홈페이지 » 어떻게 » 이메일 헤더에서 무엇을 찾을 수 있습니까?

    이메일 헤더에서 무엇을 찾을 수 있습니까?

    이메일을받을 때마다 눈을 맞추는 것보다 훨씬 더 많은 것이 있습니다. 일반적으로 메시지의 보낸 사람 주소, 제목 및 본문에만주의를 기울이는 반면 풍부한 정보를 제공 할 수있는 각 전자 메일의 "포괄적 인"정보가 많이 있습니다..

    왜 이메일 헤더를 보느냐?

    이것은 매우 좋은 질문입니다. 대부분의 경우 다음과 같은 경우가 아니면 절대 필요하지 않습니다.

    • 이메일이 피싱 시도 또는 스푸핑이라고 의심되는 경우
    • 이메일 경로에서 라우팅 정보를 보려는 경우
    • 너는 호기심 많은 괴짜 야.

    이유에 관계없이 전자 메일 헤더를 읽는 것은 실제로 매우 쉽고 매우 드러납니다.

    기사 참고 사항 : 스크린 샷과 데이터는 Gmail을 사용하지만 사실상 다른 모든 메일 클라이언트도 이와 동일한 정보를 제공해야합니다..

    이메일 헤더보기

    Gmail에서 이메일을 봅니다. 이 예에서는 아래 이메일을 사용합니다..

    그런 다음 오른쪽 상단의 화살표를 클릭하고 원본보기를 선택하십시오..

    결과 창에는 전자 메일 헤더 데이터가 일반 텍스트로 표시됩니다.

    참고 : 아래에 표시된 모든 이메일 헤더 데이터에서 Gmail 주소를 다음과 같이 변경했습니다. [email protected] 내 외부 이메일 주소로 표시 [email protected][email protected] 내 전자 메일 서버의 IP 주소를 마스킹했습니다..

    전송 된 주소 : [email protected]
    받은 : 10.60.14.3 SMTP 아이디로 l3csp18666oec;
    2012 년 3 월 6 일 화요일 08:30:51 -0800 (PST)
    받은 : 10.68.125.129 SMTP 아이디로 mq1mr1963003pbb.21.1331051451044;
    화, 2012 년 3 월 6 일 08:30:51 -0800 (PST)
    복귀 경로:
    받은 : exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    SMTP id가 l17si25161491pbd.80.2012.03.06.08.30.49 인 mx.google.com 제공;
    화, 2012 년 3 월 6 일 08:30:50 -0800 (PST)
    Received-SPF : 중립 (google.com : 64.18.2.16은 [email protected]의 도메인에 대한 최상의 추측 레코드에 의해 허용되거나 거부되지 않습니다.) client-ip = 64.18.2.16;
    인증 결과 : mx.google.com; spf = neutral (google.com : 64.18.2.16은 [email protected]의 도메인에 대한 최상의 추측 레코드에 의해 허용되거나 거부되지 않습니다.) [email protected]
    받은 메일 : exprod7ob119.postini.com ([64.18.6.12])의 mail.externalemail.com ([XXX.XXX.XXX.XXX]) (TLSv1 사용)에서 SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; 화, 2012 년 3 월 6 일 08:30:50 PST
    받은 : MYSERVER.myserver.local ([fe80 :: a805 : c335 : 8c71 : cdb3])에 의해
    MYSERVER.myserver.local ([fe80 :: a805 : c335 : 8c71 : cdb3 % 11]) with mapi; 3 월 6 일, 화요일
    2012 11:30:48 -0500
    보낸 사람 : Jason Faulkner
    받는 사람 : "[email protected]"
    날짜 : 2012 년 3 월 6 일 화요일 11:30:48 -0500
    제목 : 합법적 인 이메일입니다.
    Thread-Topic : 이것은 합법적 인 전자 메일입니다.
    스레드 인덱스 : Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    메시지 ID :
    수락 언어 : en-US
    콘텐츠 언어 : en-US
    X-MS-Has-Attach :
    X-MS-TNEF- 상관기 :
    acceptlanguage : en-US
    Content-Type : multipart / alternative;
    경계 = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME 버전 : 1.0

    이메일 헤더를 읽을 때 데이터의 순서가 역순입니다. 가장 위에있는 정보가 가장 최근의 이벤트입니다. 그러므로 발신자에서 수신자로 이메일을 추적하려면 맨 아래부터 시작하십시오. 이 이메일의 헤더를 살펴보면 몇 가지 사항을 볼 수 있습니다..

