Chaque fois que vous recevez un courriel, il y a beaucoup plus que ce qui vous vient à l'esprit. Alors que vous ne faites généralement attention qu'à l'adresse, à l'objet et au corps du message, il y a beaucoup plus d'informations disponibles "sous le capot" de chaque e-mail qui peut vous fournir une foule d'informations supplémentaires. un en-tête d'email?
Vous pensez qu'un email est une tentative de phishing ou un usurpation d'identité
Note de l'article: Pour nos captures d'écran et nos données, nous utiliserons Gmail mais pratiquement tous les autres clients devraient fournir ces mêmes informations. .
Affichage de l'en-tête de l'e-mail
Puis cliquez sur la flèche dans le coin supérieur droit et sélectionnez Afficher l'original.
La fenêtre résultante aura les données d'en-tête de l'email en texte brut. toutes les données d'en-tête d'e-mail que je montre ci-dessous J'ai changé mon adresse Gmail pour afficher
et mon adresse e-mail externe pour afficher [email protected] et [email protected] ainsi que masqué l'adresse IP de mes serveurs de messagerie Delivered-To: [email protected] Reçu: par 10.60.14.3 avec l'ID SMTP l3csp18666oec;
Mar, 6 Mar 2012 08:30:51 -0800 (PST)
Reçu: par 10.68.125.129 avec l'identifiant SMTP mq1mr1963003pbb.21.1331051451044;
mar., 06 mars 2012 08:30:51 -0800 (PST)
Return-Path:
Reçu: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
par mx.google.com avec l'identifiant SMTP l7si25161491pbd.80.2012.03.06.08.30. 49;
mar. 06 mar 2012 08:30:50 -0800 (PST)
Reçu-SPF: neutre (google.com: 64.18.2.16 est ni autorisé, ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) client-ip = 64.18.2.16;
Authentification-Résultats: mx.google.com; spf = neutre (google.com: 64.18.2.16 n'est ni permis, ni refusé par le meilleur enregistrement de conjectures pour le domaine de [email protected]) [email protected]
Reçue: from mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (en utilisant TLSv1) par exprod7ob119.postini.com ([64.18.6.12]) avec SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Mar, 06 Mar 2012 08:30:50 PST
Reçu: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) par
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) avec mapi; Mar., 6 mars
2012 11:30:48 -0500
De: Jason Faulkner
À: "[email protected]"
Date: mar. 6 mars 2012 11:30:48 - 0500
Sujet: Ceci est un email légitime
Discussion: Ceci est un email légitime
Index de discussion: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Accepter -Langue: en-US
Langue du contenu: en-US <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
X-MS-A-Attache:
X-MS-TNEF-Corrélateur:
acceptlanguage: en-US
Contenu -Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-Version: 1.0
Lorsque vous lisez un en-tête, les données sont dans l'ordre chronologique inverse, ce qui signifie que l'info est la plus événement récent. Donc, si vous voulez tracer l'email de l'expéditeur au destinataire, commencez en bas. En examinant les en-têtes de cet e-mail, nous pouvons voir plusieurs choses.
Nous voyons ici les informations générées par le client expéditeur. Dans ce cas, l'e-mail a été envoyé depuis Outlook, c'est donc les métadonnées ajoutées par Outlook.
De: Jason Faulkner
À: "[email protected]"
Date: mar, 6 mars 2012 11:30 : 48 -0500
Sujet: Ceci est un email légitime
Discussion: Ceci est un email légitime
Index de discussion: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID:
Accept-Language: fr-FR
Content-Language: fr-FR <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
X-MS-Has-Attache:
X-MS-TNEF-Correlateur:
acceptlanguage: fr-FR
Type de contenu: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-Version: 1.0
La partie suivante trace le chemin que l'e-mail emprunte au serveur de destination. Gardez à l'esprit ces étapes (ou sauts) sont répertoriés dans l'ordre chronologique inverse. Nous avons placé le numéro respectif à côté de chaque saut pour illustrer l'ordre. Notez que chaque saut montre des détails sur l'adresse IP et le nom DNS inverse respectif.
