Setiap kali Anda menerima email, ada lebih banyak dari yang terlihat. Meskipun Anda biasanya hanya memperhatikan alamat, baris subjek dan isi pesan, ada banyak informasi yang tersedia "di bawah kap" setiap email yang dapat memberi Anda banyak informasi tambahan.
Ini pertanyaan yang sangat bagus. Untuk sebagian besar, Anda benar-benar tidak perlu kecuali jika:
Terlepas dari alasan Anda, membaca header email sebenarnya cukup mudah dan bisa sangat mengungkap.
Catatan Artikel: Untuk screenshot dan data kami, kami akan menggunakan Gmail tetapi hampir setiap klien email lain harus memberikan informasi yang sama ini juga.
Di Gmail, lihat email. Untuk contoh ini, kami akan menggunakan email di bawah ini.
Kemudian klik tanda panah di sudut kanan atas dan pilih Tampilkan asli.
Jendela yang dihasilkan akan memiliki data header email dalam teks biasa.
Catatan: Dalam semua data header email yang saya tampilkan di bawah ini, saya telah mengubah alamat Gmail saya untuk ditampilkan sebagai [email protected] dan alamat email eksternal saya untuk ditampilkan sebagai [email protected] dan [email protected] serta menutupi alamat IP dari server email saya.
Terkirim-ke: [email protected]
Diterima: oleh 10.60.14.3 dengan SMTP id l3csp18666oec;
Selasa, 6 Mar 2012 08:30:51 -0800 (PST)
Diterima: oleh 10.68.125.129 dengan SMTP id mq1mr1963003pbb.21.1331051451044;
Selasa, 06 Mar 2012 08:30:51 -0800 (PST)
Jalur-Kembali:
Diterima: dari exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
oleh mx.google.com dengan SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Selasa, 06 Mar 2012 08:30:50 -0800 (PST)
Received-SPF: neutral (google.com: 64.18.2.16 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain dari [email protected]) client-ip = 64.18.2.16;
Hasil Otentikasi: mx.google.com; spf = netral (google.com: 64.18.2.16 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain dari [email protected]) [email protected]
Diterima: dari mail.externalemail.com ([XXX.XXX.XXX.XXX]) (menggunakan TLSv1) oleh exprod7ob119.postini.com ([64.18.6.12]) dengan SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Selasa, 06 Mar 2012 08:30:50 PST
Diterima: dari MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) oleh
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) dengan mapi; Sel, 6 Maret
2012 11:30:48 -0500
Dari: Jason Faulkner
Kepada: “[email protected]”
Tanggal: Sel, 6 Mar 2012 11:30:48 -0500
Subjek: Ini adalah email resmi
Topik-Thread: Ini adalah email resmi
Indeks-Benang: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID-Pesan:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternatif;
boundary = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versi MIME: 1.0
Ketika Anda membaca sebuah header email, data dalam urutan kronologis terbalik, yang berarti info di bagian atas adalah peristiwa terbaru. Maka jika Anda ingin melacak email dari pengirim ke penerima, mulailah di bagian bawah. Memeriksa header email ini kita dapat melihat beberapa hal.
Di sini kita melihat informasi yang dihasilkan oleh klien pengirim. Dalam hal ini, email dikirim dari Outlook jadi ini adalah penambahan Outlook metadata.
Dari: Jason Faulkner
Kepada: “[email protected]”
Tanggal: Sel, 6 Mar 2012 11:30:48 -0500
Subjek: Ini adalah email resmi
Topik-Thread: Ini adalah email resmi
Indeks-Benang: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID-Pesan:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternatif;
boundary = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versi MIME: 1.0
Bagian selanjutnya menelusuri jalur yang diambil surel dari server pengiriman ke server tujuan. Perlu diingat langkah-langkah ini (atau hop) tercantum dalam urutan kronologis terbalik. Kami telah menempatkan nomor masing-masing di samping setiap lompatan untuk mengilustrasikan pesanan. Perhatikan bahwa setiap hop menunjukkan detail tentang alamat IP dan nama DNS balik masing-masing.
