Startseite » wie man » Was können Sie in einem E-Mail-Header finden?

    Was können Sie in einem E-Mail-Header finden?

    Wann immer Sie eine E-Mail erhalten, steckt viel mehr dahinter, als es auf den ersten Blick erscheint. Während Sie normalerweise nur auf die Absenderadresse, den Betreff und den Nachrichtentext der Nachricht achten, gibt es unter der Haube jeder E-Mail viele weitere Informationen, die Ihnen eine Fülle zusätzlicher Informationen bieten können.

    Warum sollte ich mir einen E-Mail-Header ansehen??

    Das ist eine sehr gute Frage. In den meisten Fällen müssten Sie es wirklich nicht tun, es sei denn:

    • Sie vermuten, dass eine E-Mail ein Phishing-Versuch oder eine Parodie ist
    • Sie möchten Routing-Informationen zum Pfad der E-Mail anzeigen
    • Du bist ein neugieriger Geek

    Ungeachtet Ihrer Gründe ist das Lesen von E-Mail-Kopfzeilen ziemlich einfach und kann sehr aufschlussreich sein.

    Artikel Hinweis: Für unsere Screenshots und Daten verwenden wir Google Mail, aber praktisch jeder andere E-Mail-Client sollte dieselben Informationen bereitstellen.

    Anzeigen des E-Mail-Headers

    Zeigen Sie in Google Mail die E-Mail an. Für dieses Beispiel verwenden wir die E-Mail unten.

    Klicken Sie dann auf den Pfeil in der oberen rechten Ecke und wählen Sie Original anzeigen.

    Das resultierende Fenster enthält die E-Mail-Kopfdaten im Klartext.

    Hinweis: In allen unten angegebenen E-Mail-Header-Daten habe ich meine Google Mail-Adresse geändert [email protected] und meine externe E-Mail-Adresse als anzeigen [email protected] und [email protected] sowie die IP-Adresse meiner E-Mail-Server maskiert.

    Übermittelt an: [email protected]
    Erhalten: bis 10.60.14.3 mit SMTP-ID l3csp18666oec;
    Di 6 Mär 2012 08:30:51 -0800 (PST)
    Erhalten: bis 10.68.125.129 mit SMTP-ID mq1mr1963003pbb.21.1331051451044;
    Di, 06 Mär 2012 08:30:51 -0800 (PST)
    Der Weg zurück:
    Erhalten: von exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    von mx.google.com mit SMTP-ID L7si25161491pbd.80.2012.03.06.08.30.49;
    Di, 06 Mär 2012 08:30:50 -0800 (PST)
    Received-SPF: neutral (google.com: 64.18.2.16 ist für die Domäne "[email protected]" weder zugelassen noch abgelehnt) client-ip = 64.18.2.16;
    Authentifizierungsergebnisse: mx.google.com; spf = neutral (google.com: 64.18.2.16 ist durch die besten Schätzwerte für die Domäne [email protected]) [email protected] weder zulässig noch verweigert
    Erhalten: von mail.externalemail.com ([XXX.XXX.XXX.XXX]) (unter Verwendung von TLSv1) von exprod7ob119.postini.com ([64.18.6.12]) mit SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Di, 06 Mär 2012 08:30:50 PST
    Erhalten: von MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) von
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) mit mapi; Di, 6 Mar
    2012 11:30:48 - 500
    Von: Jason Faulkner
    An: "[email protected]"
    Datum: Di 6 Mar 2012 11:30:48-0500
    Betreff: Dies ist eine seriöse E-Mail
    Thread-Topic: Dies ist eine legitime E-Mail
    Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Nachrichten ID:
    Accept-Language: en-US
    Inhaltssprache: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Korrelator:
    acceptlanguage: en-US
    Inhaltstyp: Multipart / Alternative;
    border = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Version: 1.0

    Wenn Sie einen E-Mail-Header lesen, werden die Daten in umgekehrter chronologischer Reihenfolge angezeigt. Dies bedeutet, dass die Informationen oben das aktuellste Ereignis sind. Wenn Sie die E-Mail vom Absender zum Empfänger verfolgen möchten, beginnen Sie unten. Bei der Untersuchung der Kopfzeilen dieser E-Mail können wir einige Dinge sehen.

    Hier sehen wir Informationen, die vom sendenden Client generiert wurden. In diesem Fall wurde die E-Mail aus Outlook gesendet. Dies sind also die Metadaten, die Outlook hinzufügt.

    Von: Jason Faulkner
    An: "[email protected]"
    Datum: Di 6 Mar 2012 11:30:48-0500
    Betreff: Dies ist eine seriöse E-Mail
    Thread-Topic: Dies ist eine legitime E-Mail
    Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Nachrichten ID:
    Accept-Language: en-US
    Inhaltssprache: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Korrelator:
    acceptlanguage: en-US
    Inhaltstyp: Multipart / Alternative;
    border = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Version: 1.0

    Der nächste Teil beschreibt den Pfad, den die E-Mail vom sendenden Server zum Zielserver nimmt. Beachten Sie, dass diese Schritte (oder Hops) in umgekehrter chronologischer Reihenfolge aufgeführt sind. Wir haben die jeweilige Nummer neben jedem Sprung platziert, um die Reihenfolge zu veranschaulichen. Beachten Sie, dass für jeden Hop Details zur IP-Adresse und zum jeweiligen umgekehrten DNS-Namen angezeigt werden.

    Übermittelt an: [email protected]
    [6] Erhalten: bis 10.60.14.3 mit SMTP-ID l3csp18666oec;
    Di 6 Mär 2012 08:30:51 -0800 (PST)
    [5] Erhalten: bis 10.68.125.129 mit SMTP-ID mq1mr1963003pbb.21.1331051451044;
    Di, 06 Mär 2012 08:30:51 -0800 (PST)
    Der Weg zurück:
    [4] Erhalten: von exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    von mx.google.com mit SMTP-ID L7si25161491pbd.80.2012.03.06.08.30.49;
    Di, 06 Mär 2012 08:30:50 -0800 (PST)
    [3] Received-SPF: neutral (google.com: 64.18.2.16 ist für die Domäne "[email protected]" weder zugelassen noch abgelehnt) client-ip = 64.18.2.16;
    Authentifizierungsergebnisse: mx.google.com; spf = neutral (google.com: 64.18.2.16 ist durch die besten Schätzwerte für die Domäne [email protected]) [email protected] weder zulässig noch verweigert
    [2] Erhalten: von mail.externalemail.com ([XXX.XXX.XXX.XXX]) (unter Verwendung von TLSv1) von exprod7ob119.postini.com ([64.18.6.12]) mit SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Di, 06 Mär 2012 08:30:50 PST
    [1] Erhalten: von MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) von
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) mit mapi; Di, 6 Mar
    2012 11:30:48 - 500

    Während dies für eine legitime E-Mail recht banal ist, können diese Informationen bei der Untersuchung von Spam oder Phishing-E-Mails sehr aufschlussreich sein.

    Untersuchen einer Phishing-E-Mail - Beispiel 1

    Für unser erstes Phishing-Beispiel untersuchen wir eine E-Mail, die ein offensichtlicher Phishing-Versuch ist. In diesem Fall könnten wir diese Nachricht einfach anhand der visuellen Indikatoren als Betrug erkennen. In der Praxis betrachten wir jedoch die Warnzeichen in den Kopfzeilen.

