Bạn có thể tìm gì trong tiêu đề email?

Mục lục:

Bạn có thể tìm gì trong tiêu đề email?
Bạn có thể tìm gì trong tiêu đề email?

Video: Bạn có thể tìm gì trong tiêu đề email?

Video: Bạn có thể tìm gì trong tiêu đề email?
Video: Chọn máy ảnh DSLR hay Mirrorless - Máy ảnh cũ Hà Nội - YouTube 2023, Tháng mười hai
Anonim
Bất cứ khi nào bạn nhận được một email, có rất nhiều thứ khác với nó hơn là gặp mắt. Mặc dù bạn thường chỉ chú ý đến địa chỉ, dòng tiêu đề và nội dung thư, nhưng có nhiều thông tin hơn có sẵn trong mỗi email có thể cung cấp cho bạn nhiều thông tin bổ sung.
Bất cứ khi nào bạn nhận được một email, có rất nhiều thứ khác với nó hơn là gặp mắt. Mặc dù bạn thường chỉ chú ý đến địa chỉ, dòng tiêu đề và nội dung thư, nhưng có nhiều thông tin hơn có sẵn trong mỗi email có thể cung cấp cho bạn nhiều thông tin bổ sung.

Tại sao Bother Nhìn vào Tiêu đề Email?

Đây là một câu hỏi rất hay. Đối với hầu hết các phần, bạn thực sự sẽ không bao giờ cần phải trừ khi:

  • Bạn nghi ngờ một email là một nỗ lực lừa đảo hoặc giả mạo
  • Bạn muốn xem thông tin định tuyến trên đường dẫn của email
  • Bạn là một người đam mê tò mò

Bất kể lý do của bạn, đọc tiêu đề email là thực sự khá dễ dàng và có thể rất tiết lộ.

Điều Lưu ý: Đối với ảnh chụp màn hình và dữ liệu của chúng tôi, chúng tôi sẽ sử dụng Gmail nhưng hầu như mọi ứng dụng thư khác cũng phải cung cấp thông tin tương tự này.

Xem tiêu đề email

Trong Gmail, xem email. Trong ví dụ này, chúng tôi sẽ sử dụng email bên dưới.

Sau đó nhấp vào mũi tên ở góc trên bên phải và chọn Hiển thị bản gốc.
Sau đó nhấp vào mũi tên ở góc trên bên phải và chọn Hiển thị bản gốc.
Cửa sổ kết quả sẽ có dữ liệu tiêu đề email ở dạng văn bản thuần túy.
Cửa sổ kết quả sẽ có dữ liệu tiêu đề email ở dạng văn bản thuần túy.

Lưu ý: Trong tất cả dữ liệu tiêu đề email tôi hiển thị bên dưới, tôi đã thay đổi địa chỉ Gmail của mình để hiển thị là [email protected] và địa chỉ email bên ngoài của tôi để hiển thị là [email protected][email protected] cũng như che giấu địa chỉ IP của máy chủ email của tôi.

Đã gửi tới: [email protected] Đã nhận: bởi 10.60.14.3 với id SMTP l3csp18666oec; Thứ Ba, ngày 6 tháng 3 năm 2012 08:30:51 -0800 (PST) Đã nhận: bởi 10.68.125.129 với id SMTP mq1mr1963003pbb.21.1331051451044; Thứ Ba, ngày 6 tháng 3 năm 2012 08:30:51 -0800 (PST) Đường dẫn trả lại: Đã nhận: từ exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) bởi mx.google.com với id SMTP l7si25161491pbd.80.2012.03.06.08.30.49; Thứ Ba, ngày 6 tháng 3 năm 2012 08:30:50 -0800 (PST) Đã nhận-SPF: trung lập (google.com: 64.18.2.16 không được phép và cũng không bị từ chối bởi bản ghi đoán tốt nhất cho miền của [email protected]) client-ip = 64.18.2.16; Kết quả xác thực: mx.google.com; spf = neutral (google.com: 64.18.2.16 không được phép và cũng không bị từ chối bởi bản ghi đoán tốt nhất cho miền của [email protected]) [email protected] Đã nhận: từ mail.externalemail.com ([XXX.XXX.XXX.XXX]) (sử dụng TLSv1) bởi exprod7ob119.postini.com ([64.18.6.12]) bằng SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Thứ Ba, ngày 6 tháng 3 năm 2012 08:30:50 PST Đã nhận: từ MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3]) bởi MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3% 11]) với mapi; Thứ Ba, ngày 6 tháng 3 2012 11:30:48 -0500 Từ: Jason Faulkner Tới: “[email protected] Ngày: Thứ Ba, ngày 6 tháng 3 năm 2012 11:30:48 -0500 Chủ đề: Đây là email hợp pháp Chủ đề-Chủ đề: Đây là một email hợp pháp Chỉ mục-Chủ đề: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q == ID thư: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Ngôn ngữ-Nội dung: en-US X-MS-Has-Đính kèm: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart / alternative; border =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” Phiên bản MIME: 1.0

Khi bạn đọc tiêu đề email, dữ liệu theo thứ tự thời gian đảo ngược, có nghĩa là thông tin ở trên cùng là sự kiện gần đây nhất. Nếu bạn muốn theo dõi email từ người gửi đến người nhận, hãy bắt đầu ở dưới cùng. Kiểm tra các tiêu đề của email này, chúng ta có thể thấy một số điều.

