โฮมเพจ » ทำอย่างไร » คุณจะพบอะไรในส่วนหัวอีเมล

    คุณจะพบอะไรในส่วนหัวอีเมล

    เมื่อใดก็ตามที่คุณได้รับอีเมลจะมีมากกว่านั้นมากพอสมควร แม้ว่าโดยทั่วไปคุณจะสนใจเพียงแค่จากที่อยู่บรรทัดหัวเรื่องและเนื้อหาของข้อความ แต่ยังมีข้อมูลอีกมากมาย "ภายใต้ประทุน" ของอีเมลแต่ละฉบับซึ่งสามารถให้ข้อมูลเพิ่มเติมมากมายแก่คุณ.

    ทำไมต้องมองหัวอีเมล?

    นี่เป็นคำถามที่ดีมาก ส่วนใหญ่คุณไม่จำเป็นต้องทำเว้นแต่:

    • คุณสงสัยว่าอีเมลนั้นเป็นจดหมายหลอกลวงหรืออีเมลหลอกลวง
    • คุณต้องการดูข้อมูลเส้นทางในเส้นทางของอีเมล
    • คุณเป็นคนที่มีความอยากรู้อยากเห็น

    ไม่ว่าจะด้วยเหตุผลใดก็ตามการอ่านส่วนหัวของอีเมลนั้นง่ายมากและสามารถเปิดเผยได้อย่างชัดเจน.

    บทความหมายเหตุ: สำหรับภาพหน้าจอและข้อมูลของเราเราจะใช้ Gmail แต่ไคลเอนต์อีเมลอื่นทุกรายควรให้ข้อมูลเดียวกันนี้เช่นกัน.

    การดูส่วนหัวอีเมล

    ใน Gmail ดูอีเมล สำหรับตัวอย่างนี้เราจะใช้อีเมลด้านล่าง.

    จากนั้นคลิกลูกศรที่มุมบนขวาและเลือกแสดงต้นฉบับ.

    หน้าต่างผลลัพธ์จะมีข้อมูลส่วนหัวของอีเมลเป็นข้อความล้วน.

    หมายเหตุ: ในข้อมูลส่วนหัวของอีเมลทั้งหมดที่ฉันแสดงด้านล่างฉันได้เปลี่ยนที่อยู่ Gmail ของฉันเพื่อแสดงเป็น [email protected] และที่อยู่อีเมลภายนอกของฉันเพื่อแสดงเป็น [email protected] และ [email protected] รวมทั้งปิดบังที่อยู่ IP ของเซิร์ฟเวอร์อีเมลของฉัน.

    ส่งถึงแล้ว: [email protected]
    ได้รับแล้ว: โดย 10.60.14.3 ด้วย SMTP id l3csp18666oec;
    อังคาร, 6 มีนาคม, 2012 08:30 น. -0800 น. (PST)
    ได้รับแล้ว: ภายใน 10.68.125.129 ด้วย SMTP id mq1mr1963003pbb.21.1331051451044;
    วันอังคารที่ 06 มีนาคม 2012 เวลา 08:30 น. -0800 น. (PST)
    กลับเส้นทาง:
    ได้รับ: จาก exprod7og119.obsmtp.com (exprod7og119.obsmtp.com [64.18.2.16])
    โดย mx.google.com ด้วย SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
    อังคาร, 06 มีนาคม 2012 08:30:50 น. -0800 (PST)
    ได้รับ - SPF: เป็นกลาง (google.com: 64.18.2.16 ไม่อนุญาตหรือปฏิเสธโดยบันทึกที่ดีที่สุดสำหรับโดเมนของ [email protected]) client-ip = 64.18.2.16;
    ผลการตรวจสอบสิทธิ์: mx.google.com spf = neutral (google.com: 64.18.2.16 ไม่อนุญาตหรือปฏิเสธโดยบันทึกที่ดีที่สุดสำหรับโดเมนของ [email protected]) [email protected]
    ได้รับ: จาก mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ใช้ TLSv1) โดย exprod7ob119.postini.com ([64.18.6.12]) ด้วย SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; อังคาร, 06 มีนาคม 2012 08:30:50 น
    ได้รับ: จาก MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) โดย
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) ด้วย mapi; อ., 6 มี.ค.
    2012 11:30:48 น. -0500
    จาก: Jason Faulkner
    ถึง:“ [email protected]
    วันที่: อังคาร, 6 มีนาคม 2012 11:30:48 น. -0500
    เรื่อง: นี่คืออีเมลที่ถูกต้อง
    หัวข้อ - กระทู้: นี่คืออีเมลที่ถูกต้อง
    ดัชนีหัวข้อ: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID ข้อความ:
    ยอมรับภาษา: en-US
    เนื้อหาภาษา: en-US
    X-MS-มี-แนบ:
    X-MS-TNEF-Correlator:
    ยอมรับภาษา: en-US
    เนื้อหาประเภท: หลายส่วน / ทางเลือก;
    ขอบเขต =” _ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-Version: 1.0

