O que você pode encontrar em um cabeçalho de e-mail?
Sempre que você recebe um email, há muito mais do que aparenta. Enquanto você normalmente só presta atenção ao endereço de saída, linha de assunto e corpo da mensagem, há muito mais informações disponíveis "sob o capô" de cada e-mail que podem fornecer uma riqueza de informações adicionais.
Por que se preocupar olhando para um cabeçalho de e-mail?
Esta é uma pergunta muito boa. Na maioria das vezes, você nunca precisaria, a menos que:
- Você suspeita que um e-mail é uma tentativa de phishing ou spoof
- Você deseja visualizar informações de roteamento no caminho do email
- Você é um geek curioso
Independentemente dos seus motivos, ler cabeçalhos de e-mail é realmente muito fácil e pode ser muito revelador.
Nota do Artigo: Para as nossas capturas de tela e dados, estaremos usando o Gmail, mas praticamente todos os outros clientes de e-mail devem fornecer essas mesmas informações também.
Visualizando o cabeçalho do email
No Gmail, veja o email. Para este exemplo, usaremos o email abaixo.
Em seguida, clique na seta no canto superior direito e selecione Mostrar original.
A janela resultante terá os dados do cabeçalho do email em texto simples.
Observação: em todos os dados de cabeçalho de e-mail mostrados abaixo, mudei meu endereço do Gmail para mostrar como [email protected] e meu endereço de e-mail externo para mostrar como [email protected] e [email protected] bem como mascarou o endereço IP dos meus servidores de e-mail.
Entregue para: [email protected]
Recebido: por 10.60.14.3 com o ID de SMTP l3csp18666oec;
Ter, 6 de março de 2012 08:30:51 -0800 (PST)
Recebido: por 10.68.125.129 com identificação SMTP mq1mr1963003pbb.21.1331051451044;
Ter, 06 de março de 2012 08:30:51 -0800 (PST)
Return-Path:
Recebido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com com o ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Ter, 06 de março de 2012 08:30:50 -0800 (PST)
Recebido-SPF: neutral (google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) client-ip = 64.18.2.16;
Resultados de autenticação: mx.google.com; spf = neutral (google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) [email protected]
Recebido: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) com SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ter, 06 mar 2012 08:30:50 PST
Recebido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) com mapi; Ter, 6 mar
2012 11:30:48 -0500
De: Jason Faulkner
Para: “[email protected]”
Data: Ter, 6 Mar 2012 11:30:48 -0500
Assunto: Este é um email legítimo
Tópico-Tópico: Este é um email legítimo
Índice de threads: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID da mensagem:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
Correlator X-MS-TNEF:
acceptlanguage: en-US
Tipo de Conteúdo: multiparte / alternativa;
limite = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versão MIME: 1.0
Quando você lê um cabeçalho de email, os dados estão em ordem cronológica inversa, o que significa que as informações na parte superior são o evento mais recente. Portanto, se você quiser rastrear o email do remetente ao destinatário, comece na parte inferior. Examinando os cabeçalhos deste e-mail podemos ver várias coisas.
Aqui vemos as informações geradas pelo cliente de envio. Nesse caso, o email foi enviado do Outlook, então este é o metadado que o Outlook adiciona.
De: Jason Faulkner
Para: “[email protected]”
Data: Ter, 6 Mar 2012 11:30:48 -0500
Assunto: Este é um email legítimo
Tópico-Tópico: Este é um email legítimo
Índice de threads: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID da mensagem:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
Correlator X-MS-TNEF:
acceptlanguage: en-US
Tipo de Conteúdo: multiparte / alternativa;
limite = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versão MIME: 1.0
A próxima parte rastreia o caminho que o email leva do servidor de envio para o servidor de destino. Lembre-se de que essas etapas (ou saltos) estão listadas em ordem cronológica inversa. Colocamos o respectivo número ao lado de cada salto para ilustrar o pedido. Observe que cada salto mostra detalhes sobre o endereço IP e o respectivo nome DNS reverso.
