คุณจะพบอะไรในส่วนหัวอีเมล

เมื่อใดก็ตามที่คุณได้รับอีเมลจะมีมากกว่านั้นมากพอสมควร แม้ว่าโดยทั่วไปคุณจะสนใจเพียงแค่จากที่อยู่บรรทัดหัวเรื่องและเนื้อหาของข้อความ แต่ยังมีข้อมูลอีกมากมาย "ภายใต้ประทุน" ของอีเมลแต่ละฉบับซึ่งสามารถให้ข้อมูลเพิ่มเติมมากมายแก่คุณ.

ทำไมต้องมองหัวอีเมล?

นี่เป็นคำถามที่ดีมาก ส่วนใหญ่คุณไม่จำเป็นต้องทำเว้นแต่:

• คุณสงสัยว่าอีเมลนั้นเป็นจดหมายหลอกลวงหรืออีเมลหลอกลวง
• คุณต้องการดูข้อมูลเส้นทางในเส้นทางของอีเมล
• คุณเป็นคนที่มีความอยากรู้อยากเห็น

ไม่ว่าจะด้วยเหตุผลใดก็ตามการอ่านส่วนหัวของอีเมลนั้นง่ายมากและสามารถเปิดเผยได้อย่างชัดเจน.

บทความหมายเหตุ: สำหรับภาพหน้าจอและข้อมูลของเราเราจะใช้ Gmail แต่ไคลเอนต์อีเมลอื่นทุกรายควรให้ข้อมูลเดียวกันนี้เช่นกัน.

การดูส่วนหัวอีเมล

ใน Gmail ดูอีเมล สำหรับตัวอย่างนี้เราจะใช้อีเมลด้านล่าง.

จากนั้นคลิกลูกศรที่มุมบนขวาและเลือกแสดงต้นฉบับ.

หน้าต่างผลลัพธ์จะมีข้อมูลส่วนหัวของอีเมลเป็นข้อความล้วน.

หมายเหตุ: ในข้อมูลส่วนหัวของอีเมลทั้งหมดที่ฉันแสดงด้านล่างฉันได้เปลี่ยนที่อยู่ Gmail ของฉันเพื่อแสดงเป็น [email protected] และที่อยู่อีเมลภายนอกของฉันเพื่อแสดงเป็น [email protected] และ [email protected] รวมทั้งปิดบังที่อยู่ IP ของเซิร์ฟเวอร์อีเมลของฉัน.

ส่งถึงแล้ว: [email protected]
ได้รับแล้ว: โดย 10.60.14.3 ด้วย SMTP id l3csp18666oec;
อังคาร, 6 มีนาคม, 2012 08:30 น. -0800 น. (PST)
ได้รับแล้ว: ภายใน 10.68.125.129 ด้วย SMTP id mq1mr1963003pbb.21.1331051451044;
วันอังคารที่ 06 มีนาคม 2012 เวลา 08:30 น. -0800 น. (PST)
กลับเส้นทาง:
ได้รับ: จาก exprod7og119.obsmtp.com (exprod7og119.obsmtp.com [64.18.2.16])
โดย mx.google.com ด้วย SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
อังคาร, 06 มีนาคม 2012 08:30:50 น. -0800 (PST)
ได้รับ - SPF: เป็นกลาง (google.com: 64.18.2.16 ไม่อนุญาตหรือปฏิเสธโดยบันทึกที่ดีที่สุดสำหรับโดเมนของ [email protected]) client-ip = 64.18.2.16;
ผลการตรวจสอบสิทธิ์: mx.google.com spf = neutral (google.com: 64.18.2.16 ไม่อนุญาตหรือปฏิเสธโดยบันทึกที่ดีที่สุดสำหรับโดเมนของ [email protected]) [email protected]
ได้รับ: จาก mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ใช้ TLSv1) โดย exprod7ob119.postini.com ([64.18.6.12]) ด้วย SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; อังคาร, 06 มีนาคม 2012 08:30:50 น
ได้รับ: จาก MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) โดย
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) ด้วย mapi; อ., 6 มี.ค.
2012 11:30:48 น. -0500
จาก: Jason Faulkner
ถึง:“ [email protected]”
วันที่: อังคาร, 6 มีนาคม 2012 11:30:48 น. -0500
เรื่อง: นี่คืออีเมลที่ถูกต้อง
หัวข้อ - กระทู้: นี่คืออีเมลที่ถูกต้อง
ดัชนีหัวข้อ: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID ข้อความ:
ยอมรับภาษา: en-US
เนื้อหาภาษา: en-US
X-MS-มี-แนบ:
X-MS-TNEF-Correlator:
ยอมรับภาษา: en-US
เนื้อหาประเภท: หลายส่วน / ทางเลือก;
ขอบเขต =” _ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Version: 1.0

