Cosa puoi trovare in un'intestazione email?

Sommario:

Cosa puoi trovare in un'intestazione email?
Cosa puoi trovare in un'intestazione email?

Video: Cosa puoi trovare in un'intestazione email?

Video: Cosa puoi trovare in un'intestazione email?
Video: HAI UNA REFLEX? 7 MOTIVI PER NON PASSARE A MIRRORLESS - YouTube 2024, Aprile
Anonim
Ogni volta che ricevi un'e-mail, c'è molto di più di quanto non sembri. Mentre di solito presti attenzione solo all'indirizzo, alla riga dell'oggetto e al corpo del messaggio, ci sono molte più informazioni disponibili "sotto il cofano" di ciascuna e-mail che possono fornirti molte informazioni aggiuntive.
Ogni volta che ricevi un'e-mail, c'è molto di più di quanto non sembri. Mentre di solito presti attenzione solo all'indirizzo, alla riga dell'oggetto e al corpo del messaggio, ci sono molte più informazioni disponibili "sotto il cofano" di ciascuna e-mail che possono fornirti molte informazioni aggiuntive.

Perché preoccuparsi di guardare un'intestazione dell'email?

Questa è un'ottima domanda. Per la maggior parte, non avresti mai bisogno di farlo a meno che:

  • Sospetti che un'email sia un tentativo di phishing o parodia
  • Si desidera visualizzare le informazioni di routing sul percorso della posta elettronica
  • Sei un fanatico curioso

Indipendentemente dalle tue ragioni, leggere le intestazioni delle e-mail è in realtà abbastanza semplice e può essere molto rivelatore.

Nota: per i nostri screenshot e dati, utilizzeremo Gmail, ma praticamente tutti gli altri client di posta dovrebbero fornire anche queste stesse informazioni.

Visualizzazione dell'intestazione dell'email

In Gmail, visualizza l'email. Per questo esempio, useremo l'email qui sotto.

Quindi fare clic sulla freccia nell'angolo in alto a destra e selezionare Mostra originale.
Quindi fare clic sulla freccia nell'angolo in alto a destra e selezionare Mostra originale.
La finestra risultante avrà i dati dell'intestazione dell'email in testo normale.
La finestra risultante avrà i dati dell'intestazione dell'email in testo normale.

Nota: in tutti i dati di intestazione dell'email che mostro di seguito ho cambiato il mio indirizzo Gmail per mostrare come [email protected] e il mio indirizzo email esterno per mostrare come [email protected] e [email protected] così come mascherato l'indirizzo IP dei miei server di posta elettronica.

Consegnato a: [email protected] Ricevuto: per 10.60.14.3 con SMTP id l3csp18666oec; Mar 6 Mar 2012 08:30:51 -0800 (PST) Ricevuto: da 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044; Mar, 06 Mar 2012 08:30:51 -0800 (PST) Sentiero di ritorno: Ricevuto da exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) di mx.google.com con ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49; Mar, 06 mar 2012 08:30:50 -0800 (PST) Received-SPF: neutro (google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) client-ip = 64.18.2.16; Risultati di autenticazione: mx.google.com; spf = neutro (google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) [email protected] Ricevuto: da mail.externalemail.com ([XXX.XXX.XXX.XXX]) (utilizzando TLSv1) di exprod7ob119.postini.com ([64.18.6.12]) con SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Mar, 06 Mar 2012 08:30:50 PST Ricevuto: da MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3]) di MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3% 11]) con mapi; Mar, 6 mar 2012 11:30:48 -0500 Da: Jason Faulkner A: "[email protected]" Data: martedì, 6 marzo 2012 11:30:48 -0500 Oggetto: questa è una email legittima Thread-Topic: questa è una email legittima Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q == ID messaggio: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlatore: acceptlanguage: en-US Content-Type: multipart / alternative; boundary =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” Versione MIME: 1.0

Quando leggi un'intestazione email, i dati sono in ordine cronologico inverso, il che significa che le informazioni nella parte superiore sono l'evento più recente. Pertanto, se si desidera tracciare l'e-mail dal mittente al destinatario, iniziare nella parte inferiore. Esaminando le intestazioni di questa email possiamo vedere diverse cose.

Qui vediamo le informazioni generate dal client di invio. In questo caso, l'email è stata inviata da Outlook, quindi questo è il metadata aggiunto da Outlook.

From: Jason Faulkner To: “[email protected] Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

La parte successiva traccia il percorso che l'e-mail porta dal server mittente al server di destinazione. Tieni presente che questi passaggi (o hop) sono elencati in ordine cronologico inverso. Abbiamo posizionato il numero corrispondente accanto a ciascun salto per illustrare l'ordine. Si noti che ogni hop mostra dettagli sull'indirizzo IP e il rispettivo nome DNS inverso.

Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

Anche se questo è abbastanza banale per una e-mail legittima, questa informazione può essere molto significativa quando si tratta di esaminare spam o e-mail di phishing.

Esaminare un'email di phishing: esempio 1

Per il nostro primo esempio di phishing, esamineremo un'email che è un evidente tentativo di phishing. In questo caso, potremmo identificare questo messaggio come una frode semplicemente tramite gli indicatori visivi, ma per fare pratica daremo un'occhiata ai segnali di allarme all'interno delle intestazioni.

Image
Image

Consegnato a: [email protected] Ricevuto: per 10.60.14.3 con SMTP id l3csp12958oec; Lun, 5 Mar 2012 23:11:29 -0800 (PST) Ricevuto: da 10.236.46.164 con SMTP id r24mr7411623yhb.101.1331017888982; Lun, 05 Mar 2012 23:11:28 -0800 (PST) Sentiero di ritorno: Ricevuto: da ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) di mx.google.com con ID ESMTP t19si8451178ani.110.2012.03.05.23.11.28; Lun, 05 Mar 2012 23:11:28 -0800 (PST) Received-SPF: fail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) client-ip = XXX.XXX.XXX.XXX; Risultati di autenticazione: mx.google.com; spf = hardfail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) [email protected] Ricevuto: con MailEnable Postoffice Connector; Mar 6 Mar 2012 02:11:20 -0500 Ricevuto: da mail.lovingtour.com ([211.166.9.218]) da ms.externalemail.com con MailEnable ESMTP; Mar, 6 mar 2012 02:11:10 -0500 Ricevuto: da Utente ([118.142.76.58]) per mail.lovingtour.com; Lun, 5 Mar 2012 21:38:11 +0800 ID messaggio: <[email protected]> Rispondi a: Da: "[email protected]" Oggetto: avviso Data: lun, 5 mar 2012 21:20:57 +0800 Versione MIME: 1.0 Content-Type: multipart / mixed; boundary =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0" Priorità X: 3 X-MSMail-Priority: normale X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: prodotto da Microsoft Mimeole V6.00.2600.0000 X-ME-Bayesian: 0,000000

La prima bandiera rossa si trova nell'area delle informazioni del cliente. Nota qui i metadati aggiunti riferimenti a Outlook Express. È improbabile che Visa sia così indietro rispetto ai tempi in cui qualcuno invia manualmente le email utilizzando un client di posta elettronica di 12 anni.

Reply-To: From: “[email protected] Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

Ora esaminando il primo hop nell'instradamento delle e-mail si rivela che il mittente si trovava all'indirizzo IP 118.142.76.58 e che la loro e-mail è stata inoltrata tramite il mail server mail.lovingtour.com.

Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800

Guardando le informazioni IP usando l'utilità IPNetInfo di Nirsoft, possiamo vedere che il mittente si trovava a Hong Kong e il server di posta si trova in Cina.

Image
Image
Inutile dire che questo è un po 'sospetto.
Inutile dire che questo è un po 'sospetto.

Il resto degli hop di posta elettronica non sono realmente rilevanti in questo caso poiché mostrano che l'email rimbalza intorno al traffico legittimo del server prima di essere finalmente consegnato.

Esaminare un'email di phishing: esempio 2

Per questo esempio, la nostra email di phishing è molto più convincente. Ci sono alcuni indicatori visivi qui se sembri abbastanza duro, ma ancora una volta, ai fini di questo articolo, limiteremo le nostre indagini alle intestazioni delle email.

Image
Image

Consegnato a: [email protected] Ricevuto: per 10.60.14.3 con SMTP id l3csp15619oec; Mar 6 Mar 2012 04:27:20 -0800 (PST) Ricevuto: da 10.236.170.165 con ID SMTP p25mr8672800yhl.123.1331036839870; Mar, 06 mar 2012 04:27:19 -0800 (PST) Sentiero di ritorno: Ricevuto: da ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) di mx.google.com con ID ESMTP o2si20048188yhn.34.2012.03.06.04.27.19; Mar, 06 mar 2012 04:27:19 -0800 (PST) Received-SPF: fail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) client-ip = XXX.XXX.XXX.XXX; Risultati di autenticazione: mx.google.com; spf = hardfail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) [email protected] Ricevuto: con MailEnable Postoffice Connector; Mar, 6 mar 2012 07:27:13 -0500 Ricevuto: da dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) da ms.externalemail.com con MailEnable ESMTP; Mar, 6 mar 2012 07:27:08 -0500 Ricevuto: da apache di intuit.com con local (Exim 4.67) (Busta da ) id GJMV8N-8BERQW-93 per ; Mar 6 Mar 2012 19:27:05 +0700 A: Oggetto: la fattura Intuit.com. X-PHP-Script: intuit.com/sendmail.php per 118.68.152.212 Da: "INTUIT INC." X-Sender: "INTUIT INC." X-Mailer: PHP Priorità X: 1 Versione MIME: 1.0 Content-Type: multipart / alternative; boundary =”---- 03060500702080404010506" Message-Id: Data: martedì, 6 marzo 2012 19:27:05 +0700 X-ME-Bayesian: 0,000000

In questo esempio, non è stata utilizzata un'applicazione client di posta, piuttosto uno script PHP con l'indirizzo IP di origine di 118.68.152.212.

