pt.phhsnews.com


pt.phhsnews.com / O que você pode encontrar em um cabeçalho de e-mail?

O que você pode encontrar em um cabeçalho de e-mail?


Sempre que você recebe um e-mail, há muito mais do que pode parecer. Enquanto você normalmente só presta atenção ao endereço de saída, linha de assunto e corpo da mensagem, há muitas outras informações disponíveis "sob o capô" de cada e-mail que podem fornecer uma riqueza de informações adicionais. um cabeçalho de email?

Esta é uma pergunta muito boa. Na maioria das vezes, você nunca precisaria, a menos que:

Você suspeite que um email é uma tentativa de phishing ou um spoof

  • Você quer ver informações de roteamento no caminho do email
  • Você é um geek curioso
  • Independentemente dos seus motivos, ler cabeçalhos de e-mail é realmente muito fácil e pode ser muito revelador

Visualizando o cabeçalho do email

No Gmail, exiba o email. Para este exemplo, usaremos o email abaixo.

Em seguida, clique na seta no canto superior direito e selecione Mostrar original.

A janela resultante terá os dados do cabeçalho do email em texto simples.

Observação: em Todos os dados do cabeçalho de e-mail que mostrei abaixo Mudei meu endereço do Gmail para mostrar como

[email protected]

e meu endereço de e-mail externo para mostrar como [email protected] e [email protected] e também mascarou o endereço IP dos meus servidores de e-mail. Entregue-Para: [email protected] Recebido: por 10.60.14.3 com identificação SMTP l3csp18666oec;

Ter, 6 Mar 2012 08:30:51 -0800 (PST)
Recebido: por 10.68.125.129 com identificação SMTP mq1mr1963003pbb.21.1331051451044;
ter, 06 mar 2012 08:30:51 -0800 (PST)
Return-Path:
Recebido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com com o ID SMTP l7si25161491pbd.80.2012.03.06.08.30. 49;
ter, 06 mar 2012 08:30:50 -0800 (PST)
Recebido-SPF: neutro (google.com: 64.18.2.16 é nem permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com; spf = neutral (google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de adivinhação para o domínio de [email protected]) [email protected]
Recebido: de mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) com SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ter, 06 Mar 2012 08:30:50 PST
Recebido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) com mapi; Ter, 6 de março
2012 11:30:48 -0500
De: Jason Faulkner
Para: “[email protected]
Data: Ter, 6 Mar 2012 11:30:48 - 0500
Assunto: Este é um e-mail legítimo
Tópico-Tópico: Este é um e-mail legítimo
Índice de encadeamento: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID da mensagem:
Aceitar -Language: en-US
Conteúdo-Language: en-US <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
X-MS-Anexa:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Conteúdo -Type: multipart / alternative;
boundary = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Versão: 1.0
Quando você lê um cabeçalho de email, os dados estão em ordem cronológica inversa, o que significa que a informação no topo é a mais evento recente. Por isso, se você quiser rastrear o email do remetente ao destinatário, comece na parte inferior. Examinando os cabeçalhos deste e-mail, podemos ver várias coisas.
Aqui, vemos as informações geradas pelo cliente de envio. Nesse caso, o email foi enviado do Outlook, então este é o metadado que o Outlook adiciona.

De: Jason Faulkner

Para: “[email protected]

Data: Ter, 6 Mar 2012 11:30 : 48 -0500
Assunto: Este é um e-mail legítimo
Tópico-Tópico: Este é um e-mail legítimo
Índice de Threads: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Accept-Language: en-US
Conteúdo-Language: pt-BR <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
X-MS-Attaches:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
boundary = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Versão: 1.0
A próxima parte rastreia o caminho que o email leva do servidor de envio para o servidor de destino. Lembre-se de que essas etapas (ou saltos) estão listadas em ordem cronológica inversa. Colocamos o respectivo número ao lado de cada salto para ilustrar o pedido. Observe que cada salto mostra detalhes sobre o endereço IP e o respectivo nome DNS inverso
Entregue-Para: [email protected]

[6]

