Når du mottar en e-post, er det mye mer til det enn oppfyller øyet. Mens du vanligvis bare holder oppmerksom på adressen, emnelinjen og meldingsdelen, er det mye mer informasjon tilgjengelig under "hetten" i hver e-post som kan gi deg et vell av ytterligere informasjon.

Hvorfor bry deg om å se på en e-post header?

Dette er et veldig godt spørsmål. For det meste, ville du virkelig aldri trenger å med mindre:

• Du mistenker at en e-post er et phishing-forsøk eller spoofing
• Du vil vise rutefunksjoner på e-postens sti
• Du er en nysgjerrig geek

Uansett årsakene er det å lese e-post overskrifter faktisk ganske enkelt og kan være veldig avslørende.

Artikkel Merk: For våre skjermbilder og data bruker vi Gmail, men nesten alle andre e-postklienter skal også gi samme informasjon .

Vise e-post Header

I Gmail, se e-posten. For dette eksempelet bruker vi e-posten nedenfor.

Klikk deretter pilen øverst til høyre og velg Vis original.

Det resulterende vinduet vil ha e-post header data i vanlig tekst.

Merk: I Alle e-posthoveddataene jeg viser nedenfor, har jeg endret Gmail-adressen min for å vise som [email protected] og min eksterne e-postadresse for å vises som [email protected] og [email protected] samt maskert IP-adressen til e-postserverne.

Leveres til: [email protected]
Mottatt: ved 10.60.14.3 med SMTP ID l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Mottatt: ved 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Retur-sti:
Mottatt: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30. 49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Mottatt-SPF: Neutral (google.com: 64.18.2.16 er verken tillatt eller nektet av beste gjetningspost for domene av [email protected]) client-ip = 64.18.2.16;
Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 64.18.2.16 er ikke tillatt eller nektet av beste gjetningspost for domene på [email protected]) [email protected]
Mottatt: fra mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (ved hjelp av TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tirsdag, 06 mars 2012 08:30:50 PST
Mottatt: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tue, 6 Mar
2012 11:30:48 -0500
Fra: Jason Faulkner
Til: "[email protected]"
Dato: tirsdag, 6 mars 2012 11:30:48 - 0500
Emne: Dette er en legitim epost
Tråd-emne: Dette er en legitim e-post
Tråd-indeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meldings-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Godta -Språk: en-US
Innholdsspråk: no-US
X-MS-Has-Attach:
X-MS-TNEF-Korrelator:
Accept Language: En-US
Innhold -Type: multipart / alternativ;
grense = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-versjon: 1.0

Når du leser en e-post header, er dataene i omvendt kronologisk rekkefølge, noe som betyr at informasjonen på toppen er den mest siste hendelsen. Derfor hvis du vil spore e-posten fra avsender til mottaker, starter du nederst. Ved å undersøke overskriftene i denne e-posten, kan vi se flere ting.

Her ser vi informasjon generert av senderklienten. I dette tilfellet ble e-posten sendt fra Outlook, så dette er metadata Outlook legger til.

Fra: Jason Faulkner
Til: "[email protected]"
Dato: tirsdag, 6 mars 2012 11:30 : 48 -0500
Emne: Dette er en legitim e-post
Tråd-emne: Dette er en legitim e-post
Tråd-indeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meldings-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
X-MS-TNEF-Korrelator:
Accept-språk: en-US
Innholdsspråk: no-US
X-MS-Has-Attach:
Innholdstype: multipart / alternativ;
grense = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-versjon: 1.0
Den neste delen sporer banen e-posten tar fra sendingsserveren til destinationsserveren. Husk at disse trinnene (eller humle) er oppført i omvendt kronologisk rekkefølge. Vi har plassert respektive nummer ved siden av hvert hopp for å illustrere bestillingen. Merk at hvert hop viser detalj om IP-adressen og det respektive omvendte DNS-navnet.

