Cosa puoi trovare in un'intestazione dell'email?
Ogni volta che ricevi un'e-mail, c'è molto di più di quanto non sembri. Mentre di solito presti attenzione solo all'indirizzo, alla riga dell'oggetto e al corpo del messaggio, ci sono molte più informazioni disponibili "sotto il cofano" di ogni email che possono fornirti una grande quantità di informazioni aggiuntive.
Perché preoccuparsi guardando un'intestazione dell'email?
Questa è un'ottima domanda. Per la maggior parte, non avresti mai bisogno di farlo a meno che:
- Sospetti che un'email sia un tentativo di phishing o parodia
- Si desidera visualizzare le informazioni di routing sul percorso della posta elettronica
- Sei un fanatico curioso
Indipendentemente dalle tue ragioni, leggere le intestazioni delle e-mail è in realtà abbastanza semplice e può essere molto rivelatore.
Nota: per i nostri screenshot e dati, utilizzeremo Gmail, ma praticamente tutti gli altri client di posta dovrebbero fornire anche queste stesse informazioni.
Visualizzazione dell'intestazione dell'email
In Gmail, visualizza l'email. Per questo esempio, utilizzeremo l'email di seguito.
Quindi fare clic sulla freccia nell'angolo in alto a destra e selezionare Mostra originale.
La finestra risultante avrà i dati dell'intestazione dell'email in testo semplice.
Nota: in tutti i dati di intestazione dell'email che mostro di seguito ho cambiato il mio indirizzo Gmail per mostrare come [email protected] e il mio indirizzo email esterno per mostrare come [email protected] e [email protected] così come mascherato l'indirizzo IP dei miei server di posta elettronica.
Consegnato a: [email protected]
Ricevuto: per 10.60.14.3 con SMTP id l3csp18666oec;
Mar 6 Mar 2012 08:30:51 -0800 (PST)
Ricevuto: da 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044;
Mar, 06 mar 2012 08:30:51 -0800 (PST)
Sentiero di ritorno:
Ricevuto da exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
di mx.google.com con ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Mar, 06 Mar 2012 08:30:50 -0800 (PST)
Received-SPF: neutro (google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) client-ip = 64.18.2.16;
Risultati di autenticazione: mx.google.com; spf = neutro (google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) [email protected]
Ricevuto: da mail.externalemail.com ([XXX.XXX.XXX.XXX]) (utilizzando TLSv1) di exprod7ob119.postini.com ([64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Mar, 06 Mar 2012 08:30:50 PST
Ricevuto: da MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) di
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) con mapi; Mar, 6 mar
2012 11:30:48 -0500
Da: Jason Faulkner
A: "[email protected]"
Data: martedì, 6 marzo 2012 11:30:48 -0500
Oggetto: questa è una email legittima
Thread-Topic: questa è una email legittima
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlatore:
acceptlanguage: en-US
Content-Type: multipart / alternative;
boundary =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versione MIME: 1.0
Quando leggi un'intestazione email, i dati sono in ordine cronologico inverso, il che significa che le informazioni nella parte superiore sono l'evento più recente. Pertanto, se si desidera tracciare l'e-mail dal mittente al destinatario, iniziare nella parte inferiore. Esaminando le intestazioni di questa email possiamo vedere diverse cose.
Qui vediamo le informazioni generate dal client di invio. In questo caso, l'email è stata inviata da Outlook, quindi questo è il metadata aggiunto da Outlook.
Da: Jason Faulkner
A: "[email protected]"
Data: martedì, 6 marzo 2012 11:30:48 -0500
Oggetto: questa è una email legittima
Thread-Topic: questa è una email legittima
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlatore:
acceptlanguage: en-US
Content-Type: multipart / alternative;
boundary =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versione MIME: 1.0
La parte successiva traccia il percorso che l'e-mail porta dal server mittente al server di destinazione. Tieni presente che questi passaggi (o hop) sono elencati in ordine cronologico inverso. Abbiamo posizionato il numero corrispondente accanto a ciascun hop per illustrare l'ordine. Si noti che ogni hop mostra dettagli sull'indirizzo IP e il rispettivo nome DNS inverso.