    여기서 우리는 보내는 클라이언트에 의해 생성 된 정보를 봅니다. 이 경우 전자 메일은 Outlook에서 보내 졌으므로 Outlook이 추가하는 메타 데이터입니다..

    보낸 사람 : Jason Faulkner
    받는 사람 : "[email protected]"
    날짜 : 2012 년 3 월 6 일 화요일 11:30:48 -0500
    제목 : 합법적 인 이메일입니다.
    Thread-Topic : 이것은 합법적 인 전자 메일입니다.
    스레드 인덱스 : Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    메시지 ID :
    수락 언어 : en-US
    콘텐츠 언어 : en-US
    X-MS-Has-Attach :
    X-MS-TNEF- 상관기 :
    acceptlanguage : en-US
    Content-Type : multipart / alternative;
    경계 = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME 버전 : 1.0

    다음 부분은 전자 메일이 보내는 서버에서 대상 서버로가는 경로를 추적합니다. 이 단계 (또는 홉)는 역순으로 나열됩니다. 주문을 설명하기 위해 각 홉 옆에 해당 번호를 표시했습니다. 각 홉은 IP 주소 및 해당 역 DNS 이름에 대한 세부 정보를 표시합니다..

    전송 된 주소 : [email protected]
    [6] 받은 : 10.60.14.3 SMTP 아이디로 l3csp18666oec;
    2012 년 3 월 6 일 화요일 08:30:51 -0800 (PST)
    [5] 받은 : 10.68.125.129 SMTP 아이디로 mq1mr1963003pbb.21.1331051451044;
    화, 2012 년 3 월 6 일 08:30:51 -0800 (PST)
    복귀 경로:
    [4] 받은 : exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    SMTP id가 l17si25161491pbd.80.2012.03.06.08.30.49 인 mx.google.com 제공;
    화, 2012 년 3 월 6 일 08:30:50 -0800 (PST)
    [삼] Received-SPF : 중립 (google.com : 64.18.2.16은 [email protected]의 도메인에 대한 최상의 추측 레코드에 의해 허용되거나 거부되지 않습니다.) client-ip = 64.18.2.16;
    인증 결과 : mx.google.com; spf = neutral (google.com : 64.18.2.16은 [email protected]의 도메인에 대한 최상의 추측 레코드에 의해 허용되거나 거부되지 않습니다.) [email protected]
    [2] 받은 메일 : exprod7ob119.postini.com ([64.18.6.12])의 mail.externalemail.com ([XXX.XXX.XXX.XXX]) (TLSv1 사용)에서 SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; 화, 2012 년 3 월 6 일 08:30:50 PST
    [1] 받은 : MYSERVER.myserver.local ([fe80 :: a805 : c335 : 8c71 : cdb3])에 의해
    MYSERVER.myserver.local ([fe80 :: a805 : c335 : 8c71 : cdb3 % 11]) with mapi; 3 월 6 일, 화요일
    2012 11:30:48 -0500

    합법적 인 이메일의 경우 이는 매우 평범한 일이지만,이 정보는 스팸이나 피싱 이메일을 검사 할 때 꽤 유용 할 수 있습니다..

    피싱 이메일 검토 - 예 1

    첫 번째 피싱 예제의 경우 피싱 시도가 명백한 이메일을 검토합니다. 이 경우 우리는이 메시지를 단순히 시각적 표시기로 사기라고 식별 할 수 있지만 연습을 위해 헤더 내의 경고 표지를 살펴볼 것입니다.