Leveres til: [email protected]

[6]
Mottatt: ved 10.60.14.3 med SMTP-ID l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5]
Mottatt: ved 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30: 51 -0800 (PST)
Returvei:
[4]
Mottatt: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) av mx.google .com med SMTP ID l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3]
Mottatt-SPF: nøytral (google. com: 64.18.2.16 er ikke tillatt eller nektet av beste gjetningspost for domene på [email protected]) client-ip = 64.18.2.16; Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 64.18.2.16 er ikke tillatt eller nektet av beste gjetningspost for domene på [email protected]) [email protected]
[2]
Mottatt: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjelp av TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Tirsdag, 06 mars 2012 08:30:50 PST
[1]
Mottatt: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av MYSERVER.myserver. lokal ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tue, 6 Mar
2012 11:30:48 -0500
Selv om dette er ganske vanlig for en legitim e-post, kan denne informasjonen være ganske fortellende når det gjelder å undersøke spam eller phishing-e-post.

Undersøk en phishing E-post - Eksempel 1

For vårt første phishing-eksempel, undersøker vi en e-post som er et åpenbart phishing-forsøk. I dette tilfellet kan vi identifisere denne meldingen som en svindel bare ved de visuelle indikatorene, men for øvelse vil vi se på advarselsskiltene i overskriftene.

Leveres til: [email protected]

Mottatt: av 10.60.14.3 med SMTP ID l3csp12958oec;
ma, 5 mars 2012 23:11:29 -0800 (PST)
Mottatt: ved 10.236.46.164 med SMTP ID r24mr7411623yhb.101.1331017888982;
ma, 05 mars 2012 23:11:28 -0800 (PST)
Returbane:
Mottatt: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx .google.com med ESMTP ID t19si8451178ani.110.2012.03.05.23.11.28;
ma, 05 mars 2012 23:11:28 -0800 (PST)
Mottatt-SPF: mislykkes (google.com: domene av [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultater: mx.google.com; spf = hardfail (google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
Mottatt: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
Mottatt: fra mail.lovingtour.com ([211.166.9.218]) av ms.externalemail.com med MailEnable ESMTP; Tirsdag, 6 mars 2012 02:11:10 -0500
Mottatt: fra bruker ([118.142.76.58])
ved mail.lovingtour.com
; Mån, 5 Mar 2012 21:38:11 +0800
Meldings-ID:
Svar til: <[email protected]>
Fra: "[email protected]"
Emne: Melding
Dato: Måned , 5 mar 2012 21:20:57 +0800
MIME-Version: 1.0
Innholdstype: multipart / mixed;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-Prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Det første røde flagget er i klientinformasjonsområdet. Legg merke til at metadataene tilsier referanser til Outlook Express. Det er usannsynlig at Visa er så langt bak tiden de har noen manuelt å sende e-post med en 12 år gammel e-postklient.

Svar til:

Fra: "[email protected]"
Emne: Merknad
Dato: ma, 5 mars 2012 21:20:57 +0800
MIME-versjon: 1.0
Innholdstype: multipart / mixed;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6,00 .2600.0000
X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Ved å undersøke det første hoppet i e-routingen avsløres det at avsenderen var plassert på IP-adressen 118.142 .76.58 og deres e-post ble videreformidlet via mail-serveren mail.lovingtour.com.

Mottatt: fra brukeren ([118.142.76.58])

ved mail.lovingtour.com
; ma, 5 mars 2012 21 : 38: 11 +0800
Ser du opp IP-informasjonen ved hjelp av Nirsoft's IPNetInfo-verktøy, kan vi se avsenderen i Hong Kong, og postserveren ligger i Kina.

Det er unødvendig å si at dette er litt mistenkelig.

Resten av e-posthoppen er ikke særlig relevant i dette tilfellet som de er hvordan e-posten spretter rundt legitim servertrafikk før den endelig blir levert.

Undersøk en Phishing-e-post - Eksempel 2

I dette eksemplet er phishing-e-posten mye mer overbevisende. Det er noen visuelle indikatorer her hvis du ser hardt ut, men igjen for denne artikkelen skal vi begrense vår undersøkelse til e-post overskrifter.

