الصفحة الرئيسية » howto » ما الذي يمكنك العثور عليه في عنوان البريد الإلكتروني؟

    ما الذي يمكنك العثور عليه في عنوان البريد الإلكتروني؟

    كلما تلقيت بريدًا إلكترونيًا ، هناك ما هو أكثر بكثير مما تراه العين. في حين أنك لا تولي اهتمامًا إلا للعناوين من العنوان ، ونص موضوع الرسالة ونصها ، فهناك الكثير من المعلومات المتاحة "تحت غطاء محرك البحث" لكل رسالة بريد إلكتروني والتي يمكن أن توفر لك ثروة من المعلومات الإضافية.

    لماذا عناء البحث في رأس البريد الإلكتروني?

    هذا سؤال جيد جدا. بالنسبة للجزء الأكبر ، لن تحتاج في أي وقت مضى إلا إلى:

    • تشك في أن رسالة إلكترونية هي محاولة تصيد احتيالي أو محاكاة ساخرة
    • تريد عرض معلومات التوجيه على مسار البريد الإلكتروني
    • أنت غريب المهوس

    بغض النظر عن أسبابك ، فإن قراءة رؤوس البريد الإلكتروني في الواقع أمر سهل للغاية ويمكن أن تكون كاشفة للغاية.

    ملاحظة متعلقة بالمواد: بالنسبة إلى لقطات الشاشة والبيانات ، سنستخدم Gmail ، ولكن يجب على كل عميل بريد آخر تقديم هذه المعلومات نفسها أيضًا.

    عرض رأس البريد الإلكتروني

    في Gmail ، اعرض البريد الإلكتروني. في هذا المثال ، سنستخدم البريد الإلكتروني أدناه.

    ثم انقر فوق السهم الموجود في الزاوية العلوية اليمنى وحدد إظهار الأصل.

    ستحتوي النافذة الناتجة على بيانات رأس البريد الإلكتروني بالنص العادي.

    ملاحظة: في جميع بيانات رأس البريد الإلكتروني التي أعرضها أدناه ، قمت بتغيير عنوان Gmail الخاص بي لإظهاره كـ [email protected] وعنوان البريد الإلكتروني الخارجي الخاص بي لإظهاره [email protected] و [email protected] وكذلك ملثمين عنوان IP لخوادم البريد الإلكتروني الخاصة بي.

    تم تسليمها إلى: [email protected]
    تم الاستلام: بواسطة 10.60.14.3 مع معرف SMTP l3csp18666oec ؛
    الثلاثاء ، 6 مارس 2012 08:30:51 -0800 (PST)
    تم الاستلام: بواسطة 10.68.125.129 باستخدام معرف SMTP mq1mr1963003pbb.21.1331051451044؛
    الثلاثاء ، 06 مارس 2012 08:30:51 -0800 (PST)
    مسار العودة:
    تم الاستلام: من exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    بواسطة mx.google.com باستخدام معرّف SMTP l7si25161491pbd.80.2012.03.06.08.30.49 ؛
    الثلاثاء ، 06 مارس 2012 08:30:50 -0800 (PST)
    Received-SPF: neutral (google.com: 64.18.2.16 غير مسموح به ولا مرفوض من خلال أفضل سجل تخمين لنطاق [email protected]) client-ip = 64.18.2.16؛
    نتائج المصادقة: mx.google.com؛ spf = neutral (google.com: 64.18.2.16 غير مسموح به ولا مرفوض من خلال أفضل سجل تخمين لنطاق [email protected]) [email protected]
    تم الاستلام: من mail.externalemail.com ([XXX.XXX.XXX.XXX]) (باستخدام TLSv1) بواسطة exprod7ob119.postini.com ([64.18.6.12]) مع SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]؛ الثلاثاء ، 06 مارس 2012 08:30:50 بتوقيت المحيط الهادي
    تم الاستلام: من MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) بواسطة
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3٪ 11]) مع mapi؛ الثلاثاء 6 مارس
    2012 11:30:48 -0500
    من: جايسون فولكنر
    إلى: "[email protected]"
    التاريخ: الثلاثاء ، 6 مارس 2012 11:30:48 -0500
    الموضوع: هذا البريد الإلكتروني شرعي
    Thread-Topic: هذا هو بريد إلكتروني شرعي
    مؤشر ترابط مؤشر ترابط: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    معرف الرسالة:
    قبول اللغة: en-US
    محتوى المحتوى: en-US
    X-MS-له-إرفاق:
    X-MS-TNEF-خاسسرح:
    acceptlanguage: en-US
    نوع المحتوى: multipart / alternative؛
    الحدود = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Version: 1.0

    عندما تقرأ رأسًا على عنوان البريد الإلكتروني ، تكون البيانات بترتيب زمني عكسي ، مما يعني أن المعلومات في الجزء العلوي هي أحدث الأحداث. إذا كنت تريد تتبع البريد الإلكتروني من المرسل إلى المستلم ، فابدأ في الأسفل. من خلال فحص رؤوس رسائل البريد الإلكتروني هذه ، يمكننا رؤية العديد من الأشياء.