To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

Tuttavia, quando guardiamo il primo hop della posta elettronica sembra essere legittimo, poiché il nome di dominio del server di invio corrisponde all'indirizzo email. Tuttavia, diffidare di questo come uno spammer potrebbe facilmente denominare il loro server "intuit.com".

Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700

Esaminando il prossimo passo si sbriciola questo castello di carte. Puoi vedere il secondo salto (dove viene ricevuto da un server di posta legittimo) risolve il server mittente nel dominio "dynamic-pool-xxx.hcm.fpt.vn", non "intuit.com" con lo stesso indirizzo IP indicato nello script PHP.

Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

La visualizzazione delle informazioni sull'indirizzo IP conferma il sospetto che la posizione del server di posta si risolva in Viet Nam.

Mentre questo esempio è un po 'più intelligente, puoi vedere quanto velocemente la frode viene rivelata con solo un po' di indagine.
Mentre questo esempio è un po 'più intelligente, puoi vedere quanto velocemente la frode viene rivelata con solo un po' di indagine.

Conclusione

Mentre la visualizzazione delle intestazioni delle e-mail probabilmente non fa parte delle normali esigenze quotidiane, ci sono casi in cui le informazioni in esse contenute possono essere piuttosto preziose. Come abbiamo mostrato sopra, puoi facilmente identificare i mittenti che si mascherano come qualcosa che non sono. Per una truffa molto ben eseguita in cui i riferimenti visivi sono convincenti, è estremamente difficile (se non impossibile) impersonare i server di posta reali e rivedere le informazioni all'interno delle intestazioni delle e-mail può rivelare rapidamente qualsiasi imbroglio.

link

Scarica IPNetInfo da Nirsoft

Consigliato:

Dove puoi trovare video 4K per la tua TV 4K?

Dove puoi trovare video 4K per la tua TV 4K?

Se hai speso i soldi extra per una TV 4K, un monitor o un laptop, probabilmente ti piacerebbe avere qualcosa da guardare su di esso. Sfortunatamente, diversi anni dopo che i primi set sono arrivati sul mercato, siamo ancora gravemente carenti di fonti reali per contenuti video ultra-high-def. Le opzioni sono limitate: a partire dall'inizio del 2017, qui ci sono i servizi online e pay TV che offrono contenuti 4K.

Cosa puoi (e non puoi) fare con più Amazon Echos

Cosa puoi (e non puoi) fare con più Amazon Echos

Amazon Echo è un dispositivo che può rapidamente diventare il punto centrale della configurazione di smarthome, ma cosa succede se vivi in una casa più grande in cui un eco non lo taglierà? Ecco cosa dovresti sapere di portare un secondo, o anche un terzo, Amazon Echo nella tua casa.

Come inserire la pagina X di Y in un'intestazione o piè di pagina in Word

Come inserire la pagina X di Y in un'intestazione o piè di pagina in Word

Ti abbiamo mostrato come aggiungere "Pagina X di Y" a un'intestazione di piè di pagina di fogli di lavoro di grandi dimensioni in Excel. La stessa cosa può essere fatta in Word per documenti più lunghi. È un po 'diverso rispetto a Excel, quindi continua a leggere per scoprire come.

Come rendere l'intestazione e il piè di pagina diversi nella prima pagina su un foglio di calcolo di Excel

Come rendere l'intestazione e il piè di pagina diversi nella prima pagina su un foglio di calcolo di Excel

È possibile aggiungere testo, come numeri di pagina, nome file, nome del foglio di lavoro e data, all'intestazione e al piè di pagina del foglio di lavoro. Ma, cosa succede se si desidera che la prima pagina del foglio di lavoro abbia un'intestazione diversa rispetto al resto? È un compito facile da realizzare.

Perché non puoi semplicemente copiare la cartella di un programma in un nuovo sistema Windows (e quando puoi)

Perché non puoi semplicemente copiare la cartella di un programma in un nuovo sistema Windows (e quando puoi)

Quando ti sposti su un nuovo sistema Windows, dopo aver ottenuto un nuovo computer o aver reinstallato Windows, potresti essere tentato di copiare la cartella di un programma sul tuo nuovo sistema proprio come se avessi copiato i tuoi file. Ma questo normalmente non funzionerà.