เมื่อคุณอ่านส่วนหัวของอีเมลข้อมูลจะเรียงตามลำดับเวลาย้อนหลังซึ่งหมายถึงข้อมูลที่อยู่ด้านบนเป็นเหตุการณ์ล่าสุด ถ้าคุณต้องการติดตามอีเมลจากผู้ส่งถึงผู้รับให้เริ่มที่ด้านล่าง ตรวจสอบส่วนหัวของอีเมลนี้เราสามารถเห็นหลายสิ่ง.

ที่นี่เราเห็นข้อมูลที่สร้างโดยไคลเอนต์ที่ส่ง ในกรณีนี้อีเมลถูกส่งจาก Outlook ดังนั้นนี่คือข้อมูลเมตาของ Outlook ที่เพิ่มเข้ามา.

จาก: Jason Faulkner
ถึง:“ [email protected]”
วันที่: อังคาร, 6 มีนาคม 2012 11:30:48 น. -0500
เรื่อง: นี่คืออีเมลที่ถูกต้อง
หัวข้อ - กระทู้: นี่คืออีเมลที่ถูกต้อง
ดัชนีหัวข้อ: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID ข้อความ:
ยอมรับภาษา: en-US
เนื้อหาภาษา: en-US
X-MS-มี-แนบ:
X-MS-TNEF-Correlator:
ยอมรับภาษา: en-US
เนื้อหาประเภท: หลายส่วน / ทางเลือก;
ขอบเขต =” _ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Version: 1.0

ส่วนถัดไปจะติดตามเส้นทางที่อีเมลใช้จากเซิร์ฟเวอร์ที่ส่งไปยังเซิร์ฟเวอร์ปลายทาง โปรดทราบว่าขั้นตอนเหล่านี้ (หรือฮ็อพ) อยู่ในลำดับตามลำดับย้อนหลัง เราได้วางหมายเลขตามลำดับถัดจากการกระโดดแต่ละครั้งเพื่อแสดงคำสั่ง โปรดทราบว่าการกระโดดแต่ละครั้งจะแสดงรายละเอียดเกี่ยวกับที่อยู่ IP และชื่อ DNS ย้อนกลับที่เกี่ยวข้อง.

ส่งถึงแล้ว: [email protected]
[6] ได้รับแล้ว: โดย 10.60.14.3 ด้วย SMTP id l3csp18666oec;
อังคาร, 6 มีนาคม, 2012 08:30 น. -0800 น. (PST)
[5] ได้รับแล้ว: ภายใน 10.68.125.129 ด้วย SMTP id mq1mr1963003pbb.21.1331051451044;
วันอังคารที่ 06 มีนาคม 2012 เวลา 08:30 น. -0800 น. (PST)
กลับเส้นทาง:
[4] ได้รับ: จาก exprod7og119.obsmtp.com (exprod7og119.obsmtp.com [64.18.2.16])
โดย mx.google.com ด้วย SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
อังคาร, 06 มีนาคม 2012 08:30:50 น. -0800 (PST)
[3] ได้รับ - SPF: เป็นกลาง (google.com: 64.18.2.16 ไม่อนุญาตหรือปฏิเสธโดยบันทึกที่ดีที่สุดสำหรับโดเมนของ [email protected]) client-ip = 64.18.2.16;
ผลการตรวจสอบสิทธิ์: mx.google.com spf = neutral (google.com: 64.18.2.16 ไม่อนุญาตหรือปฏิเสธโดยบันทึกที่ดีที่สุดสำหรับโดเมนของ [email protected]) [email protected]
[2] ได้รับ: จาก mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ใช้ TLSv1) โดย exprod7ob119.postini.com ([64.18.6.12]) ด้วย SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; อังคาร, 06 มีนาคม 2012 08:30:50 น
[1] ได้รับ: จาก MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) โดย
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) ด้วย mapi; อ., 6 มี.ค.
2012 11:30:48 น. -0500

แม้ว่านี่จะเป็นเรื่องธรรมดาสำหรับอีเมลที่ถูกกฎหมาย แต่ข้อมูลนี้สามารถบอกได้ค่อนข้างดีเมื่อมาถึงการตรวจสอบสแปมหรืออีเมลฟิชชิ่ง.