    Übermittelt an: [email protected]
    Erhalten: bis 10.60.14.3 mit SMTP-ID l3csp12958oec;
    Mo 5 Mär 2012 23:11:29 -0800 (PST)
    Erhalten: von 10.236.46.164 mit der SMTP-ID r24mr7411623yhb.101.1331017888982;
    Mo, 05 Mar 2012 23:11:28 -0800 (PST)
    Der Weg zurück:
    Erhalten: von ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    von mx.google.com mit ESMTP-ID t19si8451178ani.110.2012.03.05.23.11.28;
    Mo, 05 Mar 2012 23:11:28 -0800 (PST)
    Received-SPF: fail (google.com: Domäne von [email protected] bestimmt nicht XXX.XXX.XXX.XXX als zulässigen Absender.) Client-ip = XXX.XXX.XXX.XXX;
    Authentifizierungsergebnisse: mx.google.com; spf = hardfail (google.com: Domäne von [email protected] bezeichnet XXX.XXX.XXX.XXX nicht als zulässigen Absender) [email protected]
    Erhalten: mit MailEnable Postoffice Connector; Di 6 Mar 2012 02:11:20 -0500
    Erhalten: von mail.lovingtour.com ([211.166.9.218]) von ms.externalemail.com mit MailEnable ESMTP; Di 6 Mar 2012 02:11:10 -0500
    Erhalten: von Benutzer ([118.142.76.58])
    von mail.lovingtour.com
    ; Mo 5 Mar 2012 21:38:11 +0800
    Nachrichten ID:
    Antwort an:
    Von: “[email protected]
    Betreff: Hinweis
    Datum: Mo, 5 Mar 2012 21:20:57 +0800
    MIME-Version: 1.0
    Inhaltstyp: multipart / mixed;
    border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Priorität: 3
    X-MSMail-Priorität: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produziert von Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Die erste rote Flagge befindet sich im Clientinformationsbereich. Beachten Sie hier, dass die hinzugefügten Metadaten auf Outlook Express verweisen. Es ist unwahrscheinlich, dass Visa so weit hinter den Zeiten zurückliegt, dass jemand manuell E-Mails mit einem 12 Jahre alten E-Mail-Client versendet.

    Antwort an:
    Von: “[email protected]
    Betreff: Hinweis
    Datum: Mo, 5 Mar 2012 21:20:57 +0800
    MIME-Version: 1.0
    Inhaltstyp: multipart / mixed;
    border = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Priorität: 3
    X-MSMail-Priorität: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produziert von Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0,000000

    Die Untersuchung des ersten Hops im E-Mail-Routing zeigt, dass sich der Absender unter der IP-Adresse 118.142.76.58 befindet und seine E-Mail über den Mail-Server mail.lovingtour.com weitergeleitet wurde.

    Erhalten: von Benutzer ([118.142.76.58])
    von mail.lovingtour.com
    ; Mo 5 Mar 2012 21:38:11 +0800

    Beim Nachschlagen der IP-Informationen mithilfe des Nirsoft-Dienstprogramms IPNetInfo können wir feststellen, dass sich der Absender in Hongkong und der Mail-Server in China befindet.

    Es ist unnötig zu sagen, dass dies etwas verdächtig ist.

    Der Rest der E-Mail-Hops ist in diesem Fall nicht wirklich relevant, da sie zeigen, wie die E-Mail vor dem endgültigen Versand mit dem legitimen Serververkehr abprallt.

    Untersuchen einer Phishing-E-Mail - Beispiel 2

    In diesem Beispiel ist unsere Phishing-E-Mail viel überzeugender. Es gibt ein paar visuelle Indikatoren, wenn Sie genau hinschauen, aber für die Zwecke dieses Artikels beschränken wir uns auf unsere E-Mail-Header.

