Wat vind je in een e-mailheader?
Wanneer u een e-mail ontvangt, is er veel meer aan de hand dan u kunt zien. Hoewel u meestal alleen let op het adres van en naar de onderwerpregel en hoofdtekst van het bericht, is er veel meer informatie beschikbaar "onder de motorkap" van elke e-mail die u een schat aan aanvullende informatie kan bieden..
Waarom zou u moeite doen om naar een e-mailheader te kijken??
Dit is een heel goede vraag. Voor het grootste deel zou je dat echt nooit hoeven doen, tenzij:
- U vermoedt dat een e-mail een phishing-poging is of een spoof
- U wilt routeringsinformatie bekijken op het pad van de e-mail
- Je bent een nieuwsgierige nerd
Ongeacht je redenen, het lezen van e-mailheaders is eigenlijk vrij eenvoudig en kan heel onthullend zijn.
Artikel Opmerking: voor onze schermafbeeldingen en gegevens gebruiken we Gmail, maar vrijwel elke andere e-mailclient moet dezelfde informatie ook verstrekken.
De e-mailheader bekijken
Bekijk de e-mail in Gmail. Voor dit voorbeeld gebruiken we de onderstaande e-mail.
Klik vervolgens op de pijl in de rechterbovenhoek en selecteer Origineel tonen.
In het resulterende venster worden de e-mailheadergegevens in platte tekst weergegeven.
Opmerking: in alle e-mailheadergegevens die ik hieronder laat zien, heb ik mijn Gmail-adres gewijzigd zodat dit wordt weergegeven [email protected] en mijn externe e-mailadres om te laten zien als [email protected] en [email protected] evenals gemaskeerd het IP-adres van mijn e-mailservers.
Bezorgd: [email protected]
Ontvangen: door 10.60.14.3 met SMTP id l3csp18666oec;
Di, 6 maart 2012 08:30:51 -0800 (PST)
Ontvangen: door 10.68.125.129 met SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Terugweg:
Ontvangen: van exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
door mx.google.com met SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Di, 06 Mar 2012 08:30:50 -0800 (PST)
Received-SPF: neutraal (google.com: 64.18.2.16 is niet toegestaan of geweigerd door de beste gokrecord voor domein van [email protected]) client-ip = 64.18.2.16;
Verificatie-resultaten: mx.google.com; spf = neutraal (google.com: 64.18.2.16 is niet toegestaan of geweigerd door de beste schatting van het domein van [email protected]) [email protected]
Ontvangen: van mail.externalemail.com ([XXX.XXX.XXX.XXX]) (met behulp van TLSv1) van exprod7ob119.postini.com ([64.18.6.12]) met SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
Ontvangen: van MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) door
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) met mapi; Di, 6 maart
2012 11:30:48 -0500
Van: Jason Faulkner
Aan: "[email protected]"
Datum: di, 6 maart 2012 11:30:48 -0500
Onderwerp: dit is een legitieme e-mail
Thread-Topic: dit is een legitieme e-mail
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Accept-Taal: nl-NL
Inhoud-Taal: en-US
X-MS-Has-Attach:
X-MS-TNEF-correlator:
acceptlanguage: en-US
Inhoudstype: multipart / alternatief;
begrenzing =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versie: 1.0
Wanneer u een e-mailheader leest, zijn de gegevens in omgekeerde chronologische volgorde, wat betekent dat de informatie bovenaan de meest recente gebeurtenis is. Als u de e-mail van afzender naar ontvanger wilt traceren, begint u onderaan. Bij het bekijken van de kopteksten van deze e-mail kunnen we verschillende dingen zien.
Hier zien we informatie die is gegenereerd door de verzendende client. In dit geval is de e-mail verzonden vanuit Outlook, dus dit is de metagegevens die Outlook toevoegt.
Van: Jason Faulkner
Aan: "[email protected]"
Datum: di, 6 maart 2012 11:30:48 -0500
Onderwerp: dit is een legitieme e-mail
Thread-Topic: dit is een legitieme e-mail
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Accept-Taal: nl-NL
Inhoud-Taal: en-US
X-MS-Has-Attach:
X-MS-TNEF-correlator:
acceptlanguage: en-US
Inhoudstype: multipart / alternatief;
begrenzing =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-versie: 1.0
Het volgende deel traceert het pad dat de e-mail van de verzendende server naar de doelserver gaat. Houd er rekening mee dat deze stappen (of hops) in omgekeerde chronologische volgorde worden weergegeven. We hebben het respectieve nummer naast elke hop geplaatst om de bestelling te illustreren. Merk op dat elke hop details toont over het IP-adres en de respectievelijke omgekeerde DNS-naam.