ตรวจสอบอีเมลฟิชชิง - ตัวอย่างที่ 1

สำหรับตัวอย่างฟิชชิ่งแรกของเราเราจะตรวจสอบอีเมลที่มีความพยายามฟิชชิงที่ชัดเจน ในกรณีนี้เราสามารถระบุข้อความนี้ว่าเป็นการฉ้อโกงโดยตัวชี้วัดทางสายตา แต่สำหรับการปฏิบัติเราจะดูที่สัญญาณเตือนภายในส่วนหัว.

ส่งถึงแล้ว: [email protected]
ได้รับแล้ว: โดย 10.60.14.3 ด้วย SMTP id l3csp12958oec;
วันจันทร์ที่ 5 มีนาคม 2012 เวลา 23:11:29 น. -0800 (PST)
ได้รับ: โดย 10.236.46.164 ด้วย SMTP id r24mr7411623yhb.101.1331017888982;
จ., 05 มี.ค. 2555 23:11:28 น. -0800 (PST)
กลับเส้นทาง:
ได้รับ: จาก ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])
โดย mx.google.com ด้วยรหัส ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
จ., 05 มี.ค. 2555 23:11:28 น. -0800 (PST)
ได้รับ -SPF: ล้มเหลว (google.com: โดเมนของ [email protected] ไม่ได้กำหนด XXX.XXX.XXX.XXX ให้เป็นผู้ส่งที่อนุญาต) client-ip = XXX.XXX.XXX.XXX;
ผลการตรวจสอบสิทธิ์: mx.google.com spf = hardfail (google.com: โดเมนของ [email protected] ไม่ได้กำหนด XXX.XXX.XXX.XXX ให้เป็นผู้ส่งที่ได้รับอนุญาต) [email protected]
ได้รับแล้ว: ด้วยตัวเชื่อมต่อ MailEnable Postoffice; อังคาร, 6 มีนาคม 2012 02:11:20 -0500
ได้รับ: จาก mail.lovingtour.com ([211.166.9.218]) โดย ms.externalemail.com พร้อม MailEnable ESMTP; อังคาร, 6 มีนาคม 2012 02:11:10 -0500
ได้รับ: จากผู้ใช้ ([118.142.76.58])
โดย mail.lovingtour.com
; วันจันทร์ที่ 5 มีนาคม 2012 เวลา 21:38:11 +0800
ID ข้อความ:
ตอบกลับ:
จาก:“ [email protected]”
เรื่อง: ประกาศ
วันที่: จันทร์, 5 มีนาคม 2012 21:20:57 +0800
MIME-Version: 1.0
เนื้อหาประเภท: หลายส่วน / ผสม;
ขอบเขต =” - = _ NextPart_000_0055_01C2A9A6.1C1757C0"
ลำดับความสำคัญ X: 3
X-MSMail- ลำดับความสำคัญ: ปกติ
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: ผลิตโดย Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

ธงสีแดงแรกอยู่ในพื้นที่ข้อมูลลูกค้า โปรดสังเกตที่นี่ข้อมูลเมตาเพิ่มการอ้างอิง Outlook Express ไม่น่าเป็นไปได้ที่วีซ่าจะล้าหลังกว่าที่พวกเขามีใครบางคนส่งอีเมลด้วยตนเองโดยใช้ไคลเอนต์อีเมลอายุ 12 ปี.

