När du får ett e-postmeddelande, är det mycket mer än det som möter ögat. Medan du bara tar uppmärksamheten på adressen, ämnesraden och meddelandets innehåll finns det mycket mer information "under huven" i varje e-post som kan ge dig en mängd ytterligare information.

Varför bry sig om att titta på en e-postrubrik?

Detta är en mycket bra fråga. För det mesta skulle du verkligen aldrig behöva, om inte:

• Du misstänker att ett e-postmeddelande är ett phishing-försök eller en spoofing
• Du vill visa rutningsinformation på e-postens sökväg
• Du är en nyfiken geek

Oavsett dina skäl är läsning av e-postrubriker faktiskt ganska lätt och kan vara mycket avslöjande.

Artikeln Note: För våra skärmdumpar och data använder vi Gmail, men nästan alla andra e-postklienter ska också ge samma information .

Visa e-posthuvudet

I Gmail, se e-postmeddelandet. För det här exemplet använder vi e-postmeddelandet nedan.

Klicka sedan på pilen i övre högra hörnet och välj Visa original.

Det resulterande fönstret kommer att ha e-postrubrikdata i vanlig text.

Obs! I alla e-postrubrikdata som visas nedan Jag har ändrat min Gmail-adress för att visa som [email protected] och min externa e-postadress ska visas som [email protected] och [email protected] och maskerade min e-postservers IP-adress.

Levereras till: [email protected]
Mottaget: vid 10.60.14.3 med SMTP-ID l3csp18666oec;
Tis, 6 mar 2012 08:30:51 -0800 (PST)
Mottaget: vid 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044;
tis 06 mar 2012 08:30:51 -0800 (PST)
Returväg:
Mottaget: från exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
av mx.google.com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30. 49;
tis 06 mar 2012 08:30:50 -0800 (PST)
Mottagen-SPF: neutral (google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected]) client-ip = 64.18.2.16;
Autentiseringsresultat: mx.google.com; spf = neutral (google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekordet för domänen [email protected]) [email protected]
Mottaget: från mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (med TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tis 06 mar 2012 08:30:50 PST
Mottagen: från MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tis, 6 mar
2012 11:30:48 -0500
Från: Jason Faulkner
Till: "[email protected]"
Datum: tis, 6 mar 2012 11:30:48 - 0500
Ämne: Detta är ett legitimt e-postmeddelande
Ämne: Detta är ett legitimt e-postmeddelande
Trådindex: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelande-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Acceptera -Språk: en-US
Innehållsspråk: en-US
X-MS-Has-Attach:
X-MS-TNEF-Korrelator:
Accept Language: en-US
Innehåll -Typ: multipart / alternativ;
gräns = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-Version: 1.0

När du läser en e-postrubrik är data i omvänd kronologisk ordning, vilket betyder att informationen högst är den mest senaste händelsen. Därför, om du vill spåra e-post från avsändare till mottagare, börja längst ner. Genom att granska rubrikerna i det här meddelandet kan vi se flera saker.

Här ser vi information som genereras av den skickande klienten. I det här fallet skickades e-postmeddelandet från Outlook så det här är metadatat Outlook lägger till.

Från: Jason Faulkner
Till: "[email protected]"
Datum: tis, 6 mar 2012 11:30 : 48 -0500
Ämne: Detta är ett legitimt e-postmeddelande
Ämne: Detta är ett legitimt e-postmeddelande
Trådindex: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Meddelande-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
X-MS-TNEF-korrelator:
Accept-Language: en-US
Innehållsspråk: en-US
X-MS-Has-Attach:
Innehållstyp: multipart / alternativ;
gränsen = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
MIME-version: 1.0
Nästa del spårar sökvägen e-posten tar från sändningsservern till destinationsservern. Tänk på att dessa steg (eller humle) anges i omvänd kronologisk ordning. Vi har placerat respektive nummer bredvid varje hopp för att illustrera ordern. Observera att varje hopp visar detaljer om IP-adressen och respektive omvänd DNS-namn.

