no.phhsnews.com


no.phhsnews.com / Hva kan du finne i en e-post header?

Hva kan du finne i en e-post header?


Når du mottar en e-post, er det mye mer til det enn oppfyller øyet. Mens du vanligvis bare holder oppmerksom på adressen, emnelinjen og meldingsdelen, er det mye mer informasjon tilgjengelig under "hetten" i hver e-post som kan gi deg et vell av ytterligere informasjon.

Hvorfor bry deg om å se på en e-post header?

Dette er et veldig godt spørsmål. For det meste, ville du virkelig aldri trenger å med mindre:

  • Du mistenker at en e-post er et phishing-forsøk eller spoofing
  • Du vil vise rutefunksjoner på e-postens sti
  • Du er en nysgjerrig geek

Uansett årsakene er det å lese e-post overskrifter faktisk ganske enkelt og kan være veldig avslørende.

Artikkel Merk: For våre skjermbilder og data bruker vi Gmail, men nesten alle andre e-postklienter skal også gi samme informasjon .

Vise e-post Header

I Gmail, se e-posten. For dette eksempelet bruker vi e-posten nedenfor.

Klikk deretter pilen øverst til høyre og velg Vis original.

Det resulterende vinduet vil ha e-post header data i vanlig tekst.

Merk: I Alle e-posthoveddataene jeg viser nedenfor, har jeg endret Gmail-adressen min for å vise som [email protected] og min eksterne e-postadresse for å vises som [email protected] og [email protected] samt maskert IP-adressen til e-postserverne.

Leveres til: [email protected]
Mottatt: ved 10.60.14.3 med SMTP ID l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Mottatt: ved 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Retur-sti:
Mottatt: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30. 49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Mottatt-SPF: Neutral (google.com: 64.18.2.16 er verken tillatt eller nektet av beste gjetningspost for domene av [email protected]) client-ip = 64.18.2.16;
Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 64.18.2.16 er ikke tillatt eller nektet av beste gjetningspost for domene på [email protected]) [email protected]
Mottatt: fra mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (ved hjelp av TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tirsdag, 06 mars 2012 08:30:50 PST
Mottatt: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tue, 6 Mar
2012 11:30:48 -0500
Fra: Jason Faulkner
Til: "[email protected]"
Dato: tirsdag, 6 mars 2012 11:30:48 - 0500
Emne: Dette er en legitim epost
Tråd-emne: Dette er en legitim e-post
Tråd-indeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meldings-ID: <[email protected]al>
Godta -Språk: en-US
Innholdsspråk: no-US
X-MS-Has-Attach:
X-MS-TNEF-Korrelator:
Accept Language: En-US
Innhold -Type: multipart / alternativ;
grense = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-versjon: 1.0

Når du leser en e-post header, er dataene i omvendt kronologisk rekkefølge, noe som betyr at informasjonen på toppen er den mest siste hendelsen. Derfor hvis du vil spore e-posten fra avsender til mottaker, starter du nederst. Ved å undersøke overskriftene i denne e-posten, kan vi se flere ting.

Her ser vi informasjon generert av senderklienten. I dette tilfellet ble e-posten sendt fra Outlook, så dette er metadata Outlook legger til.

Fra: Jason Faulkner
Til: "[email protected]"
Dato: tirsdag, 6 mars 2012 11:30 : 48 -0500
Emne: Dette er en legitim e-post
Tråd-emne: Dette er en legitim e-post
Tråd-indeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meldings-ID: <[email protected]al>
X-MS-TNEF-Korrelator:
Accept-språk: en-US
Innholdsspråk: no-US
X-MS-Has-Attach:
Innholdstype: multipart / alternativ;
grense = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-versjon: 1.0
Den neste delen sporer banen e-posten tar fra sendingsserveren til destinationsserveren. Husk at disse trinnene (eller humle) er oppført i omvendt kronologisk rekkefølge. Vi har plassert respektive nummer ved siden av hvert hopp for å illustrere bestillingen. Merk at hvert hop viser detalj om IP-adressen og det respektive omvendte DNS-navnet.

