Apa yang Dapat Anda Temukan di Header Email?

Daftar Isi:

Apa yang Dapat Anda Temukan di Header Email?
Apa yang Dapat Anda Temukan di Header Email?

Video: Apa yang Dapat Anda Temukan di Header Email?

Video: Apa yang Dapat Anda Temukan di Header Email?
Video: Cara Setting Kamera Iphone Biar Jernih - YouTube 2024, Maret
Anonim
Setiap kali Anda menerima email, ada lebih banyak dari yang terlihat. Meskipun Anda biasanya hanya memperhatikan alamat, baris subjek dan isi pesan, ada banyak informasi yang tersedia "di bawah kap" setiap email yang dapat memberi Anda banyak informasi tambahan.
Setiap kali Anda menerima email, ada lebih banyak dari yang terlihat. Meskipun Anda biasanya hanya memperhatikan alamat, baris subjek dan isi pesan, ada banyak informasi yang tersedia "di bawah kap" setiap email yang dapat memberi Anda banyak informasi tambahan.

Mengapa Bother Melihat ke Header Email?

Ini pertanyaan yang sangat bagus. Untuk sebagian besar, Anda benar-benar tidak perlu kecuali:

  • Anda menduga email adalah upaya phishing atau spoof
  • Anda ingin melihat informasi routing pada jalur email
  • Anda adalah seorang geek penasaran

Terlepas dari alasan Anda, membaca header email sebenarnya cukup mudah dan bisa sangat mengungkap.

Catatan Artikel: Untuk screenshot dan data kami, kami akan menggunakan Gmail tetapi hampir setiap klien email lain harus memberikan informasi yang sama ini juga.

Melihat Header Email

Di Gmail, lihat email. Untuk contoh ini, kami akan menggunakan email di bawah ini.

Kemudian klik tanda panah di sudut kanan atas dan pilih Tampilkan asli.
Kemudian klik tanda panah di sudut kanan atas dan pilih Tampilkan asli.
Jendela yang dihasilkan akan memiliki data header email dalam teks biasa.
Jendela yang dihasilkan akan memiliki data header email dalam teks biasa.

Catatan: Dalam semua data header email yang saya tampilkan di bawah ini, saya telah mengubah alamat Gmail saya untuk ditampilkan sebagai [email protected] dan alamat email eksternal saya untuk ditampilkan sebagai [email protected] dan [email protected] serta menutupi alamat IP dari server email saya.

Terkirim-ke: [email protected] Diterima: oleh 10.60.14.3 dengan SMTP id l3csp18666oec; Selasa, 6 Mar 2012 08:30:51 -0800 (PST) Diterima: oleh 10.68.125.129 dengan SMTP id mq1mr1963003pbb.21.1331051451044; Selasa, 06 Mar 2012 08:30:51 -0800 (PST) Jalur-Kembali: Diterima: dari exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) oleh mx.google.com dengan SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Selasa, 06 Mar 2012 08:30:50 -0800 (PST) Received-SPF: neutral (google.com: 64.18.2.16 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain dari [email protected]) client-ip = 64.18.2.16; Hasil Otentikasi: mx.google.com; spf = netral (google.com: 64.18.2.16 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain dari [email protected]) [email protected] Diterima: dari mail.externalemail.com ([XXX.XXX.XXX.XXX]) (menggunakan TLSv1) oleh exprod7ob119.postini.com ([64.18.6.12]) dengan SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Selasa, 06 Mar 2012 08:30:50 PST Diterima: dari MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3]) oleh MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3% 11]) dengan mapi; Sel, 6 Maret 2012 11:30:48 -0500 Dari: Jason Faulkner Kepada: “[email protected] Tanggal: Sel, 6 Mar 2012 11:30:48 -0500 Subjek: Ini adalah email resmi Topik-Thread: Ini adalah email resmi Indeks-Benang: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q == ID Pesan: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart / alternatif; boundary =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” Versi MIME: 1.0

Ketika Anda membaca sebuah header email, data dalam urutan kronologis terbalik, yang berarti info di bagian atas adalah peristiwa terbaru. Maka jika Anda ingin melacak email dari pengirim ke penerima, mulailah di bagian bawah. Memeriksa header email ini kita dapat melihat beberapa hal.

