Telkens wanneer u een e-mail ontvangt, is er meer dan alleen op het eerste gezicht te zien. Hoewel u meestal alleen let op het adres van en naar de onderwerpregel en hoofdtekst van het bericht, is er veel meer informatie beschikbaar "onder de motorkap" van elke e-mail die u een schat aan extra informatie kan bieden.

Waarom zou u moeite doen om naar te kijken een e-mailheader?

Dit is een zeer goede vraag. Voor het grootste deel zou je dit echt nooit hoeven doen, tenzij:

• je vermoedt dat een e-mail een phishing-poging is of een spoof
• je wilt routeringsinformatie bekijken op het pad van de e-mail
• je bent een nieuwsgierige geek

Ongeacht uw redenen, het lezen van e-mailheaders is eigenlijk vrij eenvoudig en kan zeer onthullend zijn.

Artikel Opmerking: voor onze screenshots en gegevens zullen we Gmail gebruiken, maar vrijwel elke andere e-mailclient moet dezelfde informatie ook verstrekken .

De e-mailkop bekijken

Bekijk de e-mail in Gmail. In dit voorbeeld gebruiken we de onderstaande e-mail.

Klik vervolgens op de pijl in de rechterbovenhoek en selecteer Origineel weergeven.

In het resulterende venster worden de e-mailheadergegevens in platte tekst weergegeven.

Opmerking: in alle e-mailheadergegevens die ik hieronder laat zien Ik heb mijn Gmail-adres gewijzigd om te laten zien als myemail@gmail.com en mijn externe e-mailadres dat wordt weergegeven als jfaulkner@externalemail.com en jason@myemail.com evenals het IP-adres van mijn e-mailservers gemaskeerd.

Bezorgd: mijnemail@gmail.com
ontvangen: door 10.60.14.3 met SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Ontvangen: door 10.68.125.129 met SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Retourpad:
ontvangen: van exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
door mx.google.com met SMTP id l7si25161491pbd.80.2012.03.06.08.30. 49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Received-SPF: neutraal (google.com: 64.18.2.16 is niet toegestaan ​​of ontkend door best guess record voor domein van jfaulkner@externalemail.com) client-ip = 64.18.2.16;
Verificatie-resultaten: mx.google.com; spf = neutraal (google.com: 64.18.2.16 is niet toegestaan ​​of ontkend door best guess record voor domein van jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
Ontvangen: van mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (met TLSv1) door exprod7ob119.postini.com ([64.18.6.12]) met SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Tue, 06 Mar 2012 08:30:50 PST
Ontvangen: van MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) door
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) met mapi; Tue, 6 Mar
2012 11:30:48 -0500
Van: Jason Faulkner
Aan: "myemail@gmail.com"
Datum: di, 6 maart 2012 11:30:48 - 0500
Onderwerp: dit is een legitiem e-mailadres
Discussie-onderwerp: dit is een legitieme e-mail
Discussie-index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Bericht-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accepteren -Taal: en-US
Inhoud-Taal: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptatietaal: nl-NL
Inhoud -Type: multipart / alternatief;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-Versie: 1.0

Wanneer u een e-mailheader leest, zijn de gegevens in omgekeerde chronologische volgorde, wat betekent dat de info bovenaan de meest voorkomende is recente gebeurtenis. Als u de e-mail van afzender naar ontvanger wilt traceren, begint u onderaan. Bij het bekijken van de kopteksten van deze e-mail kunnen we verschillende dingen zien.

Hier zien we informatie die is gegenereerd door de verzendende klant. In dit geval is de e-mail verzonden vanuit Outlook, dus dit is de metagegevens die Outlook toevoegt.

Van: Jason Faulkner
Aan: "myemail@gmail.com"
Datum: di, 6 maart 2012 11:30 : 48 -0500
Onderwerp: dit is een legitiem e-mailadres
Discussieonderwerp: dit is een legitieme e-mail
Discussie-index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Bericht-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Taal: nl-NL
Inhoud-Taal: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptatietaal: nl-NL
Inhoudstype: multipart / alternatief;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-Versie: 1.0

Het volgende deel volgt het pad dat de e-mail van de verzendende server naar de doelserver doorloopt. Houd er rekening mee dat deze stappen (of hops) in omgekeerde chronologische volgorde worden weergegeven. We hebben het respectieve nummer naast elke hop geplaatst om de bestelling te illustreren. Elke hop bevat details over het IP-adres en de respectievelijke omgekeerde DNS-naam.

Bezorgd: mijnemail@gmail.com
[6] ontvangen: door 10.60.14.3 met SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Ontvangen: door 10.68.125.129 met SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30: 51 -0800 (PST)
Retourpad:
[4] ontvangen: van exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
door mx.google .com met SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
din, 06 maart 2012 08:30:50 -0800 (PST)
[3] Ontvangen-SPF: neutraal (google. com: 64.18.2.16 is niet toegestaan ​​of ontkend door best guess record voor domein van jfaulkner@externalemail.com) client-ip = 64.18.2.16;
Verificatie-resultaten: mx.google.com; spf = neutraal (google.com: 64.18.2.16 is niet toegestaan ​​of geweigerd door de beste schatting van het domein van jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
[2] ontvangen: van mail.externalemail.com ([XXX.XXX.XXX.XXX]) (met TLSv1) door exprod7ob119.postini.com ([64.18.6.12]) met SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com ; Tue, 06 Mar 2012 08:30:50 PST
[1] Ontvangen: van MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) door
MYSERVER.myserver. local ([fe80 :: a805: c335: 8c71: cdb3% 11]) met mapi; Tue, 6 Mar
2012 11:30:48 -0500

Hoewel dit vrij alledaags is voor een legitieme e-mail, kan deze informatie behoorlijk veelzeggend zijn als het gaat om het onderzoeken van spam of phishing-e-mails.

Een phishing-onderzoek E-mail - Voorbeeld 1

Voor ons eerste phishing-voorbeeld zullen we een e-mail onderzoeken die een voor de hand liggende phishing-poging is. In dit geval zouden we deze boodschap kunnen identificeren als een fraude eenvoudigweg door de visuele indicatoren, maar voor de praktijk zullen we de waarschuwingssignalen binnen de koppen bekijken.

Delivered-To: myemail@gmail.com
ontvangen: door 10.60.14.3 met SMTP id l3csp12958oec;
Ma, 5 Mar 2012 23:11:29 -0800 (PST)
Ontvangen: door 10.236.46.164 met SMTP id r24mr7411623yhb.101.1331017888982;
Maa, 05 Mar 2012 23:11:28 -0800 (PST)
Return-pad:
ontvangen: van ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
door mx .google.com met ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
ma, 05 maart 2012 23:11:28 -0800 (PST)
Received-SPF: fail (google.com: domein van securityalert@verifybyvisa.com wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) client-ip = XXX.XXX.XXX.XXX;
Verificatie-resultaten: mx.google.com; spf = hardfail (google.com: domein van securityalert@verifybyvisa.com wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) smtp.mail=securityalert@verifybyvisa.com
Ontvangen: met MailEnable Postoffice Connector; Din, 6 mrt 2012 02:11:20 -0500
ontvangen: van mail.lovingtour.com ([211.166.9.218]) door ms.externalemail.com met MailEnable ESMTP; Din, 6 mrt 2012 02:11:10 -0500
ontvangen: van gebruiker ([118.142.76.58])
door mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
Bericht-ID: <6DCB4366-3518-4C6C-B66A-F541F32A4C4C@mail.lovingtour.com>
Antwoord:
Van: "securityalert@verifybyvisa.com"
Onderwerp: Kennisgeving
Datum: ma , 5 mrt 2012 21:20:57 +0800
MIME-Versie: 1.0
Inhoudstype: meervoudige / gemengde;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioriteit: 3
X-MSMail-Prioriteit: Normaal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Geproduceerd door Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

De eerste rode vlag bevindt zich in het klantinformatiegebied Merk op dat de toegevoegde metadata refereert aan Outlook Express Het is onwaarschijnlijk dat Visa zo ver achterloopt op het moment dat iemand iemand handmatig e-mails verstuurt met een 12-jarige e-mailclient.

Beantwoorden aan:
Van: "securityalert@verifybyvisa.com"
Onderwerp: kennisgeving
Datum: ma, 5 maart 2012 21:20:57 +0800
MIME-versie: 1.0
Inhoudstype: multipart / gemengd;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioriteit: 3
X-MSMail-Prioriteit: Normaal
X-Mailer: Microsoft Outlook Express 6.00 .2600.0000 X-MimeOLE: Geproduceerd door Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Nu onderzoek van de eerste hop in de e-mailroutering laat zien dat de afzender zich bevond op IP-adres 118.142 .76.58 en hun e-mail werd doorgestuurd via de mailserver mail.lovingtour.com.

Ontvangen: van gebruiker ([118.142.76.58])
door mail.lovingtour.com
; ma, 5 maart 2012 21 : 38: 11 +0800

Als we de IP-informatie opzoeken met behulp van het IPNetInfo-hulpprogramma van Nirsoft, zien we dat de afzender zich in Hong Kong bevond en de e-mailserver zich in China bevindt. Onnodig te zeggen dat dit een beetje achterdochtig is.

De rest van de e-mailhops zijn in dit geval niet echt relevant, omdat ze hoe de e-mail botst rond legitiem serververkeer voordat deze uiteindelijk wordt afgeleverd.

Een phishing-e-mail onderzoeken - voorbeeld 2

voor dit voorbeeld is onze phishing-e-mail veel overtuigender. Er zijn een paar visuele indicatoren hier als u hard genoeg kijkt, maar nogmaals voor de doeleinden van dit artikel gaan we ons onderzoek beperken tot e-mailheaders.

Delivered-To: myemail@gmail.com

ontvangen: door 10.60.14.3 met SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Ontvangen: door 10.236.170.165 met SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Return-pad:
ontvangen: van ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
door mx .google.com met ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Received-SPF: fail (google.com: domein van security@intuit.com wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) client-ip = XXX.XXX.XXX.XXX;
Verificatie-resultaten: mx.google.com; spf = hardfail (google.com: domein van security@intuit.com wijst XXX.XXX.XXX.XXX niet aan als toegestane afzender) smtp.mail=security@intuit.com
Ontvangen: met MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
Ontvangen: van dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) door ms.externalemail.com met MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Ontvangen: van apache door intuit.com met lokale (Exim 4.67)
(envelope-from
) id GJMV8N-8BERQW-93
voor
; Tue, 6 Mar 2012 19:27:05 +0700 Aan:
Onderwerp: uw Intuit.com-factuur.
X-PHP-Script: intuit.com/sendmail.php voor 118.68.152.212
Van: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-prioriteit: 1
MIME-versie: 1.0
Inhoudstype : multipart / alternative;
boundary = "- 03060500702080404010506"
Bericht-Id:
Datum: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
In dit voorbeeld is een e-mailclienttoepassing niet gebruikt, in plaats daarvan een PHP-script met het bron-IP-adres van 118.68.152.212.

Aan:

Onderwerp: uw Intuit.com-factuur.
X-PHP- Script: intuit.com/sendmail.php voor 118.68.152.212
Van: "INTUIT INC." X-Sender: "INTUIT INC."
X-Mailer: PHP
X-prioriteit: 1
MIME-versie: 1.0
Inhoudstype: multipart / alternatief;
boundary = "- 03060500702080404010506"
Bericht-ID:
Datum: di, 6 maart 2012 19:27: 05 +0700
X-ME-Bayesian: 0.000000
Wanneer we echter naar de eerste e-mailhopt kijken, ars legitiem zijn als de domeinnaam van de verzendende server overeenkomt met het e-mailadres. Wees echter op je hoede, want een spammer kan zijn of haar server "intuit.com" een naam geven.

Ontvangen: van apache door intuit.com met local (Exim 4.67)

(envelope-from
) id GJMV8N-8BERQW-93
voor
; Tue, 6 Mar 2012 19:27:05 +0700 Het onderzoeken van de volgende stap stort dit kaartenhuis in. U ziet dat de tweede hop (waar deze wordt ontvangen door een legitieme e-mailserver) de verzendende server terugbrengt naar het domein "dynamic-pool-xxx.hcm.fpt.vn", niet "intuit.com" met hetzelfde IP-adres aangegeven in het PHP-script.

Ontvangen: van dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) door ms.externalemail.com met MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Door het bekijken van de IP-adresinformatie wordt het vermoeden bevestigd dat de locatie van de mailserver terugkeert naar Viet Nam.

Hoewel dit voorbeeld een beetje slimmer is, kunt u zien hoe snel wordt de fraude onthuld met slechts een klein beetje onderzoek.

Conclusie

Hoewel het bekijken van e-mailheaders waarschijnlijk geen deel uitmaakt van uw dagelijkse dagelijkse behoeften, zijn er gevallen waarin de informatie erin behoorlijk kan zijn waardevol. Zoals we hierboven hebben laten zien, kun je gemakkelijk afzenders identificeren die zich voordoen als iets wat ze niet zijn. Voor een zeer goed uitgevoerde oplichterij waarbij visuele signalen overtuigend zijn, is het uiterst moeilijk (zo niet onmogelijk) om zich voor te doen als echte mailservers en het bekijken van de informatie in e-mailheaders kan snel chicanes onthullen.

Links

Download IPNetInfo from Nirsoft

Een EFI-systeempartitie of GPT-beveiligingspartitie verwijderen van een schijf in Windows

Er zijn verschillende redenen waarom u zou kunnen eindigen met een beveiligde partitie die u niet op een schijf kunt verwijderen. Macs maken bijvoorbeeld 200 MB-partities aan het begin van een externe schijf wanneer u Time Machine instelt. De Windows DIsk Management-tool kan deze partities normaal gesproken niet verwijderen en u ziet het "Volume verwijderen" optie grijs weergegeven.

(how-to)

Hoe een FTP-server in Windows in te stellen met IIS

Eerder had ik een bericht geschreven over hoe je van je computer een Windows-bestandsserver kunt maken met behulp van een aantal verschillende programma's. Als u op zoek bent naar een snelle manier om de bestanden op uw lokale computer te delen met vrienden of familie, is dit een eenvoudige manier om dit te doen

(How-to)