Når du modtager en e-mail, er der meget mere end det, der opfylder øjet. Mens du typisk kun er opmærksom på adressen, emnelinjen og emnet i meddelelsen, er der meget mere information tilgængelig "under emnet" af hver e-mail, som kan give dig et væld af yderligere oplysninger.

Hvorfor gider ser på en Email Header?

Dette er et meget godt spørgsmål. For det meste vil du virkelig aldrig have brug for, medmindre:

• Du har mistanke om, at en e-mail er et phishing-forsøg eller spoof.
• Du vil se rutefyldningsoplysninger på e-mailens vej
• Du er en nysgerrig geek

Uanset dine grunde er læsning af e-mail-overskrifter faktisk ret nemt og kan være meget afslørende.

Artikel Note: For vores skærmbilleder og data bruger vi Gmail, men stort set alle andre postklienter skal også give samme information .

Visning af e-mail-overskriften

I Gmail skal du se e-mailen. I dette eksempel bruger vi e-mailen nedenfor.

Klik derefter på pilen i øverste højre hjørne og vælg Vis original.

Det resulterende vindue vil have e-mail header data i almindelig tekst.

Bemærk: I alle e-mail header data jeg viser nedenfor Jeg har ændret min Gmail-adresse for at vise som [email protected] og min eksterne e-mail-adresse skal vises som [email protected] og [email protected] samt maskeret IP-adresserne på mine e-mail-servere.

Leveret til: [email protected]
Modtaget: ved 10.60.14.3 med SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Modtaget: ved 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Returvej:
Modtaget: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
af mx.google.com med SMTP id l7si25161491pbd.80.2012.03.06.08.30. 49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Modtaget-SPF: Neutral (google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected]) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com; spf = neutral (google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess record for domæne af [email protected]) [email protected]
Modtaget: fra mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (ved hjælp af TLSv1) af exprod7ob119.postini.com ([64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
Modtaget: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) af
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tue, 6 Mar
2012 11:30:48 -0500
Fra: Jason Faulkner
Til: "[email protected]"
Dato: Tue, 6 Mar 2012 11:30:48 - 0500
Emne: Dette er en legit e-mail
Emne: Dette er en legit email
Trådindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelelses-id: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept -Sprog: En-US
Indholdssprog: En-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Accept Language: En-US
Indhold -Type: multipart / alternativ;
grænse = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-Version: 1.0

Når du læser en e-mail header, er dataene i omvendt kronologisk rækkefølge, hvilket betyder at informationen øverst er den mest seneste begivenhed. Derfor, hvis du vil spore e-mailen fra afsender til modtager, skal du starte i bunden. Ved at undersøge overskrifterne i denne email kan vi se flere ting.

Her ses informationer fra den afsendende klient. I dette tilfælde blev e-mailen sendt fra Outlook, så dette er metadata Outlook tilføjer.

Fra: Jason Faulkner
Til: "[email protected]"
Dato: Tue, 6 Mar 2012 11:30 : 48 -0500
Emne: Dette er en legitim e-mail
Tråd-emne: Dette er en legit email
Trådindeks: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelelses-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
X-MS-TNEF-Correlator:
Accept-sprog: En-US
Indholdssprog: En-US
X-MS-Has-Attach:
Indholdstype: multipart / alternativ;
grænse = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-Version: 1.0
Den næste del sporer den vej, e-mailen tager fra afsendelsesserveren til destinationsserveren. Husk på, at disse trin (eller humle) er angivet i omvendt kronologisk rækkefølge. Vi har placeret det respektive nummer ved siden af ​​hvert hop for at illustrere ordren. Bemærk, at hvert hop viser detaljer om IP-adressen og det respektive omvendte DNS-navn.