Ở đây chúng ta thấy thông tin được tạo bởi ứng dụng khách gửi. Trong trường hợp này, email được gửi từ Outlook vì vậy đây là siêu dữ liệu mà Outlook thêm vào.

From: Jason Faulkner To: “[email protected] Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

Phần tiếp theo theo dõi đường dẫn email lấy từ máy chủ gửi đến máy chủ đích. Hãy ghi nhớ các bước này (hoặc bước nhảy) được liệt kê theo trình tự thời gian đảo ngược. Chúng tôi đã đặt số tương ứng bên cạnh mỗi hop để minh họa thứ tự. Lưu ý rằng mỗi hop hiển thị chi tiết về địa chỉ IP và tên DNS ngược tương ứng.

Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfa[email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

Trong khi điều này là khá trần tục cho một email hợp pháp, thông tin này có thể khá nói khi kiểm tra thư rác hoặc thư lừa đảo.

Kiểm tra email lừa đảo - Ví dụ 1

Đối với ví dụ lừa đảo đầu tiên của chúng tôi, chúng tôi sẽ kiểm tra email là một nỗ lực lừa đảo rõ ràng. Trong trường hợp này, chúng tôi có thể xác định thông báo này là lừa đảo chỉ đơn giản bằng các chỉ báo trực quan, nhưng để thực hành, chúng tôi sẽ xem xét các dấu hiệu cảnh báo trong các tiêu đề.

Image
Image

Đã gửi tới: [email protected] Đã nhận: bởi 10.60.14.3 với id SMTP l3csp12958oec; Thứ Hai, ngày 5 tháng 3 năm 2012 23:11:29 -0800 (PST) Đã nhận: bởi 10.236.46.164 với id SMTP r24mr7411623yhb.101.1331017888982; Thứ Hai, ngày 5 tháng 3 năm 2012 23:11:28 -0800 (PST) Đường dẫn trả lại: Đã nhận: từ ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) bởi mx.google.com với id ESMTP t19si8451178ani.110.2012.03.05.23.11.28; Thứ Hai, ngày 5 tháng 3 năm 2012 23:11:28 -0800 (PST) Đã nhận-SPF: không thành công (google.com: tên miền của [email protected] không chỉ định XXX.XXX.XXX.XXX là người gửi được phép) client-ip = XXX.XXX.XXX.XXX; Kết quả xác thực: mx.google.com; spf = hardfail (google.com.vn: tên miền của [email protected] không chỉ định XXX.XXX.XXX.XXX là người gửi được phép) [email protected] Đã nhận: với MailEnable Postoffice Connector; Thứ Ba, ngày 6 tháng 3 năm 2012 02:11:20 -0500 Đã nhận: từ mail.lovingtour.com ([211.166.9.218]) bởi ms.externalemail.com với MailEnable ESMTP; Thứ Ba, ngày 6 tháng 3 năm 2012 02:11:10 -0500 Đã nhận: từ Người dùng ([118.142.76.58]) bởi mail.lovingtour.com; Thứ Hai, ngày 5 tháng 3 năm 2012 21:38:11 +0800 ID thư: <6DCB43[email protected]> Trả lời: Từ: “[email protected] Chủ đề: Thông báo Ngày: Thứ Hai, ngày 5 tháng 3 năm 2012 21:20:57 +0800 Phiên bản MIME: 1.0 Loại nội dung: multipart / mixed; border =”-- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″ Mức độ ưu tiên X: 3 Ưu tiên X-MSMail: Bình thường X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Được sản xuất bởi Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0,000000

Cờ đỏ đầu tiên nằm trong vùng thông tin khách hàng. Lưu ý ở đây siêu dữ liệu đã thêm tham chiếu Outlook Express. Không chắc là Visa quá xa so với thời điểm họ có người gửi email bằng cách sử dụng một ứng dụng email cũ 12 tuổi.

Reply-To: From: “[email protected] Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

Bây giờ kiểm tra hop đầu tiên trong định tuyến email cho thấy rằng người gửi được đặt tại địa chỉ IP 118.142.76.58 và email của họ đã được chuyển tiếp qua mail.lovingtour.com mail server.

Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800

Tìm kiếm thông tin IP bằng tiện ích IPNetInfo của Nirsoft, chúng ta có thể thấy người gửi nằm ở Hồng Kông và máy chủ thư đặt tại Trung Quốc.

Image
Image
Image
Image

Không cần phải nói điều này là một chút đáng ngờ.