    Übermittelt an: [email protected]
    Erhalten: bis 10.60.14.3 mit SMTP-ID l3csp15619oec;
    Di 6 Mar 2012 04:27:20 -0800 (PST)
    Erhalten: durch 10.236.170.165 mit SMTP-ID p25mr8672800yhl.123.1331036839870;
    Di, 06 Mär 2012 04:27:19 -0800 (PST)
    Der Weg zurück:
    Erhalten: von ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    von mx.google.com mit ESMTP-ID o2si20048188yhn.34.2012.03.06.04.27.19;
    Di, 06 Mär 2012 04:27:19 -0800 (PST)
    Received-SPF: fail (google.com: Domäne von [email protected] legt XXX.XXX.XXX.XXX nicht als zulässigen Absender fest) client-ip = XXX.XXX.XXX.XXX;
    Authentifizierungsergebnisse: mx.google.com; spf = hardfail (google.com: Domäne von [email protected] legt XXX.XXX.XXX.XXX nicht als zulässigen Absender fest) [email protected]
    Erhalten: mit MailEnable Postoffice Connector; Di 6 Mar 2012 07:27:13 - 0500
    Erhalten: von dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) von ms.externalemail.com mit MailEnable ESMTP; Di 6 Mar 2012 07:27:08-0500
    Erhalten: von apache von intuit.com mit local (Exim 4.67)
    (Umschlag von)
    ID GJMV8N-8BERQW-93
    zum ; Di 6 Mar 2012 19:27:05 +0700
    Zu:
    Betreff: Ihre Intuit.com-Rechnung.
    X-PHP-Script: intuit.com/sendmail.php für 118.68.152.212
    Von: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-Priorität: 1
    MIME-Version: 1.0
    Inhaltstyp: Multipart / Alternative;
    Grenze = ”- 03060500702080404010506"
    Nachrichten ID:
    Datum: Di 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    In diesem Beispiel wurde keine Mail-Client-Anwendung verwendet, sondern ein PHP-Skript mit der Quell-IP-Adresse 118.68.152.212.

    Zu:
    Betreff: Ihre Intuit.com-Rechnung.
    X-PHP-Script: intuit.com/sendmail.php für 118.68.152.212
    Von: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-Priorität: 1
    MIME-Version: 1.0
    Inhaltstyp: Multipart / Alternative;
    Grenze = ”- 03060500702080404010506"
    Nachrichten ID:
    Datum: Di 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Wenn wir uns den ersten E-Mail-Hop ansehen, scheint er jedoch legitim zu sein, da der Domänenname des sendenden Servers mit der E-Mail-Adresse übereinstimmt. Seien Sie jedoch vorsichtig, da ein Spammer ihren Server leicht "intuit.com" nennen könnte..

    Erhalten: von apache von intuit.com mit local (Exim 4.67)
    (Umschlag von)
    ID GJMV8N-8BERQW-93
    zum ; Di 6 Mar 2012 19:27:05 +0700

    Die Untersuchung des nächsten Schritts zerbröckelt dieses Kartenhaus. Der zweite Hop (wo er von einem legitimen E-Mail-Server empfangen wird) zeigt an, dass der sendende Server in die Domäne "dynamic-pool-xxx.hcm.fpt.vn" und nicht auf "intuit.com" mit derselben IP-Adresse aufgelöst wird im PHP-Skript angegeben.

    Erhalten: von dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) von ms.externalemail.com mit MailEnable ESMTP; Di 6 Mar 2012 07:27:08-0500

    Durch das Anzeigen der IP-Adressinformationen wird der Verdacht bestätigt, dass sich der Standort des Mail-Servers wieder in Vietnam auflöst.

    Während dieses Beispiel etwas klüger ist, können Sie sehen, wie schnell der Betrug mit nur einer kleinen Untersuchung aufgedeckt wird.

    Fazit

    Während das Anzeigen von E-Mail-Kopfzeilen wahrscheinlich nicht zu Ihren typischen täglichen Bedürfnissen gehört, gibt es Fälle, in denen die darin enthaltenen Informationen sehr wertvoll sein können. Wie wir oben gezeigt haben, können Sie leicht maskierte Sender als etwas identifizieren, das sie nicht sind. Bei einem sehr gut ausgeführten Betrug, bei dem visuelle Hinweise überzeugen, ist es äußerst schwierig (wenn nicht unmöglich), sich als E-Mail-Server auszugeben. Durch das Überprüfen der Informationen in den E-Mail-Kopfzeilen können schnell Schikanen aufgedeckt werden.

    Links

    Laden Sie IPNetInfo von Nirsoft herunter