Leveres til: [email protected]

Mottatt: av 10.60.14.3 med SMTP ID l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Mottatt: ved 10.236.170.165 med SMTP-ID p25mr8672800yhl.123.1331036839870;
tirs, 06 mars 2012 04:27:19 -0800 (PST)
Returbane:
Mottatt: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx .google.com med ESMTP ID o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Mottatt-SPF: mislykkes (google.com: domene av [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultater: mx.google.com; spf = hardfail (google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
Mottatt: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Mottatt: fra apache av intuit.com med lokale (Exim 4.67)
(konvolutt fra
) id GJMV8N-8BERQW-93
i
; Tue, 6 Mar 2012 19:27:05 +0700 Til:
Emne: Din Intuit.com-faktura.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
Fra: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-versjon: 1.0
Content Type : multipart / alternativ;
grense = "- 03060500702080404010506"
Meldings-ID:
Dato: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
I dette eksemplet ble det ikke brukt et postklientprogram, heller et PHP-skript med kilde-IP-adressen til 118.68.152.212.

Til:

Emne: Din Intuit.com-faktura.
X-PHP- Script: intuit.com/sendmail.php for 118.68.152.212
Fra: "INTUIT INC." X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-Versjon: 1.0
Innholdstype: multipart / alternativ;
grense = "- 03060500702080404010506"
Meldings-ID:
Dato: Tue, 6 Mar 2012 19:27: 05 +0700
X-ME-Bayesian: 0.000000
Men når vi ser på den første e-posten, hopper det på ars å være legitim som senderens domenenavn matcher e-postadressen. Vær imidlertid skeptisk til dette, da en spammer lett kan navnet deres server "intuit.com".

Mottatt: fra apache av intuit.com med lokale (Exim 4.67)

(konvolutt fra
) id GJMV8N-8BERQW-93
for
; Tue, 6 Mar 2012 19:27:05 +0700 Ved å undersøke neste trinn smuldrer dette korthuset. Du kan se det andre hoppet (hvor det mottas av en legitim e-postserver) løser sendingsserveren tilbake til domenet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresse angitt i PHP-skriptet.

Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Vise IP-adresseinformasjonen bekrefter mistanken da posisjonsserveren er tilbake til Viet Nam.

Mens dette eksemplet er litt mer smart, kan du se hvordan Konklusjonen

Når du ser på e-postoverskrifter, sannsynligvis ikke er en del av de typiske daglige behovene dine, er det tilfeller hvor informasjonen i dem kan være ganske verdifull. Som vi viste over, kan du ganske enkelt identifisere avsendere masquerading som noe de ikke er. For en veldig godt utført svindel der visuelle signaler er overbevisende, er det ekstremt vanskelig (om ikke umulig) å etterligne faktiske e-postservere og gjennomgå informasjonen inne i e-postoverskrifter, kan raskt avsløre noen chicanery.

Lenker

Last ned IPNetInfo fra Nirsoft

Slik legger du til en overskrift eller bunntekst i et orddokument

Headers og bunntekster er nyttige for å legge til ting som sidetal, datoer, filnavn og fraskrivelser til dokumenter. Med Word kan du legge til overskrifter og bunntekster med innebygde, ferdige layouter eller legge til egne tilpassede overskrifter og bunntekster. MERK: Vi brukte Word 2013 til å illustrere denne funksjonen.

(how-to)

Hvordan gjør du Bash Prompt Endre farger når logget på en server?

Hvis du får tilgang til flere servere i løpet av arbeidsdagen, kan du fortelle hvilken du jobber med på en blikk basert på et fargevalg kan være svært nyttig. Dagens SuperUser Q & A-post hjelper en leser til å oppnå en fargerik nirvana i sitt arbeidsmiljø. Dagens Spørsmål og svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppe av Q & A-nettsteder.

(how-to)