Bezorgd: [email protected]
[6] Ontvangen: door 10.60.14.3 met SMTP id l3csp18666oec;
Di, 6 maart 2012 08:30:51 -0800 (PST)
[5] Ontvangen: door 10.68.125.129 met SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Terugweg:
[4] Ontvangen: van exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
door mx.google.com met SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Di, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutraal (google.com: 64.18.2.16 is niet toegestaan of geweigerd door de beste gokrecord voor domein van [email protected]) client-ip = 64.18.2.16;
Verificatie-resultaten: mx.google.com; spf = neutraal (google.com: 64.18.2.16 is niet toegestaan of geweigerd door de beste schatting van het domein van [email protected]) [email protected]
[2] Ontvangen: van mail.externalemail.com ([XXX.XXX.XXX.XXX]) (met behulp van TLSv1) van exprod7ob119.postini.com ([64.18.6.12]) met SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST
[1] Ontvangen: van MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) door
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) met mapi; Di, 6 maart
2012 11:30:48 -0500
Hoewel dit vrij alledaags is voor een legitieme e-mail, kan deze informatie behoorlijk veelzeggend zijn als het gaat om het onderzoeken van spam of phishing-e-mails.
Een phishing-e-mail onderzoeken - voorbeeld 1
Voor ons eerste phishing-voorbeeld zullen we een e-mail bekijken die een voor de hand liggende phishing-poging is. In dit geval zouden we deze boodschap kunnen identificeren als een fraude eenvoudigweg door de visuele indicatoren, maar voor de praktijk zullen we een kijkje nemen naar de waarschuwingssignalen binnen de koppen.
Bezorgd: [email protected]
Ontvangen: door 10.60.14.3 met SMTP id l3csp12958oec;
Ma, 5 mrt 2012 23:11:29 -0800 (PST)
Ontvangen: door 10.236.46.164 met SMTP id r24mr7411623yhb.101.1331017888982;
Ma, 05 Mar 2012 23:11:28 -0800 (PST)
Terugweg:
Ontvangen: van ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
door mx.google.com met ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Ma, 05 Mar 2012 23:11:28 -0800 (PST)
Received-SPF: fail (google.com: domein van [email protected] wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) client-ip = XXX.XXX.XXX.XXX;
Verificatie-resultaten: mx.google.com; spf = hardfail (google.com: domein van [email protected] wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) [email protected]
Ontvangen: met MailEnable Postoffice Connector; Di, 6 maart 2012 02:11:20 -0500
Ontvangen: van mail.lovingtour.com ([211.166.9.218]) door ms.externalemail.com met MailEnable ESMTP; Di, 6 maart 2012 02:11:10 -0500
Ontvangen: van gebruiker ([118.142.76.58])
door mail.lovingtour.com
; Ma, 5 maart 2012 21:38:11 +0800
Message-ID:
Antwoord aan:
Van: "[email protected]"
Onderwerp: Kennisgeving
Datum: ma, 5 maart 2012 21:20:57 +0800
MIME-versie: 1.0
Inhoudstype: multipart / gemengd;
grens =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioriteit: 3
X-MSMail-Priority: Normaal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Geproduceerd door Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesiaans: 0,000000
De eerste rode vlag bevindt zich in het clientinformatiegebied. Merk hier op dat de toegevoegde metadata verwijst naar Outlook Express. Het is onwaarschijnlijk dat Visa zo ver achterloopt op het moment dat iemand iemand handmatig e-mails stuurt met een 12-jarige e-mailclient.
Antwoord aan:
Van: "[email protected]"
Onderwerp: Kennisgeving
Datum: ma, 5 maart 2012 21:20:57 +0800
MIME-versie: 1.0
Inhoudstype: multipart / gemengd;
grens =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioriteit: 3
X-MSMail-Priority: Normaal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Geproduceerd door Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesiaans: 0,000000
Nu de eerste hop in de e-mailroutering wordt onderzocht, blijkt dat de afzender zich op IP-adres 118.142.76.58 bevond en dat hun e-mail werd doorgestuurd via de mailserver mail.lovingtour.com.
Ontvangen: van gebruiker ([118.142.76.58])
door mail.lovingtour.com
; Ma, 5 maart 2012 21:38:11 +0800
Als u de IP-informatie opzoekt met het IPNetInfo-hulpprogramma van Nirsoft, kunnen we zien dat de afzender zich in Hong Kong bevond en de e-mailserver zich in China bevindt.