Entregue para: [email protected]
[6] Recebido: por 10.60.14.3 com o ID de SMTP l3csp18666oec;
Ter, 6 de março de 2012 08:30:51 -0800 (PST)
[5] Recebido: por 10.68.125.129 com identificação SMTP mq1mr1963003pbb.21.1331051451044;
Ter, 06 de março de 2012 08:30:51 -0800 (PST)
Return-Path:
[4] Recebido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com com o ID SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Ter, 06 de março de 2012 08:30:50 -0800 (PST)
[3] Recebido-SPF: neutral (google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) client-ip = 64.18.2.16;
Resultados de autenticação: mx.google.com; spf = neutral (google.com: 64.18.2.16 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) [email protected]
[2] Recebido: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) com SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Ter, 06 mar 2012 08:30:50 PST
[1] Recebido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) com mapi; Ter, 6 mar
2012 11:30:48 -0500
Embora isso seja bastante comum para um e-mail legítimo, essas informações podem ser bastante reveladoras quando se trata de examinar e-mails de spam ou phishing..
Examinando um e-mail de phishing - exemplo 1
Para nosso primeiro exemplo de phishing, examinaremos um email que é uma tentativa de phishing óbvia. Neste caso, podemos identificar essa mensagem como uma fraude simplesmente pelos indicadores visuais, mas, para a prática, vamos dar uma olhada nos sinais de aviso dentro dos cabeçalhos..
Entregue para: [email protected]
Recebido: por 10.60.14.3 com o ID de SMTP l3csp12958oec;
Seg, 5 de março de 2012 23:11:29 -0800 (PST)
Recebido: por 10.236.46.164 com o ID SMTP r24mr7411623yhb.101.1331017888982;
Seg, 05 de março de 2012 23:11:28 -0800 (PST)
Return-Path:
Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx.google.com com o ID do ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
Seg, 05 de março de 2012 23:11:28 -0800 (PST)
Recebido-SPF: falha (google.com: domínio de [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX;
Resultados de autenticação: mx.google.com; spf = hardfail (google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected]
Recebido: com MailEnable Postoffice Connector; Ter, 6 Mar 2012 02:11:20 -0500
Recebido: de mail.lovingtour.com ([211.166.9.218]) por ms.externalemail.com com o MailEnable ESMTP; Ter, 6 Mar 2012 02:11:10 -0500
Recebido: do usuário ([118.142.76.58])
por mail.lovingtour.com
; Seg, 5 de março de 2012 21:38:11 +0800
ID da mensagem:
Responder a:
De: “[email protected]”
Assunto: Notice
Data: seg, 5 mar 2012 21:20:57 +0800
Versão MIME: 1.0
Tipo de Conteúdo: multipartido / misto;
limite = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioridade: 3
Prioridade X-MSMail: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produzido pelo Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesiano: 0,000000
A primeira bandeira vermelha está na área de informações do cliente. Observe aqui os metadados adicionados às referências do Outlook Express. É improvável que a Visa esteja tão atrasada em relação a ter alguém enviando e-mails manualmente usando um cliente de e-mail de 12 anos..
Responder a:
De: “[email protected]”
Assunto: Notice
Data: seg, 5 mar 2012 21:20:57 +0800
Versão MIME: 1.0
Tipo de Conteúdo: multipartido / misto;
limite = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-prioridade: 3
Prioridade X-MSMail: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produzido pelo Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesiano: 0,000000
Agora, examinar o primeiro salto no roteamento de e-mail revela que o remetente estava localizado no endereço IP 118.142.76.58 e seu e-mail foi retransmitido através do servidor de e-mail mail.lovingtour.com.
Recebido: do usuário ([118.142.76.58])
por mail.lovingtour.com
; Seg, 5 de março de 2012 21:38:11 +0800
Observando as informações de IP usando o utilitário IPNetInfo da Nirsoft, podemos ver que o remetente estava localizado em Hong Kong e o servidor de e-mail está localizado na China.
Escusado será dizer que isto é um pouco suspeito.
O restante dos saltos de e-mail não é relevante neste caso, pois eles mostram o e-mail se movimentando em torno do tráfego legítimo do servidor antes de finalmente serem entregues.