Terkirim-ke: [email protected]
[6] Diterima: oleh 10.60.14.3 dengan SMTP id l3csp18666oec;
Selasa, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Diterima: oleh 10.68.125.129 dengan SMTP id mq1mr1963003pbb.21.1331051451044;
Selasa, 06 Mar 2012 08:30:51 -0800 (PST)
Jalur-Kembali:
[4] Diterima: dari exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
oleh mx.google.com dengan SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Selasa, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutral (google.com: 64.18.2.16 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain dari [email protected]) client-ip = 64.18.2.16;
Hasil Otentikasi: mx.google.com; spf = netral (google.com: 64.18.2.16 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain dari [email protected]) [email protected]
[2] Diterima: dari mail.externalemail.com ([XXX.XXX.XXX.XXX]) (menggunakan TLSv1) oleh exprod7ob119.postini.com ([64.18.6.12]) dengan SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Selasa, 06 Mar 2012 08:30:50 PST
[1] Diterima: dari MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) oleh
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) dengan mapi; Sel, 6 Maret
2012 11:30:48 -0500
Meskipun ini adalah hal yang biasa untuk email yang sah, informasi ini bisa sangat jelas ketika datang untuk memeriksa email spam atau phishing.
Untuk contoh phishing pertama kami, kami akan memeriksa email yang merupakan upaya phishing yang jelas. Dalam hal ini kita dapat mengidentifikasi pesan ini sebagai penipuan hanya dengan indikator visual tetapi untuk latihan kita akan melihat tanda-tanda peringatan di dalam header.
Terkirim-ke: [email protected]
Diterima: oleh 10.60.14.3 dengan SMTP id l3csp12958oec;
Sen, 5 Mar 2012 23:11:29 -0800 (PST)
Diterima: oleh 10.236.46.164 dengan SMTP id r24mr7411623yhb.101.1331017888982;
Senin, 05 Maret 2012 23:11:28 -0800 (PST)
Jalur-Kembali:
Diterima: dari ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
oleh mx.google.com dengan ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Senin, 05 Maret 2012 23:11:28 -0800 (PST)
Received-SPF: fail (google.com: domain [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) client-ip = XXX.XXX.XXX.XXX;
Hasil Otentikasi: mx.google.com; spf = hardfail (google.com: domain [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) [email protected]
Diterima: dengan Konektor Postoffice MailEnable; Selasa, 6 Mar 2012 02:11:20 -0500
Diterima: dari mail.lovingtour.com ([211.166.9.218]) oleh ms.externalemail.com dengan MailEnable ESMTP; Selasa, 6 Mar 2012 02:11:10 -0500
Diterima: dari Pengguna ([118.142.76.58])
melalui mail.lovingtour.com
; Sen, 5 Mar 2012 21:38:11 +0800
ID-Pesan:
Membalas ke:
Dari: “[email protected]”
Subjek: Pemberitahuan
Tanggal: Sen, 5 Mar 2012 21:20:57 +0800
Versi MIME: 1.0
Content-Type: multipart / campuran;
boundary = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritas: 3
X-MSMail-Prioritas: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Diproduksi Oleh Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Bendera merah pertama ada di area informasi klien. Perhatikan di sini metadata menambahkan referensi Outlook Express. Tidaklah mungkin bahwa Visa berada jauh di belakang waktu ketika mereka memiliki seseorang yang mengirim email secara manual menggunakan klien email berusia 12 tahun.
Membalas ke:
Dari: “[email protected]”
Subjek: Pemberitahuan
Tanggal: Sen, 5 Mar 2012 21:20:57 +0800
Versi MIME: 1.0
Content-Type: multipart / campuran;
boundary = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Prioritas: 3
X-MSMail-Prioritas: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Diproduksi Oleh Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0,000000
Sekarang memeriksa hop pertama dalam perutean email mengungkapkan bahwa pengirim berada di alamat IP 118.142.76.58 dan email mereka disampaikan melalui mail server mail.lovingtour.com.
Diterima: dari Pengguna ([118.142.76.58])
melalui mail.lovingtour.com
; Sen, 5 Mar 2012 21:38:11 +0800
Mencari informasi IP menggunakan utilitas IPNetInfo Nirsoft, kita dapat melihat pengirim berada di Hong Kong dan server email berada di China.
Tak perlu dikatakan ini sedikit mencurigakan.
Sisa dari hop email tidak benar-benar relevan dalam kasus ini karena mereka menunjukkan email terpental di sekitar lalu lintas server yang sah sebelum akhirnya dikirimkan.
Untuk contoh ini, email phishing kami jauh lebih meyakinkan. Ada beberapa indikator visual di sini jika Anda melihat cukup keras, tetapi sekali lagi untuk keperluan artikel ini kita akan membatasi penyelidikan kami ke header email.