    전송 된 주소 : [email protected]
    받은 : 10.60.14.3 SMTP 아이디로 l3csp12958oec;
    2012 년 3 월 5 일 월요일 23시 11 분 29 초 -0800 (PST)
    받은 : 10.236.46.164에 의해 SMTP id r24mr7411623yhb.101.1331017888982;
    2012 년 3 월 5 일 월요일 23시 11 분 28 초 -0800 (PST)
    복귀 경로:
    받은 편지함 : ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    mx.google.com에서 ESMTP ID t19si8451178ani.110.2012.03.05.23.11.28;
    2012 년 3 월 5 일 월요일 23시 11 분 28 초 -0800 (PST)
    Received-SPF : 실패 (google.com : [email protected] 도메인에서 허용 된 발신자로 XXX.XXX.XXX.XXX을 지정하지 않음) client-ip = XXX.XXX.XXX.XXX;
    인증 결과 : mx.google.com; spf = hardfail (google.com : [email protected] 도메인에서 XXX.XXX.XXX.XXX를 허용 된 발신자로 지정하지 않음) [email protected]
    수신 : MailEnable 우체국 커넥터로; 2012 년 3 월 6 일 화요일 02:11:20 -0500
    받은 편지함 : mail.lovingtour.com ([211.166.9.218]) ms.externalemail.com by MailEnable ESMTP; 2012 년 3 월 6 일 화요일 02:11:10 -0500
    받은 사용자 : 사용자 ([118.142.76.58])
    mail.lovingtour.com으로
    ; 2012 년 3 월 5 일, Mon 21:38:11 +0800
    메시지 ID :
    답장하다:
    보낸 사람 : "[email protected]"
    제목 : 공지
    날짜 : 2012 년 3 월 5 일 월요일 21:20:57 +0800
    MIME 버전 : 1.0
    콘텐츠 유형 : 다중 / 혼합;
    경계 = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X 우선 순위 : 3
    X-MSMail 우선 순위 : 보통
    X-Mailer : Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE : 제작자 Microsoft MimeOLE V6.00.2600.0000
    X-ME- 베이지안 : 0.000000

    첫 번째 빨간색 깃발은 고객 정보 영역에 있습니다. 추가 된 메타 데이터는 Outlook Express를 참조합니다. 비자가 12 년 된 이메일 클라이언트를 사용하여 수동으로 이메일을 보내는 사람들보다 훨씬 뒤떨어져있는 것은 아닙니다..

    답장하다:
    보낸 사람 : "[email protected]"
    제목 : 공지
    날짜 : 2012 년 3 월 5 일 월요일 21:20:57 +0800
    MIME 버전 : 1.0
    콘텐츠 유형 : 다중 / 혼합;
    경계 = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X 우선 순위 : 3
    X-MSMail 우선 순위 : 보통
    X-Mailer : Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE : 제작자 Microsoft MimeOLE V6.00.2600.0000
    X-ME- 베이지안 : 0.000000

    이제 이메일 라우팅의 첫 번째 홉 (hop)을 살펴보면 발신자가 IP 주소 118.142.76.58에 있었고 이메일이 mail.lovingtour.com 메일 서버를 통해 중계되었다는 것을 알 수 있습니다..

    받은 사용자 : 사용자 ([118.142.76.58])
    mail.lovingtour.com으로
    ; 2012 년 3 월 5 일, Mon 21:38:11 +0800

    Nirsoft의 IPNetInfo 유틸리티를 사용하여 IP 정보를 검색하면 보낸 사람이 홍콩에 있고 메일 서버가 중국에 있다는 것을 알 수 있습니다.

    말할 필요도없이 조금 의심 스럽다..

    나머지 전자 메일 홉은이 경우 실제로 관련이 없습니다. 전자 메일이 최종적으로 배달되기 전에 합법적 인 서버 트래픽 주위로 수신 거부되는 것을 보여줍니다..

    피싱 이메일 검토 - 예 2

    이 예에서 피싱 메일은 훨씬 더 설득력이 있습니다. 여기에 몇 가지 시각적 지표가 있습니다. 충분히 열심히 본다면이 기사의 목적을 위해 조사를 전자 메일 헤더로 제한 할 것입니다..

