O que você pode encontrar em um cabeçalho de e-mail?

Índice:

O que você pode encontrar em um cabeçalho de e-mail?
O que você pode encontrar em um cabeçalho de e-mail?

Vídeo: O que você pode encontrar em um cabeçalho de e-mail?

Vídeo: O que você pode encontrar em um cabeçalho de e-mail?
Vídeo: 📷 DSLR x MIRRORLESS - Diferenças, Vantagens e Desvantagens - YouTube 2024, Abril
Anonim
Sempre que você recebe um email, há muito mais do que aparenta. Enquanto você normalmente só presta atenção ao endereço de saída, linha de assunto e corpo da mensagem, há muito mais informações disponíveis "sob o capô" de cada e-mail que podem fornecer uma riqueza de informações adicionais.
Sempre que você recebe um email, há muito mais do que aparenta. Enquanto você normalmente só presta atenção ao endereço de saída, linha de assunto e corpo da mensagem, há muito mais informações disponíveis "sob o capô" de cada e-mail que podem fornecer uma riqueza de informações adicionais.

Por que se preocupar com um cabeçalho de e-mail?

Esta é uma pergunta muito boa. Na maioria das vezes, você nunca precisaria, a menos que:

  • Você suspeita que um e-mail é uma tentativa de phishing ou spoof
  • Você deseja visualizar informações de roteamento no caminho do e-mail
  • Você é um geek curioso

Independentemente dos seus motivos, ler cabeçalhos de e-mail é bastante fácil e pode ser muito revelador.

Nota do Artigo: Para as nossas capturas de tela e dados, estaremos usando o Gmail, mas praticamente todos os outros clientes de e-mail devem fornecer essas mesmas informações também.

Visualizando o cabeçalho do email

No Gmail, veja o email. Para este exemplo, usaremos o email abaixo.

Em seguida, clique na seta no canto superior direito e selecione Mostrar original.
Em seguida, clique na seta no canto superior direito e selecione Mostrar original.
A janela resultante terá os dados do cabeçalho do email em texto simples.
A janela resultante terá os dados do cabeçalho do email em texto simples.

Observação: em todos os dados de cabeçalho de e-mail mostrados abaixo, mudei meu endereço do Gmail para mostrar como [email protected] e meu endereço de e-mail externo para mostrar como [email protected] e [email protected] bem como mascarou o endereço IP dos meus servidores de email.

Entregue para: [email protected] Recebido: por 10.60.14.3 com o ID de SMTP l3csp18666oec; Ter, 6 de março de 2012 08:30:51 -0800 (PST) Recebido: por 10.68.125.129 com identificação SMTP mq1mr1963003pbb.21.1331051451044; Ter, 06 mar 2012 08:30:51 -0800 (PST) Caminho de Retorno: Recebido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) por mx.google.com com o ID de SMTP l7si25161491pbd.80.2012.03.06.08.30.49; Ter, 06 mar 2012 08:30:50 -0800 (PST) Recebido-SPF: neutro (google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de adivinhação para o domínio de [email protected]) client-ip = 64.18.2.16; Resultados de autenticação: mx.google.com; spf = neutral (google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) [email protected] Recebido: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) com SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ter, 06 mar 2012 08:30:50 PST Recebido: de MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3]) por MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3% 11]) com mapi; Ter, 6 mar 2012 11:30:48 -0500 De: Jason Faulkner Para: “[email protected] Data: Ter, 6 Mar 2012 11:30:48 -0500 Assunto: Este é um email legítimo Tópico-Tópico: Este é um email legítimo Índice de threads: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q == ID da mensagem: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: Correlator X-MS-TNEF: acceptlanguage: en-US Tipo de Conteúdo: multiparte / alternativa; limite =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” Versão MIME: 1.0

Quando você lê um cabeçalho de email, os dados estão em ordem cronológica inversa, o que significa que as informações na parte superior são o evento mais recente. Por isso, se você quiser rastrear o email do remetente ao destinatário, comece na parte inferior. Examinando os cabeçalhos deste e-mail, podemos ver várias coisas.

Aqui vemos as informações geradas pelo cliente de envio. Nesse caso, o email foi enviado do Outlook, portanto, esses são os metadados adicionados pelo Outlook.

From: Jason Faulkner To: “[email protected] Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

A próxima parte rastreia o caminho que o email leva do servidor de envio para o servidor de destino. Lembre-se de que essas etapas (ou saltos) estão listadas em ordem cronológica inversa. Colocamos o respectivo número ao lado de cada salto para ilustrar o pedido. Observe que cada salto mostra detalhes sobre o endereço IP e o respectivo nome DNS reverso.

Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

Embora isso seja bastante comum para um e-mail legítimo, essa informação pode ser bastante reveladora quando se trata de examinar e-mails de spam ou phishing.

Examinando um e-mail de phishing - exemplo 1

Para nosso primeiro exemplo de phishing, examinaremos um email que é uma tentativa de phishing óbvia. Neste caso, podemos identificar essa mensagem como uma fraude simplesmente pelos indicadores visuais, mas, para a prática, vamos dar uma olhada nos sinais de aviso dentro dos cabeçalhos.

Image
Image

Entregue para: [email protected] Recebido: por 10.60.14.3 com o ID de SMTP l3csp12958oec; Seg, 5 de março de 2012 23:11:29 -0800 (PST) Recebido: por 10.236.46.164 com o ID SMTP r24mr7411623yhb.101.1331017888982; Seg, 05 de março de 2012 23:11:28 -0800 (PST) Caminho de Retorno: Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) por mx.google.com com o ID do ESMTP t19si8451178ani.110.2012.03.05.23.11.28; Seg, 05 de março de 2012 23:11:28 -0800 (PST) Recebido-SPF: falha (google.com: domínio de [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX; Resultados de autenticação: mx.google.com; spf = hardfail (google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected] Recebido: com MailEnable Postoffice Connector; Ter, 6 Mar 2012 02:11:20 -0500 Recebido: de mail.lovingtour.com ([211.166.9.218]) por ms.externalemail.com com MailEnable ESMTP; Ter, 6 Mar 2012 02:11:10 -0500 Recebido: do usuário ([118.142.76.58]) por mail.lovingtour.com; Seg, 5 de março de 2012 21:38:11 +0800 Mensagem-ID: <[email protected]> Responder a: De: “[email protected] Assunto: Notice Data: seg, 5 mar 2012 21:20:57 +0800 Versão MIME: 1.0 Tipo de Conteúdo: multipartido / misto; limite =”-- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″ X-prioridade: 3 Prioridade X-MSMail: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produzido pelo Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesiano: 0,000000

A primeira bandeira vermelha está na área de informações do cliente. Observe aqui os metadados adicionados às referências do Outlook Express. É improvável que a Visa esteja tão atrasada em relação a alguém que envia manualmente e-mails usando um cliente de e-mail de 12 anos.

Reply-To: From: “[email protected] Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

Agora, examinar o primeiro salto no roteamento de e-mail revela que o remetente estava localizado no endereço IP 118.142.76.58 e seu e-mail foi retransmitido pelo servidor de correio mail.lovingtour.com.

Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800

Analisando as informações de IP usando o utilitário IPNetInfo da Nirsoft, podemos ver que o remetente estava localizado em Hong Kong e o servidor de e-mail está localizado na China.

Image
Image
Escusado será dizer que isto é um pouco suspeito.
Escusado será dizer que isto é um pouco suspeito.

O restante dos saltos de e-mail não são realmente relevantes nesse caso, pois mostram o e-mail retornando ao tráfego legítimo do servidor antes de finalmente serem entregues.

Examinando um e-mail de phishing - exemplo 2

Para este exemplo, nosso e-mail de phishing é muito mais convincente. Existem alguns indicadores visuais aqui, se você procurar bastante, mas novamente, para os propósitos deste artigo, vamos limitar nossa investigação aos cabeçalhos de e-mail.

Image
Image

Entregue para: [email protected] Recebido: por 10.60.14.3 com o ID de SMTP l3csp15619oec; Ter, 6 de março de 2012 04:27:20 -0800 (PST) Recebido: por 10.236.170.165 com identificação SMTP p25mr8672800yhl.123.1331036839870; Ter, 06 de março de 2012 04:27:19 -0800 (PST) Caminho de Retorno: Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) por mx.google.com com o ID ESMTP o2si20048188yhn.34.2012.03.06.04.27.19; Ter, 06 de março de 2012 04:27:19 -0800 (PST) Recebido-SPF: falha (google.com: domínio de [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX; Resultados de autenticação: mx.google.com; spf = hardfail (google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected] Recebido: com MailEnable Postoffice Connector; Ter, 6 de março de 2012, 07:27:13 -0500 Recebido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com com o MailEnable ESMTP; Ter, 6 de março de 2012, 07:27:08 -0500 Recebido: do apache por intuit.com com local (Exim 4.67) (envelope-de ) id GJMV8N-8BERQW-93 para ; Ter, 6 de março de 2012, 19:27:05 +0700 Para: Assunto: Sua fatura do Intuit.com. X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212 De: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-prioridade: 1 Versão MIME: 1.0 Tipo de Conteúdo: multiparte / alternativa; limite =”---- 03060500702080404010506 ″ ID da mensagem: Data: Ter, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesiano: 0,000000

Neste exemplo, um aplicativo cliente de email não foi usado, e sim um script PHP com o endereço IP de origem 118.68.152.212.

