Mengapa Bother Melihat ke Header Email?
Ini pertanyaan yang sangat bagus. Untuk sebagian besar, Anda benar-benar tidak perlu kecuali:
- Anda menduga email adalah upaya phishing atau spoof
- Anda ingin melihat informasi routing pada jalur email
- Anda adalah seorang geek penasaran
Terlepas dari alasan Anda, membaca header email sebenarnya cukup mudah dan bisa sangat mengungkap.
Catatan Artikel: Untuk screenshot dan data kami, kami akan menggunakan Gmail tetapi hampir setiap klien email lain harus memberikan informasi yang sama ini juga.
Melihat Header Email
Di Gmail, lihat email. Untuk contoh ini, kami akan menggunakan email di bawah ini.
Catatan: Dalam semua data header email yang saya tampilkan di bawah ini, saya telah mengubah alamat Gmail saya untuk ditampilkan sebagai [email protected] dan alamat email eksternal saya untuk ditampilkan sebagai [email protected] dan [email protected] serta menutupi alamat IP dari server email saya.
Terkirim-ke: [email protected] Diterima: oleh 10.60.14.3 dengan SMTP id l3csp18666oec; Selasa, 6 Mar 2012 08:30:51 -0800 (PST) Diterima: oleh 10.68.125.129 dengan SMTP id mq1mr1963003pbb.21.1331051451044; Selasa, 06 Mar 2012 08:30:51 -0800 (PST) Jalur-Kembali:
Ketika Anda membaca sebuah header email, data dalam urutan kronologis terbalik, yang berarti info di bagian atas adalah peristiwa terbaru. Maka jika Anda ingin melacak email dari pengirim ke penerima, mulailah di bagian bawah. Memeriksa header email ini kita dapat melihat beberapa hal.
Di sini kita melihat informasi yang dihasilkan oleh klien pengirim. Dalam hal ini, email dikirim dari Outlook jadi ini adalah penambahan Outlook metadata.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Bagian selanjutnya menelusuri jalur yang diambil surel dari server pengiriman ke server tujuan. Perlu diingat langkah-langkah ini (atau hop) tercantum dalam urutan kronologis terbalik. Kami telah menempatkan nomor masing-masing di samping setiap lompatan untuk mengilustrasikan pesanan. Perhatikan bahwa setiap hop menunjukkan detail tentang alamat IP dan nama DNS balik masing-masing.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Meskipun ini adalah hal yang biasa untuk email yang sah, informasi ini bisa sangat jelas ketika datang untuk memeriksa email spam atau phishing.
Memeriksa Email Phishing - Contoh 1
Untuk contoh phishing pertama kami, kami akan memeriksa email yang merupakan upaya phishing yang jelas. Dalam hal ini kita dapat mengidentifikasi pesan ini sebagai penipuan hanya dengan indikator visual tetapi untuk latihan kita akan melihat tanda-tanda peringatan di dalam header.
Terkirim-ke: [email protected] Diterima: oleh 10.60.14.3 dengan SMTP id l3csp12958oec; Sen, 5 Mar 2012 23:11:29 -0800 (PST) Diterima: oleh 10.236.46.164 dengan SMTP id r24mr7411623yhb.101.1331017888982; Senin, 05 Maret 2012 23:11:28 -0800 (PST) Jalur-Kembali:
Bendera merah pertama ada di area informasi klien. Perhatikan di sini metadata menambahkan referensi Outlook Express. Tidaklah mungkin bahwa Visa berada jauh di belakang waktu ketika mereka memiliki seseorang yang mengirim email secara manual menggunakan klien email berusia 12 tahun.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Sekarang memeriksa hop pertama dalam perutean email mengungkapkan bahwa pengirim berada di alamat IP 118.142.76.58 dan email mereka disampaikan melalui mail server mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Mencari informasi IP menggunakan utilitas IPNetInfo Nirsoft, kita dapat melihat pengirimnya berlokasi di Hong Kong dan server email berada di China.
Sisa dari hop email tidak benar-benar relevan dalam kasus ini karena mereka menunjukkan email terpental di sekitar lalu lintas server yang sah sebelum akhirnya dikirimkan.
Memeriksa Email Phishing - Contoh 2
Untuk contoh ini, email phishing kami jauh lebih meyakinkan. Ada beberapa indikator visual di sini jika Anda melihat cukup keras, tetapi sekali lagi untuk keperluan artikel ini kita akan membatasi penyelidikan kami ke header email.
Terkirim-ke: [email protected] Diterima: oleh 10.60.14.3 dengan SMTP id l3csp15619oec; Selasa, 6 Mar 2012 04:27:20 -0800 (PST) Diterima: oleh 10.236.170.165 dengan SMTP id p25mr8672800yhl.123.1331036839870; Selasa, 06 Mar 2012 04:27:19 -0800 (PST) Jalur-Kembali:
Dalam contoh ini, aplikasi klien email tidak digunakan, melainkan skrip PHP dengan alamat IP sumber 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Namun, ketika kami melihat email pertama hop tampaknya sah karena nama domain server pengirim cocok dengan alamat email. Namun, berhati-hatilah dengan hal ini karena spammer dapat dengan mudah menamai server mereka “intuit.com”.
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Memeriksa langkah berikutnya akan menghancurkan rumah kartu ini. Anda dapat melihat hop kedua (di mana ia diterima oleh server email yang sah) menyelesaikan server pengiriman kembali ke domain "dynamic-pool-xxx.hcm.fpt.vn", bukan "intuit.com" dengan alamat IP yang sama ditunjukkan dalam skrip PHP.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Melihat informasi alamat IP mengkonfirmasi kecurigaan saat lokasi server email kembali ke Viet Nam.
Kesimpulan
Saat melihat tajuk email mungkin bukan bagian dari kebutuhan sehari-hari Anda yang khas, ada beberapa kasus di mana informasi yang terkandung di dalamnya dapat sangat berharga. Seperti yang kami tunjukkan di atas, Anda dapat dengan mudah mengidentifikasi pengirim yang menyamar sebagai sesuatu yang tidak. Untuk scam yang dieksekusi dengan sangat baik di mana isyarat visual meyakinkan, sangat sulit (jika tidak mustahil) untuk meniru server surat yang sebenarnya dan meninjau informasi di dalam header email dapat dengan cepat mengungkapkan ketidakjujuran apa pun.
Tautan
Unduh IPNetInfo dari Nirsoft