Levereras till: [email protected]

[6]
Mottaget: vid 10.60.14.3 med SMTP-ID l3csp18666oec; Tis, 6 Mar 2012 08:30:51 -0800 (PST)
[5]
Mottaget: av 10.68.125.129 med SMTP-ID mq1mr1963003pbb.21.1331051451044; Tis, 06 Mar 2012 08:30: 51 -0800 (PST)
Returväg:
[4]
Mottaget: från exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) av mx.google .com med SMTP-ID l7si25161491pbd.80.2012.03.06.08.30.49;
tis 06 mar 2012 08:30:50 -0800 (PST)
[3]
Mottagen-SPF: neutral (google. com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected]) client-ip = 64.18.2.16; Autentiseringsresultat: mx.google.com; spf = neutral (google.com: 64.18.2.16 är varken tillåtet eller nekad av bästa gissningsrekordet för domänen [email protected]) [email protected]
[2]
Mottaget: från mail.externalemail.com ([XXX.XXX.XXX.XXX]) (med TLSv1) av exprod7ob119.postini.com ([64.18.6.12]) med SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Tis 06 mar 2012 08:30:50 PST
[1]
Mottagen: från MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) av MYSERVER.myserver. lokal ([fe80 :: a805: c335: 8c71: cdb3% 11]) med mapi; Tue, 6 Mar
2012 11:30:48 -0500
Även om detta är ganska vardagligt för ett legitimt e-postmeddelande, kan den här informationen vara ganska stor när det gäller att undersöka spam- eller phishing-e-post.

Granska en Phishing Email - Exempel 1

För vårt första phishing-exempel kommer vi att undersöka ett e-postmeddelande som är ett uppenbart phishing-försök. I det här fallet kunde vi identifiera detta meddelande som ett bedrägeri helt enkelt av de visuella indikatorerna, men för övning kommer vi att titta på varningsskyltarna i rubrikerna.

Levereras till: [email protected]

Mottaget: av 10.60.14.3 med SMTP-ID l3csp12958oec;
Mån, 5 Mar 2012 23:11:29 -0800 (PST)
Mottaget: vid 10.236.46.164 med SMTP-ID r24mr7411623yhb.101.1331017888982;
må 05 mar 2012 23:11:28 -0800 (PST)
Returväg:
Mottaget: från ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx .google.com med ESMTP-ID t19si8451178ani.110.2012.03.05.23.11.28;
mån, 05 mar 2012 23:11:28 -0800 (PST)
Mottagen-SPF: misslyckas (google.com: domän av [email protected] designerar inte XXX.XXX.XXX.XXX som tillåten avsändare) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultat: mx.google.com; spf = hardfail (google.com: domain of [email protected] designerar inte XXX.XXX.XXX.XXX som tillåten avsändare) [email protected]
Mottaget: med MailEnable Postoffice Connector; Tis, 6 mar 2012 02:11:20 -0500
Mottaget: från mail.lovingtour.com ([211.166.9.218]) av ms.externalemail.com med MailEnable ESMTP; Tis, 6 mar 2012 02:11:10 -0500
Mottaget: från Användare ([118.142.76.58])
via mail.lovingtour.com
; Mån, 5 mar 2012 21:38:11 +0800
Meddelande-ID:
Svara-till: <[email protected]>
Från: "[email protected]"
Ämne: Meddelande
Datum: mån , 5 mar 2012 21:20:57 +0800
MIME-Version: 1.0
Innehållstyp: multipart / mixed;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-Prioritet: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Producerad av Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Den första röda flaggan finns i klientinformationsområdet. Observera att metadata som läggs till refererar till Outlook Express. Det är osannolikt att Visa är så långt efter de tider som de har någon manuellt att skicka e-post med en 12-årig e-postklient.

Svara-till:

Från: "[email protected]"
Ämne: Meddelande
Datum: må 5 mar 2012 21:20:57 +0800
MIME-Version: 1.0
Innehållstyp: multipart / mixed;
border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritet: 3
X-MSMail-prioritet: Normal
X-Mailer: Microsoft Outlook Express 6,00 .2600.0000
X-MimeOLE: Producerad av Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Genom att undersöka den första hopen i e-postrutingen avslöjs att avsändaren var belägen på IP-adressen 118.142 .76.58 och deras e-postmeddelanden vidarebefordrades via e-postservern mail.lovingtour.com.

Mottaget: från Användare ([118.142.76.58])

via mail.lovingtour.com
; må 5 mar 2012 21 : 38: 11 +0800
Se upp IP-informationen med hjälp av Nirsoft's IPNetInfo-verktyg, vi kan se avsändaren var belägen i Hong Kong och mailservern är lokaliserad i Kina.

Det är naturligtvis lite misstänksamt.

Resten av e-posthoppen är inte särskilt relevant i det här fallet som de är hur e-posten studsar om legitim servertrafik innan den äntligen levereras.

Granska ett Phishing-e-postmeddelande - Exempel 2

I det här exemplet är vårt phishing-mail mycket övertygande. Det finns några visuella indikatorer här om du ser tillräckligt hårt ut, men igen i den här artikeln kommer vi att begränsa vår undersökning till e-postrubriker.

Levereras till: [email protected]

Mottaget: av 10.60.14.3 med SMTP-ID l3csp15619oec;
tis, 6 mars 2012 04:27:20 -0800 (PST)
Mottaget: med 10.236.170.165 med SMTP-ID p25mr8672800yhl.123.1331036839870;
tis 06 mar 2012 04:27:19 -0800 (PST)
Returväg:
Mottaget: från ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
av mx .google.com med ESMTP-ID o2si20048188yhn.34.2012.03.06.04.27.19;
tis 06 mar 2012 04:27:19 -0800 (PST)
Mottagen-SPF: misslyckas (google.com: domän av [email protected] utpekar inte XXX.XXX.XXX.XXX som tillåten avsändare) client-ip = XXX.XXX.XXX.XXX;
Autentiseringsresultat: mx.google.com; spf = hardfail (google.com: domain of [email protected] utpekar inte XXX.XXX.XXX.XXX som tillåten avsändare) [email protected]
Mottaget: med MailEnable Postoffice Connector; Tis, 6 mar 2012 07:27:13 -0500
Mottaget: från dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Mottaget: från apache av intuit.com med lokala (Exim 4.67)
(kuvert-från
) id GJMV8N-8BERQW-93
för
; Tue, 6 Mar 2012 19:27:05 +0700 Till:
Ämne: Din Intuit.com faktura.
X-PHP-Script: intuit.com/sendmail.php för 118.68.152.212
Från: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-Version: 1.0
Innehållstyp : multipart / alternativ;
gräns = "- 03060500702080404010506"
Meddelande-Id:
Datum: tis, 6 mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
I det här exemplet användes inte en postklientprogram, snarare ett PHP-skript med käll-IP-adressen till 118.68.152.212.

Till:

Ämne: Din Intuit.com-faktura.
X-PHP- Skript: intuit.com/sendmail.php för 118.68.152.212
Från: "INTUIT INC." X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Prioritet: 1
MIME-Version: 1.0
Innehållstyp: multipart / alternativ;
border = "- 03060500702080404010506"
Meddelande-Id:
Datum: tis, 6 mar 2012 19:27: 05 +0700
X-ME-Bayesian: 0.000000
Men när vi tittar på den första e-posten hoppar det ars att vara legitim som den sändande serverns domännamn matchar e-postadressen. Men var försiktig med detta eftersom en spammare lätt kan namnge sin server "intuit.com".

Mottaget: från apache av intuit.com med lokala (Exim 4.67)

(kuvert från
) id GJMV8N-8BERQW-93
för
; Tis, 6 Mar 2012 19:27:05 +0700 Genom att granska nästa steg smuler detta korthus. Du kan se den andra hoppen (där den mottas av en legitim e-postserver) löser den sändande servern tillbaka till domänen "dynamic-pool-xxx.hcm.fpt.vn", inte "intuit.com" med samma IP-adress anges i PHP-skriptet.

Mottagen: från dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) av ms.externalemail.com med MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Visning av IP-adressinformationen bekräftar misstanken när postserverens plats löser tillbaka till Viet Nam.

Medan detta exempel är lite smartare kan du se hur snabbt bedrägerier avslöjas med endast en liten undersökning.

Slutsats

När du tittar på e-postrubriker är förmodligen inte en del av dina typiska dagliga behov finns det fall där informationen i dem kan vara ganska värdefulla. Som vi visade ovan kan du ganska enkelt identifiera avsändare masquerading som något de inte är. För en mycket bra exekverad bluff där visuella signaler är övertygande är det extremt svårt (om inte omöjligt) att efterlikna faktiska postservrar och granska informationen inom e-postrubriker kan snabbt avslöja någon chicanery.

Länkar

Hämta IPNetInfo från NirSoft

Så här använder du provpanelen i Word

Word 2013 innehåller nu en ny korrekturpanel. När du har ett dokument öppet som innehåller stavnings- eller grammatiska fel visas ikonen "Proofing" i statusfältet "Bevisningsfel hittades. Klicka för att korrigera. "Meddelande när du flyttar musen över det. På vänster sida av statusfältet längst ner i Word-fönstret visas en bokikon.

(how-to)

Fixa "Säkerhetskod ogiltigt" fel i iTunes

Nyligen försökte min fru köpa något på iTunes från hennes iPhone och hon blev ombedd att verifiera faktureringsinformationen. När hon försökte skriva in säkerhetskoden på baksidan av kreditkortet skulle hon bara få " Säkerhetskod ogiltig " trots att den var helt korrekt. Det märkliga var att jag kunde köpa saker utan problem från min MacBook hemma och från min iPhone.Hur som helst, e

(How-to)