To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

No entanto, quando olhamos para o primeiro salto de e-mail, parece ser legítimo, pois o nome de domínio do servidor de envio corresponde ao endereço de e-mail. No entanto, tenha cuidado com isso, pois um spammer poderia facilmente nomear seu servidor como “intuit.com”.

Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700

Examinando o próximo passo desmorona este castelo de cartas. Você pode ver o segundo salto (onde é recebido por um servidor de email legítimo) resolve o servidor de envio de volta para o domínio “dynamic-pool-xxx.hcm.fpt.vn”, não “intuit.com” com o mesmo endereço IP indicado no script PHP.

Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Visualizar as informações do endereço IP confirma a suspeita quando a localização do servidor de e-mail é resolvida de volta ao Vietnã.

Embora este exemplo seja um pouco mais inteligente, você pode ver a rapidez com que a fraude é revelada com apenas um pouco de investigação.
Embora este exemplo seja um pouco mais inteligente, você pode ver a rapidez com que a fraude é revelada com apenas um pouco de investigação.

Conclusão

Embora a visualização de cabeçalhos de e-mail provavelmente não faça parte de suas necessidades comuns do dia a dia, há casos em que as informações contidas neles podem ser bastante valiosas. Como mostramos acima, você pode identificar facilmente os remetentes mascarados como algo que não são. Para um esquema muito bem executado, em que dicas visuais são convincentes, é extremamente difícil (senão impossível) personificar servidores de e-mail reais e revisar as informações dentro dos cabeçalhos de e-mail, revelando rapidamente qualquer fraude.

Links

Baixe IPNetInfo da Nirsoft

Recomendado:

Onde você pode encontrar vídeo 4K para sua TV 4K?

Onde você pode encontrar vídeo 4K para sua TV 4K?

Se você gastou o dinheiro extra em uma TV, monitor ou laptop 4K, provavelmente gostaria de ter algo para assistir nele. Infelizmente, vários anos após os primeiros lançamentos terem chegado ao mercado, ainda estamos gravemente carentes de fontes reais para conteúdo de vídeo de ultra-alta definição. As opções são limitadas: a partir do início de 2017, aqui estão os serviços on-line e de TV paga que oferecem conteúdo 4K.

Por que os videogames fazem você se sentir doente (e o que você pode fazer sobre isso)

Por que os videogames fazem você se sentir doente (e o que você pode fazer sobre isso)

Uma parcela significativa da população fica com náusea moderada a grave enquanto joga videogames em primeira pessoa, mas não precisa ser assim. É por isso que esses jogos fazem as pessoas se sentirem mal e o que você pode fazer a respeito.

O que você pode (e não pode) fazer com vários Amazon Echos

O que você pode (e não pode) fazer com vários Amazon Echos

O Amazon Echo é um dispositivo que pode rapidamente se tornar o ponto central de sua configuração de smarthome, mas e se você mora em uma casa maior onde um Eco não o corta? Veja o que você deve saber sobre a inclusão de um segundo ou mesmo terceiro Amazon Eco em sua casa.

Como você e seus vizinhos estão fazendo o Wi-Fi um do outro (e o que você pode fazer sobre isso)

Como você e seus vizinhos estão fazendo o Wi-Fi um do outro (e o que você pode fazer sobre isso)

Redes Wi-Fi interferem umas nas outras. Padrões Wi-Fi mais antigos são ainda piores sobre isso, então seu hardware Wi-Fi antigo não está apenas prejudicando sua rede. Isso também está interferindo em seus vizinhos.

Por que você não pode simplesmente copiar a pasta de um programa para um novo sistema Windows (e quando você pode)

Por que você não pode simplesmente copiar a pasta de um programa para um novo sistema Windows (e quando você pode)

Ao migrar para um novo sistema Windows, depois de comprar um novo computador ou de reinstalar o Windows, você pode ficar tentado a copiar a pasta de um programa para o novo sistema da mesma forma que copiaria seus arquivos. Mas isso normalmente não funciona.