Di sini kita melihat informasi yang dihasilkan oleh klien pengirim. Dalam hal ini, email dikirim dari Outlook jadi ini adalah penambahan Outlook metadata.

From: Jason Faulkner To: “[email protected] Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

Bagian selanjutnya menelusuri jalur yang diambil surel dari server pengiriman ke server tujuan. Perlu diingat langkah-langkah ini (atau hop) tercantum dalam urutan kronologis terbalik. Kami telah menempatkan nomor masing-masing di samping setiap lompatan untuk mengilustrasikan pesanan. Perhatikan bahwa setiap hop menunjukkan detail tentang alamat IP dan nama DNS balik masing-masing.

Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

Meskipun ini adalah hal yang biasa untuk email yang sah, informasi ini bisa sangat jelas ketika datang untuk memeriksa email spam atau phishing.

Memeriksa Email Phishing - Contoh 1

Untuk contoh phishing pertama kami, kami akan memeriksa email yang merupakan upaya phishing yang jelas. Dalam hal ini kita dapat mengidentifikasi pesan ini sebagai penipuan hanya dengan indikator visual tetapi untuk latihan kita akan melihat tanda-tanda peringatan di dalam header.

Image
Image

Terkirim-ke: [email protected] Diterima: oleh 10.60.14.3 dengan SMTP id l3csp12958oec; Sen, 5 Mar 2012 23:11:29 -0800 (PST) Diterima: oleh 10.236.46.164 dengan SMTP id r24mr7411623yhb.101.1331017888982; Senin, 05 Maret 2012 23:11:28 -0800 (PST) Jalur-Kembali: Diterima: dari ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) oleh mx.google.com dengan ESMTP id t19si8451178ani.110.2012.03.05.23.11.28; Senin, 05 Maret 2012 23:11:28 -0800 (PST) Received-SPF: fail (google.com: domain [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) client-ip = XXX.XXX.XXX.XXX; Hasil Otentikasi: mx.google.com; spf = hardfail (google.com: domain [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) [email protected] Diterima: dengan Konektor Postoffice MailEnable; Selasa, 6 Mar 2012 02:11:20 -0500 Diterima: dari mail.lovingtour.com ([211.166.9.218]) oleh ms.externalemail.com dengan MailEnable ESMTP; Selasa, 6 Mar 2012 02:11:10 -0500 Diterima: dari Pengguna ([118.142.76.58]) melalui mail.lovingtour.com; Sen, 5 Mar 2012 21:38:11 +0800 ID Pesan: <[email protected]> Membalas ke: Dari: “[email protected] Subjek: Pemberitahuan Tanggal: Sen, 5 Mar 2012 21:20:57 +0800 Versi MIME: 1.0 Content-Type: multipart / campuran; boundary =”-- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″ X-Prioritas: 3 X-MSMail-Prioritas: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Diproduksi Oleh Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0,000000

Bendera merah pertama ada di area informasi klien. Perhatikan di sini metadata menambahkan referensi Outlook Express. Tidaklah mungkin bahwa Visa berada jauh di belakang waktu ketika mereka memiliki seseorang yang mengirim email secara manual menggunakan klien email berusia 12 tahun.

Reply-To: From: “[email protected] Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

Sekarang memeriksa hop pertama dalam perutean email mengungkapkan bahwa pengirim berada di alamat IP 118.142.76.58 dan email mereka disampaikan melalui mail server mail.lovingtour.com.

Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800

Mencari informasi IP menggunakan utilitas IPNetInfo Nirsoft, kita dapat melihat pengirimnya berlokasi di Hong Kong dan server email berada di China.

Image
Image
Tak perlu dikatakan ini sedikit mencurigakan.
Tak perlu dikatakan ini sedikit mencurigakan.

Sisa dari hop email tidak benar-benar relevan dalam kasus ini karena mereka menunjukkan email terpental di sekitar lalu lintas server yang sah sebelum akhirnya dikirimkan.