Terkirim-ke: [email protected]
Diterima: oleh 10.60.14.3 dengan SMTP id l3csp15619oec;
Selasa, 6 Mar 2012 04:27:20 -0800 (PST)
Diterima: oleh 10.236.170.165 dengan SMTP id p25mr8672800yhl.123.1331036839870;
Selasa, 06 Mar 2012 04:27:19 -0800 (PST)
Jalur-Kembali:
Diterima: dari ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
oleh mx.google.com dengan ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Selasa, 06 Mar 2012 04:27:19 -0800 (PST)
Received-SPF: fail (google.com: domain dari [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) client-ip = XXX.XXX.XXX.XXX;
Hasil Otentikasi: mx.google.com; spf = hardfail (google.com: domain [email protected] tidak menunjuk XXX.XXX.XXX.XXX sebagai pengirim yang diizinkan) [email protected]
Diterima: dengan Konektor Postoffice MailEnable; Selasa, 6 Mar 2012 07:27:13 -0500
Diterima: dari dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) oleh ms.externalemail.com dengan ESMTP MailEnable; Sel, 6 Mar 2012 07:27:08 -0500
Diterima: dari apache oleh intuit.com dengan lokal (Exim 4.67)
(amplop-dari)
id GJMV8N-8BERQW-93
untuk; Sel, 6 Mar 2012 19:27:05 +0700
Untuk:
Subjek: faktur Intuit.com Anda.
X-PHP-Script: intuit.com/sendmail.php untuk 118.68.152.212
Dari: “INTUIT INC.”
X-Pengirim: “INTUIT INC.”
X-Mailer: PHP
X-Prioritas: 1
Versi MIME: 1.0
Content-Type: multipart / alternatif;
boundary = ”- 03060500702080404010506"
Id-Pesan:
Tanggal: Sel, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Dalam contoh ini, aplikasi klien email tidak digunakan, melainkan skrip PHP dengan alamat IP sumber 118.68.152.212.
Untuk:
Subjek: faktur Intuit.com Anda.
X-PHP-Script: intuit.com/sendmail.php untuk 118.68.152.212
Dari: “INTUIT INC.”
X-Pengirim: “INTUIT INC.”
X-Mailer: PHP
X-Prioritas: 1
Versi MIME: 1.0
Content-Type: multipart / alternatif;
boundary = ”- 03060500702080404010506"
Id-Pesan:
Tanggal: Sel, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000
Namun, ketika kami melihat email pertama hop tampaknya sah karena nama domain server pengirim cocok dengan alamat email. Namun, berhati-hatilah dengan hal ini karena spammer dapat dengan mudah menamai server mereka “intuit.com”.
Diterima: dari apache oleh intuit.com dengan lokal (Exim 4.67)
(amplop-dari)
id GJMV8N-8BERQW-93
untuk; Sel, 6 Mar 2012 19:27:05 +0700
Memeriksa langkah berikutnya akan menghancurkan rumah kartu ini. Anda dapat melihat hop kedua (di mana ia diterima oleh server email yang sah) menyelesaikan server pengiriman kembali ke domain "dynamic-pool-xxx.hcm.fpt.vn", bukan "intuit.com" dengan alamat IP yang sama ditunjukkan dalam skrip PHP.
Diterima: dari dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) oleh ms.externalemail.com dengan ESMTP MailEnable; Sel, 6 Mar 2012 07:27:08 -0500
Melihat informasi alamat IP menegaskan kecurigaan sebagai lokasi server email kembali ke Viet Nam.
Meskipun contoh ini sedikit lebih pintar, Anda dapat melihat seberapa cepat penipuan terungkap dengan hanya sedikit investigasi.
Saat melihat header email mungkin bukan bagian dari kebutuhan sehari-hari Anda yang khas, ada beberapa kasus di mana informasi yang terkandung di dalamnya dapat sangat berharga. Seperti yang kami tunjukkan di atas, Anda dapat dengan mudah mengidentifikasi pengirim yang menyamar sebagai sesuatu yang tidak. Untuk scam yang dieksekusi dengan sangat baik di mana isyarat visual meyakinkan, sangat sulit (jika tidak mustahil) untuk meniru server surat yang sebenarnya dan meninjau informasi di dalam header email dapat dengan cepat mengungkapkan ketidakjujuran apa pun.
Unduh IPNetInfo dari Nirsoft
