Miks on teil e-kirja päis vaja minna?
See on väga hea küsimus. Enamasti ei peaks te tegelikult kunagi vaja, kui:
- Teil on kahtlus, et meil on andmepüügi katse või rämpssisutus
- Sa tahad vaadata e-posti teel teavet suunamisteabe kohta
- Sa oled uudishimulik geek
Sõltumata teie põhjustest on e-posti päiste lugemine tegelikult üsna lihtne ja võib olla väga paljutõotav.
Artikli märkus: meie ekraanipiltide ja andmete jaoks kasutame Gmaili, kuid peaaegu iga teine e-posti klient peaks seda teavet pakkuma.
E-kirja päise vaatamine
Gmailis vaadake meilisõnumit. Selle näite puhul kasutame allpool olevat meili.
Märkus. Kõigil allpool olevatel meiliruumi andmetel olen muutnud oma Gmaili aadressi, et seda näidata [email protected] ja minu välise e-posti aadressi näitamiseks [email protected] ja [email protected] samuti maskeeris minu e-posti serverite IP-aadressi.
Delivered-to: [email protected] Vastu võetud: 10.60.14.3 koos SMTP idiga l3csp18666oec; T, 6. märts 2012 08:30:51 -0800 (PST) Vastu võetud: 10.68.125.129 koos SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Tagasi-tee:
Kui loete e-posti päise, on andmed pöördkronoloogilises järjekorras, mis tähendab, et ülaosas asuv info on viimane sündmus. Selleks, kui soovite jälgida e-posti saatjalt saajale, alusta allservas. Selle e-kirja pealkirjade uurimisel näeme mitmeid asju.
Siin näeme saatva kliendi loodud teavet. Sellisel juhul saadeti Outlooki e-kiri, nii et see on metaandmed, mida Outlook lisab.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Järgmises osas jälgitakse seda, kuidas e-kiri saadab saatvasse serverisse sihtkoha serverisse. Pidage meeles, et need sammud (või humal) on loetletud pöördkronoloogilises järjekorras. Oleme paigutanud järjekorra illustreerimiseks vastava numbri iga hopi kõrval. Pidage meeles, et iga hop sisaldab üksikasju IP-aadressi ja vastava pöörd-DNS-i nime kohta.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Kuigi see on õigustatud e-posti jaoks üsna tavaline, võib see teave rämpsposti või andmepüügi e-kirjade uurimisel üsna rääkida.
Püüafirma uurimine - näide 1
Meie esimeseks andmepüügi näideks uurime meili, mis on ilmselgelt andmepüügikatse. Sel juhul võime tuvastada selle sõnumi kui pettuse lihtsalt visuaalsete näitajate abil, kuid praktikas vaatame päisesse hoiatusmärgid.
Delivered-to: [email protected] Vastu võetud: 10.60.14.3 koos SMTP idiga l3csp12958oec; E, 5. märts 2012 23:11:29 -0800 (PST) Vastu võetud: 10.236.46.164, kasutades SMTP id r24mr7411623yhb.101.1331017888982; Mon, 05 Mar 2012 23:11:28 -0800 (PST) Tagasi-tee:
Esimene punane lipp on kliendi teabeala. Pange tähele, et metaandmetega on lisatud viited Outlook Expressi. On ebatõenäoline, et Visa on aegade taga, kui neil on 12-aastase e-posti kliendi käsitsi saatmine e-kirju.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Nüüd uurides e-posti suunamises esimest hüpet, ilmneb, et saatja asub IP-aadressil 118.142.76.58 ja nende e-posti aadress edastati posti serveri mail.lovingtour.com kaudu.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Uurides IP-infot, kasutades Nirsoft IPNetInfo utiliiti, näeme, et saatja asus Hongkongis ja posti server asub Hiinas.
Ülejäänud e-posti humid ei ole antud juhul korralikult asjakohased, kuna need näitavad e-posti aadressi, mis kopeerib seadusliku serveri liikluse ümber, enne kui see lõplikult edastatakse.
Püüafirma uurimine - näide 2
Selle näite puhul on meie andmepüügi meil palju veenvam. Siin on paar nägemisnäidikut, kui vaatate piisavalt kõvasti, kuid uuesti käesoleva artikli eesmärgil piirame meie uurimist e-posti pealkirjadesse.
Delivered-to: [email protected] Vastu võetud: 10.60.14.3 koos SMTP idiga l3csp15619oec; Tue, 06 Mar 2012 04:27:20 -0800 (PST) Vastu võetud: 10.236.170.165, kasutades SMTP id p25mr8672800yhl.123.1331036839870; Tue, 06 Mar 2012 04:27:19 -0800 (PST) Tagasi-tee:
Selles näites ei kasutata e-posti kliendirakendust, vaid PHP-skript koos lähtepunkti IP-aadressiga 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Kuid kui vaatame esimest meilisõnumit, tundub see olevat legitiivne, kuna saatja serveri domeeninimi sobib e-posti aadressiga. Kuid ole ettevaatlik selle pärast, et rämpspost võiks hõlpsasti nimeks oma serveri "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Järgmise sammuna uuritakse seda kaarte maja. Te võite näha, et teine hop (kui see on saanud õigustatud meiliserver) lahendab saatvasse serverisse domeeni "dünaamiline -pool-xxx.hcm.fpt.vn", mitte "intuit.com" sama IP-aadressiga märgitud PHP skriptis.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
IP-aadressi vaatamine kinnitab kahtlust, et postiserveri asukoht lahendatakse Vietnami tagasi.
Järeldus
E-posti päiste vaatamine ilmselt ei ole osa tavapärasest igapäevasest vajadusest, on juhtumeid, kus nendes sisalduv teave võib olla üsna väärtuslik. Nagu eespool näitasime, saate saare masqueradingu päris lihtsaks identifitseerida kui midagi, mida nad ei ole. Väga hästi teostatud kelmuse puhul, kus visuaalsed jooned on veenvad, on väga raske (kui mitte võimatu) tegelike e-posti serverite esinemine ja e-posti päistes sisalduva info läbivaatamine võib kiiresti avastada mis tahes viirust.
Lingid
Laadige IPNetInfo alla Nirsoftist