    전송 된 주소 : [email protected]
    받은 : 10.60.14.3 SMTP 아이디로 l3csp15619oec;
    2012 년 3 월 6 일 화요일 04:27:20 -0800 (PST)
    받은 : 10.236.170.165에 의해 SMTP id p25mr8672800yhl.123.1331036839870;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    복귀 경로:
    받은 편지함 : ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    mx.google.com에서 ESMTP ID o2si20048188yhn.34.2012.03.06.04.27.19;
    Tue, 06 Mar 2012 04:27:19 -0800 (PST)
    Received-SPF : 실패 (google.com : [email protected]의 도메인이 XXX.XXX.XXX.XXX를 허용 된 발신자로 지정하지 않음) client-ip = XXX.XXX.XXX.XXX;
    인증 결과 : mx.google.com; spf = hardfail (google.com : [email protected]의 도메인이 XXX.XXX.XXX.XXX를 허용 된 발신자로 지정하지 않음) [email protected]
    수신 : MailEnable 우체국 커넥터로; Tue, 6 Mar 2012 07:27:13 -0500
    받은 메일 : ms.externalemail.com에 의해 MailEnable ESMTP가있는 dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212])에서 수신되었습니다. Tue, 6 Mar 2012 07:27:08 -0500
    받은 : 로컬 (exim 4.67)와 intuit.com에 의해 아파치에서
    (봉투 -에서)
    id GJMV8N-8BERQW-93
    를 위해; 2012 년 3 월 6 일 화요일 19:27:05 +0700
    에:
    제목 : Intuit.com 인보이스.
    X-PHP 스크립트 : intuit.com/sendmail.php (118.68.152.212)
    보낸 사람 : "INTUIT INC."
    X-Sender : "INTUIT INC."
    X-Mailer : PHP
    X 우선 순위 : 1
    MIME 버전 : 1.0
    Content-Type : multipart / alternative;
    경계 = "- 03060500702080404010506"
    Message-Id :
    날짜 : 2012 년 3 월 6 일 화요일 19:27:05 +0700
    X-ME- 베이지안 : 0.000000

    이 예에서는 메일 클라이언트 응용 프로그램이 사용되지 않았으며 소스 IP 주소가 118.68.152.212 인 PHP 스크립트가 사용되지 않았습니다..

    에:
    제목 : Intuit.com 인보이스.
    X-PHP 스크립트 : intuit.com/sendmail.php (118.68.152.212)
    보낸 사람 : "INTUIT INC."
    X-Sender : "INTUIT INC."
    X-Mailer : PHP
    X 우선 순위 : 1
    MIME 버전 : 1.0
    Content-Type : multipart / alternative;
    경계 = "- 03060500702080404010506"
    Message-Id :
    날짜 : 2012 년 3 월 6 일 화요일 19:27:05 +0700
    X-ME- 베이지안 : 0.000000

    그러나 첫 번째 이메일 홉을 살펴보면 발신 서버의 도메인 이름이 이메일 주소와 일치하기 때문에 합법적 인 것으로 보입니다. 그러나 스패머가 서버의 이름을 "intuit.com"으로 쉽게 지정할 수 있으므로주의하십시오..

    받은 : 로컬 (exim 4.67)와 intuit.com에 의해 아파치에서
    (봉투 -에서)
    id GJMV8N-8BERQW-93
    를 위해; 2012 년 3 월 6 일 화요일 19:27:05 +0700

    다음 단계를 검토하는 것은이 카드 하우스를 무너 뜨립니다. 두 번째 홉 (합법적 인 전자 메일 서버에서 수신 한 위치)이 동일한 IP 주소를 가진 "intuit.com"이 아닌 "dynamic-pool-xxx.hcm.fpt.vn"도메인으로 보내는 서버를 다시 확인합니다 PHP 스크립트에 표시된.

    받은 메일 : ms.externalemail.com에 의해 MailEnable ESMTP가있는 dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212])에서 수신되었습니다. Tue, 6 Mar 2012 07:27:08 -0500

    IP 주소 정보를 보면 메일 서버의 위치가 베트남으로 다시 확인되는 것에 대한 의혹을 확인합니다..

    이 예가 좀 더 영리한 동안, 사기가 드러나는 속도를 사기 조사로 알 수 있습니다.

    결론

    이메일 헤더를 보는 것이 일상적인 일상적인 필요 사항의 일부는 아닐 수 있지만, 그 안에 포함 된 정보가 매우 중요한 경우가 있습니다. 위에서 보았 듯이, 당신은 아주 쉽게 무언가로 가장하는 발신자를 확인할 수 있습니다. 시각적 단서가 확실한 사기극의 경우, 실제 메일 서버를 사칭하고 이메일 헤더 내부의 정보를 검토하는 것이 (불가능하지는 않더라도) 매우 어렵습니다..

    모래밭

    Nirsoft에서 IPNetInfo 다운로드

    인터넷에서 다운로드 한 파일의 원인은 무엇이며 어떻게 쉽게 제거 할 수 있습니까?
    Web 2.0 이후에는 무엇이 나올까요?
    삼성 건강은 무엇을 할 수 있습니까?
    다음 기사
    Windows Vista 서비스 팩 1에서 실제로 기대할 수있는 기능은 무엇입니까?
    이전 기사
    삼성의 Bixby로 무엇을 할 수 있습니까?