Memeriksa Email Phishing - Contoh 2

Untuk contoh ini, email phishing kami jauh lebih meyakinkan. Ada beberapa indikator visual di sini jika Anda melihat cukup keras, tetapi sekali lagi untuk keperluan artikel ini kita akan membatasi penyelidikan kami ke header email.

Image
Image

Terkirim-ke: [email protected] Diterima: oleh 10.60.14.3 dengan SMTP id l3csp15619oec; Selasa, 6 Mar 2012 04:27:20 -0800 (PST) Diterima: oleh 10.236.170.165 dengan SMTP id p25mr8672800yhl.123.1331036839870; Selasa, 06 Mar 2012 04:27:19 -0800 (PST) Jalur-Kembali: Diterima: dari ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) oleh mx.google.com dengan ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19; Selasa, 06 Mar 2012 04:27:19 -0800 (PST) Received-SPF: fail (google.com: domain dari [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) client-ip = XXX.XXX.XXX.XXX; Hasil Otentikasi: mx.google.com; spf = hardfail (google.com: domain [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) [email protected] Diterima: dengan Konektor Postoffice MailEnable; Selasa, 6 Mar 2012 07:27:13 -0500 Diterima: dari dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) oleh ms.externalemail.com dengan ESMTP MailEnable; Sel, 6 Mar 2012 07:27:08 -0500 Diterima: dari apache oleh intuit.com dengan lokal (Exim 4.67) (amplop-dari ) id GJMV8N-8BERQW-93 untuk ; Sel, 6 Mar 2012 19:27:05 +0700 Untuk: Subjek: faktur Intuit.com Anda. X-PHP-Script: intuit.com/sendmail.php untuk 118.68.152.212 Dari: “INTUIT INC.” X-Pengirim: “INTUIT INC.” X-Mailer: PHP X-Prioritas: 1 Versi MIME: 1.0 Content-Type: multipart / alternatif; boundary =”---- 03060500702080404010506 ″ Id-Pesan: Tanggal: Sel, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0,000000

Dalam contoh ini, aplikasi klien email tidak digunakan, melainkan skrip PHP dengan alamat IP sumber 118.68.152.212.

To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

Namun, ketika kami melihat email pertama hop tampaknya sah karena nama domain server pengirim cocok dengan alamat email. Namun, berhati-hatilah dengan hal ini karena spammer dapat dengan mudah menamai server mereka “intuit.com”.

Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700

Memeriksa langkah berikutnya akan menghancurkan rumah kartu ini. Anda dapat melihat hop kedua (di mana ia diterima oleh server email yang sah) menyelesaikan server pengiriman kembali ke domain "dynamic-pool-xxx.hcm.fpt.vn", bukan "intuit.com" dengan alamat IP yang sama ditunjukkan dalam skrip PHP.

Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Melihat informasi alamat IP mengkonfirmasi kecurigaan saat lokasi server email kembali ke Viet Nam.

Meskipun contoh ini sedikit lebih pintar, Anda dapat melihat seberapa cepat penipuan terungkap dengan hanya sedikit investigasi.
Meskipun contoh ini sedikit lebih pintar, Anda dapat melihat seberapa cepat penipuan terungkap dengan hanya sedikit investigasi.

Kesimpulan

Saat melihat tajuk email mungkin bukan bagian dari kebutuhan sehari-hari Anda yang khas, ada beberapa kasus di mana informasi yang terkandung di dalamnya dapat sangat berharga. Seperti yang kami tunjukkan di atas, Anda dapat dengan mudah mengidentifikasi pengirim yang menyamar sebagai sesuatu yang tidak. Untuk scam yang dieksekusi dengan sangat baik di mana isyarat visual meyakinkan, sangat sulit (jika tidak mustahil) untuk meniru server surat yang sebenarnya dan meninjau informasi di dalam header email dapat dengan cepat mengungkapkan ketidakjujuran apa pun.

Tautan

Unduh IPNetInfo dari Nirsoft

Direkomendasikan: