Immer wenn Sie eine E-Mail erhalten, gibt es eine Menge mehr, als Ihnen auffällt. Während Sie normalerweise nur auf die Absenderadresse, die Betreffzeile und den Nachrichtentext achten, gibt es viele weitere Informationen "unter der Haube" jeder E-Mail, die Ihnen eine Fülle zusätzlicher Informationen liefern können.

Warum Bruder? ein Email Header?

Das ist eine sehr gute Frage. Meistens würden Sie das wirklich nie brauchen, außer:

• Sie vermuten, dass eine E-Mail ein Phishing-Versuch oder eine Fälschung ist.
• Sie möchten Routing-Informationen auf dem Pfad der E-Mail
• Sie sind ein neugieriger Aussenseiter

Unabhängig von Ihren Gründen ist das Lesen von E-Mail-Headern relativ einfach und kann sehr aufschlussreich sein.

Artikel Hinweis: Für unsere Screenshots und Daten verwenden wir Gmail, aber praktisch jeder andere Mail-Client sollte diese Informationen ebenfalls bereitstellen .

Anzeigen des E-Mail-Headers

Zeigen Sie in Google Mail die E-Mail an. In diesem Beispiel verwenden wir die folgende E-Mail:

Klicken Sie dann auf den Pfeil in der oberen rechten Ecke und wählen Sie Original anzeigen.

Das resultierende Fenster enthält die E-Mail-Kopfdaten im Klartext.

Hinweis: In Alle E-Mail-Header-Daten, die ich unten zeige Ich habe meine Gmail-Adresse so geändert, dass sie als [email protected] und meine externe E-Mail-Adresse als [email protected] und angezeigt wird [email protected] und maskierte die IP-Adresse meiner E-Mail-Server.

Delivered-To: [email protected]
Empfangen: von 10.60.14.3 mit SMTP-ID l3csp18666oec;
Di, 6 Mar 2012 08:30:51 -0800 (PST)
Empfangen: von 10.68.125.129 mit SMTP id mq1mr1963003pbb.21.1331051451044;
Di, 06 Mar 2012 08:30:51 -0800 (PST)
Return-Path:
Erhalten: von exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
von mx.google.com mit der SMTP-ID l7si25161491pb.80.2012.03.06.08.30. 49;
Di, 06 Mar 2012 08:30:50 -0800 (PST)
Erhalten-SPF: neutral (google.com: 64.18.2.16 ist weder erlaubt noch verweigert durch best-rat-Aufzeichnung für Domäne von [email protected]) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com; spf = neutral (google.com: 64.18.2.16 ist weder erlaubt noch wird es von der besten Schätzung für die Domain von [email protected] abgelehnt) [email protected]
Erhalten: von mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (mit TLSv1) von exprod7ob119.postini.com ([64.18.6.12]) mit SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Di, 06 Mar 2012 08:30:50 PST
Erhalten: von MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) von
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) mit mapi; Di, 6 Mar
2012 11:30:48 -0500
Von: Jason Faulkner
An: "[email protected]"
Datum: Di, 6 Mar 2012 11:30:48 - 0500
Betreff: Dies ist eine legitime E-Mail
Thema: Dies ist eine echte E-Mail
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Nachrichten-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Akzeptieren -Language: de-DE
Sprache: de-DE
X-MS-Has-Attach:
X-MS-TNEF-Korrelator:
acceptlanguage: de-DE
Inhalt -Type: multipart / alternativ;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-Version: 1.0

Wenn Sie einen E-Mail-Header lesen, sind die Daten in umgekehrter chronologischer Reihenfolge, dh die Informationen am oberen Rand sind am meisten kürzliches Ereignis Wenn Sie die E-Mail vom Absender zum Empfänger verfolgen möchten, beginnen Sie unten. Wenn wir die Kopfzeilen dieser E-Mail untersuchen, können wir verschiedene Dinge sehen.

Hier sehen wir Informationen, die vom sendenden Client generiert wurden. In diesem Fall wurde die E-Mail von Outlook gesendet, also sind dies die Metadaten, die Outlook hinzufügt.

Von: Jason Faulkner
An: "[email protected]"
Datum: Di., 6. März 2012 11:30 : 48 -0500
Betreff: Dies ist eine echte E-Mail
Thema: Dies ist eine echte E-Mail
Thread-Index: Acz7tnUyKZWWCRUQ +++ QVd6awhl + Q ==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: de-DE
Content-Sprache: de-DE
X-MS-Has-Attach:
X-MS-TNEF-Korrelator:
acceptlanguage: de-DE
Content-Type: multipart / alternativ;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-Version: 1.0

Der nächste Teil verfolgt den Pfad der E-Mail vom sendenden Server zum Zielserver. Beachten Sie, dass diese Schritte (oder Hops) in umgekehrter chronologischer Reihenfolge aufgeführt sind. Wir haben die jeweilige Nummer neben jedem Hop platziert, um die Reihenfolge zu veranschaulichen. Beachten Sie, dass jeder Hop Details über die IP-Adresse und den entsprechenden umgekehrten DNS-Namen anzeigt.

Delivered-To: [email protected]
[6] Empfangen: von 10.60.14.3 mit SMTP ID l3csp18666oec;
Di, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Empfangen: von 10.68.125.129 mit SMTP id mq1mr1963003pbb.21.1331051451044;
Di, 06 Mar 2012 08:30: 51 -0800 (PST)
Rücksprungpfad:
[4] Erhalten: von exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
von mx.google .com mit SMTP ID l7si25161491pbd.80.2012.03.06.08.30.49;
Di, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Empfangen-SPF: neutral (google. com: 64.18.2.16 ist weder erlaubt noch abgelehnt durch den Datensatz für die beste Schätzung für die Domäne von [email protected]) client-ip = 64.18.2.16;
Authentifizierungsergebnisse: mx.google.com; spf = neutral (google.com: 64.18.2.16 ist weder erlaubt noch wird es von der besten Schätzung für die Domain von [email protected] abgelehnt) [email protected]
[2] Erhalten: von mail.externalemail.com ([XXX.XXX.XXX.XXX]) (mit TLSv1) von exprod7ob119.postini.com ([64.18.6.12]) mit SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Di, 06 Mar 2012 08:30:50 PST
[1] Erhalten: von MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) von
MYSERVER.myserver. lokal ([fe80 :: a805: c335: 8c71: cdb3% 11]) mit mapi; Di, 6 Mar
2012 11:30:48 -0500

Während dies für eine legitime E-Mail ziemlich alltäglich ist, können diese Informationen ziemlich aussagekräftig sein, wenn es um Spam- oder Phishing-E-Mails geht.

Untersuchen eines Phishing E-Mail - Beispiel 1

Für unser erstes Phishing-Beispiel untersuchen wir eine E-Mail, bei der es sich um einen offensichtlichen Phishing-Versuch handelt. In diesem Fall könnten wir diese Nachricht einfach durch die visuellen Indikatoren als Betrug identifizieren, aber zur Übung werden wir uns die Warnzeichen in den Kopfzeilen ansehen.

Delivered-To: [email protected]
Erhalten: von 10.60.14.3 mit SMTP-ID l3csp12958oec;
Mo., 5. März 2012 23:11:29 - 0800 (PST)
Empfangen: von 10.236.46.164 mit SMTP-ID r24mr7411623yhb.101.1331017888982;
Mo, 05 Mär 2012 23:11:28 - 0800 (PST)
Rücksprungpfad:
Empfangen: von ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
von mx .google.com mit ESMTP-ID t19si8451178ani.110.2012.03.05.23.11.28;
Mo., 05. März 2012 23:11:28 - 0800 (PST)
Received-SPF: fehlgeschlagen (google.com: Domäne von [email protected] gibt XXX.XXX.XXX.XXX nicht als zulässigen Absender an. client-ip = XXX.XXX.XXX.XXX;
Authentifizierungsergebnisse: mx.google.com; spf = hardfail (google.com: domain of [email protected] gibt XXX.XXX.XXX.XXX nicht als zulässigen Absender an) smtp.mail = [email protected]
Erhalten: mit MailEnable Post Office Connector; Di, 6 Mar 2012 02:11:20 -0500
Erhalten: von mail.lovingtour.com ([211.166.9.218]) von ms.externalemail.com mit MailEnable ESMTP; Di, 6 Mar 2012 02:11:10 -0500
Erhalten: von Benutzer ([118.142.76.58])
per mail.lovingtour.com
; Mo, 5 Mar 2012 21:38:11 +0800
Nachrichten-ID: <[email protected]>
Antwort-zu:
Von: "[email protected]"
Betreff: Hinweis
Datum: Mo. , 5 Mär 2012 21:20:57 +0800
MIME-Version: 1.0
Content-Type: mehrteilig / gemischt;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priorität: 3
X-MSMail-Priorität: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produziert von Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Die erste rote Markierung befindet sich im Bereich mit den Clientinformationen Beachten Sie, dass die hinzugefügten Metadaten auf Outlook Express verweisen Es ist unwahrscheinlich, dass Visa so weit hinter den Zeiten zurückliegt, in denen jemand manuell E-Mails mit einem 12 Jahre alten E-Mail-Client versendet

Antwort-To:
Von: "[email protected]"
Betreff: Hinweis
Datum: Mo, 5 Mar 2012 21:20:57 +0800
MIME-Version: 1.0
Content-Type: multipart / gemischt;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priorität: 3
X-MSMail-Priorität: Normal
X-Mailer: Microsoft Outlook Express 6.00 .2600.0000 X-MimeOLE: Erstellt von Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Wenn Sie jetzt den ersten Hop im E-Mail-Routing untersuchen, wird der Absender an der IP-Adresse 118.142 gefunden .76.58 und ihre E-Mail wurde über den Mail-Server mail.lovingtour.com weitergeleitet.

Erhalten: von Benutzer ([118.142.76.58])
per mail.lovingtour.com
; Mo, 5. März 2012 21 : 38: 11 +0800

Wenn Sie die IP-Informationen mit dem IPNetInfo-Dienstprogramm von Nirsoft nachsehen, können wir sehen, dass sich der Absender in Hongkong befand und der Mailserver in China liegt.

Es ist unnötig zu sagen, dass dies etwas verdächtig ist.

Der Rest der E-Mail-Hops ist in diesem Fall nicht wirklich relevant, da sie s sind wie die E-Mail um legitimen Serververkehr herumspringt, bevor sie schließlich zugestellt wird.

Untersuchung einer Phishing-E-Mail - Beispiel 2

In diesem Beispiel ist unsere Phishing-E-Mail viel überzeugender. Es gibt ein paar visuelle Indikatoren hier, wenn Sie hart genug suchen, aber wieder für den Zweck dieses Artikels werden wir unsere Untersuchung auf E-Mail-Header beschränken.

Delivered-To: [email protected]
Erhalten: von 10.60.14.3 mit SMTP-ID l3csp15619oec;
Di, 6 Mar 2012 04:27:20 -0800 (PST)
Empfangen: von 10.236.170.165 mit SMTP-ID p25mr8672800yhl.123.1331036839870;
Di, 06 Mär 2012 04:27:19 -0800 (PST)
Return-Pfad:
Empfangen: von ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
von mx .google.com mit ESMTP-ID o2si20048188yhn.34.2012.03.06.04.27.19;
Di., 06. März 2012 04:27:19 - 0800 (PST)
Received-SPF: fehlgeschlagen (google.com: Domäne von [email protected] weist XXX.XXX.XXX.XXX nicht als zulässigen Absender zu. client-ip = XXX.XXX.XXX.XXX;
Authentifizierungsergebnisse: mx.google.com; spf = hardfail (google.com: domain of [email protected] bezeichnet XXX.XXX.XXX.XXX nicht als zulässigen Absender) [email protected]
Erhalten: mit MailEnable Post Office Connector; Di, 6 Mar 2012 07:27:13 -0500
Erhalten: von dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) von ms.externalemail.com mit MailEnable ESMTP; Di, 6 Mar 2012 07:27:08 -0500
Erhalten: von Apache von intuit.com mit lokalen (Exim 4.67)
(Umschlag von )
id GJMV8N-8BERQW-93
für ; Di, 6 Mar 2012 19:27:05 +0700
An:
Betreff: Ihre Intuit.com Rechnung.
X-PHP-Skript: intuit.com/sendmail.php für 118.68.152.212
Von: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Priorität: 1
MIME-Version: 1.0
Content-Type : multipart / alternativ;
boundary = "- 03060500702080404010506"
Meldungs-ID:
Datum: Di., 06.03.2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

In diesem Beispiel wurde keine Mail-Client-Anwendung verwendet, sondern ein PHP-Skript mit der Quell-IP-Adresse 118.68.152.212.

An:
Betreff: Ihre Intuit.com-Rechnung.
X-PHP- Skript: intuit.com/sendmail.php für 118.68.152.212 Von: "INTUIT INC."
X-Absender: "INTUIT INC."
X-Mailer: PHP
X-Priorität: 1
MIME-Version: 1.0
Content-Type: mehrteilig / alternativ;
boundary = "- 03060500702080404010506"
Message-Id:
Datum: Di, 6 Mar 2012 19:27: 05 +0700
X-ME-Bayesian: 0.000000

Wenn wir jedoch den ersten E-Mail-Hop betrachten, erscheint er Der Domain-Name des sendenden Servers stimmt mit der E-Mail-Adresse überein. Seien Sie jedoch vorsichtig, denn ein Spammer könnte seinen Server leicht "intuit.com" nennen.

Erhalten: von Apache von intuit.com mit lokalen (Exim 4.67)
(Umschlag von )
id GJMV8N-8BERQW-93
für ; Di, 6 Mar 2012 19:27:05 +0700

Die Untersuchung des nächsten Schritts bringt dieses Kartenhaus zum Zerplatzen. Sie können sehen, dass der zweite Hop (wo er von einem legitimen E-Mail-Server empfangen wird) den sendenden Server mit der gleichen IP-Adresse zurück in die Domäne "dynamic-pool-xxx.hcm.fpt.vn" und nicht "intuit.com" auflöst angegeben im PHP-Skript.

Empfangen: von dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) von ms.externalemail.com mit MailEnable ESMTP; Di, 6 Mar 2012 07:27:08 -0500

Das Anzeigen der IP-Adressinformationen bestätigt den Verdacht, dass der Standort des Mailservers wieder in Vietnam aufgelöst wird.

Während dieses Beispiel ein bisschen schlauer ist, können Sie sehen, wie schnell wird der Betrug mit nur einer kleinen Untersuchung aufgedeckt.

Schlussfolgerung

Während das Betrachten von E-Mail-Headern wahrscheinlich nicht Teil Ihrer typischen täglichen Bedürfnisse ist, gibt es Fälle, in denen die darin enthaltenen Informationen recht sein können wertvoll. Wie wir oben gezeigt haben, können Sie ganz leicht Absender identifizieren, die sich als etwas ausstellen, das sie nicht sind. Für einen sehr gut ausgeführten Betrug, bei dem visuelle Hinweise überzeugend sind, ist es äußerst schwierig (wenn nicht unmöglich), tatsächliche Mailserver zu verfälschen und die Informationen innerhalb von E-Mail-Kopfzeilen zu überprüfen, kann jede Schikane schnell aufdecken.

Links

Laden Sie IPNetInfo herunter Nirsoft

Wie Hinzufügen von Aktionsschaltflächen zu einer PowerPoint-Präsentation

An einer fremden Stelle in der Anwendung gefunden, können Sie einer PowerPoint-Folie Aktionsschaltflächen hinzufügen, um Ihre Präsentation für den Betrachter interaktiver und einfacher zu gestalten. Diese Aktionsschaltflächen können die Navigation einer Präsentation vereinfachen und dazu führen, dass sich die Folien in Ihrer Präsentation wie Webseiten verhalten.Bevor Sie

(How-to)

So finden und entfernen Sie doppelte Dateien unter Mac OS X

Doppelte Dateien sind eine Verschwendung von Speicherplatz, verbrauchen diesen wertvollen SSD-Speicherplatz auf einem modernen Mac und überlasten Ihre Time Machine-Backups. Entferne sie, um Speicherplatz auf deinem Mac freizumachen. Dafür gibt es viele ausgefeilte Mac-Apps - aber meist kostenpflichtige Software.

(how-to)