ตอบกลับ:
จาก:“ [email protected]”
เรื่อง: ประกาศ
วันที่: จันทร์, 5 มีนาคม 2012 21:20:57 +0800
MIME-Version: 1.0
เนื้อหาประเภท: หลายส่วน / ผสม;
ขอบเขต =” - = _ NextPart_000_0055_01C2A9A6.1C1757C0"
ลำดับความสำคัญ X: 3
X-MSMail- ลำดับความสำคัญ: ปกติ
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: ผลิตโดย Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

ขณะนี้การตรวจสอบการกระโดดครั้งแรกในการกำหนดเส้นทางอีเมลพบว่าผู้ส่งตั้งอยู่ที่ที่อยู่ IP 118.142.76.58 และอีเมลของพวกเขาถูกส่งผ่านเซิร์ฟเวอร์อีเมล mail.lovingtour.com.

ได้รับ: จากผู้ใช้ ([118.142.76.58])
โดย mail.lovingtour.com
; วันจันทร์ที่ 5 มีนาคม 2012 เวลา 21:38:11 +0800

ค้นหาข้อมูล IP โดยใช้ยูทิลิตี้ IPNetInfo ของ Nirsoft เราสามารถเห็นผู้ส่งตั้งอยู่ในฮ่องกงและเมลเซิร์ฟเวอร์ตั้งอยู่ในจีน.

ไม่จำเป็นต้องพูดแบบนี้มันน่าสงสัยนิดหน่อย.

ส่วนที่เหลือของฮ็อพอีเมลไม่เกี่ยวข้องกันในกรณีนี้เนื่องจากพวกเขาแสดงอีเมลที่เด้งไปมารอบ ๆ ทราฟฟิกเซิร์ฟเวอร์ที่ถูกกฎหมายก่อนที่จะถูกส่งมอบ.

ตรวจสอบอีเมลฟิชชิง - ตัวอย่างที่ 2

ตัวอย่างนี้อีเมลฟิชชิงของเราน่าเชื่อถือมากยิ่งขึ้น มีตัวบ่งชี้ที่มองเห็นไม่กี่ที่นี่ถ้าคุณดูหนักพอ แต่อีกครั้งเพื่อจุดประสงค์ของบทความนี้เราจะ จำกัด การสอบสวนของเราไว้ที่ส่วนหัวของอีเมล.

ส่งถึงแล้ว: [email protected]
ได้รับแล้ว: โดย 10.60.14.3 ด้วย SMTP id l3csp15619oec;
อังคาร, 6 มีนาคม 2012 04:27:20 -0800 (PST)
ได้รับ: ภายใน 10.236.170.165 ด้วย SMTP id p25mr8672800yhl.123.1331036839870;
อังคาร, 06 มีนาคม 2012 04:27:19 -0800 (PST)
กลับเส้นทาง:
ได้รับ: จาก ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])
โดย mx.google.com ด้วยรหัส ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
อังคาร, 06 มีนาคม 2012 04:27:19 -0800 (PST)
ได้รับ -SPF: ล้มเหลว (google.com: โดเมนของ [email protected] ไม่ได้กำหนด XXX.XXX.XXX.XXX ให้เป็นผู้ส่งที่อนุญาต) client-ip = XXX.XXX.XXX.XXXXXXX
ผลการตรวจสอบสิทธิ์: mx.google.com spf = hardfail (google.com: โดเมนของ [email protected] ไม่ได้กำหนด XXX.XXX.XXX.XXX ให้เป็นผู้ส่งที่ได้รับอนุญาต) [email protected]
ได้รับแล้ว: ด้วยตัวเชื่อมต่อ MailEnable Postoffice; อังคาร, 6 มีนาคม 2012 07:27:13 -0500
ได้รับ: จาก dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) โดย ms.externalemail.com พร้อม MailEnable ESMTP; อังคาร, 6 มีนาคม 2012 07:27:08 -0500
ได้รับ: จาก apache โดย intuit.com พร้อม local (Exim 4.67)
(ซองจดหมายจาก)
id GJMV8N-8BERQW-93
สำหรับ; อังคาร, 6 มีนาคม 2012 19:27:05 +0700
ไปที่:
เรื่อง: ใบแจ้งหนี้ Intuit.com ของคุณ.
X-PHP-Script: intuit.com/sendmail.php สำหรับ 118.68.152.212
จาก:“ INTUIT INC.”
X-Sender:“ INTUIT INC.”
X-Mailer: PHP
ลำดับความสำคัญ X: 1
MIME-Version: 1.0
เนื้อหาประเภท: หลายส่วน / ทางเลือก;
= เขตแดน” - 03060500702080404010506"
ID ข้อความ:
วันที่: อังคาร, 6 มีนาคม 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

ในตัวอย่างนี้ไม่ได้ใช้แอปพลิเคชันไคลเอนต์อีเมล แต่เป็นสคริปต์ PHP ที่มีที่อยู่ IP ต้นทางที่ 118.68.152.212.

