Perché preoccuparsi di guardare un'intestazione dell'email?
Questa è un'ottima domanda. Per la maggior parte, non avresti mai bisogno di farlo a meno che:
- Sospetti che un'email sia un tentativo di phishing o parodia
- Si desidera visualizzare le informazioni di routing sul percorso della posta elettronica
- Sei un fanatico curioso
Indipendentemente dalle tue ragioni, leggere le intestazioni delle e-mail è in realtà abbastanza semplice e può essere molto rivelatore.
Nota: per i nostri screenshot e dati, utilizzeremo Gmail, ma praticamente tutti gli altri client di posta dovrebbero fornire anche queste stesse informazioni.
Visualizzazione dell'intestazione dell'email
In Gmail, visualizza l'email. Per questo esempio, useremo l'email qui sotto.
Nota: in tutti i dati di intestazione dell'email che mostro di seguito ho cambiato il mio indirizzo Gmail per mostrare come [email protected] e il mio indirizzo email esterno per mostrare come [email protected] e [email protected] così come mascherato l'indirizzo IP dei miei server di posta elettronica.
Consegnato a: [email protected] Ricevuto: per 10.60.14.3 con SMTP id l3csp18666oec; Mar 6 Mar 2012 08:30:51 -0800 (PST) Ricevuto: da 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044; Mar, 06 Mar 2012 08:30:51 -0800 (PST) Sentiero di ritorno:
Quando leggi un'intestazione email, i dati sono in ordine cronologico inverso, il che significa che le informazioni nella parte superiore sono l'evento più recente. Pertanto, se si desidera tracciare l'e-mail dal mittente al destinatario, iniziare nella parte inferiore. Esaminando le intestazioni di questa email possiamo vedere diverse cose.
Qui vediamo le informazioni generate dal client di invio. In questo caso, l'email è stata inviata da Outlook, quindi questo è il metadata aggiunto da Outlook.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
La parte successiva traccia il percorso che l'e-mail porta dal server mittente al server di destinazione. Tieni presente che questi passaggi (o hop) sono elencati in ordine cronologico inverso. Abbiamo posizionato il numero corrispondente accanto a ciascun salto per illustrare l'ordine. Si noti che ogni hop mostra dettagli sull'indirizzo IP e il rispettivo nome DNS inverso.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Anche se questo è abbastanza banale per una e-mail legittima, questa informazione può essere molto significativa quando si tratta di esaminare spam o e-mail di phishing.
Esaminare un'email di phishing: esempio 1
Per il nostro primo esempio di phishing, esamineremo un'email che è un evidente tentativo di phishing. In questo caso, potremmo identificare questo messaggio come una frode semplicemente tramite gli indicatori visivi, ma per fare pratica daremo un'occhiata ai segnali di allarme all'interno delle intestazioni.
Consegnato a: [email protected] Ricevuto: per 10.60.14.3 con SMTP id l3csp12958oec; Lun, 5 Mar 2012 23:11:29 -0800 (PST) Ricevuto: da 10.236.46.164 con SMTP id r24mr7411623yhb.101.1331017888982; Lun, 05 Mar 2012 23:11:28 -0800 (PST) Sentiero di ritorno:
La prima bandiera rossa si trova nell'area delle informazioni del cliente. Nota qui i metadati aggiunti riferimenti a Outlook Express. È improbabile che Visa sia così indietro rispetto ai tempi in cui qualcuno invia manualmente le email utilizzando un client di posta elettronica di 12 anni.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Ora esaminando il primo hop nell'instradamento delle e-mail si rivela che il mittente si trovava all'indirizzo IP 118.142.76.58 e che la loro e-mail è stata inoltrata tramite il mail server mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Guardando le informazioni IP usando l'utilità IPNetInfo di Nirsoft, possiamo vedere che il mittente si trovava a Hong Kong e il server di posta si trova in Cina.
Il resto degli hop di posta elettronica non sono realmente rilevanti in questo caso poiché mostrano che l'email rimbalza intorno al traffico legittimo del server prima di essere finalmente consegnato.
Esaminare un'email di phishing: esempio 2
Per questo esempio, la nostra email di phishing è molto più convincente. Ci sono alcuni indicatori visivi qui se sembri abbastanza duro, ma ancora una volta, ai fini di questo articolo, limiteremo le nostre indagini alle intestazioni delle email.
Consegnato a: [email protected] Ricevuto: per 10.60.14.3 con SMTP id l3csp15619oec; Mar 6 Mar 2012 04:27:20 -0800 (PST) Ricevuto: da 10.236.170.165 con ID SMTP p25mr8672800yhl.123.1331036839870; Mar, 06 mar 2012 04:27:19 -0800 (PST) Sentiero di ritorno:
In questo esempio, non è stata utilizzata un'applicazione client di posta, piuttosto uno script PHP con l'indirizzo IP di origine di 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Tuttavia, quando guardiamo il primo hop della posta elettronica sembra essere legittimo, poiché il nome di dominio del server di invio corrisponde all'indirizzo email. Tuttavia, diffidare di questo come uno spammer potrebbe facilmente denominare il loro server "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Esaminando il prossimo passo si sbriciola questo castello di carte. Puoi vedere il secondo salto (dove viene ricevuto da un server di posta legittimo) risolve il server mittente nel dominio "dynamic-pool-xxx.hcm.fpt.vn", non "intuit.com" con lo stesso indirizzo IP indicato nello script PHP.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
La visualizzazione delle informazioni sull'indirizzo IP conferma il sospetto che la posizione del server di posta si risolva in Viet Nam.
Conclusione
Mentre la visualizzazione delle intestazioni delle e-mail probabilmente non fa parte delle normali esigenze quotidiane, ci sono casi in cui le informazioni in esse contenute possono essere piuttosto preziose. Come abbiamo mostrato sopra, puoi facilmente identificare i mittenti che si mascherano come qualcosa che non sono. Per una truffa molto ben eseguita in cui i riferimenti visivi sono convincenti, è estremamente difficile (se non impossibile) impersonare i server di posta reali e rivedere le informazioni all'interno delle intestazioni delle e-mail può rivelare rapidamente qualsiasi imbroglio.
link
Scarica IPNetInfo da Nirsoft