Bạn có thể tìm thấy gì trong một tiêu đề email?
Bất cứ khi nào bạn nhận được một email, có rất nhiều điều hơn là bắt mắt. Mặc dù bạn thường chỉ chú ý đến địa chỉ, dòng chủ đề và nội dung của tin nhắn, nhưng có rất nhiều thông tin có sẵn dưới tên trùm đầu của mỗi email có thể cung cấp cho bạn rất nhiều thông tin bổ sung.
Tại sao lại nhìn vào tiêu đề email?
Đây là một câu hỏi rất hay. Đối với hầu hết các phần, bạn thực sự sẽ không cần phải trừ khi:
- Bạn nghi ngờ một email là một nỗ lực lừa đảo hoặc giả mạo
- Bạn muốn xem thông tin định tuyến trên đường dẫn của email
- Bạn là một người đam mê tò mò
Bất kể lý do của bạn là gì, đọc tiêu đề email thực sự khá dễ dàng và có thể rất tiết lộ.
Lưu ý bài viết: Đối với ảnh chụp màn hình và dữ liệu của chúng tôi, chúng tôi sẽ sử dụng Gmail nhưng hầu như mọi ứng dụng thư khác cũng sẽ cung cấp thông tin tương tự.
Xem tiêu đề email
Trong Gmail, xem email. Trong ví dụ này, chúng tôi sẽ sử dụng email dưới đây.
Sau đó nhấp vào mũi tên ở góc trên bên phải và chọn Hiển thị bản gốc.
Cửa sổ kết quả sẽ có dữ liệu tiêu đề email ở dạng văn bản thuần túy.
Lưu ý: Trong tất cả dữ liệu tiêu đề email tôi hiển thị bên dưới, tôi đã thay đổi địa chỉ Gmail của mình để hiển thị dưới dạng myemail @ gmail và địa chỉ email bên ngoài của tôi để hiển thị như [email protected] và [email protected] cũng như che giấu địa chỉ IP của các máy chủ email của tôi.
Đã gửi-đến: myemail @ gmail
Đã nhận: trước 10.60,14.3 với id id l3csp18666oec;
Thứ ba, ngày 6 tháng 3 năm 2012 08:30:51 -0800 (PST)
Đã nhận: trước 10,68.125.129 với id id mq1mr1963003pbb.21.1331051451044;
Thứ ba, 06/03/2012 08:30:51 -0800 (PST)
Đường dẫn trở lại:
Đã nhận: từ exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64,18.2.16])
bởi mx.google.com với id id l7si25161491pbd.80.2012.03.06.08.30.49;
Thứ ba, ngày 06 tháng 3 năm 2012 08:30:50 -0800 (PST)
Đã nhận-SPF: trung tính (google.com: 64,18.2.16 không được phép cũng như không bị từ chối bởi bản ghi đoán tốt nhất cho miền của [email protected]) client-ip = 64,18.2.16;
Xác thực-Kết quả: mx.google.com; spf = trung tính (google.com: 64,18.2.16 không được phép cũng như không bị từ chối bởi hồ sơ đoán tốt nhất cho tên miền của [email protected]) [email protected]
Đã nhận: từ mail.externalemail.com ([XXX.XXX.XXX.XXX]) (sử dụng TLSv1) bởi exprod7ob119.postini.com ([64,18.6.12]) với SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Thứ ba, 06/03/2012 08:30:50 PST
Đã nhận: từ MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) bởi
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) với mapi; Thứ ba, ngày 6 tháng 3
2012 11:30:48 -0500
Từ: Jason Faulkner
Tới: ăn myemail @ gmail
Ngày: Thứ ba, ngày 6 tháng 3 năm 2012 11:30:48 -0500
Chủ đề: Đây là một email hợp pháp
Chủ đề-Chủ đề: Đây là một email hợp pháp
Chỉ mục: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID tin nhắn:
Ngôn ngữ chấp nhận: en-US
Nội dung-Ngôn ngữ: en-US
X-MS-Has-Đính kèm:
X-MS-TNEF-Correlator:
ngôn ngữ chấp nhận: en-US
Loại nội dung: nhiều phần / thay thế;
ranh giới = xông _ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_
Phiên bản MIME: 1.0
Khi bạn đọc một tiêu đề email, dữ liệu theo thứ tự thời gian đảo ngược, có nghĩa là thông tin ở trên cùng là sự kiện gần đây nhất. Do đó, nếu bạn muốn theo dõi email từ người gửi đến người nhận, hãy bắt đầu ở phía dưới. Kiểm tra các tiêu đề của email này, chúng ta có thể thấy một số điều.