    هنا نرى المعلومات التي تم إنشاؤها بواسطة العميل المرسلة. في هذه الحالة ، تم إرسال البريد الإلكتروني من Outlook ، لذا فهذا هو البيانات الوصفية التي يضيفها Outlook.

    من: جايسون فولكنر
    إلى: "[email protected]"
    التاريخ: الثلاثاء ، 6 مارس 2012 11:30:48 -0500
    الموضوع: هذا البريد الإلكتروني شرعي
    Thread-Topic: هذا هو بريد إلكتروني شرعي
    مؤشر ترابط مؤشر ترابط: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    معرف الرسالة:
    قبول اللغة: en-US
    محتوى المحتوى: en-US
    X-MS-له-إرفاق:
    X-MS-TNEF-خاسسرح:
    acceptlanguage: en-US
    نوع المحتوى: multipart / alternative؛
    الحدود = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Version: 1.0

    يتتبع الجزء التالي المسار الذي يأخذه البريد الإلكتروني من الخادم المرسل إلى الخادم الوجهة. ضع في اعتبارك أن هذه الخطوات (أو القفزات) مدرجة بترتيب زمني عكسي. لقد وضعنا العدد المعني بجوار كل خطوة لتوضيح الترتيب. لاحظ أن كل قفزة تعرض تفاصيل حول عنوان IP واسم DNS العكسي المعني.

    تم تسليمها إلى: [email protected]
    [6] تم الاستلام: بواسطة 10.60.14.3 مع معرف SMTP l3csp18666oec ؛
    الثلاثاء ، 6 مارس 2012 08:30:51 -0800 (PST)
    [5] تم الاستلام: بواسطة 10.68.125.129 باستخدام معرف SMTP mq1mr1963003pbb.21.1331051451044؛
    الثلاثاء ، 06 مارس 2012 08:30:51 -0800 (PST)
    مسار العودة:
    [4] تم الاستلام: من exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    بواسطة mx.google.com باستخدام معرّف SMTP l7si25161491pbd.80.2012.03.06.08.30.49 ؛
    الثلاثاء ، 06 مارس 2012 08:30:50 -0800 (PST)
    [3] Received-SPF: neutral (google.com: 64.18.2.16 غير مسموح به ولا مرفوض من خلال أفضل سجل تخمين لنطاق [email protected]) client-ip = 64.18.2.16؛
    نتائج المصادقة: mx.google.com؛ spf = neutral (google.com: 64.18.2.16 غير مسموح به ولا مرفوض من خلال أفضل سجل تخمين لنطاق [email protected]) [email protected]
    [2] تم الاستلام: من mail.externalemail.com ([XXX.XXX.XXX.XXX]) (باستخدام TLSv1) بواسطة exprod7ob119.postini.com ([64.18.6.12]) مع SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]؛ الثلاثاء ، 06 مارس 2012 08:30:50 بتوقيت المحيط الهادي
    [1] تم الاستلام: من MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) بواسطة
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3٪ 11]) مع mapi؛ الثلاثاء 6 مارس
    2012 11:30:48 -0500

    في حين أن هذا أمر بسيط بالنسبة إلى البريد الإلكتروني الشرعي ، إلا أن هذه المعلومات يمكن أن تكون مؤثرة تمامًا عندما يتعلق الأمر بدراسة الرسائل غير المرغوب فيها أو رسائل البريد الإلكتروني التصيدية.

    فحص البريد الإلكتروني التصيد - مثال 1

    في المثال الأول للتصيد الاحتيالي ، سنفحص رسالة إلكترونية تعتبر محاولة تصيد واضحة. في هذه الحالة ، يمكننا تحديد هذه الرسالة على أنها مجرد احتيال من خلال المؤشرات المرئية ، ولكن من أجل الممارسة ، سنلقي نظرة على علامات التحذير في العناوين.

    تم تسليمها إلى: [email protected]
    تم الاستلام: بواسطة 10.60.14.3 مع معرف SMTP l3csp12958oec ؛
    الاثنين ، 5 مارس 2012 23:11:29 -0800 (PST)
    تم الاستلام: بواسطة 10.236.46.164 مع معرف SMTP r24mr7411623yhb.101.1331017888982 ؛
    الاثنين ، 05 مارس 2012 23:11:28 -0800 (PST)
    مسار العودة:
    تم الاستلام: من ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    بواسطة mx.google.com باستخدام ESMTP id t19si8451178ani.110.2012.03.05.23.11.28 ؛
    الاثنين ، 05 مارس 2012 23:11:28 -0800 (PST)
    Received-SPF: fail (google.com: domain of [email protected] لم يتم تعيين XXX.XXX.XXX.XXX كمرسل مسموح به) client-ip = XXX.XXX.XXX.XXX؛
    نتائج المصادقة: mx.google.com؛ spf = hardfail (google.com: domain of [email protected] لا يحدد XXX.XXX.XXX كمرسل مسموح به) [email protected]
    تم الاستلام: مع MailEnable Postoffice Connector؛ الثلاثاء ، 6 مارس 2012 02:11:20 -0500
    تم الاستلام: من mail.lovingtour.com ([211.166.9.218]) بواسطة ms.externalemail.com مع MailEnable ESMTP؛ الثلاثاء ، 6 مارس 2012 02:11:10 -0500
    تم الاستلام: من المستخدم ([118.142.76.58])
    بواسطة mail.lovingtour.com
    . الاثنين ، 5 مارس 2012 21:38:11 +0800
    معرف الرسالة:
    الرد على:
    من: "[email protected]"
    الموضوع: اشعار
    التاريخ: الاثنين ، 5 مارس 2012 21:20:57 +0800
    MIME-Version: 1.0
    نوع المحتوى: multipart / mixed؛
    الحدود = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Priority: 3
    X-MSMail-Priority: عادي
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: تم إنتاجه بواسطة Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    أول علامة حمراء موجودة في منطقة معلومات العميل. لاحظ هنا البيانات الوصفية وأضاف مراجع Outlook Express. من غير المحتمل أن تتأخر فيزا إلى حد بعيد في الأوقات التي يكون فيها لديها شخص يرسل رسائل البريد الإلكتروني يدويًا باستخدام عميل بريد إلكتروني عمره 12 عامًا.

    الرد على:
    من: "[email protected]"
    الموضوع: اشعار
    التاريخ: الاثنين ، 5 مارس 2012 21:20:57 +0800
    MIME-Version: 1.0
    نوع المحتوى: multipart / mixed؛
    الحدود = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X-Priority: 3
    X-MSMail-Priority: عادي
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: تم إنتاجه بواسطة Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    الآن فحص أول قفزة في توجيه البريد الإلكتروني يكشف عن أن المرسل كان موجودًا على عنوان IP 118.142.76.58 وتم ترحيل بريده الإلكتروني من خلال mail server mail.lovingtour.com.

    تم الاستلام: من المستخدم ([118.142.76.58])
    بواسطة mail.lovingtour.com
    . الاثنين ، 5 مارس 2012 21:38:11 +0800

    البحث عن معلومات IP باستخدام الأداة المساعدة IPNetInfo Nirsoft ، يمكننا أن نرى المرسل يقع في هونغ كونغ ويقع خادم البريد في الصين.

    وغني عن القول أن هذا مشكوك فيه بعض الشيء.

    لا تُعد بقية عمليات نقل البريد الإلكتروني ذات صلة في هذه الحالة لأنها تُظهر البريد الإلكتروني الذي يرتد حول حركة مرور الخادم الشرعية قبل تسليمه في النهاية.

    فحص البريد الإلكتروني التصيد - مثال 2

    على سبيل المثال ، يعتبر بريدنا الإلكتروني التصيد أكثر إقناعاً بكثير. هناك بعض المؤشرات البصرية هنا إذا نظرت بكدٍ بما فيه الكفاية ، ولكن مرة أخرى لأغراض هذه المقالة ، سنحدد تحقيقنا في عناوين البريد الإلكتروني.

