Bạn đã bao giờ nhận được một thư rác hoặc thư lừa đảo từ một địa chỉ email mà bạn không nhận ra? Có thể ai đó đã đề nghị cho bạn một chuyến đi miễn phí, yêu cầu bạn gửi bitcoin cho họ để đổi lấy ảnh cá nhân hoặc chỉ gửi cho bạn một email tiếp thị không mong muốn?
Bạn có tự hỏi những email đó đến từ đâu không? Nhìn thấy một kẻ gửi thư rác giả mạo địa chỉ email của bạn và tự hỏi họ đã làm điều đó như thế nào?
Giả mạo email hoặc làm cho email xuất hiện như thể email đến từ một địa chỉ khác với địa chỉ đó (ví dụ:email dường như đến từ whitehouse.gov, nhưng thực sự là từ một kẻ lừa đảo) rất dễ dàng.
Các giao thức email cốt lõi không có bất kỳ phương pháp nào để xác thực, có nghĩa là địa chỉ 'từ' về cơ bản chỉ là một phần điền vào chỗ trống.
Thông thường, khi bạn nhận được một email, nó trông giống như sau:
From: Name <[email protected]>
Date: Tuesday, July 16, 2019 at 10:02 AM
To: Me <[email protected]>
Dưới đó là chủ đề và thông điệp.
Nhưng làm thế nào để bạn biết email đó thực sự đến từ đâu? Không có bất kỳ dữ liệu bổ sung nào có thể được phân tích?
Những gì chúng tôi đang tìm kiếm là tiêu đề email đầy đủ - những gì bạn thấy ở trên chỉ là một phần tiêu đề. Dữ liệu này sẽ cung cấp cho chúng tôi một số thông tin bổ sung về nguồn gốc của email và cách nó đến hộp thư đến của bạn.
Nếu bạn muốn xem tiêu đề email của riêng mình, đây là cách truy cập chúng trên Outlook và Gmail. Hầu hết các chương trình thư hoạt động theo cách tương tự và một tìm kiếm đơn giản của Google sẽ cho bạn biết cách xem tiêu đề trên các dịch vụ thư thay thế.
Trong bài viết này, chúng ta sẽ xem xét một tập hợp các tiêu đề thực (mặc dù chúng được biên tập lại rất nhiều - tôi đã thay đổi tên máy chủ, dấu thời gian và địa chỉ IP).
Chúng tôi sẽ đọc các tiêu đề từ trên xuống dưới, nhưng hãy lưu ý rằng mỗi máy chủ mới sẽ thêm tiêu đề của chúng vào đầu nội dung email. Điều này có nghĩa là chúng tôi sẽ đọc từng tiêu đề từ Tác nhân chuyển thư cuối cùng (MTA) và làm việc với MTA đầu tiên để chấp nhận thư.
Chuyển tiền nội bộ
Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000
Bước nhảy đầu tiên này hiển thị dòng HTTPS, có nghĩa là máy chủ không nhận được thông báo qua SMTP tiêu chuẩn và thay vào đó, máy chủ đã tạo thông báo từ đầu vào mà nó nhận được trên ứng dụng web.
Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000
Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)
Đây là hai khối tiêu đề đầu tiên là chuyển thư nội bộ. Bạn có thể biết rằng chúng được nhận bởi máy chủ Office365 (outlook.com) và được chuyển nội bộ đến đúng người nhận.
Bạn cũng có thể biết rằng tin nhắn đang được gửi qua SMTP được mã hóa. Bạn biết điều này vì tiêu đề liệt kê "với Máy chủ SMTP của Microsoft" và sau đó chỉ định phiên bản TLS mà nó đang sử dụng, cũng như mật mã cụ thể.
Khối tiêu đề thứ ba đánh dấu sự chuyển đổi từ máy chủ thư cục bộ sang dịch vụ lọc thư. Bạn biết điều này vì nó đã đi "qua Frontend Transport", một giao thức cụ thể của Microsoft-Exchange (và do đó nó không hoàn toàn là SMTP).
Khối này cũng bao gồm một số kiểm tra email. Tiêu đề của Outlook.com trình bày chi tiết kết quả SPF / DKIM / DMARC của họ tại đây. Thư mềm SPF có nghĩa là địa chỉ IP này không được phép gửi email thay mặt gmail.com.
"dkim =pass" có nghĩa là email đến từ người gửi có chủ đích và (rất có thể) không bị thay đổi khi chuyển tiếp.
