Mitä sähköpostin otsikossa on ja miksi sinun pitäisi välittää?

Oletko koskaan saanut roskapostia tai tietojenkalasteluviestiä sähköpostiosoitteesta, jota et tunnistanut? Ehkä joku tarjosi sinulle ilmaisen matkan, pyysi sinua lähettämään heille bitcoinin vastineeksi henkilökohtaisista valokuvista tai lähetti sinulle vain ei-toivotun markkinointisähköpostin?

Oletko miettinyt, mistä nämä sähköpostit tulivat? Oletko nähnyt roskapostittajan väärentäneen sähköpostiosoitteesi ja miettinyt, miten he tekivät sen?

Sähköpostin väärentäminen tai sähköpostin näyttäminen ikään kuin sähköposti olisi tullut eri osoitteesta kuin se (esimerkiksi sähköposti, joka näyttää tulevan osoitteesta whitehouse.gov, mutta on todella huijari) on erittäin helppoa.

Ydinsähköpostiprotokollissa ei ole todentamismenetelmää, mikä tarkoittaa, että lähettäjäosoite on pohjimmiltaan vain täyteaine.

Yleensä kun saat sähköpostin, se näyttää tältä:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

Sen alla on aihe ja viesti.

Mutta mistä tiedät, mistä tuo sähköposti todella tuli? Eikö mitään muita tietoja voida analysoida?

Etsimme täydellisiä sähköpostiotsikoita - mitä näet yllä, on vain osittainen otsikko. Nämä tiedot antavat meille lisätietoja siitä, mistä sähköposti tuli ja miten se saapui postilaatikkoosi.

Jos haluat tarkastella omia sähköpostiosoitteitasi, toimi seuraavasti Outlookin ja Gmailin kautta. Suurin osa postiohjelmista toimii samalla tavalla, ja yksinkertainen Google-haku kertoo, miten voit tarkastella vaihtoehtoisten postipalvelujen otsikoita.

Tässä artikkelissa tarkastelemme joukkoa todellisia otsikoita (vaikka niitä on muokattu voimakkaasti - olen muuttanut isäntänimiä, aikaleimoja ja IP-osoitteita).

Luemme otsikot ylhäältä alas, mutta muista, että jokainen uusi palvelin lisää otsikkonsa sähköpostin rungon yläosaan. Tämä tarkoittaa, että luemme jokaisen otsikon lopullisesta viestinsiirtoagentista (MTA) ja työskentelemme ensimmäisen MTA: n kanssa hyväksyäksemme viestin.

Sisäiset siirrot

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

Tämä ensimmäinen hyppy näyttää HTTPS-rivin, mikä tarkoittaa, että palvelin ei saanut viestiä tavallisen SMTP: n kautta ja loi sen sijaan viestin verkkosovelluksessa saamastaan ​​syötteestä.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

Nämä ovat kaksi ensimmäistä otsikkolohkoa sisäisiä postinsiirtoja. Voit kertoa, että Office365-palvelimet (outlook.com) vastaanottivat ne ja reitittivät sisäisesti oikealle vastaanottajalle.

Voit myös kertoa, että viesti lähetetään salatun SMTP: n kautta. Tiedät tämän, koska otsikossa on luettelo "Microsoft SMTP Serverin kanssa" ja määritetään sitten käyttämäsi TLS-versio sekä erityinen salaus.

Kolmas otsikkolohko merkitsee siirtymistä paikallisesta postipalvelimesta postin suodatuspalveluun. Tiedät tämän, koska se meni "Frontend Transportin kautta", joka on Microsoft-Exchange-spesifinen protokolla (ja siksi se ei ollut tiukasti SMTP).

Tämä lohko sisältää myös joitain sähköpostitarkistuksia. Outlook.com-otsikko kertoo SPF / DKIM / DMARC-tulokset täällä. SPF-softfail tarkoittaa, että tällä IP-osoitteella ei ole oikeutta lähettää sähköposteja gmail.comin puolesta.

"dkim = pass" tarkoittaa, että sähköposti on peräisin sen oletetulta lähettäjältä eikä sitä (todennäköisesti) muutettu siirron aikana.  

DMARC on joukko sääntöjä, jotka kertovat postipalvelimelle kuinka tulkita SPF- ja DKIM-tuloksia. Hyväksyminen tarkoittaa todennäköisesti sitä, että sähköposti jatkuu määränpäähänsä.

Lisätietoja SPF: stä, DKIM: stä ja DMARC: sta on tässä artikkelissa.

Sisäinen / ulkoinen siirtymä

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

Tämä on Googlen SPF-tietue - kertoo vastaanottavalle palvelimelle, että sähköposti, jonka sanotaan tulevan osoitteesta gmail.com, tulee Googlen hyväksymältä palvelimelta.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

Tämä näyttää joitain ylimääräisiä SPF / DKIM / DMARC-tarkastuksia sekä IronPort-skannauksen tuloksia.

Ironport on suosittu sähköpostisuodatin, jota monet yritykset käyttävät roskapostin, virusten ja muiden haitallisten sähköpostien etsimiseen. Se skannaa sähköpostin linkit ja liitteet ja määrittää, onko sähköposti haitallinen (ja se pitäisi pudottaa), onko se todennäköisesti laillinen ja toimitettava vai onko se epäilyttävää, jolloin se voi liittää otsikon runkoon, joka kehottaa käyttäjiä olemaan varovaisia ​​sähköpostin suhteen.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Tämä osio näyttää sisäisen hypyn, jonka sähköposti otti lähettäjän alkuperäiseltä laitteelta gmailin reititysjärjestelmän kautta ja vastaanottajan näkymäympäristöön. Tästä voimme nähdä, että alkuperäinen lähettäjä oli Macbookista, käyttäen kotireititintä, Verizon Fiosin kanssa NYC: ssä.

Tämä on humalan loppu, joka näyttää reitin, jonka sähköposti on lähettänyt lähettäjälle vastaanottajalle. Tämän ohi näet sähköpostin rungon (ja otsikot, jotka tyypillisesti näytetään kuten "mistä:", "mihin:" jne.), Ehkä tietyllä alustuksella mediatyypin ja sähköpostiohjelman perusteella (esimerkiksi MIME-versio, sisältötyyppi, raja jne.). Se voi sisältää myös joitain käyttäjäagenttitietoja, jotka ovat yksityiskohtia siitä, minkä tyyppinen laite lähetti viestin.

Tässä tapauksessa tiedämme jo, että lähettävä laite oli Macbook Applen nimeämiskäytännön vuoksi, mutta se voi sisältää myös tietoja laitteeseen asennetuista suorittimen tyypistä, versiosta, jopa selaimesta ja versiosta.

Joissakin tapauksissa, mutta ei kaikissa, se voi sisältää myös lähettävän laitteen IP-osoitteen (vaikka monet palveluntarjoajat piilottavat nämä tiedot ilman haastetta).

Mitä sähköpostin otsikot voivat kertoa sinulle?

Sähköpostin otsikot voivat auttaa tunnistamaan, milloin sähköposteja ei lähetetä heidän väitetyiltä lähettäjiltä. He voivat antaa joitain tietoja lähettäjästä - vaikka se ei yleensä riitä tunnistamaan todellista lähettäjää.

Lainvalvontaviranomaiset voivat usein käyttää näitä tietoja haastamaan tietoja oikealta Internet-palveluntarjoajalta, mutta muut meistä voivat useimmiten vain käyttää niitä apuna tutkimusten, yleensä tietojenkalastelun, tiedottamisessa.

Tätä prosessia vaikeuttaa se, että haitalliset palvelimet tai hakkerit voivat väärentää otsikot. Jos et ota yhteyttä kunkin palvelimen omistajaan ja tarkista erikseen, että sähköpostisi otsikot vastaavat SMTP-lokejaan, mikä on vaivalloista ja aikaa vievää, et ole varma, että otsikot ovat tarkkoja (muut kuin omien postipalvelimiesi liitetyt otsikot).

Jos et ota yhteyttä kunkin palvelimen omistajaan ja tarkista erikseen, että sähköpostisi otsikot vastaavat heidän SMTP-lokejaan, mikä on huolellista ja aikaa vievää, et ole varma, että kaikki otsikot ovat tarkkoja.

DKIM, DMARC ja SPF voivat kaikki auttaa tässä prosessissa, mutta eivät ole täydellisiä, ja ilman niitä ei ole vahvistusta lainkaan.

Etkö halua analysoida omia otsikoitasi? Tämä sivusto tekee sen puolestasi.