    เมื่อคุณอ่านส่วนหัวของอีเมลข้อมูลจะเรียงตามลำดับเวลาย้อนหลังซึ่งหมายถึงข้อมูลที่อยู่ด้านบนเป็นเหตุการณ์ล่าสุด ถ้าคุณต้องการติดตามอีเมลจากผู้ส่งถึงผู้รับให้เริ่มที่ด้านล่าง ตรวจสอบส่วนหัวของอีเมลนี้เราสามารถเห็นหลายสิ่ง.

    ที่นี่เราเห็นข้อมูลที่สร้างโดยไคลเอนต์ที่ส่ง ในกรณีนี้อีเมลถูกส่งจาก Outlook ดังนั้นนี่คือข้อมูลเมตาของ Outlook ที่เพิ่มเข้ามา.

    จาก: Jason Faulkner
    ถึง:“ [email protected]
    วันที่: อังคาร, 6 มีนาคม 2012 11:30:48 น. -0500
    เรื่อง: นี่คืออีเมลที่ถูกต้อง
    หัวข้อ - กระทู้: นี่คืออีเมลที่ถูกต้อง
    ดัชนีหัวข้อ: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID ข้อความ:
    ยอมรับภาษา: en-US
    เนื้อหาภาษา: en-US
    X-MS-มี-แนบ:
    X-MS-TNEF-Correlator:
    ยอมรับภาษา: en-US
    เนื้อหาประเภท: หลายส่วน / ทางเลือก;
    ขอบเขต =” _ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME-Version: 1.0

    ส่วนถัดไปจะติดตามเส้นทางที่อีเมลใช้จากเซิร์ฟเวอร์ที่ส่งไปยังเซิร์ฟเวอร์ปลายทาง โปรดทราบว่าขั้นตอนเหล่านี้ (หรือฮ็อพ) อยู่ในลำดับตามลำดับย้อนหลัง เราได้วางหมายเลขตามลำดับถัดจากการกระโดดแต่ละครั้งเพื่อแสดงคำสั่ง โปรดทราบว่าการกระโดดแต่ละครั้งจะแสดงรายละเอียดเกี่ยวกับที่อยู่ IP และชื่อ DNS ย้อนกลับที่เกี่ยวข้อง.

    ส่งถึงแล้ว: [email protected]
    [6] ได้รับแล้ว: โดย 10.60.14.3 ด้วย SMTP id l3csp18666oec;
    อังคาร, 6 มีนาคม, 2012 08:30 น. -0800 น. (PST)
    [5] ได้รับแล้ว: ภายใน 10.68.125.129 ด้วย SMTP id mq1mr1963003pbb.21.1331051451044;
    วันอังคารที่ 06 มีนาคม 2012 เวลา 08:30 น. -0800 น. (PST)
    กลับเส้นทาง:
    [4] ได้รับ: จาก exprod7og119.obsmtp.com (exprod7og119.obsmtp.com [64.18.2.16])
    โดย mx.google.com ด้วย SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
    อังคาร, 06 มีนาคม 2012 08:30:50 น. -0800 (PST)
    [3] ได้รับ - SPF: เป็นกลาง (google.com: 64.18.2.16 ไม่อนุญาตหรือปฏิเสธโดยบันทึกที่ดีที่สุดสำหรับโดเมนของ [email protected]) client-ip = 64.18.2.16;
    ผลการตรวจสอบสิทธิ์: mx.google.com spf = neutral (google.com: 64.18.2.16 ไม่อนุญาตหรือปฏิเสธโดยบันทึกที่ดีที่สุดสำหรับโดเมนของ [email protected]) [email protected]
    [2] ได้รับ: จาก mail.externalemail.com ([XXX.XXX.XXX.XXX]) (ใช้ TLSv1) โดย exprod7ob119.postini.com ([64.18.6.12]) ด้วย SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; อังคาร, 06 มีนาคม 2012 08:30:50 น
    [1] ได้รับ: จาก MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) โดย
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) ด้วย mapi; อ., 6 มี.ค.
    2012 11:30:48 น. -0500