Ở đây chúng tôi thấy thông tin được tạo bởi khách hàng gửi. Trong trường hợp này, email đã được gửi từ Outlook, vì vậy đây là siêu dữ liệu mà Outlook thêm vào.
Từ: Jason Faulkner
Tới: ăn myemail @ gmail
Ngày: Thứ ba, ngày 6 tháng 3 năm 2012 11:30:48 -0500
Chủ đề: Đây là một email hợp pháp
Chủ đề-Chủ đề: Đây là một email hợp pháp
Chỉ mục: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID tin nhắn:
Ngôn ngữ chấp nhận: en-US
Nội dung-Ngôn ngữ: en-US
X-MS-Has-Đính kèm:
X-MS-TNEF-Correlator:
ngôn ngữ chấp nhận: en-US
Loại nội dung: nhiều phần / thay thế;
ranh giới = xông _ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_
Phiên bản MIME: 1.0
Phần tiếp theo theo dõi đường dẫn email đi từ máy chủ gửi đến máy chủ đích. Hãy ghi nhớ các bước này (hoặc bước nhảy) được liệt kê theo thứ tự thời gian đảo ngược. Chúng tôi đã đặt số tương ứng bên cạnh mỗi bước nhảy để minh họa thứ tự. Lưu ý rằng mỗi hop hiển thị chi tiết về địa chỉ IP và tên DNS ngược tương ứng.
Đã gửi-đến: myemail @ gmail
[6] Đã nhận: trước 10.60,14.3 với id id l3csp18666oec;
Thứ ba, ngày 6 tháng 3 năm 2012 08:30:51 -0800 (PST)
[5] Đã nhận: trước 10,68.125.129 với id id mq1mr1963003pbb.21.1331051451044;
Thứ ba, 06/03/2012 08:30:51 -0800 (PST)
Đường dẫn trở lại:
[4] Đã nhận: từ exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64,18.2.16])
bởi mx.google.com với id id l7si25161491pbd.80.2012.03.06.08.30.49;
Thứ ba, ngày 06 tháng 3 năm 2012 08:30:50 -0800 (PST)
[3] Đã nhận-SPF: trung tính (google.com: 64,18.2.16 không được phép cũng như không bị từ chối bởi bản ghi đoán tốt nhất cho miền của [email protected]) client-ip = 64,18.2.16;
Xác thực-Kết quả: mx.google.com; spf = trung tính (google.com: 64,18.2.16 không được phép cũng như không bị từ chối bởi hồ sơ đoán tốt nhất cho tên miền của [email protected]) [email protected]
[2] Đã nhận: từ mail.externalemail.com ([XXX.XXX.XXX.XXX]) (sử dụng TLSv1) bởi exprod7ob119.postini.com ([64,18.6.12]) với SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Thứ ba, 06/03/2012 08:30:50 PST
[1] Đã nhận: từ MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) bởi
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) với mapi; Thứ ba, ngày 6 tháng 3
2012 11:30:48 -0500
Mặc dù điều này khá trần tục đối với một email hợp pháp, thông tin này có thể khá rõ khi kiểm tra thư rác hoặc email lừa đảo.
Kiểm tra email lừa đảo - Ví dụ 1
Đối với ví dụ lừa đảo đầu tiên của chúng tôi, chúng tôi sẽ kiểm tra một email là một nỗ lực lừa đảo rõ ràng. Trong trường hợp này, chúng tôi có thể xác định thông báo này là lừa đảo chỉ bằng các chỉ số trực quan nhưng để thực hành, chúng tôi sẽ xem xét các dấu hiệu cảnh báo trong các tiêu đề.