Delivered-To: [email protected]
[6]
Reçu: par 10.60.14.3 avec l'identifiant SMTP l3csp18666oec;
Mar. 6 mars 2012 08:30:51 -0800 (PST) [5]
Reçu: par 10.68.125.129 avec l'ID SMTP mq1mr1963003pbb.21.1331051451044;
mar. 06 mar 2012 08:30: 51 -0800 (PST) Retour-Chemin:
[4]
Reçu: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
par mx.google .com avec ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49; mar. 06 mar 2012 08:30:50 -0800 (PST)
[3]
Reçu-SPF: neutre (google. com: 64.18.2.16 n'est ni autorisé, ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) client-ip = 64.18.2.16;
Authentification-Résultats: mx.google.com; spf = neutre (google.com: 64.18.2.16 n'est ni permis, ni refusé par le meilleur enregistrement de conjectures pour le domaine de [email protected]) [email protected] [2]
Reçu: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (en utilisant TLSv1) par exprod7ob119.postini.com ([64.18.6.12]) avec SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Mar, 06 Mar 2012 08:30:50 PST [1]
Reçu: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) par
MYSERVER.myserver. local ([fe80 :: a805: c335: 8c71: cdb3% 11]) avec mapi; Mar, 6 Mar 2012 11:30:48 -0500
Bien que ce soit un peu banal pour un courriel légitime, cette information peut être très révélatrice quand il s'agit d'examiner des courriels de spam ou d'hameçonnage.
Examiner un hameçonnage Email - Exemple 1
Pour notre premier exemple d'hameçonnage, nous allons examiner un e-mail qui est une tentative d'hameçonnage évidente. Dans ce cas, nous pourrions identifier ce message comme une fraude simplement par les indicateurs visuels, mais pour la pratique, nous regarderons les signes avant-coureurs dans les en-têtes.
Reçu: par 10.60.14.3 avec l'ID SMTP l3csp12958oec;
lun., 5 mars 2012 23:11:29 -0800 (PST)
Reçu: par 10.236.46.164 avec l'ID SMTP r24mr7411623yhb.101.1331017888982;
lun., 05 mars 2012 23:11:28 -0800 (PST)
Retour-Chemin:
Reçu: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
par mx .google.com avec ID ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
lun. 05 mar 2012 23:11:28 -0800 (PST)
Reçu-SPF: échec (google.com: domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX en tant qu'expéditeur autorisé) client-ip = XXX.XXX.XXX.XXX;
Authentification-Résultats: mx.google.com; spf = hardfail (google.com: domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) [email protected]
Reçu: avec MailEnable Postoffice Connector; Mar, 6 Mar 2012 02:11:20 -0500
Reçu: de mail.lovingtour.com ([211.166.9.218]) par ms.externalemail.com avec MailEnable ESMTP; Mar, 6 Mar 2012 02:11:10 -0500
Reçu: de Utilisateur ([118.142.76.58])
par mail.lovingtour.com
; Lun., 5 mars 2012 21:38:11 +0800
ID du message:
Répondre à:
De: "[email protected]" <[email protected]>
Sujet: Notice
Date: lun. , 5 mars 2012 21:20:57 +0800
Version MIME: 1.0
Type de contenu: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorité X: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: produit par Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayésien: 0.000000
Le premier drapeau rouge se trouve dans la zone d'information du client Notez ici les références ajoutées aux métadonnées Outlook Express Il est peu probable que Visa soit si loin que quelqu'un envoie manuellement des courriels à un client de messagerie âgé de 12 ans.
Répondre à:
De: "[email protected]"
Sujet: Notice
Date: lun, 5 mars 2012 21:20:57 +0800
MIME-Version: 1.0
Type de contenu: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorité X: 3
X-MSMail-Priority: normal
X-Mailer: Microsoft Outlook Express 6.00 .2600.0000
X-MimeOLE: produit par Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayésien: 0.000000 Maintenant, l'examen du premier saut dans le routage de courrier électronique révèle que l'expéditeur était situé à l'adresse IP 118.142 .76.58 et leur courrier électronique a été relayé via le serveur de messagerie mail.lovingtour.com.
Reçu: de Utilisateur ([118.142.76.58])
par mail.lovingtour.com
; Lun 5 Mar 2012 21 : 38: 11 +0800
En regardant les informations IP à l'aide de l'utilitaire IPNetInfo de Nirsoft, nous pouvons voir que l'expéditeur était situé à Hong Kong et le serveur de messagerie en Chine.
Inutile de dire que c'est un peu suspect.
Le reste des houblons de courrier électronique n'est pas vraiment pertinent dans ce cas Comment l'e-mail rebondit-il autour du trafic légitime du serveur avant d'être finalement livré?
Examen d'un courriel d'hameçonnage - Exemple 2
Pour cet exemple, notre courriel d'hameçonnage est beaucoup plus convaincant. Il y a quelques indicateurs visuels ici si vous regardez assez fort, mais encore une fois pour les besoins de cet article, nous allons limiter notre enquête aux en-têtes d'email.
Reçu: par 10.60.14.3 avec l'ID SMTP l3csp15619oec;
mar. 6 mars 2012 04:27:20 -0800 (PST)
Reçu: par 10.236.170.165 avec l'ID SMTP p25mr8672800yhl.123.1331036839870;
mar., 06 mars 2012 04:27:19 -0800 (PST)
Retour-Chemin:
Reçu: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
par mx .google.com avec ID ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
mar. 06 mar 2012 04:27:19 -0800 (PST)
Reçu-SPF: échouer (google.com: domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) client-ip = XXX.XXX.XXX.XXX;
Authentification-Résultats: mx.google.com; spf = hardfail (google.com: domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX en tant qu'expéditeur autorisé) [email protected]
Reçu: avec MailEnable Postoffice Connector; Mar, 6 Mar 2012 07:27:13 -0500
Reçu: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) par ms.externalemail.com avec MailEnable ESMTP; Mar, 6 Mar 2012 07:27:08 -0500
Reçu: de apache par intuit.com avec local (Exim 4.67)
(envelope-from
)
id GJMV8N-8BERQW-93
; Mar, 6 Mar 2012 19:27:05 +0700
À:
X-PHP-Script: intuit.com/sendmail.php pour 118.68.152.212
De: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
Priorité X: 1
Version MIME: 1.0
Type de contenu : multipart / alternative;
boundary = "- 03060500702080404010506"
Message-Id:
Date: mar, 6 mars 2012 19:27:05 +0700
X-ME-Bayésien: 0.000000
Dans cet exemple, une application client de messagerie n'a pas été utilisée, plutôt un script PHP avec l'adresse IP source de 118.68.152.212.
A:
Objet: votre facture Intuit.com
X-PHP- Script: intuit.com/sendmail.php pour 118.68.152.212
De: "INTUIT INC."
X-Sender: "INTUIT INC." X-Mailer: PHP
Priorité X: 1
Version MIME: 1.0
Type de contenu: multipart / alternative;
boundary = "- 03060500702080404010506"
Message-Id:
Date: mar, 6 mars 2012 19:27: 05 +0700
X-ME-Bayésien: 0.000000
Cependant, lorsque nous regardons le premier e-mail, il appe ars être légitime car le nom de domaine du serveur d'envoi correspond à l'adresse e-mail. Cependant, méfiez-vous car un spammeur pourrait facilement nommer son serveur "intuit.com".
Reçu: de apache par intuit.com avec local (Exim 4.67)
(envelope-from
)
id GJMV8N-8BERQW-93pour
; Mar, 6 Mar 2012 19:27:05 +0700
L'examen de la prochaine étape effondre cette maison de cartes. Vous pouvez voir le second saut (où il est reçu par un serveur de messagerie légitime) résout le serveur d'envoi au domaine "dynamic-pool-xxx.hcm.fpt.vn", pas "intuit.com" avec la même adresse IP indiqué dans le script PHP.Reçu: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) par ms.externalemail.com avec MailEnable ESMTP; Mar, 6 Mar 2012 07:27:08 -0500
L'affichage de l'adresse IP confirme la suspicion lorsque l'emplacement du serveur de messagerie est rétabli au Vietnam.
Bien que cet exemple soit un peu plus intelligent, vous pouvez voir comment
Conclusion
Bien que l'affichage des en-têtes de courriels ne fasse probablement pas partie de vos besoins quotidiens habituels, il y a des cas où les informations qu'ils contiennent peuvent être assez de valeur. Comme nous l'avons montré ci-dessus, vous pouvez facilement identifier les expéditeurs déguisés en quelque chose qu'ils ne sont pas. Pour une escroquerie très bien exécutée où les indices visuels sont convaincants, il est extrêmement difficile (voire impossible) d'usurper l'identité des serveurs de messagerie réels et l'examen des informations contenues dans les en-têtes de courriels peut rapidement révéler toute chicane. Nirsoft
Si vous êtes nouveau avec les réseaux Wi-Fi, Les amis peuvent vous laisser dans une mauvaise situation sans connexion. Alors, comment vous connectez-vous à nouveau? La séance de questions-réponses d'aujourd'hui nous vient de SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de Capture d'écran gracieuseté de gswj (Flickr).
Les sites Web de plusieurs façons vous suivent en ligne
Certaines formes de suivi sont évidentes. Par exemple, les sites Web savent qui vous êtes si vous êtes connecté. Mais comment les réseaux de suivi dressent-ils des profils? votre activité de navigation sur plusieurs sites Web au fil du temps? Le suivi est généralement utilisé par les réseaux publicitaires pour créer des profils détaillés pour le ciblage publicitaire ciblé.