    แม้ว่านี่จะเป็นเรื่องธรรมดาสำหรับอีเมลที่ถูกกฎหมาย แต่ข้อมูลนี้สามารถบอกได้ค่อนข้างดีเมื่อมาถึงการตรวจสอบสแปมหรืออีเมลฟิชชิ่ง.

    ตรวจสอบอีเมลฟิชชิง - ตัวอย่างที่ 1

    สำหรับตัวอย่างฟิชชิ่งแรกของเราเราจะตรวจสอบอีเมลที่มีความพยายามฟิชชิงที่ชัดเจน ในกรณีนี้เราสามารถระบุข้อความนี้ว่าเป็นการฉ้อโกงโดยตัวชี้วัดทางสายตา แต่สำหรับการปฏิบัติเราจะดูที่สัญญาณเตือนภายในส่วนหัว.

    ส่งถึงแล้ว: [email protected]
    ได้รับแล้ว: โดย 10.60.14.3 ด้วย SMTP id l3csp12958oec;
    วันจันทร์ที่ 5 มีนาคม 2012 เวลา 23:11:29 น. -0800 (PST)
    ได้รับ: โดย 10.236.46.164 ด้วย SMTP id r24mr7411623yhb.101.1331017888982;
    จ., 05 มี.ค. 2555 23:11:28 น. -0800 (PST)
    กลับเส้นทาง:
    ได้รับ: จาก ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])
    โดย mx.google.com ด้วยรหัส ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
    จ., 05 มี.ค. 2555 23:11:28 น. -0800 (PST)
    ได้รับ -SPF: ล้มเหลว (google.com: โดเมนของ [email protected] ไม่ได้กำหนด XXX.XXX.XXX.XXX ให้เป็นผู้ส่งที่อนุญาต) client-ip = XXX.XXX.XXX.XXX;
    ผลการตรวจสอบสิทธิ์: mx.google.com spf = hardfail (google.com: โดเมนของ [email protected] ไม่ได้กำหนด XXX.XXX.XXX.XXX ให้เป็นผู้ส่งที่ได้รับอนุญาต) [email protected]
    ได้รับแล้ว: ด้วยตัวเชื่อมต่อ MailEnable Postoffice; อังคาร, 6 มีนาคม 2012 02:11:20 -0500
    ได้รับ: จาก mail.lovingtour.com ([211.166.9.218]) โดย ms.externalemail.com พร้อม MailEnable ESMTP; อังคาร, 6 มีนาคม 2012 02:11:10 -0500
    ได้รับ: จากผู้ใช้ ([118.142.76.58])
    โดย mail.lovingtour.com
    ; วันจันทร์ที่ 5 มีนาคม 2012 เวลา 21:38:11 +0800
    ID ข้อความ:
    ตอบกลับ:
    จาก:“ [email protected]
    เรื่อง: ประกาศ
    วันที่: จันทร์, 5 มีนาคม 2012 21:20:57 +0800
    MIME-Version: 1.0
    เนื้อหาประเภท: หลายส่วน / ผสม;
    ขอบเขต =” - = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    ลำดับความสำคัญ X: 3
    X-MSMail- ลำดับความสำคัญ: ปกติ
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: ผลิตโดย Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    ธงสีแดงแรกอยู่ในพื้นที่ข้อมูลลูกค้า โปรดสังเกตที่นี่ข้อมูลเมตาเพิ่มการอ้างอิง Outlook Express ไม่น่าเป็นไปได้ที่วีซ่าจะล้าหลังกว่าที่พวกเขามีใครบางคนส่งอีเมลด้วยตนเองโดยใช้ไคลเอนต์อีเมลอายุ 12 ปี.

    ตอบกลับ:
    จาก:“ [email protected]
    เรื่อง: ประกาศ
    วันที่: จันทร์, 5 มีนาคม 2012 21:20:57 +0800
    MIME-Version: 1.0
    เนื้อหาประเภท: หลายส่วน / ผสม;
    ขอบเขต =” - = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    ลำดับความสำคัญ X: 3
    X-MSMail- ลำดับความสำคัญ: ปกติ
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: ผลิตโดย Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    ขณะนี้การตรวจสอบการกระโดดครั้งแรกในการกำหนดเส้นทางอีเมลพบว่าผู้ส่งตั้งอยู่ที่ที่อยู่ IP 118.142.76.58 และอีเมลของพวกเขาถูกส่งผ่านเซิร์ฟเวอร์อีเมล mail.lovingtour.com.

    ได้รับ: จากผู้ใช้ ([118.142.76.58])
    โดย mail.lovingtour.com
    ; วันจันทร์ที่ 5 มีนาคม 2012 เวลา 21:38:11 +0800

    ค้นหาข้อมูล IP โดยใช้ยูทิลิตี้ IPNetInfo ของ Nirsoft เราสามารถเห็นผู้ส่งตั้งอยู่ในฮ่องกงและเมลเซิร์ฟเวอร์ตั้งอยู่ในจีน.

    ไม่จำเป็นต้องพูดแบบนี้มันน่าสงสัยนิดหน่อย.

    ส่วนที่เหลือของฮ็อพอีเมลไม่เกี่ยวข้องกันในกรณีนี้เนื่องจากพวกเขาแสดงอีเมลที่เด้งไปมารอบ ๆ ทราฟฟิกเซิร์ฟเวอร์ที่ถูกกฎหมายก่อนที่จะถูกส่งมอบ.

    ตรวจสอบอีเมลฟิชชิง - ตัวอย่างที่ 2

    ตัวอย่างนี้อีเมลฟิชชิงของเราน่าเชื่อถือมากยิ่งขึ้น มีตัวบ่งชี้ที่มองเห็นไม่กี่ที่นี่ถ้าคุณดูหนักพอ แต่อีกครั้งเพื่อจุดประสงค์ของบทความนี้เราจะ จำกัด การสอบสวนของเราไว้ที่ส่วนหัวของอีเมล.

    ส่งถึงแล้ว: [email protected]
    ได้รับแล้ว: โดย 10.60.14.3 ด้วย SMTP id l3csp15619oec;
    อังคาร, 6 มีนาคม 2012 04:27:20 -0800 (PST)
    ได้รับ: ภายใน 10.236.170.165 ด้วย SMTP id p25mr8672800yhl.123.1331036839870;
    อังคาร, 06 มีนาคม 2012 04:27:19 -0800 (PST)
    กลับเส้นทาง:
    ได้รับ: จาก ms.externalemail.com (ms.externalemail.com [XXX.XXX.XXX.XXX])
    โดย mx.google.com ด้วยรหัส ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
    อังคาร, 06 มีนาคม 2012 04:27:19 -0800 (PST)
    ได้รับ -SPF: ล้มเหลว (google.com: โดเมนของ [email protected] ไม่ได้กำหนด XXX.XXX.XXX.XXX ให้เป็นผู้ส่งที่อนุญาต) client-ip = XXX.XXX.XXX.XXXXXXX
    ผลการตรวจสอบสิทธิ์: mx.google.com spf = hardfail (google.com: โดเมนของ [email protected] ไม่ได้กำหนด XXX.XXX.XXX.XXX ให้เป็นผู้ส่งที่ได้รับอนุญาต) [email protected]
    ได้รับแล้ว: ด้วยตัวเชื่อมต่อ MailEnable Postoffice; อังคาร, 6 มีนาคม 2012 07:27:13 -0500
    ได้รับ: จาก dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) โดย ms.externalemail.com พร้อม MailEnable ESMTP; อังคาร, 6 มีนาคม 2012 07:27:08 -0500
    ได้รับ: จาก apache โดย intuit.com พร้อม local (Exim 4.67)
    (ซองจดหมายจาก)
    id GJMV8N-8BERQW-93
    สำหรับ; อังคาร, 6 มีนาคม 2012 19:27:05 +0700
    ไปที่:
    เรื่อง: ใบแจ้งหนี้ Intuit.com ของคุณ.
    X-PHP-Script: intuit.com/sendmail.php สำหรับ 118.68.152.212
    จาก:“ INTUIT INC.”
    X-Sender:“ INTUIT INC.”
    X-Mailer: PHP
    ลำดับความสำคัญ X: 1
    MIME-Version: 1.0
    เนื้อหาประเภท: หลายส่วน / ทางเลือก;
    = เขตแดน” - 03060500702080404010506"
    ID ข้อความ:
    วันที่: อังคาร, 6 มีนาคม 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    ในตัวอย่างนี้ไม่ได้ใช้แอปพลิเคชันไคลเอนต์อีเมล แต่เป็นสคริปต์ PHP ที่มีที่อยู่ IP ต้นทางที่ 118.68.152.212.

    ไปที่:
    เรื่อง: ใบแจ้งหนี้ Intuit.com ของคุณ.
    X-PHP-Script: intuit.com/sendmail.php สำหรับ 118.68.152.212
    จาก:“ INTUIT INC.”
    X-Sender:“ INTUIT INC.”
    X-Mailer: PHP
    ลำดับความสำคัญ X: 1
    MIME-Version: 1.0
    เนื้อหาประเภท: หลายส่วน / ทางเลือก;
    = เขตแดน” - 03060500702080404010506"
    ID ข้อความ:
    วันที่: อังคาร, 6 มีนาคม 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    อย่างไรก็ตามเมื่อเราดูที่การกระโดดอีเมลครั้งแรกดูเหมือนว่าจะถูกต้องเนื่องจากชื่อโดเมนของเซิร์ฟเวอร์ที่ส่งตรงกับที่อยู่อีเมล อย่างไรก็ตามระวังสิ่งนี้เนื่องจากผู้ส่งสแปมสามารถตั้งชื่อเซิร์ฟเวอร์“ intuit.com” ได้อย่างง่ายดาย.

    ได้รับ: จาก apache โดย intuit.com พร้อม local (Exim 4.67)
    (ซองจดหมายจาก)
    id GJMV8N-8BERQW-93
    สำหรับ; อังคาร, 6 มีนาคม 2012 19:27:05 +0700

    ตรวจสอบขั้นตอนต่อไปเขรอะไพ่บ้านนี้ คุณสามารถเห็นการกระโดดครั้งที่สอง (ที่ได้รับโดยเซิร์ฟเวอร์อีเมลที่ถูกต้อง) แก้ไขเซิร์ฟเวอร์ที่ส่งกลับไปยังโดเมน“ dynamic-pool-xxx.hcm.fpt.vn” โดเมนไม่ใช่“ intuit.com” ด้วยที่อยู่ IP เดียวกัน ระบุไว้ในสคริปต์ PHP.

    ได้รับ: จาก dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) โดย ms.externalemail.com พร้อม MailEnable ESMTP; อังคาร, 6 มีนาคม 2012 07:27:08 -0500

    การดูข้อมูลที่อยู่ IP เป็นการยืนยันความสงสัยเมื่อตำแหน่งของเซิร์ฟเวอร์อีเมลกลับไปที่เวียดนาม.

    แม้ว่าตัวอย่างนี้จะฉลาดกว่านี้อีกเล็กน้อย แต่คุณสามารถดูว่าการฉ้อโกงถูกเปิดเผยได้เร็วเพียงใดด้วยการสอบสวนเพียงเล็กน้อย.

    ข้อสรุป

    ในขณะที่การดูส่วนหัวของอีเมลอาจไม่ใช่ส่วนหนึ่งของความต้องการทั่วไปของคุณในแต่ละวัน แต่มีบางกรณีที่ข้อมูลที่อยู่ในนั้นอาจมีค่าทีเดียว ดังที่เราแสดงไว้ด้านบนคุณสามารถระบุผู้ส่งที่ปลอมแปลงได้อย่างง่ายดายว่าเป็นสิ่งที่พวกเขาไม่ใช่ สำหรับการหลอกลวงที่ดำเนินการได้เป็นอย่างดีโดยมีการชี้นำที่น่าเชื่อถือมันเป็นเรื่องยากมาก (ถ้าไม่เป็นไปไม่ได้) ในการปลอมตัวเซิร์ฟเวอร์อีเมลจริงและการตรวจสอบข้อมูลภายในส่วนหัวของอีเมลสามารถเปิดเผยได้อย่างรวดเร็ว.

    การเชื่อมโยง

    ดาวน์โหลด IPNetInfo จาก Nirsoft