Đã gửi-đến: myemail @ gmail
Đã nhận: trước 10.60,14.3 với id id l3csp12958oec;
Thứ Hai, ngày 5 tháng 3 năm 2012 23:11:29 -0800 (PST)
Đã nhận: bằng 10.236.46.164 với id id r24mr7411623yhb.101.1331017888982;
Thứ Hai, ngày 05 tháng 3 năm 2012 23:11:28 -0800 (PST)
Đường dẫn trở lại:
Đã nhận: từ ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
bởi mx.google.com với id ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Thứ Hai, ngày 05 tháng 3 năm 2012 23:11:28 -0800 (PST)
Đã nhận-SPF: fail (google.com: domain of [email protected] không chỉ định XXX.XXX.XXX.XXX là người gửi được phép) client-ip = XXX.XXX.XXX.XXX;
Xác thực-Kết quả: mx.google.com; spf = hardfail (google.com: tên miền của [email protected] không chỉ định XXX.XXX.XXX.XXX là người gửi được phép) [email protected]
Đã nhận: với Trình kết nối PostEice MailEnable; Thứ ba, ngày 6 tháng 3 năm 2012 02:11:20 -0500
Đã nhận: từ mail.lovingtour.com ([211.166.9.218]) bởi ms.externalemail.com với ESMTP MailEnable; Thứ ba, ngày 6 tháng 3 năm 2012 02:11:10 -0500
Đã nhận: từ Người dùng ([118.142.76.58])
qua mail.lovingtour.com
; Thứ Hai, ngày 5 tháng 3 năm 2012 21:38:11 +0800
ID tin nhắn:
Trả lời:
Từ: An ninh bảo mậ[email protected]
Chủ đề: Thông báo
Ngày: Thứ Hai, ngày 5 tháng 3 năm 2012 21:20:57 +0800
Phiên bản MIME: 1.0
Loại nội dung: nhiều phần / hỗn hợp;
ranh giới = dòng - = _ NextPart_000_0055_01C2A9A6.1C1757C0 "
Ưu tiên X: 3
X-MSMail-Priority: Bình thường
X-Mailer: Microsoft Outlook Express 6,00.2600.0000
X-MimeOLE: Được sản xuất bởi Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Cờ đỏ đầu tiên là trong khu vực thông tin khách hàng. Lưu ý ở đây siêu dữ liệu được thêm vào tài liệu tham khảo Outlook Express. Có vẻ như Visa không đi quá xa so với thời điểm họ có ai đó gửi email thủ công bằng ứng dụng email 12 tuổi.
Trả lời:
Từ: An ninh bảo mậ[email protected]
Chủ đề: Thông báo
Ngày: Thứ Hai, ngày 5 tháng 3 năm 2012 21:20:57 +0800
Phiên bản MIME: 1.0
Loại nội dung: nhiều phần / hỗn hợp;
ranh giới = dòng - = _ NextPart_000_0055_01C2A9A6.1C1757C0 "
Ưu tiên X: 3
X-MSMail-Priority: Bình thường
X-Mailer: Microsoft Outlook Express 6,00.2600.0000
X-MimeOLE: Được sản xuất bởi Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Bây giờ kiểm tra bước nhảy đầu tiên trong định tuyến email cho thấy rằng người gửi được đặt tại địa chỉ IP 118.142.76.58 và email của họ được chuyển tiếp qua máy chủ mail mail.lovingtour.com.
Đã nhận: từ Người dùng ([118.142.76.58])
qua mail.lovingtour.com
; Thứ Hai, ngày 5 tháng 3 năm 2012 21:38:11 +0800
Tra cứu thông tin IP bằng tiện ích IPNetInfo của Nirsoft, chúng ta có thể thấy người gửi được đặt tại Hồng Kông và máy chủ thư được đặt tại Trung Quốc.
Không cần phải nói điều này là một chút nghi ngờ.
Phần còn lại của các bước nhảy email không thực sự có liên quan trong trường hợp này vì chúng hiển thị email nảy xung quanh lưu lượng máy chủ hợp pháp trước khi cuối cùng được gửi.
Kiểm tra email lừa đảo - Ví dụ 2
Đối với ví dụ này, email lừa đảo của chúng tôi có sức thuyết phục hơn nhiều. Có một vài chỉ số trực quan ở đây nếu bạn nhìn đủ cứng, nhưng một lần nữa cho mục đích của bài viết này, chúng tôi sẽ giới hạn điều tra của chúng tôi để tiêu đề email.
