nabídky Nastavení> Aplikace > Běh. Snadný! V aplikaci Android 6.0 Google však toto nastavení přesunulo. Ještě to není těžké najít, ale je to trochu trickier. Ale jako vždy, máme záda. Zde je návod, jak to zjistit, jakmile se vaše zařízení nachází na Marshmallow (nebo novějším).

(how-to)

Jak se vyvarovat snoopingu na hotelovém Wi-Fi a ostatních veřejných sítích

Jak se vyvarovat snoopingu na hotelovém Wi-Fi a ostatních veřejných sítích

Sítě Wi-FI hotelu jsou často zcela otevřené, vyžadují pouze číslo místnosti, kód nebo prokliku. Internet. Tento nedostatek skutečného šifrování znamená, že vaše používání internetu je zranitelné, když se snoopuje od jiných, kteří sdílejí síť. Wi-Fi sítě jako ty, které jsou v provozu na většině hotelů, nejsou soukromé.

(how-to)