Consegnato a: [email protected]
[6] Ricevuto: per 10.60.14.3 con SMTP id l3csp18666oec;
Mar 6 Mar 2012 08:30:51 -0800 (PST)
[5] Ricevuto: da 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044;
Mar, 06 mar 2012 08:30:51 -0800 (PST)
Sentiero di ritorno:
[4] Ricevuto da exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
di mx.google.com con ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Mar, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutro (google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) client-ip = 64.18.2.16;
Risultati di autenticazione: mx.google.com; spf = neutro (google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) [email protected]
[2] Ricevuto: da mail.externalemail.com ([XXX.XXX.XXX.XXX]) (utilizzando TLSv1) di exprod7ob119.postini.com ([64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Mar, 06 Mar 2012 08:30:50 PST
[1] Ricevuto: da MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) di
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) con mapi; Mar, 6 mar
2012 11:30:48 -0500
Anche se questo è abbastanza banale per una e-mail legittima, questa informazione può essere abbastanza indicativa quando si tratta di esaminare spam o e-mail di phishing.
Esaminare un'email di phishing: esempio 1
Per il nostro primo esempio di phishing, esamineremo un'email che è un evidente tentativo di phishing. In questo caso, potremmo identificare questo messaggio come una frode semplicemente tramite gli indicatori visivi, ma per fare pratica daremo un'occhiata ai segnali di avvertimento all'interno delle intestazioni.
Consegnato a: [email protected]
Ricevuto: da 10.60.14.3 con SMTP id l3csp12958oec;
Lun, 5 Mar 2012 23:11:29 -0800 (PST)
Ricevuto: da 10.236.46.164 con SMTP id r24mr7411623yhb.101.1331017888982;
Lun, 05 Mar 2012 23:11:28 -0800 (PST)
Sentiero di ritorno:
Ricevuto: da ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
di mx.google.com con ID ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Lun, 05 Mar 2012 23:11:28 -0800 (PST)
Received-SPF: fail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) client-ip = XXX.XXX.XXX.XXX;
Risultati di autenticazione: mx.google.com; spf = hardfail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) [email protected]
Ricevuto: con MailEnable Postoffice Connector; Mar, 6 mar 2012 02:11:20 -0500
Ricevuto: da mail.lovingtour.com ([211.166.9.218]) da ms.externalemail.com con MailEnable ESMTP; Mar, 6 mar 2012 02:11:10 -0500
Ricevuto: da Utente ([118.142.76.58])
per mail.lovingtour.com
; Lun, 5 Mar 2012 21:38:11 +0800
Message-ID:
Rispondi a:
Da: "[email protected]"
Oggetto: avviso
Data: lun, 5 mar 2012 21:20:57 +0800
Versione MIME: 1.0
Content-Type: multipart / mixed;
boundary =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorità X: 3
X-MSMail-Priority: normale
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: prodotto da Microsoft Mimeole V6.00.2600.0000
X-ME-Bayesian: 0,000000
La prima bandiera rossa si trova nell'area delle informazioni del cliente. Si noti qui i metadati aggiunti riferimenti a Outlook Express. È improbabile che Visa sia così indietro rispetto ai tempi in cui qualcuno invia manualmente le e-mail utilizzando un client di posta elettronica di 12 anni.
Rispondi a:
Da: "[email protected]"
Oggetto: avviso
Data: lun, 5 mar 2012 21:20:57 +0800
Versione MIME: 1.0
Content-Type: multipart / mixed;
boundary =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorità X: 3
X-MSMail-Priority: normale
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: prodotto da Microsoft Mimeole V6.00.2600.0000
X-ME-Bayesian: 0,000000
Ora esaminando il primo hop nell'instradamento delle e-mail si rivela che il mittente si trovava all'indirizzo IP 118.142.76.58 e la loro e-mail è stata inoltrata tramite il server di posta mail.lovingtour.com.
Ricevuto: da Utente ([118.142.76.58])
per mail.lovingtour.com
; Lun, 5 Mar 2012 21:38:11 +0800
Guardando le informazioni IP usando l'utility IPNetInfo di Nirsoft, possiamo vedere che il mittente si trovava a Hong Kong e il server di posta si trova in Cina.
Inutile dire che questo è un po 'sospetto.