Recebido: por 10.60.14.3 com o ID SMTP l3csp18666oec;
Ter, 6 Mar 2012 08:30:51 -0800 (PST) [5]
Recebido: por 10.68.125.129 com identificação SMTP mq1mr1963003pbb.21.1331051451044;
ter, 06 mar 2012 08:30: 51 -0800 (PST) Return-Path:
[4]
Recebido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google .com com id de SMTP l7si25161491pbd.80.2012.03.06.08.30.49; ter, 06 mar 2012 08:30:50 -0800 (PST)
[3]
Recebido-SPF: neutro (google. com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com; spf = neutral (google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) [email protected] [2]
Recebido: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) com SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Ter, 06 Mar 2012 08:30:50 PST [1]
Recebido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por
MYSERVER.myserver. local ([fe80 :: a805: c335: 8c71: cdb3% 11]) com mapi; Tue, 6 mar 2012 11:30:48 -0500
Embora isso seja bastante comum para um e-mail legítimo, essas informações podem ser bastante reveladoras quando se trata de examinar e-mails de spam ou phishing.
Examinando um phishing E-mail - Exemplo 1

Para nosso primeiro exemplo de phishing, examinaremos um e-mail que é uma tentativa óbvia de phishing. Neste caso, podemos identificar esta mensagem como uma fraude simplesmente pelos indicadores visuais, mas para a prática, vamos dar uma olhada nos sinais de aviso dentro dos cabeçalhos.

Entregue-Para: [email protected]

Recebido: por 10.60.14.3 com ID de SMTP l3csp12958oec;

seg, 5 mar 2012 23:11:29 -0800 (PST)
Recebido: por 10.236.46.164 com identificação de SMTP r24mr7411623yhb.101.1331017888982;
seg, 05 mar 2012 23:11:28 -0800 (PST)
Caminho de Retorno:
Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx .google.com com o ID do ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
seg, 05 mar 2012 23:11:28 -0800 (PST)
Recebido-SPF: fail (google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX;
Resultados da autenticação: mx.google.com; spf = hardfail (google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected]
Recebido: com o MailEnable Connector da Agência Postal; Ter, 6 Mar 2012 02:11:20 -0500
Recebido: de mail.lovingtour.com ([211.166.9.218]) por ms.externalemail.com com o MailEnable ESMTP; Ter, 6 Mar 2012 02:11:10 -0500
Recebido: do usuário ([118.142.76.58])
por mail.lovingtour.com
; Seg, 5 mar 2012 21:38:11 +0800
ID da mensagem:
Responder para:
De: “[email protected]” <[email protected]>
Assunto: Aviso
Data: seg , 5 de março de 2012 21:20:57 +0800
MIME-Versão: 1.0
Tipo de Conteúdo: multipart / misto;
limite = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
Prioridade X-MSMail: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produzido pelo Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesiano: 0,000000
A primeira bandeira vermelha está na área de informações do cliente Observe aqui as referências de metadados adicionadas ao Outlook Express É improvável que a Visa esteja tão atrasada que alguém envia um e-mail manualmente usando um cliente de e-mail de 12 anos.
Responder para:

De: “[email protected]

Assunto: Aviso
Data: Seg, 5 mar 2012 21:20:57 +0800
MIME-versão: 1.0
Tipo de conteúdo: multipartido / misto;
limite = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioridade: 3
X-MSMail-Prioridade: Normal
X-Mailer: Microsoft Outlook Express 6.00 .2600.0000
X-MimeOLE: Produzido pelo Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesiano: 0,000000 Agora, examinar o primeiro salto no roteamento de e-mail revela que o remetente estava localizado no endereço IP 118.142 .76.58 e seu email foi retransmitido através do servidor de email mail.lovingtour.com.
Recebido: do Usuário ([118.142.76.58])

por mail.lovingtour.com

; seg, 5 mar 2012 21 : 38: 11 +0800
Observando as informações de IP usando o utilitário IPNetInfo da Nirsoft, podemos ver que o remetente estava localizado em Hong Kong e o servidor de e-mail está localizado na China.
É desnecessário dizer que isso é um pouco suspeito.

O restante do e-mail não é relevante neste caso, já que eles são Como o e-mail retornando o tráfego legítimo do servidor antes de finalmente ser entregue

Examinando um e-mail de phishing - Exemplo 2

Para este exemplo, nosso e-mail de phishing é muito mais convincente. Existem alguns indicadores visuais aqui, se você procurar bastante, mas novamente, para os propósitos deste artigo, vamos limitar nossa investigação aos cabeçalhos de e-mail.