Onnodig te zeggen dat dit een beetje achterdochtig is.
De rest van de e-mailhops zijn in dit geval niet echt relevant, omdat ze laten zien dat e-mail botst rond legitiem serververkeer voordat ze uiteindelijk worden afgeleverd.
Een phishing-e-mail onderzoeken - voorbeeld 2
Voor dit voorbeeld is onze phishing-e-mail veel overtuigender. Er zijn een paar visuele indicatoren hier als u hard genoeg kijkt, maar nogmaals voor de doeleinden van dit artikel gaan we ons onderzoek beperken tot e-mailheaders.
Bezorgd: [email protected]
Ontvangen: door 10.60.14.3 met SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Ontvangen: door 10.236.170.165 met SMTP-id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Terugweg:
Ontvangen: van ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
door mx.google.com met ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Received-SPF: fail (google.com: domein van [email protected] wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) client-ip = XXX.XXX.XXX.XXX;
Verificatie-resultaten: mx.google.com; spf = hardfail (google.com: domein van [email protected] wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) [email protected]
Ontvangen: met MailEnable Postoffice Connector; Di, 6 maart 2012 07:27:13 -0500
Ontvangen: van dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) door ms.externalemail.com met MailEnable ESMTP; Di, 6 maart 2012 07:27:08 -0500
Ontvangen: van apache door intuit.com met lokaal (Exim 4.67)
(envelop-van)
id GJMV8N-8BERQW-93
voor ; Di, 6 maart 2012 19:27:05 +0700
Naar:
Onderwerp: uw Intuit.com-factuur.
X-PHP-Script: intuit.com/sendmail.php voor 118.68.152.212
Van: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-prioriteit: 1
MIME-versie: 1.0
Inhoudstype: multipart / alternatief;
grens =”- 03060500702080404010506"
Message-Id:
Datum: di, 6 maart 2012 19:27:05 +0700
X-ME-Bayesiaans: 0,000000
In dit voorbeeld is een e-mailclienttoepassing niet gebruikt, in plaats daarvan een PHP-script met het bron-IP-adres van 118.68.152.212.
Naar:
Onderwerp: uw Intuit.com-factuur.
X-PHP-Script: intuit.com/sendmail.php voor 118.68.152.212
Van: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-prioriteit: 1
MIME-versie: 1.0
Inhoudstype: multipart / alternatief;
grens =”- 03060500702080404010506"
Message-Id:
Datum: di, 6 maart 2012 19:27:05 +0700
X-ME-Bayesiaans: 0,000000
Als we echter naar de eerste e-mailhoppen kijken, lijkt dit legitiem omdat de domeinnaam van de verzendende server overeenkomt met het e-mailadres. Wees echter op uw hoede, want een spammer kan eenvoudig de server "intuit.com" noemen.
Ontvangen: van apache door intuit.com met lokaal (Exim 4.67)
(envelop-van)
id GJMV8N-8BERQW-93
voor ; Di, 6 maart 2012 19:27:05 +0700
Het onderzoeken van de volgende stap verbrokkelt dit kaartenhuis. Je ziet dat de tweede hop (waar deze wordt ontvangen door een legitieme e-mailserver) de verzendende server terugbrengt naar het domein "dynamic-pool-xxx.hcm.fpt.vn", niet "intuit.com" met hetzelfde IP-adres aangegeven in het PHP-script.
Ontvangen: van dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) door ms.externalemail.com met MailEnable ESMTP; Di, 6 maart 2012 07:27:08 -0500
Door de IP-adresinformatie te bekijken, wordt het vermoeden bevestigd dat de locatie van de mailserver terugvalt naar Viet Nam.
Hoewel dit voorbeeld een beetje slimmer is, kun je zien hoe snel de fraude wordt onthuld met slechts een klein beetje onderzoek.
Conclusie
Hoewel het bekijken van e-mailheaders waarschijnlijk geen deel uitmaakt van uw dagelijkse dagelijkse behoeften, zijn er gevallen waarin de informatie die erin staat behoorlijk waardevol kan zijn. Zoals we hierboven hebben laten zien, kun je gemakkelijk afzenders identificeren die zich voordoen als iets wat ze niet zijn. Voor een zeer goed uitgevoerde oplichterij waarbij visuele aanwijzingen overtuigend zijn, is het uiterst moeilijk (zo niet onmogelijk) om zich voor te doen als echte mailservers en het bekijken van de informatie in e-mailheaders kan snel alle chicanes onthullen.
Links
Download IPNetInfo van Nirsoft