ไปที่:
เรื่อง: ใบแจ้งหนี้ Intuit.com ของคุณ.
X-PHP-Script: intuit.com/sendmail.php สำหรับ 118.68.152.212
จาก:“ INTUIT INC.”
X-Sender:“ INTUIT INC.”
X-Mailer: PHP
ลำดับความสำคัญ X: 1
MIME-Version: 1.0
เนื้อหาประเภท: หลายส่วน / ทางเลือก;
= เขตแดน” - 03060500702080404010506"
ID ข้อความ:
วันที่: อังคาร, 6 มีนาคม 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

อย่างไรก็ตามเมื่อเราดูที่การกระโดดอีเมลครั้งแรกดูเหมือนว่าจะถูกต้องเนื่องจากชื่อโดเมนของเซิร์ฟเวอร์ที่ส่งตรงกับที่อยู่อีเมล อย่างไรก็ตามระวังสิ่งนี้เนื่องจากผู้ส่งสแปมสามารถตั้งชื่อเซิร์ฟเวอร์“ intuit.com” ได้อย่างง่ายดาย.

ได้รับ: จาก apache โดย intuit.com พร้อม local (Exim 4.67)
(ซองจดหมายจาก)
id GJMV8N-8BERQW-93
สำหรับ; อังคาร, 6 มีนาคม 2012 19:27:05 +0700

ตรวจสอบขั้นตอนต่อไปเขรอะไพ่บ้านนี้ คุณสามารถเห็นการกระโดดครั้งที่สอง (ที่ได้รับโดยเซิร์ฟเวอร์อีเมลที่ถูกต้อง) แก้ไขเซิร์ฟเวอร์ที่ส่งกลับไปยังโดเมน“ dynamic-pool-xxx.hcm.fpt.vn” โดเมนไม่ใช่“ intuit.com” ด้วยที่อยู่ IP เดียวกัน ระบุไว้ในสคริปต์ PHP.

ได้รับ: จาก dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) โดย ms.externalemail.com พร้อม MailEnable ESMTP; อังคาร, 6 มีนาคม 2012 07:27:08 -0500

การดูข้อมูลที่อยู่ IP เป็นการยืนยันความสงสัยเมื่อตำแหน่งของเซิร์ฟเวอร์อีเมลกลับไปที่เวียดนาม.

แม้ว่าตัวอย่างนี้จะฉลาดกว่านี้อีกเล็กน้อย แต่คุณสามารถดูว่าการฉ้อโกงถูกเปิดเผยได้เร็วเพียงใดด้วยการสอบสวนเพียงเล็กน้อย.

ข้อสรุป

ในขณะที่การดูส่วนหัวของอีเมลอาจไม่ใช่ส่วนหนึ่งของความต้องการทั่วไปของคุณในแต่ละวัน แต่มีบางกรณีที่ข้อมูลที่อยู่ในนั้นอาจมีค่าทีเดียว ดังที่เราแสดงไว้ด้านบนคุณสามารถระบุผู้ส่งที่ปลอมแปลงได้อย่างง่ายดายว่าเป็นสิ่งที่พวกเขาไม่ใช่ สำหรับการหลอกลวงที่ดำเนินการได้เป็นอย่างดีโดยมีการชี้นำที่น่าเชื่อถือมันเป็นเรื่องยากมาก (ถ้าไม่เป็นไปไม่ได้) ในการปลอมตัวเซิร์ฟเวอร์อีเมลจริงและการตรวจสอบข้อมูลภายในส่วนหัวของอีเมลสามารถเปิดเผยได้อย่างรวดเร็ว.

การเชื่อมโยง

ดาวน์โหลด IPNetInfo จาก Nirsoft