Đã gửi-đến: myemail @ gmail
Đã nhận: trước 10.60,14.3 với id id l3csp15619oec;
Thứ ba, ngày 6 tháng 3 năm 2012 04:27:20 -0800 (PST)
Đã nhận: bằng 10.236.170.165 với id id p25mr8672800yhl.123.1331036839870;
Thứ ba, ngày 06 tháng 3 năm 2012 04:27:19 -0800 (PST)
Đường dẫn trở lại:
Đã nhận: từ ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
bởi mx.google.com với id ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Thứ ba, ngày 06 tháng 3 năm 2012 04:27:19 -0800 (PST)
Đã nhận-SPF: fail (google.com: domain of [email protected] không chỉ định XXX.XXX.XXX.XXX là người gửi được phép) client-ip = XXX.XXX.XXX.XXX;
Xác thực-Kết quả: mx.google.com; spf = hardfail (google.com: domain of [email protected] không chỉ định XXX.XXX.XXX.XXX là người gửi được phép) [email protected]
Đã nhận: với Trình kết nối PostEice MailEnable; Thứ ba, ngày 6 tháng 3 năm 2012 07:27:13 -0500
Đã nhận: từ Dynamic-pool-xxx.hcm.fpt.vn ([118,68.152.212]) bởi ms.externalemail.com với ESMTP MailEnable; Thứ ba, ngày 6 tháng 3 năm 2012 07:27:08 -0500
Đã nhận: từ apache bởi intuit.com với địa phương (Exim 4.67)
(phong bì từ)
id GJMV8N-8BERQW-93
cho; Thứ ba, ngày 6 tháng 3 năm 2012 19:27:05 +0700
Đến:
Chủ đề: Hóa đơn Intuit.com của bạn.
X-PHP-Script: intuit.com/sendmail.php cho 118,68.152.212
Từ: xông INTUIT INC.
Người gửi X: TIẾNG VIỆT INTUIT INC.
X-Mailer: PHP
Ưu tiên X: 1
Phiên bản MIME: 1.0
Loại nội dung: nhiều phần / thay thế;
ranh giới = hạng - 03060500702080404010506 "
ID tin nhắn:
Ngày: Thứ ba, ngày 6 tháng 3 năm 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Trong ví dụ này, một ứng dụng thư khách không được sử dụng, thay vào đó là tập lệnh PHP có địa chỉ IP nguồn là 118,68.152.212.
Đến:
Chủ đề: Hóa đơn Intuit.com của bạn.
X-PHP-Script: intuit.com/sendmail.php cho 118,68.152.212
Từ: xông INTUIT INC.
Người gửi X: TIẾNG VIỆT INTUIT INC.
X-Mailer: PHP
Ưu tiên X: 1
Phiên bản MIME: 1.0
Loại nội dung: nhiều phần / thay thế;
ranh giới = hạng - 03060500702080404010506 "
ID tin nhắn:
Ngày: Thứ ba, ngày 6 tháng 3 năm 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Tuy nhiên, khi chúng tôi xem email hop đầu tiên, nó có vẻ hợp pháp vì tên miền của máy chủ gửi khớp với địa chỉ email. Tuy nhiên, hãy cảnh giác với điều này vì một người gửi thư rác có thể dễ dàng đặt tên cho máy chủ của họ là int int.com.com.
Đã nhận: từ apache bởi intuit.com với địa phương (Exim 4.67)
(phong bì từ)
id GJMV8N-8BERQW-93
cho; Thứ ba, ngày 6 tháng 3 năm 2012 19:27:05 +0700
Kiểm tra bước tiếp theo sụp đổ ngôi nhà thẻ này. Bạn có thể thấy bước nhảy thứ hai (nơi máy chủ email hợp pháp nhận được) giải quyết máy chủ gửi trở lại tên miền được chỉ định trong tập lệnh PHP.
Đã nhận: từ Dynamic-pool-xxx.hcm.fpt.vn ([118,68.152.212]) bởi ms.externalemail.com với ESMTP MailEnable; Thứ ba, ngày 6 tháng 3 năm 2012 07:27:08 -0500
Xem thông tin địa chỉ IP xác nhận sự nghi ngờ vì vị trí của máy chủ thư giải quyết trở lại Việt Nam.
Mặc dù ví dụ này thông minh hơn một chút, bạn có thể thấy sự gian lận được tiết lộ nhanh như thế nào chỉ với một chút điều tra.
Phần kết luận
Mặc dù xem các tiêu đề email có thể không phải là một phần của nhu cầu thông thường hàng ngày của bạn, có những trường hợp thông tin chứa trong đó có thể khá có giá trị. Như chúng tôi đã trình bày ở trên, bạn hoàn toàn có thể dễ dàng xác định người gửi giả mạo là một cái gì đó mà họ không phải. Đối với một trò lừa đảo được thực hiện rất tốt trong đó các dấu hiệu trực quan rất thuyết phục, việc mạo danh các máy chủ thư thực tế và xem xét thông tin bên trong các tiêu đề email có thể nhanh chóng tiết lộ bất kỳ thông điệp nào.
Liên kết
Tải xuống IPNetInfo từ Nirsoft