Il resto degli hop di posta elettronica non sono realmente rilevanti in questo caso poiché mostrano che l'email rimbalza intorno al traffico legittimo del server prima di essere finalmente consegnato.
Esaminare un'email di phishing - Esempio 2
Per questo esempio, la nostra email di phishing è molto più convincente. Ci sono alcuni indicatori visivi qui se sembri abbastanza duro, ma ancora una volta per gli scopi di questo articolo limiteremo le nostre indagini alle intestazioni delle email.
Consegnato a: [email protected]
Ricevuto: per 10.60.14.3 con SMTP id l3csp15619oec;
Mar, 6 mar 2012 04:27:20 -0800 (PST)
Ricevuto: da 10.236.170.165 con ID SMTP p25mr8672800yhl.123.1331036839870;
Mar, 06 mar 2012 04:27:19 -0800 (PST)
Sentiero di ritorno:
Ricevuto: da ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
di mx.google.com con ID ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Mar, 06 mar 2012 04:27:19 -0800 (PST)
Received-SPF: fail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) client-ip = XXX.XXX.XXX.XXX;
Risultati di autenticazione: mx.google.com; spf = hardfail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) [email protected]
Ricevuto: con MailEnable Postoffice Connector; Mar, 6 mar 2012 07:27:13 -0500
Ricevuto: da dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) da ms.externalemail.com con MailEnable ESMTP; Mar, 6 mar 2012 07:27:08 -0500
Ricevuto: da apache da intuit.com con local (Exim 4.67)
(busta da)
id GJMV8N-8BERQW-93
per; Mar, 6 Mar 2012 19:27:05 +0700
A:
Oggetto: la fattura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php per 118.68.152.212
Da: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
Priorità X: 1
Versione MIME: 1.0
Content-Type: multipart / alternative;
= Confine”- 03060500702080404010506"
Message-Id:
Data: martedì, 6 marzo 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
In questo esempio, non è stata utilizzata un'applicazione client di posta, piuttosto uno script PHP con l'indirizzo IP di origine di 118.68.152.212.
A:
Oggetto: la fattura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php per 118.68.152.212
Da: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
Priorità X: 1
Versione MIME: 1.0
Content-Type: multipart / alternative;
= Confine”- 03060500702080404010506"
Message-Id:
Data: martedì, 6 marzo 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Tuttavia, quando guardiamo il primo hop della posta elettronica sembra essere legittimo, poiché il nome di dominio del server di invio corrisponde all'indirizzo email. Tuttavia, diffidare di questo come uno spammer potrebbe facilmente denominare il loro server "intuit.com".
Ricevuto: da apache da intuit.com con local (Exim 4.67)
(busta da)
id GJMV8N-8BERQW-93
per; Mar, 6 Mar 2012 19:27:05 +0700
Esaminando il prossimo passo si sbriciola questo castello di carte. Puoi vedere il secondo salto (dove viene ricevuto da un server di posta legittimo) risolve il server di invio al dominio "dynamic-pool-xxx.hcm.fpt.vn", non "intuit.com" con lo stesso indirizzo IP indicato nello script PHP.
Ricevuto: da dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) da ms.externalemail.com con MailEnable ESMTP; Mar, 6 mar 2012 07:27:08 -0500
La visualizzazione delle informazioni sull'indirizzo IP conferma il sospetto che la posizione del server di posta si risolva in Viet Nam.
Anche se questo esempio è un po 'più intelligente, puoi vedere quanto velocemente la frode viene rivelata con solo un po' di indagine.
Conclusione
Mentre la visualizzazione delle intestazioni delle e-mail probabilmente non fa parte delle normali esigenze quotidiane, ci sono casi in cui le informazioni in esse contenute possono essere piuttosto preziose. Come abbiamo mostrato sopra, puoi facilmente identificare i mittenti che si mascherano come qualcosa che non sono. Per una truffa molto ben eseguita in cui i riferimenti visivi sono convincenti, è estremamente difficile (se non impossibile) impersonare i server di posta reali e rivedere le informazioni all'interno delle intestazioni delle e-mail può rivelare rapidamente qualsiasi imbroglio.
link
Scarica IPNetInfo da Nirsoft