Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Thủ thuật kiểm tra Header của Email

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Thủ thuật kiểm tra Header của Email

    Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn về những thông tin, dữ liệu cơ bản trong phần header của 1 email bất kỳ nào đó, cũng như cách kiểm tra email đó có phải là giả mạo hay không.1. Có gì đặc biệt trong phần Email Header?

    Đây là 1 câu hỏi khá thú vị, vì với hầu hết mọi người thì họ sẽ chỉ quan tâm đến những yếu tố, thành phần dưới đây:
    • Bạn nghi ngờ rằng email đó là giả mạo.
    • Bạn muốn kiểm tra toàn bộ thông tin “đường đi” của email.
    • Bạn là người tò mò.

    Cụ thể, trong bài thử nghiệm dưới đây chúng tôi áp dụng với dịch vụ Gmail, nhưng với các dịch vụ email khác thì cũng tương tự.2. Kiểm tra Email Header:

    Dưới đây là 1 email ví dụ của Gmail:
    Nhấn vào biểu tượng hình mũi tên phía trên góc phải và chọn Show original:
    Hệ thống sẽ hiển thị cửa sổ kết quả cùng với dữ liệu có liên quan trong phần Header có dạng như dưới đây:Note: In all the email header data I show below I have changed my Gmail address to show as myemail@gmail.com and my external email address to show as jfaulkner@externalemail.com and jason@myemail.com as well as masked the IP address of my email servers.
    Delivered-To: myemail@gmail.com
    Received: by 10.60.14.3 with SMTP id l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Return-Path: <jfaulkner@externalemail.com>
    Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) client-ip=64.18.2.16;
    Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
    Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Tue, 06 Mar 2012 08:30:50 PST
    Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by
    MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar
    2012 11:30:48 -0500
    From: Jason Faulkner <jfaulkner@externalemail.com>
    To: “myemail@gmail.com” <myemail@gmail.com>
    Date: Tue, 6 Mar 2012 11:30:48 -0500
    Subject: This is a legit email
    Thread-Topic: This is a legit email
    Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q==
    Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERV ER.myserver.local>
    Accept-Language: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Correlator:
    acceptlanguage: en-US
    Content-Type: multipart/alternative;
    boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B 30B10D5HARDHAT2hardh_”
    MIME-Version: 1.0

    Khi đọc 1 phần email header nào đó, các bạn cần biết rằng dữ liệu được sắp theo theo thứ tự đảo ngược, nghĩa là thông tin nào ở trên cùng chính là những hành động xảy ra gần nhất. Do vậy, nếu muốn “giám sát” email từ người gửi tới người nhận, hãy bắt đầu từ phần dưới cùng. Như ví dụ trên, chúng ta sẽ thấy phần thông tin được tạo ra bởi ứng dụng client, cụ thể là từ Outlook và dưới đây là metadata của Outlook:From: Jason Faulkner <jfaulkner@externalemail.com>
    To: “myemail@gmail.com” <myemail@gmail.com>
    Date: Tue, 6 Mar 2012 11:30:48 -0500
    Subject: This is a legit email
    Thread-Topic: This is a legit email
    Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q==
    Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERV ER.myserver.local>
    Accept-Language: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    X-MS-TNEF-Correlator:
    acceptlanguage: en-US
    Content-Type: multipart/alternative;
    boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B 30B10D5HARDHAT2hardh_”
    MIME-Version: 1.0

    Phần đường dẫn tiếp theo của email lấy ra từ server gửi tới server nhận. Lưu ý rằng những bước này cũng được trình bày, liệt kê theo thứ tự đảo ngược. Chúng tôi đã đặt thứ tự tương ứng bên cạnh các bước thực hiện, và mỗi bước như vậy lại chỉ ra thông tin chi tiết về địa chỉ IP cùng với tên DNS tương ứng.Delivered-To: myemail@gmail.com
    [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec;
    Tue, 6 Mar 2012 08:30:51 -0800 (PST)
    [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044;
    Tue, 06 Mar 2012 08:30:51 -0800 (PST)
    Return-Path: <jfaulkner@externalemail.com>
    [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
    Tue, 06 Mar 2012 08:30:50 -0800 (PST)
    [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) client-ip=64.18.2.16;
    Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
    [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Tue, 06 Mar 2012 08:30:50 PST
    [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by
    MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar
    2012 11:30:48 -0500