Leveret til: [email protected]

[6]
Modtaget: ved 10.60.14.3 med SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5]
Modtaget: ved 10.68.125.129 med SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30: 51 -0800 (PST)
Returvej:
[4]
Modtaget: fra exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) af mx.google .com med SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3]
Modtaget-SPF: neutralt (google. com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected]) client-ip = 64.18.2.16; Authentication-Results: mx.google.com; spf = neutral (google.com: 64.18.2.16 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected]) [email protected]
[2]
Modtaget: fra mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ved hjælp af TLSv1) af exprod7ob119.postini.com ([64.18.6.12]) med SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Tue, 06 Mar 2012 08:30:50 PST
[1]
Modtaget: fra MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) af MYSERVER.myserver. lokal ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tue, 6 Mar
2012 11:30:48 -0500
Mens dette er ret almindeligt for en legitim email, kan disse oplysninger ret fortælle, når det kommer til at undersøge spam- eller phishing-e-mails.

Undersøg en phishing Email - Eksempel 1

For vores første phishing-eksempel undersøger vi en e-mail, som er et oplagt phishing-forsøg. I dette tilfælde kunne vi identificere denne meddelelse som svindel blot ved hjælp af de visuelle indikatorer, men i praksis vil vi se på advarselsskiltene i overskrifterne.

Leveret til: [email protected]

Modtaget: af 10.60.14.3 med SMTP id l3csp12958oec;
ma, 5 mar 2012 23:11:29 -0800 (PST)
Modtaget: ved 10.236.46.164 med SMTP id r24mr7411623yhb.101.1331017888982;
ma, 05 mar 2012 23:11:28 -0800 (PST)
Returvej:
Modtaget: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
af mx .google.com med ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
ma, 05 mar 2012 23:11:28 -0800 (PST)
Modtaget-SPF: fail (google.com: domæne af [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) client-ip = XXX.XXX.XXX.XXX;
Godkendelsesresultater: mx.google.com; spf = hardfail (google.com: domænet for [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) [email protected]
Modtaget: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
Modtaget: fra mail.lovingtour.com ([211.166.9.218]) af ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
Modtaget: fra bruger ([118.142.76.58])
ved mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
Besked-ID:
Svar til: <[email protected]>
Fra: "[email protected]"
Emne: Meddelelse
Dato: Mand , 5 mar 2012 21:20:57 +0800
MIME-Version: 1.0
Indholdstype: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produceret af Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Det første røde flag er i klientinformationsområdet. Bemærk her, at metadata tilføjede referencer til Outlook Express. Det er usandsynligt, at Visa er så langt bag de gange, at de har nogen manuelt at sende e-mails ved hjælp af en 12-årig e-mail-klient.

Svar til:

Fra: "[email protected]"
Emne: Meddelelse
Dato: ma, 5 mar 2012 21:20:57 +0800
MIME-Version: 1.0
Indholdstype: multipart / blandet;
grænse = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6,00 .2600.0000
X-MimeOLE: Produceret af Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Nu undersøger det første hop i e-mail routing afslører, at afsenderen var placeret på IP-adresse 118.142 .76.58, og deres email blev videresendt via mail-serveren mail.lovingtour.com.

Modtaget: fra bruger ([118.142.76.58])

ved mail.lovingtour.com
; ma, 5 mar 2012 21 : 38: 11 +0800
Se efter IP-informationen ved hjælp af Nirsoft's IPNetInfo-værktøj. Vi kan se afsenderen i Hong Kong, og mailserveren er placeret i Kina.

Det er overflødigt at sige, at dette er lidt mistænksomt.

Resten af ​​e-mail-humle er ikke særlig relevante i dette tilfælde, som de er hvordan e-mailen hopper rundt om legitim servertrafik, inden den endelig bliver leveret.

Undersøg en phishing-mail - eksempel 2

I dette eksempel er vores phishing-email meget mere overbevisende. Der er et par visuelle indikatorer her, hvis du ser hårdt ud, men igen med henblik på denne artikel vil vi begrænse vores undersøgelse til e-mail overskrifter.