Entregue-Para: [email protected]

Recebido: por 10.60.14.3 com identificação SMTP l3csp15619oec;

ter, 6 mar 2012 04:27:20 -0800 (PST)
Recebido: por 10.236.170.165 com identificação SMTP p25mr8672800yhl.123.1331036839870;
ter, 06 mar 2012 04:27:19 -0800 (PST)
Caminho de Retorno:
Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx .google.com com ID do ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
ter, 06 mar 2012 04:27:19 -0800 (PST)
Recebido-SPF: fail (google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX;
Resultados da autenticação: mx.google.com; spf = hardfail (google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected]
Recebido: com MailEnable Postoffice Connector; Ter, 6 Mar 2012 07:27:13 -0500
Recebido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com com o MailEnable ESMTP; Ter, 6 Mar 2012 07:27:08 -0500
Recebido: do apache por intuit.com com local (Exim 4.67)
(envelope de
)
id GJMV8N-8BERQW-93 para
; Ter, 6 Mar 2012 19:27:05 +0700
Para: Assunto: Sua fatura da Intuit.com.
X-PHP-Script: intu.com/sendmail.php para 118.68.152.212
De: “INTUIT INC.”
X-remetente: “INTUIT INC.”
X-Mailer: PHP
X-prioridade: 1
Versão MIME: 1.0
Tipo de conteúdo : multipart / alternative;
boundary = ”- 03060500702080404010506"
Id da mensagem:
Data: Ter, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesiano: 0,000000
Neste exemplo, um aplicativo cliente de email não foi usado, e sim um script PHP com o endereço IP de origem 118.68.152.212.
Para:

Assunto: Sua fatura do Intuit.com.

X-PHP- Script: intuit.com/sendmail.php para 118.68.152.212
De: “INTUIT INC.”
X-Sender: “INTUIT INC.” X-Mailer: PHP
X-Prioridade: 1
MIME-Version: 1.0
Tipo-de-Conteúdo: multiparte / alternativa;
limite = ”- 03060500702080404010506"
Id da mensagem:
Data: Ter, 6 Mar 2012 19:27: 05 +0700
X-ME-Bayesian: 0.000000
No entanto, quando olhamos para o primeiro e-mail hop appe ars para ser legítimo como nome de domínio do servidor de envio corresponde ao endereço de e-mail. No entanto, tenha cuidado com isso, pois um spammer poderia facilmente nomear seu servidor como “intuit.com”.
Recebido: do apache por intuit.com com local (Exim 4.67)

(envelope de

)
id GJMV8N-8BERQW-93 para
; Ter, 6 Mar 2012 19:27:05 +0700
Examinando o próximo passo desmorona este castelo de cartas. Você pode ver o segundo salto (onde é recebido por um servidor de email legítimo) resolve o servidor de envio de volta para o domínio “dynamic-pool-xxx.hcm.fpt.vn”, não “intuit.com” com o mesmo endereço IP indicado no script PHP. Recebido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com com o MailEnable ESMTP; Ter, 6 Mar 2012 07:27:08 -0500

Visualizar as informações do endereço IP confirma a suspeita de a localização do servidor de correio voltar ao Viet Nam.

Embora este exemplo seja um pouco mais inteligente, você pode ver como rapidamente a fraude é revelada com apenas um pouco de investigação

Conclusão

Embora a visualização de cabeçalhos de e-mail provavelmente não faça parte de suas necessidades comuns do dia a dia, há casos em que as informações contidas neles podem ser bastante valioso. Como mostramos acima, você pode identificar facilmente os remetentes mascarados como algo que não são. Para um esquema muito bem executado, em que sugestões visuais são convincentes, é extremamente difícil (senão impossível) personificar servidores de e-mail reais e revisar as informações dentro dos cabeçalhos de e-mail, revelando rapidamente qualquer fraude.

Links

Download IPNetInfo de Nirsoft


Como definir o calendário padrão para novos compromissos no iOS e OS X

Como definir o calendário padrão para novos compromissos no iOS e OS X

Quando você adiciona um evento ao aplicativo Calendário no iOS e no OS X, ele é salvo em um calendário específico por padrão , que pode não ser o calendário que você usa com mais frequência. No entanto, se você tiver vários calendários, poderá escolher qual desses calendários será usado como padrão. Seus dispositivos iOS e OS X podem ter diferentes conjuntos de calendários e, portanto, cada dispositivo pode ter um calendário padrão diferente conjunto.

(how-to)

Como alterar rapidamente o mecanismo de pesquisa padrão do Safari no OS X

Como alterar rapidamente o mecanismo de pesquisa padrão do Safari no OS X

Você está cansado de acessar as configurações do Safari para alterar o mecanismo de pesquisa padrão? Não cavar mais, há uma maneira muito mais fácil! Se você gosta de usar diferentes mecanismos de busca, ou simplesmente não quer usar o Google, então há uma maneira muito mais rápida de alterá-lo da barra de localização.

(how-to)