    Tuy những thông tin này có thể tương đối buồn tẻ, nhàm chán và khó hiểu với nhiều người sử dụng, nhưng nó lại dễ dàng chỉ ra rằng đó có phải là 1 email hợp lệ hay không.
    3. Ví dụ về Email Phishing:

    Như tiêu đề, tại phần tiếp theo của bài viết, chúng tôi sẽ tiến hành kiểm tra một email điển hình với dấu hiệu phishing khá rõ ràng. Tương tự như trên, chúng ta cần kiểm tra phần Header trước tiên:
    Delivered-To: myemail@gmail.com
    Received: by 10.60.14.3 with SMTP id l3csp12958oec;
    Mon, 5 Mar 2012 23:11:29 -0800 (PST)
    Received: by 10.236.46.164 with SMTP id r24mr7411623yhb.101.1331017888982;
    Mon, 05 Mar 2012 23:11:28 -0800 (PST)
    Return-Path: <securityalert@verifybyvisa.com>
    Received: from ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    by mx.google.com with ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
    Mon, 05 Mar 2012 23:11:28 -0800 (PST)
    Received-SPF: fail (google.com: domain of securityalert@verifybyvisa.com does not designate XXX.XXX.XXX.XXX as permitted sender) client-ip=XXX.XXX.XXX.XXX;
    Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of securityalert@verifybyvisa.com does not designate XXX.XXX.XXX.XXX as permitted sender) smtp.mail=securityalert@verifybyvisa.com
    Received: with MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
    Received: from mail.lovingtour.com ([211.166.9.218]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
    Received: from User ([118.142.76.58])
    by mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800
    Message-ID: <6DCB4366-3518-4C6C-B66A-F541F32A4C4C@mail.lovingtour.com>
    Reply-To: <securityalert@verifybyvisa.com>
    From: “securityalert@verifybyvisa.com”<securityalert@ver ifybyvisa.com>
    Subject: Notice
    Date: Mon, 5 Mar 2012 21:20:57 +0800
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary=”—-=_NextPart_000_0055_01C2A9A6.1C1757C0″
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Điểm nghi ngờ đầu tiên ở đây chính là phần thông tin về client. Có vẻ như Visa là cá nhân hoặc doanh nghiệp nào đó vẫn còn đi sau thời đại công nghệ khi họ tiếp tục gửi email bằng ứng dụng email client có "tuổi thọ" 12 năm:Reply-To: <securityalert@verifybyvisa.com>
    From: “securityalert@verifybyvisa.com”<securityalert@ver ifybyvisa.com>
    Subject: Notice
    Date: Mon, 5 Mar 2012 21:20:57 +0800
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary=”—-=_NextPart_000_0055_01C2A9A6.1C1757C0″
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Và tiếp theo địa chỉ của người gửi được tiết lộ qua IP 118.142.76.58, và email của họ phải đi qua mail servermail.lovingtour.com:Received: from User ([118.142.76.58])
    by mail.lovingtour.com
    ; Mon, 5 Mar 2012 21:38:11 +0800

    Sử dụng tiện ích IPNetInfo của Nirsoft, chúng ta có thể dễ dàng biết rằng địa chỉ người gửi được đặt tại Hong Kong, còn mail server tại China.
    Không cần phải nghi ngờ gì về nguồn gốc của email này nữa, rõ ràng nó không hề hợp lệ. Và do vậy, chúng ta không cần phải quan tâm về nội dung còn lại của email.4. Ví dụ tiếp theo:

    Trong ví dụ tiếp theo dưới đây, cách thức lừa đảo được hacker sử dụng chuyên nghiệp hơn rất nhiều.
    Delivered-To: myemail@gmail.com
    Received: by 10.60.14.3 with SMTP id l3csp15619oec;
    Tue, 6 Mar 2012 04:27:20 -0800 (PST)
    Received: by 10.236.170.165 with SMTP id p25mr8672800yhl.123.1331036839870;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Return-Path: <security@intuit.com>
    Received: from ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    by mx.google.com with ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Received-SPF: fail (google.com: domain of security@intuit.com does not designate XXX.XXX.XXX.XXX as permitted sender) client-ip=XXX.XXX.XXX.XXX;
    Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of security@intuit.com does not designate XXX.XXX.XXX.XXX as permitted sender) smtp.mail=security@intuit.com
    Received: with MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
    Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
    Received: from apache by intuit.com with local (Exim 4.67)
    (envelope-from <security@intuit.com>)
    id GJMV8N-8BERQW-93
    for <jason@myemail.com>; Tue, 6 Mar 2012 19:27:05 +0700
    To: <jason@myemail.com>
    Subject: Your Intuit.com invoice.
    X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
    From: “INTUIT INC.” <security@intuit.com>
    X-Sender: “INTUIT INC.” <security@intuit.com>
    X-Mailer: PHP
    X-Priority: 1
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary=”————03060500702080404010506″
    Message-Id: <JXON1H-5GTPKV-0H@intuit.com>
    Date: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Cụ thể, trên ví dụ trên thì hacker đã không sử dụng bất kỳ chương trình email client nào, mà thay vào đó là 1 đoạn mã PHP với địa chỉ IP: 118.68.152.212.To: <jason@myemail.com>
    Subject: Your Intuit.com invoice.
    X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
    From: “INTUIT INC.” <security@intuit.com>
    X-Sender: “INTUIT INC.” <security@intuit.com>
    X-Mailer: PHP
    X-Priority: 1
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary=”————03060500702080404010506″
    Message-Id: <JXON1H-5GTPKV-0H@intuit.com>
    Date: Tue, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Tuy nhiên, khi nhìn vào 1 trong những dấu hiệu đầu tiên thì lại khá hợp lý, vì tên domain của server gửi trùng khớp với địa chỉ email. Nhưng thực ra, đó chỉ là 1 thủ thuật đơn giản của hacker, vì họ có thể đổi tên server của họ thành intuit.com:Received: from apache by intuit.com with local (Exim 4.67)
    (envelope-from <security@intuit.com>)
    id GJMV8N-8BERQW-93
    for <jason@myemail.com>; Tue, 6 Mar 2012 19:27:05 +0700

    Điểm tiếp theo là giải quyết vấn đề gửi tín hiệu server trở lại domain: dynamic-pool-xxx.hcm.fpt.vn chứ không phải là intuit.com với địa chỉ IP trong đoạn mã PHP:Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

    Khi kiểm tra chi tiết về địa chỉ IP thì vị trí đặt server mail là Việt Nam:
    Trên đây là một số thao tác cơ bản để kiểm tra email, tuy không quá phức tạp nhưng lại tỏ ra vô cùng hữu ích trong nhiều trường hợp. Chúc các bạn thành công!


    Cuộc sống có bao lâu mà hững hờ

  • #2
    bài viết rất hay và bổ ích.
    Cám ơn Sơn
    Nguyễn Bá Hiển
    Email: nguyenbahien@vnpro.org
    Yahoo: nguyenbahien_vnpro
    ------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      Quá hay anh Sơn ui!
      Trần Minh Huy,
      Support Teams

      Email :tranminhhuy@vnpro.org

      Viet Professionals Co. Ltd. VnPro ®
      ---------------------------------------
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel: (08) 35124257
      Fax: (08) 5124314
      Support Forum : http://www. vnpro.org
      Live Chat : http://www.vnpro.vn/support
      Blog VnPro : http://www.vnpro.org/blog
      Search: VNPRO.ORG
      Cộng Đồng Mạng Không Dây Việt Nam

      Comment

      Working...
      X