Tại sao Bother Nhìn vào Tiêu đề Email?
Đây là một câu hỏi rất hay. Đối với hầu hết các phần, bạn thực sự sẽ không bao giờ cần phải trừ khi:
- Bạn nghi ngờ một email là một nỗ lực lừa đảo hoặc giả mạo
- Bạn muốn xem thông tin định tuyến trên đường dẫn của email
- Bạn là một người đam mê tò mò
Bất kể lý do của bạn, đọc tiêu đề email là thực sự khá dễ dàng và có thể rất tiết lộ.
Điều Lưu ý: Đối với ảnh chụp màn hình và dữ liệu của chúng tôi, chúng tôi sẽ sử dụng Gmail nhưng hầu như mọi ứng dụng thư khác cũng phải cung cấp thông tin tương tự này.
Xem tiêu đề email
Trong Gmail, xem email. Trong ví dụ này, chúng tôi sẽ sử dụng email bên dưới.
Lưu ý: Trong tất cả dữ liệu tiêu đề email tôi hiển thị bên dưới, tôi đã thay đổi địa chỉ Gmail của mình để hiển thị là [email protected] và địa chỉ email bên ngoài của tôi để hiển thị là [email protected] và [email protected] cũng như che giấu địa chỉ IP của máy chủ email của tôi.
Đã gửi tới: [email protected] Đã nhận: bởi 10.60.14.3 với id SMTP l3csp18666oec; Thứ Ba, ngày 6 tháng 3 năm 2012 08:30:51 -0800 (PST) Đã nhận: bởi 10.68.125.129 với id SMTP mq1mr1963003pbb.21.1331051451044; Thứ Ba, ngày 6 tháng 3 năm 2012 08:30:51 -0800 (PST) Đường dẫn trả lại:
Khi bạn đọc tiêu đề email, dữ liệu theo thứ tự thời gian đảo ngược, có nghĩa là thông tin ở trên cùng là sự kiện gần đây nhất. Nếu bạn muốn theo dõi email từ người gửi đến người nhận, hãy bắt đầu ở dưới cùng. Kiểm tra các tiêu đề của email này, chúng ta có thể thấy một số điều.
Ở đây chúng ta thấy thông tin được tạo bởi ứng dụng khách gửi. Trong trường hợp này, email được gửi từ Outlook vì vậy đây là siêu dữ liệu mà Outlook thêm vào.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Phần tiếp theo theo dõi đường dẫn email lấy từ máy chủ gửi đến máy chủ đích. Hãy ghi nhớ các bước này (hoặc bước nhảy) được liệt kê theo trình tự thời gian đảo ngược. Chúng tôi đã đặt số tương ứng bên cạnh mỗi hop để minh họa thứ tự. Lưu ý rằng mỗi hop hiển thị chi tiết về địa chỉ IP và tên DNS ngược tương ứng.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Trong khi điều này là khá trần tục cho một email hợp pháp, thông tin này có thể khá nói khi kiểm tra thư rác hoặc thư lừa đảo.
Kiểm tra email lừa đảo - Ví dụ 1
Đối với ví dụ lừa đảo đầu tiên của chúng tôi, chúng tôi sẽ kiểm tra email là một nỗ lực lừa đảo rõ ràng. Trong trường hợp này, chúng tôi có thể xác định thông báo này là lừa đảo chỉ đơn giản bằng các chỉ báo trực quan, nhưng để thực hành, chúng tôi sẽ xem xét các dấu hiệu cảnh báo trong các tiêu đề.
Đã gửi tới: [email protected] Đã nhận: bởi 10.60.14.3 với id SMTP l3csp12958oec; Thứ Hai, ngày 5 tháng 3 năm 2012 23:11:29 -0800 (PST) Đã nhận: bởi 10.236.46.164 với id SMTP r24mr7411623yhb.101.1331017888982; Thứ Hai, ngày 5 tháng 3 năm 2012 23:11:28 -0800 (PST) Đường dẫn trả lại:
Cờ đỏ đầu tiên nằm trong vùng thông tin khách hàng. Lưu ý ở đây siêu dữ liệu đã thêm tham chiếu Outlook Express. Không chắc là Visa quá xa so với thời điểm họ có người gửi email bằng cách sử dụng một ứng dụng email cũ 12 tuổi.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Bây giờ kiểm tra hop đầu tiên trong định tuyến email cho thấy rằng người gửi được đặt tại địa chỉ IP 118.142.76.58 và email của họ đã được chuyển tiếp qua mail.lovingtour.com mail server.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Tìm kiếm thông tin IP bằng tiện ích IPNetInfo của Nirsoft, chúng ta có thể thấy người gửi nằm ở Hồng Kông và máy chủ thư đặt tại Trung Quốc.
Không cần phải nói điều này là một chút đáng ngờ.
Phần còn lại của các bước nhảy email không thực sự có liên quan trong trường hợp này khi chúng hiển thị email phản hồi xung quanh lưu lượng truy cập máy chủ hợp pháp trước khi được phân phối.
Kiểm tra email lừa đảo - Ví dụ 2
Đối với ví dụ này, email lừa đảo của chúng tôi thuyết phục hơn nhiều. Có một vài chỉ số trực quan ở đây nếu bạn nhìn đủ cứng, nhưng một lần nữa vì mục đích của bài viết này, chúng tôi sẽ giới hạn việc điều tra của chúng tôi cho các tiêu đề email.
Đã gửi tới: [email protected] Đã nhận: bởi 10.60.14.3 với id SMTP l3csp15619oec; Thứ Ba, ngày 6 tháng 3 năm 2012 04:27:20 -0800 (PST) Đã nhận: theo 10.236.170.165 với id SMTP p25mr8672800yhl.123.1331036839870; Thứ Ba, ngày 6 tháng 3 năm 2012 04:27:19 -0800 (PST) Đường dẫn trả lại:
Trong ví dụ này, một ứng dụng thư khách không được sử dụng, thay vì một kịch bản PHP với địa chỉ IP nguồn là 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Tuy nhiên, khi chúng tôi xem xét chuỗi email đầu tiên, điều này có vẻ hợp pháp vì tên miền của máy chủ gửi khớp với địa chỉ email. Tuy nhiên, hãy cảnh giác với điều này khi người gửi spam có thể dễ dàng đặt tên cho máy chủ của họ là “intuit.com”.
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Kiểm tra bước tiếp theo sẽ làm sụp đổ ngôi nhà này. Bạn có thể thấy hop thứ hai (nơi nó được nhận bởi một máy chủ email hợp pháp) giải quyết máy chủ gửi trở lại miền “dynamic-pool-xxx.hcm.fpt.vn”, chứ không phải “intuit.com” với cùng địa chỉ IP được chỉ ra trong tập lệnh PHP.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Xem thông tin địa chỉ IP xác nhận sự nghi ngờ khi vị trí của máy chủ thư trở lại Việt Nam.
Phần kết luận
Mặc dù việc xem tiêu đề email có thể không phải là một phần trong nhu cầu hàng ngày của bạn, nhưng có những trường hợp thông tin trong đó có thể khá có giá trị. Như chúng tôi đã trình bày ở trên, bạn có thể dễ dàng xác định người gửi giả mạo là điều họ không làm. Đối với một lừa đảo được thực hiện rất tốt mà tín hiệu trực quan thuyết phục, nó là vô cùng khó khăn (nếu không phải không thể) để mạo danh các máy chủ mail thực tế và xem xét các thông tin bên trong tiêu đề email có thể nhanh chóng tiết lộ bất kỳ chicanery.
Liên kết
Tải xuống IPNetInfo từ Nirsoft