Examinando um e-mail de phishing - exemplo 2
Para este exemplo, nosso e-mail de phishing é muito mais convincente. Existem alguns indicadores visuais aqui, se você procurar bastante, mas, novamente, para os propósitos deste artigo, vamos limitar nossa investigação aos cabeçalhos de e-mail.
Entregue para: [email protected]
Recebido: por 10.60.14.3 com o ID de SMTP l3csp15619oec;
Ter, 6 de março de 2012 04:27:20 -0800 (PST)
Recebido: por 10.236.170.165 com identificação SMTP p25mr8672800yhl.123.1331036839870;
Ter, 06 de março de 2012 04:27:19 -0800 (PST)
Return-Path:
Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx.google.com com o ID ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Ter, 06 de março de 2012 04:27:19 -0800 (PST)
Recebido-SPF: falha (google.com: domínio de [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX;
Resultados de autenticação: mx.google.com; spf = hardfail (google.com: domain of [email protected] não designa XXX.XXX.XXX.XXX como remetente permitido) [email protected]
Recebido: com MailEnable Postoffice Connector; Ter, 6 de março de 2012, 07:27:13 -0500
Recebido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com com o MailEnable ESMTP; Ter, 6 de março de 2012, 07:27:08 -0500
Recebido: do apache por intuit.com com local (Exim 4.67)
(envelope-de)
id GJMV8N-8BERQW-93
para ; Ter, 6 de março de 2012, 19:27:05 +0700
Para:
Assunto: Sua fatura do Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: “INTUIT INC.”
X-Sender: “INTUIT INC.”
X-Mailer: PHP
X-prioridade: 1
Versão MIME: 1.0
Tipo de Conteúdo: multiparte / alternativa;
limite = ”- 03060500702080404010506"
ID da mensagem:
Data: Ter, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesiano: 0,000000
Neste exemplo, um aplicativo cliente de email não foi usado, em vez de um script PHP com o endereço IP de origem 118.68.152.212.
Para:
Assunto: Sua fatura do Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: “INTUIT INC.”
X-Sender: “INTUIT INC.”
X-Mailer: PHP
X-prioridade: 1
Versão MIME: 1.0
Tipo de Conteúdo: multiparte / alternativa;
limite = ”- 03060500702080404010506"
ID da mensagem:
Data: Ter, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesiano: 0,000000
No entanto, quando olhamos para o primeiro salto de e-mail, parece legítimo que o nome de domínio do servidor de envio corresponda ao endereço de e-mail. No entanto, tenha cuidado com isso, pois um spammer poderia facilmente nomear seu servidor como “intuit.com”..
Recebido: do apache por intuit.com com local (Exim 4.67)
(envelope-de)
id GJMV8N-8BERQW-93
para ; Ter, 6 de março de 2012, 19:27:05 +0700
Examinando o próximo passo desmorona este castelo de cartas. Você pode ver o segundo salto (onde é recebido por um servidor de email legítimo) resolve o servidor de envio de volta para o domínio “dynamic-pool-xxx.hcm.fpt.vn”, não “intuit.com” com o mesmo endereço IP indicado no script PHP.
Recebido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com com o MailEnable ESMTP; Ter, 6 de março de 2012, 07:27:08 -0500
Visualizar as informações do endereço IP confirma a suspeita quando a localização do servidor de correio volta ao Vietnã.
Embora este exemplo seja um pouco mais inteligente, você pode ver a rapidez com que a fraude é revelada com apenas um pouco de investigação.
Conclusão
Embora a visualização de cabeçalhos de e-mail provavelmente não faça parte de suas necessidades comuns do dia a dia, há casos em que as informações contidas nelas podem ser bastante valiosas. Como mostramos acima, você pode identificar facilmente os remetentes mascarados como algo que não são. Para um golpe muito bem executado, em que dicas visuais são convincentes, é extremamente difícil (senão impossível) representar os servidores de e-mail reais e revisar as informações dentro dos cabeçalhos de e-mail, revelando rapidamente qualquer fraude.
Links
Baixe IPNetInfo da Nirsoft