Phần còn lại của các bước nhảy email không thực sự có liên quan trong trường hợp này khi chúng hiển thị email phản hồi xung quanh lưu lượng truy cập máy chủ hợp pháp trước khi được phân phối.

Kiểm tra email lừa đảo - Ví dụ 2

Đối với ví dụ này, email lừa đảo của chúng tôi thuyết phục hơn nhiều. Có một vài chỉ số trực quan ở đây nếu bạn nhìn đủ cứng, nhưng một lần nữa vì mục đích của bài viết này, chúng tôi sẽ giới hạn việc điều tra của chúng tôi cho các tiêu đề email.

Image
Image

Đã gửi tới: [email protected] Đã nhận: bởi 10.60.14.3 với id SMTP l3csp15619oec; Thứ Ba, ngày 6 tháng 3 năm 2012 04:27:20 -0800 (PST) Đã nhận: theo 10.236.170.165 với id SMTP p25mr8672800yhl.123.1331036839870; Thứ Ba, ngày 6 tháng 3 năm 2012 04:27:19 -0800 (PST) Đường dẫn trả lại: Đã nhận: từ ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) bởi mx.google.com với id ESMTP o2si20048188yhn.34.2012.03.06.04.27.19; Thứ Ba, ngày 6 tháng 3 năm 2012 04:27:19 -0800 (PST) Đã nhận-SPF: không thành công (google.com: tên miền của [email protected] không chỉ định XXX.XXX.XXX.XXX là người gửi được phép) client-ip = XXX.XXX.XXX.XXX; Kết quả xác thực: mx.google.com; spf = hardfail (google.com.vn: tên miền của [email protected] không chỉ định XXX.XXX.XXX.XXX là người gửi được phép) [email protected] Đã nhận: với MailEnable Postoffice Connector; Thứ Ba, ngày 6 tháng 3 năm 2012 07:27:13 -0500 Đã nhận: từ dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) bởi ms.externalemail.com với MailEnable ESMTP; Thứ Ba, ngày 6 tháng 3 năm 2012 07:27:08 -0500 Đã nhận: từ apache bởi intuit.com với địa phương (Exim 4.67) (phong bì từ ) id GJMV8N-8BERQW-93 cho ; Thứ Ba, ngày 6 tháng 3 năm 2012 19:27:05 +0700 Đến: Subject: Hóa đơn Intuit.com của bạn. X-PHP-Script: intuit.com/sendmail.php cho 118.68.152.212 Từ: “INTUIT INC.” Người gửi X: “INTUIT INC.” X-Mailer: PHP Ưu tiên X: 1 Phiên bản MIME: 1.0 Content-Type: multipart / alternative; ranh giới =”---- 03060500702080404010506 ″ ID tin nhắn: Ngày: Thứ Ba, ngày 6 tháng 3 năm 2012 19:27:05 +0700 X-ME-Bayesian: 0,000000

Trong ví dụ này, một ứng dụng thư khách không được sử dụng, thay vì một kịch bản PHP với địa chỉ IP nguồn là 118.68.152.212.

To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

Tuy nhiên, khi chúng tôi xem xét chuỗi email đầu tiên, điều này có vẻ hợp pháp vì tên miền của máy chủ gửi khớp với địa chỉ email. Tuy nhiên, hãy cảnh giác với điều này khi người gửi spam có thể dễ dàng đặt tên cho máy chủ của họ là “intuit.com”.

Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700

Kiểm tra bước tiếp theo sẽ làm sụp đổ ngôi nhà này. Bạn có thể thấy hop thứ hai (nơi nó được nhận bởi một máy chủ email hợp pháp) giải quyết máy chủ gửi trở lại miền “dynamic-pool-xxx.hcm.fpt.vn”, chứ không phải “intuit.com” với cùng địa chỉ IP được chỉ ra trong tập lệnh PHP.

Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Xem thông tin địa chỉ IP xác nhận sự nghi ngờ khi vị trí của máy chủ thư trở lại Việt Nam.

Trong khi ví dụ này thông minh hơn một chút, bạn có thể thấy việc gian lận được tiết lộ nhanh như thế nào chỉ với một chút điều tra.
Trong khi ví dụ này thông minh hơn một chút, bạn có thể thấy việc gian lận được tiết lộ nhanh như thế nào chỉ với một chút điều tra.

Phần kết luận

Mặc dù việc xem tiêu đề email có thể không phải là một phần trong nhu cầu hàng ngày của bạn, nhưng có những trường hợp thông tin trong đó có thể khá có giá trị. Như chúng tôi đã trình bày ở trên, bạn có thể dễ dàng xác định người gửi giả mạo là điều họ không làm. Đối với một lừa đảo được thực hiện rất tốt mà tín hiệu trực quan thuyết phục, nó là vô cùng khó khăn (nếu không phải không thể) để mạo danh các máy chủ mail thực tế và xem xét các thông tin bên trong tiêu đề email có thể nhanh chóng tiết lộ bất kỳ chicanery.

Liên kết

Tải xuống IPNetInfo từ Nirsoft

Đề xuất: