Ogni volta che ricevi un'e-mail, c'è molto di più di quanto sembri. Mentre di solito presti attenzione solo all'indirizzo, alla riga dell'oggetto e al corpo del messaggio, ci sono molte più informazioni disponibili "sotto il cofano" di ogni e-mail che possono fornirti molte informazioni aggiuntive.

Perché preoccuparsi di guardare un'intestazione dell'email?

Questa è un'ottima domanda. Per la maggior parte, non avresti mai bisogno di a meno che:

• Sospetti che un'email sia un tentativo di phishing o una parodia
• Vuoi visualizzare le informazioni di routing sulla traiettoria dell'email
• Sei un curioso geek

Indipendentemente dalle tue ragioni, leggere le intestazioni delle email è in realtà abbastanza semplice e può essere molto rivelatore.

Nota: per i nostri screenshot e dati, utilizzeremo Gmail, ma praticamente tutti gli altri client di posta dovrebbero fornire anche queste stesse informazioni .

Visualizzazione dell'intestazione dell'email

In Gmail, visualizza l'email. Per questo esempio, utilizzeremo l'email di seguito.

Quindi fai clic sulla freccia nell'angolo in alto a destra e seleziona Mostra originale.

La finestra risultante avrà i dati dell'intestazione dell'email in testo normale.

Nota: In tutti i dati dell'intestazione dell'email che mostro di seguito ho cambiato il mio indirizzo Gmail per mostrare come [email protected] e il mio indirizzo email esterno per mostrare come [email protected] e [email protected] e mascherato l'indirizzo IP dei miei server di posta elettronica.

Consegnato a: [email protected]
Ricevuto: entro il 10.60.14.3 con ID SMTP l3csp18666oec;
Mar 6 Mar 2012 08:30:51 -0800 (PST)
Ricevuto: da 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044;
Mar, 06 Mar 2012 08:30:51 -0800 (PST)
Return-Path:
Ricevuto: da exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
di mx.google.com con ID SMTP l7si25161491pbd.80.2012.03.06.08.30. 49;
Mar, 06 Mar 2012 08:30:50 -0800 (PST)
Ricevuto-SPF: neutro (google.com: 64.18.2.16 è né consentito né negato dal record di ipotesi migliore per il dominio di [email protected]) client-ip = 64.18.2.16;
Risultati di autenticazione: mx.google.com; spf = neutro (google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) [email protected]
Ricevuto: da mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (utilizzando TLSv1) di exprod7ob119.postini.com ([64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Mar, 06 Mar 2012 08:30:50 PST
Ricevuto: da MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) per
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) con mapi; Mar 6 Mar
2012 11:30:48 -0500
Da: Jason Faulkner
A: "[email protected]"
Data: Mar 6 Mar 2012 11:30:48 - 0500
Oggetto: Questa è una email legittima
Thread-Topic: Questa è una email legittima
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID messaggio: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accetta -Lingua: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Contenuto -Tipo: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
Versione MIME: 1.0

Quando leggi un'intestazione email, i dati sono in ordine cronologico inverso, il che significa che le informazioni nella parte superiore sono le più evento recente. Pertanto, se si desidera tracciare l'e-mail dal mittente al destinatario, iniziare nella parte inferiore. Esaminando le intestazioni di questa email possiamo vedere diverse cose.

Qui vediamo le informazioni generate dal client di invio. In questo caso, l'email è stata inviata da Outlook, quindi questo è il metadata aggiunto da Outlook.

Da: Jason Faulkner
A: "[email protected]"
Data: Mar 6 Mar 2012 11:30 : 48 -0500
Oggetto: Questa è una email legittima
Thread-Topic: Questa è una email legittima
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID messaggio: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
Versione MIME: 1.0

La parte successiva traccia il percorso che l'e-mail porta dal server mittente al server di destinazione. Tieni presente che questi passaggi (o hop) sono elencati in ordine cronologico inverso. Abbiamo posizionato il numero corrispondente accanto a ciascun salto per illustrare l'ordine. Si noti che ogni hop mostra dettagli sull'indirizzo IP e il rispettivo nome DNS inverso.

Delivered-To: [email protected]
[6] Ricevuto: entro il 10.60.14.3 con ID SMTP l3csp18666oec;
Mar, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Ricevuto: entro il 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044;
Mar, 06 Mar 2012 08:30: 51 -0800 (PST)
Return-Path:
[4] Ricevuto: da exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
di mx.google .com con SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Mar, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Ricevuto-SPF: neutro (google. com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) client-ip = 64.18.2.16;
Risultati di autenticazione: mx.google.com; spf = neutro (google.com: 64.18.2.16 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) [email protected]
[2] Ricevuto: da mail.externalemail.com ([XXX.XXX.XXX.XXX]) (utilizzando TLSv1) di exprod7ob119.postini.com ([64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Mar, 06 Mar 2012 08:30:50 PST
[1] Ricevuto: da MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) per
MYSERVER.myserver. local ([fe80 :: a805: c335: 8c71: cdb3% 11]) con mapi; Mar, 6 mar
2012 11:30:48 -0500

Anche se questo è abbastanza banale per un'e-mail legittima, questa informazione può essere molto utile quando si tratta di esaminare spam o e-mail di phishing.

Esaminare un phishing Email - Esempio 1

Per il nostro primo esempio di phishing, esamineremo un'email che è un evidente tentativo di phishing. In questo caso, potremmo identificare questo messaggio come una frode semplicemente tramite gli indicatori visivi, ma per fare pratica daremo un'occhiata ai segnali di allarme all'interno delle intestazioni.

Consegnato a: [email protected]
Ricevuto: da 10.60.14.3 con ID SMTP l3csp12958oec;
Lun, 5 Mar 2012 23:11:29 -0800 (PST)
Ricevuto: da 10.236.46.164 con SMTP id r24mr7411623yhb.101.1331017888982;
Lun, 05 Mar 2012 23:11:28 -0800 (PST)
Return-Path:
Ricevuto: da ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
di mx .google.com con ID ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Lun, 05 Mar 2012 23:11:28 -0800 (PST)
SPF ricevuto: fail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) client-ip = XXX.XXX.XXX.XXX;
Risultati di autenticazione: mx.google.com; spf = hardfail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) [email protected]
Ricevuto: con MailEnable Postoffice Connector; Mar 6 Mar 2012 02:11:20 -0500
Ricevuto: da mail.lovingtour.com ([211.166.9.218]) da ms.externalemail.com con MailEnable ESMTP; Mar 6 Mar 2012 02:11:10 -0500
Ricevuto: da Utente ([118.142.76.58])
per mail.lovingtour.com
; Lun, 5 Mar 2012 21:38:11 +0800
ID messaggio: <[email protected]>
Rispondi a:
Da: "[email protected]"
Oggetto: Avviso
Data: Lun , 5 Mar 2012 21:20:57 +0800
Versione MIME: 1.0
Tipo di contenuto: multipart / misto;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorità X: 3
X-MSMail-Priority: normale
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: prodotto da Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

La prima bandiera rossa si trova nell'area delle informazioni sul client.Qui noti i metadati aggiunti riferimenti a Outlook Express: è improbabile che Visa sia così indietro rispetto ai tempi in cui qualcuno invia manualmente le e-mail utilizzando un client di posta elettronica di 12 anni.

Rispondi a:
Da: "[email protected]"
Oggetto: Avviso
Data: lun, 5 mar 2012 21:20:57 +0800
Versione MIME: 1.0
Content-Type: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorità X: 3
X-MSMail-Priorità: Normale
X-Mailer: Microsoft Outlook Express 6,00 .2600.0000 X-MimeOLE: prodotto da Microsoft MimeOLE V6.00.2600.0000
X-ME-bayesiano: 0,000000

Ora esaminando il primo hop nell'instradamento della posta elettronica si rivela che il mittente si trovava all'indirizzo IP 118.142 .76.58 e la loro e-mail è stata inoltrata tramite il server di posta mail.lovingtour.com.

Ricevuto: da Utente ([118.142.76.58])
per mail.lovingtour.com
; Lun, 5 Mar 2012 21 : 38: 11 +0800

Guardando le informazioni IP usando l'utilità IPNetInfo di Nirsoft, possiamo vedere che il mittente si trovava a Hong Kong e il server di posta si trova in Cina.

Inutile dire che questo è un po 'sospetto.

Il resto degli hop di posta elettronica non sono realmente rilevanti in questo caso come loro come l'e-mail rimbalza intorno al traffico legittimo del server prima di essere consegnato.

Esame di un messaggio di phishing - Esempio 2

Per questo esempio, la nostra e-mail di phishing è molto più convincente. Ci sono alcuni indicatori visivi qui se sembri abbastanza duro, ma ancora una volta per gli scopi di questo articolo limiteremo le nostre indagini alle intestazioni delle email.

Delivered-To: [email protected]
Ricevuto: da 10.60.14.3 con ID SMTP l3csp15619oec;
Mar, 6 Mar 2012 04:27:20 -0800 (PST)
Ricevuto: per 10.236.170.165 con ID SMTP p25mr8672800yhl.123.1331036839870;
Mar, 06 Mar 2012 04:27:19 -0800 (PST)
Return-Path:
Ricevuto: da ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
di mx .google.com con id ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Mar, 06 Mar 2012 04:27:19 -0800 (PST)
SPF ricevuto: fail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) client-ip = XXX.XXX.XXX.XXX;
Risultati di autenticazione: mx.google.com; spf = hardfail (google.com: dominio di [email protected] non designa XXX.XXX.XXX.XXX come mittente consentito) [email protected]
Ricevuto: con MailEnable Postoffice Connector; Mar 6 Mar 2012 07:27:13 -0500
Ricevuto: da dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) da ms.externalemail.com con MailEnable ESMTP; Mar 6 Mar 2012 07:27:08 -0500
Ricevuto: da apache da intuit.com con local (Exim 4.67)
(envelope-from )
id GJMV8N-8BERQW-93
per ; Mar 6 Mar 2012 19:27:05 + 0700
A:
Oggetto: la fattura Intuit.com.
Script X-PHP: intuit.com/sendmail.php per 118.68.152.212
Da: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
Priorità X: 1
Versione MIME: 1.0
Tipo di contenuto : multipart / alternative;
boundary = "- 03060500702080404010506"
ID messaggio:
Data: martedì, 6 marzo 2012 19:27:05 +0700
X-ME-bayesiano: 0,000000

In questo esempio, non è stata utilizzata un'applicazione client di posta, piuttosto uno script PHP con l'indirizzo IP di origine di 118.68.152.212.

A:
Oggetto: la fattura Intuit.com.
X-PHP- Script: intuit.com/sendmail.php per 118.68.152.212 Da: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
Priorità X: 1
Versione MIME: 1.0
Tipo di contenuto: multipart / alternative;
boundary = "- 03060500702080404010506"
ID messaggio:
Data: Mar 6 Mar 2012 19:27: 05 +0700
X-ME-Bayesian: 0,000000

Tuttavia, quando guardiamo il primo hop della posta elettronica deve essere legittimo in quanto il nome di dominio del server mittente corrisponde all'indirizzo email. Tuttavia, fai attenzione a quanto uno spammer potrebbe facilmente denominare il proprio server "intuit.com".

Ricevuto: da apache di intuit.com con local (Exim 4.67)
(envelope-from )
id GJMV8N-8BERQW-93
per ; Mar 6 Mar 2012 19:27:05 +0700

Esaminando il prossimo passo si sbriciola questo castello di carte. È possibile vedere il secondo salto (dove viene ricevuto da un server di posta legittimo) risolve il server mittente di nuovo nel dominio "dynamic-pool-xxx.hcm.fpt.vn", non "intuit.com" con lo stesso indirizzo IP indicato nello script PHP.

Ricevuto: da dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) da ms.externalemail.com con MailEnable ESMTP; Mar 6 Mar 2012 07:27:08 -0500

La visualizzazione delle informazioni sull'indirizzo IP conferma il sospetto che la posizione del server di posta si risolva in Viet Nam.

Mentre questo esempio è un po 'più intelligente, puoi vedere come rapidamente la frode viene rivelata solo con un minimo di indagine.

Conclusione

Durante la visualizzazione delle intestazioni delle e-mail probabilmente non fa parte delle normali esigenze quotidiane, ci sono casi in cui le informazioni in esse contenute possono essere abbastanza prezioso. Come abbiamo mostrato sopra, puoi facilmente identificare i mittenti che si mascherano come qualcosa che non sono. Per una truffa molto ben eseguita in cui i riferimenti visivi sono convincenti, è estremamente difficile (se non impossibile) impersonare i server di posta e rivedere le informazioni all'interno delle intestazioni delle e-mail può rivelare rapidamente qualsiasi imbroglio.

Collegamenti

Scarica IPNetInfo da NirSoft

Come recuperare file, contatti, calendari e foto cancellati Da iCloud

ICloud di Apple ora ti consente di ripristinare i file cancellati da iCloud Drive, ripristinare le foto cancellate di recente e ripristinare le tue contatti e calendari a uno stato precedente. Se hai eliminato per errore qualcosa, puoi recuperarlo. I dati possono anche essere memorizzati altrove. Ad esempio, se sincronizzi i contatti del tuo iPhone con Gmail, puoi ripristinare i contatti da Gmail.

(how-to)

Come sospendere o riprendere un'applicazione Windows utilizzando Process Explorer

Se è necessario eseguire la diagnostica su un programma o se è necessario vedere cosa sta facendo un programma malware sospetto, è possibile utilizzare Process Explorer in pratica mette il programma in pausa mentre si guarda a cosa sta facendo. Forse ti starai chiedendo perché vorresti sospendere un processo, e la risposta è semplice: se hai bisogno di lavorare, ma un processo è scappando con la CPU, puoi sospendere il processo e poi riprendere quando hai finito con qualsiasi altra cosa tu debba fare.

(how-to)