    تم تسليمها إلى: [email protected]
    تم الاستلام: بواسطة 10.60.14.3 مع معرف SMTP l3csp15619oec ؛
    الثلاثاء ، 6 مارس 2012 04:27:20 -0800 (PST)
    تم الاستلام: بواسطة 10.236.170.165 مع معرف SMTP p25mr8672800yhl.123.1331036839870؛
    الثلاثاء ، 06 مارس 2012 04:27:19 -0800 (PST)
    مسار العودة:
    تم الاستلام: من ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    بواسطة mx.google.com مع ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19 ؛
    الثلاثاء ، 06 مارس 2012 04:27:19 -0800 (PST)
    Received-SPF: fail (google.com: domain of [email protected] لا يقوم بتعيين XXX.XXX.XXX.XXX كمرسل مسموح به) client-ip = XXX.XXX.XXX.XXX؛
    نتائج المصادقة: mx.google.com؛ spf = hardfail (google.com: domain of [email protected] لا يحدد XXX.XXX.XXX.XXX كمرسل مسموح به) [email protected]
    تم الاستلام: مع MailEnable Postoffice Connector؛ الثلاثاء ، 6 مارس 2012 07:27:13 -0500
    تم الاستلام: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP؛ الثلاثاء ، 6 مارس 2012 07:27:08 -0500
    تم الاستلام: من apache بواسطة intuit.com مع المحلي (Exim 4.67)
    (مغلف من)
    id GJMV8N-8BERQW-93
    إلى عن على ؛ الثلاثاء ، 6 مارس 2012 19:27:05 +0700
    إلى:
    الموضوع: فاتورة Intuit.com الخاصة بك.
    X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
    من: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-Priority: 1
    MIME-Version: 1.0
    نوع المحتوى: multipart / alternative؛
    = الحدود "- 03060500702080404010506"
    معرف الرسالة:
    التاريخ: الثلاثاء ، 6 مارس 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    في هذا المثال ، لم يتم استخدام تطبيق عميل البريد ، بدلاً من برنامج نصي PHP مع عنوان IP المصدر لـ 118.68.152.212.

    إلى:
    الموضوع: فاتورة Intuit.com الخاصة بك.
    X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
    من: "INTUIT INC."
    X-Sender: "INTUIT INC."
    X-Mailer: PHP
    X-Priority: 1
    MIME-Version: 1.0
    نوع المحتوى: multipart / alternative؛
    = الحدود "- 03060500702080404010506"
    معرف الرسالة:
    التاريخ: الثلاثاء ، 6 مارس 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    ومع ذلك ، عندما ننظر إلى قفز البريد الإلكتروني الأول ، يبدو أنه شرعي حيث يطابق اسم نطاق الخادم المرسل عنوان البريد الإلكتروني. ومع ذلك ، كن حذرا من هذا ك spammer يمكن بسهولة تسمية الخادم الخاص بهم "intuit.com".

    تم الاستلام: من apache بواسطة intuit.com مع المحلي (Exim 4.67)
    (مغلف من)
    id GJMV8N-8BERQW-93
    إلى عن على ؛ الثلاثاء ، 6 مارس 2012 19:27:05 +0700

    فحص الخطوة التالية ينهار هذا البيت من البطاقات. يمكنك رؤية القفزة الثانية (حيث يتم استلامها بواسطة خادم بريد إلكتروني شرعي) يعمل على حل خادم الإرسال مرة أخرى إلى المجال "dynamic-pool-xxx.hcm.fpt.vn" ، وليس "intuit.com" بنفس عنوان IP المشار إليها في السيناريو PHP.

    تم الاستلام: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP؛ الثلاثاء ، 6 مارس 2012 07:27:08 -0500

    إن عرض معلومات عنوان IP يؤكد الشك في أن موقع خادم البريد يعود إلى فيتنام.

    على الرغم من أن هذا المثال أكثر ذكاءً قليلاً ، يمكنك أن ترى السرعة التي يتم بها كشف الغش من خلال القليل من التحقيق.

    استنتاج

    على الرغم من أن عرض رؤوس الرسائل الإلكترونية ليس جزءًا من احتياجاتك اليومية اليومية ، إلا أن هناك حالات يمكن أن تكون فيها المعلومات الواردة فيها ذات قيمة كبيرة. كما رأينا أعلاه ، يمكنك بسهولة تحديد المرسلين متنكرين كشيء ليسوا كذلك. بالنسبة إلى عملية احتيال شديدة التنفيذ حيث تكون الإشارات البصرية مقنعة ، من الصعب للغاية (إن لم يكن مستحيلاً) انتحال خوادم البريد الفعلية ومراجعة المعلومات الموجودة داخل رؤوس الرسائل الإلكترونية يمكن أن تكشف بسرعة أي حيل.

    الروابط

    تنزيل IPNetInfo من Nirsoft