DMARC là một tập hợp các quy tắc cho máy chủ thư biết cách diễn giải kết quả SPF và DKIM. Khả năng vượt qua có nghĩa là email tiếp tục đến đích.
Để biết thêm về SPF, DKIM và DMARC, hãy xem bài viết này.
Nội bộ / Chuyển đổi Bên ngoài
Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000
Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible
Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"
Đây là bản ghi SPF của Google - thông báo cho máy chủ nhận rằng email cho biết nó đến từ gmail.com, đến từ một máy chủ được Google chấp thuận.
Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False
Điều này hiển thị một số kiểm tra SPF / DKIM / DMARC bổ sung, cũng như kết quả từ quá trình quét IronPort.
Ironport là một bộ lọc email phổ biến được nhiều công ty sử dụng để tìm kiếm thư rác, vi rút và các email độc hại khác. Nó quét các liên kết và tệp đính kèm trong email và xác định xem email có độc hại hay không (và nên bị loại bỏ), nếu nó có khả năng hợp pháp và cần được gửi, hoặc nếu nó đáng ngờ trong trường hợp đó nó có thể đính kèm tiêu đề vào phần nội dung. yêu cầu người dùng cảnh giác với email.
Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400
Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT)
X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected]
Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)
Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)
Phần này hiển thị các bước nhảy nội bộ mà email đã lấy từ thiết bị ban đầu của người gửi thông qua hệ thống định tuyến của gmail và đến môi trường triển vọng của người nhận. Từ đó, chúng ta có thể thấy rằng người gửi ban đầu là từ Macbook, sử dụng bộ định tuyến gia đình, với Verizon Fios ở NYC.
Đây là phần cuối của bước hiển thị lộ trình email đã đi từ người gửi đến người nhận. Sau đó, bạn sẽ thấy nội dung của email (và các tiêu đề bạn thường thấy như "from:", "to:", v.v.), có thể với một số định dạng dựa trên loại phương tiện và ứng dụng email (ví dụ:Phiên bản MIME, loại nội dung, ranh giới, v.v.). Nó cũng có thể chứa một số thông tin về tác nhân người dùng, là thông tin chi tiết về loại thiết bị đã gửi tin nhắn.
Trong trường hợp này, chúng tôi đã biết rằng thiết bị gửi là Macbook do quy ước đặt tên của Apple, nhưng nó cũng có thể chứa thông tin chi tiết về loại CPU, phiên bản, thậm chí cả trình duyệt và phiên bản được cài đặt trên thiết bị.
Trong một số trường hợp, nhưng không phải tất cả, nó cũng có thể chứa địa chỉ IP của thiết bị gửi (mặc dù nhiều nhà cung cấp sẽ ẩn thông tin đó mà không có trát đòi hầu tòa).
Tiêu đề email có thể cho bạn biết điều gì?
Tiêu đề email có thể giúp xác định khi nào email không được gửi từ những người gửi có chủ đích của họ. Họ có thể cung cấp một số thông tin về người gửi - mặc dù thông thường nó không đủ để xác định người gửi thực sự.
Cơ quan thực thi pháp luật thường có thể sử dụng dữ liệu này để trát đòi thông tin từ ISP phù hợp, nhưng những người còn lại hầu như chỉ có thể sử dụng nó để giúp cung cấp thông tin cho các cuộc điều tra, nói chung là lừa đảo.
Quá trình này được thực hiện khó khăn hơn do tiêu đề có thể bị làm giả bởi các máy chủ độc hại hoặc tin tặc. Nếu không liên hệ với chủ sở hữu của từng máy chủ và xác minh riêng rằng các tiêu đề trong email của bạn khớp với nhật ký SMTP của họ, việc này rất khó và tốn thời gian, bạn sẽ không chắc chắn các tiêu đề là chính xác (ngoại trừ các tiêu đề do máy chủ thư của riêng bạn đính kèm).
Nếu không liên hệ với chủ sở hữu của từng máy chủ và xác minh riêng xem các tiêu đề trong email của bạn có khớp với nhật ký SMTP của họ hay không, việc này rất khó và tốn thời gian, bạn sẽ không thể chắc chắn rằng tất cả các tiêu đề đều chính xác ..
DKIM, DMARC và SPF đều có thể hỗ trợ quá trình này, nhưng không hoàn hảo và nếu không có chúng, sẽ không có xác minh nào cả.
Bạn không muốn phân tích tiêu đề của riêng mình? Trang web này sẽ làm điều đó cho bạn.