Leveret til: [email protected]

Modtaget: af 10.60.14.3 med SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Modtaget: ved 10.236.170.165 med SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Returvej:
Modtaget: fra ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
af mx .google.com med ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Modtaget-SPF: fail (google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) client-ip = XXX.XXX.XXX.XXX;
Autentificeringsresultater: mx.google.com; spf = hardfail (google.com: domain of [email protected] angiver ikke XXX.XXX.XXX.XXX som tilladt afsender) [email protected]
Modtaget: med MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
Modtaget: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) af ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Modtaget: fra apache af intuit.com med lokale (Exim 4.67)
(konvolut-fra
) id GJMV8N-8BERQW-93
til
; Tue, 6 Mar 2012 19:27:05 +0700 Til:
Emne: Din Intuit.com-faktura.
X-PHP-Script: intuit.com/sendmail.php til 118.68.152.212
Fra: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-Version: 1.0
Indholdstype : multipart / alternativ;
grænse = "- 03060500702080404010506"
Meddelelses-id:
Dato: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
I dette eksempel blev der ikke brugt en mailklientprogram, snarere et PHP-script med kilde-IP-adressen på 118.68.152.212.

Til:

Emne: Din Intuit.com-faktura.
X-PHP- Script: intuit.com/sendmail.php for 118.68.152.212
Fra: "INTUIT INC." X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-Version: 1.0
Indholdstype: multipart / alternativ;
grænse = "- 03060500702080404010506"
Meddelelses-id:
Dato: Tue, 6 Mar 2012 19:27: 05 +0700
X-ME-Bayesian: 0.000000
Men når vi kigger på den første email hop det appe ars at være legitim, da afsendelsesserverens domænenavn matcher e-mail-adressen. Men vær forsigtig med dette, da en spammer nemt kunne navngive deres server "intuit.com".

Modtaget: fra apache ved intuit.com med lokale (Exim 4.67)

(konvolut-fra
) id GJMV8N-8BERQW-93
til
; Tue, 6 Mar 2012 19:27:05 +0700 Undersøgelse af det næste trin smuldrer dette korthus. Du kan se det andet hop (hvor det er modtaget af en legitim email server) løser afsendelsesserveren tilbage til domænet "dynamic-pool-xxx.hcm.fpt.vn", ikke "intuit.com" med samme IP-adresse angivet i PHP scriptet.

Modtaget: fra dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) af ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Visning af IP-adressens information bekræfter mistanken, da mailserverens placering løser tilbage til Viet Nam.

Mens dette eksempel er lidt mere klogt, kan du se hvordan hurtigt afsløres bedrageriet med kun en lille smule undersøgelse.

Konklusion

Mens du læser e-mail-overskrifter sandsynligvis ikke er en del af dine typiske daglige behov, er der tilfælde, hvor oplysningerne i dem kan være ret værdifuld. Som vi viste ovenfor, kan du let identificere afsendere masquerading som noget de ikke er. For en meget godt udført fidus, hvor visuelle signaler er overbevisende, er det ekstremt svært (hvis ikke umuligt) at efterligne de faktiske postservere og gennemse oplysningerne inden for e-mail-overskrifter, kan hurtigt afsløre ethvert chicanery.

Links

Download IPNetInfo fra Nirsoft

Thumbnail Previews vises ikke i Windows 8/10 Explorer?

Jeg installerede Windows 8 på mit hjemme-skrivebord et par uger tilbage og har indtil videre ikke haft nogen problemer. Men en ulige ting, jeg bemærkede, var at når jeg ville se en mappe, der indeholdt billeder eller videoer, ville jeg bare se standardikonet for den pågældende filtype snarere end et miniaturebillede af filerne. Det

(How-to)

Sådan overfører du filer fra en Android-enhed til din Mac

Hvis du bruger en Mac næsten udelukkende, men du stadig er en Android-holdout, kan du styre enhedens opbevaring ved hjælp af en praktisk, gratis app kaldet Android File Transfer. I modsætning til Windows kan du ikke bare tilslutte din Android-enhed til din Mac og få adgang til dens filsystem. For at gøre det har du brug for en særlig applikation.

(how-to)