Leveres til: [email protected]

[6]
Mottatt: ved 10.60.14.3 med SMTP-ID l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5]
Mottatt: ved 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30: 51 -0800 (PST)
Returvei:
[4]
Mottatt: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) av mx.google .com med SMTP ID l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3]
Mottatt-SPF: nøytral (google. com: 64.18.2.16 er ikke tillatt eller nektet av beste gjetningspost for domene på [email protected]) client-ip = 64.18.2.16; Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 64.18.2.16 er ikke tillatt eller nektet av beste gjetningspost for domene på [email protected]) [email protected]
[2]
Mottatt: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjelp av TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Tirsdag, 06 mars 2012 08:30:50 PST
[1]
Mottatt: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av MYSERVER.myserver. lokal ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tue, 6 Mar
2012 11:30:48 -0500
Selv om dette er ganske vanlig for en legitim e-post, kan denne informasjonen være ganske fortellende når det gjelder å undersøke spam eller phishing-e-post.

Undersøk en phishing E-post - Eksempel 1

For vårt første phishing-eksempel, undersøker vi en e-post som er et åpenbart phishing-forsøk. I dette tilfellet kan vi identifisere denne meldingen som en svindel bare ved de visuelle indikatorene, men for øvelse vil vi se på advarselsskiltene i overskriftene.

Leveres til: [email protected]

Mottatt: av 10.60.14.3 med SMTP ID l3csp12958oec;
ma, 5 mars 2012 23:11:29 -0800 (PST)
Mottatt: ved 10.236.46.164 med SMTP ID r24mr7411623yhb.101.1331017888982;
ma, 05 mars 2012 23:11:28 -0800 (PST)
Returbane:
Mottatt: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx .google.com med ESMTP ID t19si8451178ani.110.2012.03.05.23.11.28;
ma, 05 mars 2012 23:11:28 -0800 (PST)
Mottatt-SPF: mislykkes (google.com: domene av [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultater: mx.google.com; spf = hardfail (google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
Mottatt: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
Mottatt: fra mail.lovingtour.com ([211.166.9.218]) av ms.externalemail.com med MailEnable ESMTP; Tirsdag, 6 mars 2012 02:11:10 -0500
Mottatt: fra bruker ([118.142.76.58])
ved mail.lovingtour.com
; Mån, 5 Mar 2012 21:38:11 +0800
Meldings-ID:
Svar til: <[email protected]>
Fra: "[email protected]"
Emne: Melding
Dato: Måned , 5 mar 2012 21:20:57 +0800
MIME-Version: 1.0
Innholdstype: multipart / mixed;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-Prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Det første røde flagget er i klientinformasjonsområdet. Legg merke til at metadataene tilsier referanser til Outlook Express. Det er usannsynlig at Visa er så langt bak tiden de har noen manuelt å sende e-post med en 12 år gammel e-postklient.

Svar til:

Fra: "[email protected]"
Emne: Merknad
Dato: ma, 5 mars 2012 21:20:57 +0800
MIME-versjon: 1.0
Innholdstype: multipart / mixed;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6,00 .2600.0000
X-MimeOLE: Produsert av Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Ved å undersøke det første hoppet i e-routingen avsløres det at avsenderen var plassert på IP-adressen 118.142 .76.58 og deres e-post ble videreformidlet via mail-serveren mail.lovingtour.com.

Mottatt: fra brukeren ([118.142.76.58])

ved mail.lovingtour.com
; ma, 5 mars 2012 21 : 38: 11 +0800
Ser du opp IP-informasjonen ved hjelp av Nirsoft's IPNetInfo-verktøy, kan vi se avsenderen i Hong Kong, og postserveren ligger i Kina.

Det er unødvendig å si at dette er litt mistenkelig.

Resten av e-posthoppen er ikke særlig relevant i dette tilfellet som de er hvordan e-posten spretter rundt legitim servertrafikk før den endelig blir levert.

Undersøk en Phishing-e-post - Eksempel 2

I dette eksemplet er phishing-e-posten mye mer overbevisende. Det er noen visuelle indikatorer her hvis du ser hardt ut, men igjen for denne artikkelen skal vi begrense vår undersøkelse til e-post overskrifter.

