एक ईमेल शीर्षलेख पर परेशान क्यों परेशान?
यह एक बहुत अच्छा सवाल है। अधिकांश भाग के लिए, आपको वास्तव में कभी भी आवश्यकता नहीं होगी जब तक कि:
- आपको संदेह है कि एक ईमेल एक फ़िशिंग प्रयास या स्पूफ है
- आप ईमेल के पथ पर रूटिंग जानकारी देखना चाहते हैं
- आप एक उत्सुक गीक हैं
आपके कारणों के बावजूद, ईमेल हेडर पढ़ने वास्तव में काफी आसान है और बहुत खुलासा हो सकता है।
अनुच्छेद नोट: हमारे स्क्रीनशॉट और डेटा के लिए, हम जीमेल का उपयोग करेंगे लेकिन लगभग हर दूसरे मेल क्लाइंट को भी यही जानकारी प्रदान करनी चाहिए।
ईमेल शीर्षलेख देखना
जीमेल में, ईमेल देखें। इस उदाहरण के लिए, हम नीचे दिए गए ईमेल का उपयोग करेंगे।
नोट: नीचे दिए गए सभी ईमेल हेडर डेटा में मैंने दिखाया है कि मैंने अपना जीमेल पता बदल दिया है [email protected] और मेरे बाहरी ईमेल पते के रूप में दिखाने के लिए [email protected] तथा [email protected] साथ ही साथ मेरे ईमेल सर्वर के आईपी पते को मुखौटा किया।
वितरित करने के लिए: [email protected] प्राप्त: एसएमटीपी आईडी l3csp18666oec के साथ 10.60.14.3 द्वारा; मंगलवार, 6 मार्च 2012 08:30:51 -0800 (पीएसटी) प्राप्त: एसएमटीपी आईडी mq1mr1963003pbb.21.1331051451044 के साथ 10.68.125.129 द्वारा; मंगलवार, 06 मार्च 2012 08:30:51 -0800 (पीएसटी) वापसी का पथ:
जब आप एक ईमेल हेडर पढ़ते हैं, तो डेटा रिवर्स क्रोनोलॉजिकल ऑर्डर में होता है, जिसका अर्थ है शीर्ष पर जानकारी सबसे हालिया घटना है। अगर आप प्रेषक से प्राप्तकर्ता को ईमेल का पता लगाना चाहते हैं, तो नीचे शुरू करें। इस ईमेल के शीर्षकों की जांच करना हम कई चीजें देख सकते हैं।
यहां हम भेजने वाले ग्राहक द्वारा उत्पन्न जानकारी देखते हैं। इस मामले में, ईमेल को Outlook से भेजा गया था, इसलिए यह मेटाडेटा Outlook जोड़ता है।
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
अगला भाग प्रेषण सर्वर से गंतव्य सर्वर पर ले जाने वाले पथ का पता लगाता है। ध्यान रखें इन चरणों (या होप्स) को विपरीत कालक्रम क्रम में सूचीबद्ध किया गया है। हमने ऑर्डर को चित्रित करने के लिए प्रत्येक हॉप के बगल में संबंधित नंबर रखा है। ध्यान दें कि प्रत्येक हॉप आईपी पते और संबंधित रिवर्स DNS नाम के बारे में विस्तार से पता चलता है।
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
हालांकि यह वैध ईमेल के लिए बहुत अधिक प्रचलित है, लेकिन यह जानकारी स्पैम या फ़िशिंग ईमेल की जांच करने के लिए काफी कह सकती है।
फ़िशिंग ईमेल की जांच करना - उदाहरण 1
हमारे पहले फ़िशिंग उदाहरण के लिए, हम एक ईमेल की जांच करेंगे जो एक स्पष्ट फ़िशिंग प्रयास है। इस मामले में हम इस संदेश को केवल दृश्य संकेतकों द्वारा धोखाधड़ी के रूप में पहचान सकते हैं लेकिन अभ्यास के लिए हम शीर्षकों के भीतर चेतावनी संकेतों को देखेंगे।
वितरित करने के लिए: [email protected] प्राप्त: एसएमटीपी आईडी l3csp12958oec के साथ 10.60.14.3 द्वारा; सोम, 5 मार्च 2012 23:11:29 -0800 (पीएसटी) प्राप्त: एसएमटीपी आईडी r24mr7411623yhb.101.1331017888982 के साथ 10.236.46.164 द्वारा; सोम, 05 मार्च 2012 23:11:28 -0800 (पीएसटी) वापसी का पथ:
पहला लाल झंडा ग्राहक सूचना क्षेत्र में है। यहां मेटाडेटा संदर्भ संदर्भ आउटलुक एक्सप्रेस पर ध्यान दें। यह संभावना नहीं है कि वीज़ा इतनी दूर है कि उनके पास 12 साल के ईमेल क्लाइंट का उपयोग करके मैन्युअल रूप से ईमेल भेज रहे हैं।
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
अब ईमेल रूटिंग में पहली हॉप की जांच से पता चलता है कि प्रेषक आईपी पते 118.142.76.58 पर स्थित था और उनका ईमेल मेल सर्वर मेल.lovingtour.com के माध्यम से रिले किया गया था।
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Nirsoft की IPNetInfo उपयोगिता का उपयोग करके आईपी जानकारी को देखते हुए, हम देख सकते हैं कि प्रेषक हांगकांग में स्थित था और मेल सर्वर चीन में स्थित है।
शेष ईमेल होप्स इस मामले में वास्तव में प्रासंगिक नहीं हैं क्योंकि वे आखिरकार वितरित होने से पहले वैध सर्वर यातायात के आसपास ईमेल उछालते हैं।
एक फ़िशिंग ईमेल की जांच - उदाहरण 2
इस उदाहरण के लिए, हमारे फ़िशिंग ईमेल अधिक विश्वसनीय हैं। यदि आप काफी मेहनत करते हैं तो यहां कुछ दृश्य संकेतक हैं, लेकिन फिर इस आलेख के प्रयोजनों के लिए हम ईमेल शीर्षकों पर हमारी जांच को सीमित करने जा रहे हैं।
वितरित करने के लिए: [email protected] प्राप्त: एसएमटीपी आईडी l3csp15619oec के साथ 10.60.14.3 द्वारा; मंगलवार, 6 मार्च 2012 04:27:20 -0800 (पीएसटी) प्राप्त: एसएमटीपी आईडी p25mr8672800yhl.123.1331036839870 के साथ 10.236.170.165 द्वारा; मंगलवार, 06 मार्च 2012 04:27:19 -0800 (पीएसटी) वापसी का पथ:
इस उदाहरण में, मेल क्लाइंट एप्लिकेशन का उपयोग नहीं किया गया था, बल्कि 118.68.152.212 के स्रोत आईपी पते के साथ एक PHP स्क्रिप्ट।
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
हालांकि, जब हम पहली ईमेल हॉप देखते हैं तो यह कानूनी लगता है क्योंकि प्रेषण सर्वर का डोमेन नाम ईमेल पते से मेल खाता है। हालांकि, इस बारे में सावधान रहें क्योंकि एक स्पैमर आसानी से अपने सर्वर "intuit.com" नाम दे सकता है।
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
अगले चरण की जांच कार्ड के इस घर crumbles। आप दूसरी हॉप (जहां यह एक वैध ईमेल सर्वर द्वारा प्राप्त किया जाता है) देख सकता है भेजने वाले सर्वर को "गतिशील-pool-xxx.hcm.fpt.vn" डोमेन पर वापस ले जाता है, न कि "intuit.com" एक ही आईपी पते के साथ PHP स्क्रिप्ट में इंगित किया गया।
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
आईपी पता जानकारी देखना संदेह की पुष्टि करता है क्योंकि मेल सर्वर का स्थान वियतनाम में वापस हल हो जाता है।
निष्कर्ष
ईमेल हेडर देखने के दौरान शायद आपके सामान्य दिन की ज़रूरतों का एक हिस्सा नहीं है, ऐसे मामले हैं जहां उनमें निहित जानकारी काफी मूल्यवान हो सकती है। जैसा कि हमने ऊपर दिखाया है, आप आसानी से प्रेषकों को कुछ ऐसी चीज के रूप में पहचान सकते हैं जो वे नहीं हैं। एक बहुत ही अच्छी तरह से निष्पादित घोटाले के लिए जहां दृश्य संकेत विश्वसनीय हैं, वास्तविक मेल सर्वर का प्रतिरूपण करना और ईमेल शीर्षकों के अंदर की जानकारी की समीक्षा करना बेहद मुश्किल है (यदि असंभव नहीं है) तो किसी भी chicanery को तुरंत प्रकट कर सकते हैं।
लिंक
Nirsoft से IPNetInfo डाउनलोड करें