Leveres til: [email protected]

Mottatt: av 10.60.14.3 med SMTP ID l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Mottatt: ved 10.236.170.165 med SMTP-ID p25mr8672800yhl.123.1331036839870;
tirs, 06 mars 2012 04:27:19 -0800 (PST)
Returbane:
Mottatt: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx .google.com med ESMTP ID o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Mottatt-SPF: mislykkes (google.com: domene av [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultater: mx.google.com; spf = hardfail (google.com: domenet til [email protected] utpeker ikke XXX.XXX.XXX.XXX som tillatt avsender) [email protected]
Mottatt: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Mottatt: fra apache av intuit.com med lokale (Exim 4.67)
(konvolutt fra
) id GJMV8N-8BERQW-93
i
; Tue, 6 Mar 2012 19:27:05 +0700 Til:
Emne: Din Intuit.com-faktura.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
Fra: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-versjon: 1.0
Content Type : multipart / alternativ;
grense = "- 03060500702080404010506"
Meldings-ID:
Dato: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
I dette eksemplet ble det ikke brukt et postklientprogram, heller et PHP-skript med kilde-IP-adressen til 118.68.152.212.

Til:

Emne: Din Intuit.com-faktura.
X-PHP- Script: intuit.com/sendmail.php for 118.68.152.212
Fra: "INTUIT INC." X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-Versjon: 1.0
Innholdstype: multipart / alternativ;
grense = "- 03060500702080404010506"
Meldings-ID:
Dato: Tue, 6 Mar 2012 19:27: 05 +0700
X-ME-Bayesian: 0.000000
Men når vi ser på den første e-posten, hopper det på ars å være legitim som senderens domenenavn matcher e-postadressen. Vær imidlertid skeptisk til dette, da en spammer lett kan navnet deres server "intuit.com".

Mottatt: fra apache av intuit.com med lokale (Exim 4.67)

(konvolutt fra
) id GJMV8N-8BERQW-93
for
; Tue, 6 Mar 2012 19:27:05 +0700 Ved å undersøke neste trinn smuldrer dette korthuset. Du kan se det andre hoppet (hvor det mottas av en legitim e-postserver) løser sendingsserveren tilbake til domenet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresse angitt i PHP-skriptet.

Mottatt: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Vise IP-adresseinformasjonen bekrefter mistanken da posisjonsserveren er tilbake til Viet Nam.

Mens dette eksemplet er litt mer smart, kan du se hvordan Konklusjonen

Når du ser på e-postoverskrifter, sannsynligvis ikke er en del av de typiske daglige behovene dine, er det tilfeller hvor informasjonen i dem kan være ganske verdifull. Som vi viste over, kan du ganske enkelt identifisere avsendere masquerading som noe de ikke er. For en veldig godt utført svindel der visuelle signaler er overbevisende, er det ekstremt vanskelig (om ikke umulig) å etterligne faktiske e-postservere og gjennomgå informasjonen inne i e-postoverskrifter, kan raskt avsløre noen chicanery.

Lenker

Last ned IPNetInfo fra Nirsoft


Slik ser du en liste over utvidelser installert i alle nettleserne dine

Slik ser du en liste over utvidelser installert i alle nettleserne dine

Installere utvidelser i nettlesere kan gi noen svært nyttige funksjoner. Men hvis du installerer mange utvidelser i flere nettlesere, kan du glemme det du installerte i. Vi har en enkel løsning hvis du bruker Chrome, Firefox og / eller Internet Explorer. RELATED: Slik tilbakestiller du nettleseren til standardinnstillingene BrowserAddonsView er et gratis verktøy fra Nirsoft som viser detaljene av alle tillegg, utvidelser og programtillegg installert i Chrome, Firefox og Internet Explorer (IE).

(how-to)

Last ned alle bilder og videoer fra Google Foto

Last ned alle bilder og videoer fra Google Foto

Leter du etter en rask og enkel måte å laste ned alle dine bilder og videoer fra Google Foto? Kanskje du vil lage en sikkerhetskopi lokalt eller vil lage en personlig film og trenger alt innholdet som er lagret lokalt for redigering?Uansett, det er en enkel måte å få alt innholdet ditt lastet ned fra Google Foto. Mer

(How-to)

Interessante Artikler