Thủ thuật kiểm tra Header của Email

Quản Trị Mạng - Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn về những thông tin, dữ liệu cơ bản trong phần header của 1 email bất kỳ nào đó, cũng như cách kiểm tra email đó có phải là giả mạo hay không.

1. Có gì đặc biệt trong phần Email Header?

Đây là 1 câu hỏi khá thú vị, vì với hầu hết mọi người thì họ sẽ chỉ quan tâm đến những yếu tố, thành phần dưới đây:

  • Bạn nghi ngờ rằng email đó là giả mạo.
  • Bạn muốn kiểm tra toàn bộ thông tin “đường đi” của email.
  • Bạn là người tò mò.

Cụ thể, trong bài thử nghiệm dưới đây chúng tôi áp dụng với dịch vụ Gmail, nhưng với các dịch vụ email khác thì cũng tương tự.

2. Kiểm tra Email Header:

Dưới đây là 1 email ví dụ của Gmail:

Email ví dụ

 Nhấn vào biểu tượng hình mũi tên phía trên góc phải và chọn Show original:

Chọn Show original

Hệ thống sẽ hiển thị cửa sổ kết quả cùng với dữ liệu có liên quan trong phần Header có dạng như dưới đây:

Note: In all the email header data I show below I have changed my Gmail address to show as myemail@gmail.com and my external email address to show as jfaulkner@externalemail.com and jason@myemail.com as well as masked the IP address of my email servers.

Delivered-To: myemail@gmail.com
Received: by 10.60.14.3 with SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Return-Path: <jfaulkner@externalemail.com>
Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) client-ip=64.18.2.16;
Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Tue, 06 Mar 2012 08:30:50 PST
Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar
2012 11:30:48 -0500
From: Jason Faulkner <jfaulkner@externalemail.com>
To: “myemail@gmail.com” <myemail@gmail.com>
Date: Tue, 6 Mar 2012 11:30:48 -0500
Subject: This is a legit email
Thread-Topic: This is a legit email
Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart/alternative;
boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Version: 1.0

Khi đọc 1 phần email header nào đó, các bạn cần biết rằng dữ liệu được sắp theo theo thứ tự đảo ngược, nghĩa là thông tin nào ở trên cùng chính là những hành động xảy ra gần nhất. Do vậy, nếu muốn “giám sát” email từ người gửi tới người nhận, hãy bắt đầu từ phần dưới cùng. Như ví dụ trên, chúng ta sẽ thấy phần thông tin được tạo ra bởi ứng dụng client, cụ thể là từ Outlook và dưới đây là metadata của Outlook:

From: Jason Faulkner <jfaulkner@externalemail.com>
To: “myemail@gmail.com” <myemail@gmail.com>
Date: Tue, 6 Mar 2012 11:30:48 -0500
Subject: This is a legit email
Thread-Topic: This is a legit email
Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart/alternative;
boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Version: 1.0

Phần đường dẫn tiếp theo của email lấy ra từ server gửi tới server nhận. Lưu ý rằng những bước này cũng được trình bày, liệt kê theo thứ tự đảo ngược. Chúng tôi đã đặt thứ tự tương ứng bên cạnh các bước thực hiện, và mỗi bước như vậy lại chỉ ra thông tin chi tiết về địa chỉ IP cùng với tên DNS tương ứng.

Delivered-To: myemail@gmail.com
[6] Received: by 10.60.14.3 with SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Return-Path: <jfaulkner@externalemail.com>
[4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) client-ip=64.18.2.16;
Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
[2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Tue, 06 Mar 2012 08:30:50 PST
[1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar
2012 11:30:48 -0500

Tuy những thông tin này có thể tương đối buồn tẻ, nhàm chán và khó hiểu với nhiều người sử dụng, nhưng nó lại dễ dàng chỉ ra rằng đó có phải là 1 email hợp lệ hay không.


3. Ví dụ về Email Phishing:

Như tiêu đề, tại phần tiếp theo của bài viết, chúng tôi sẽ tiến hành kiểm tra một email điển hình với dấu hiệu phishing khá rõ ràng. Tương tự như trên, chúng ta cần kiểm tra phần Header trước tiên:

Delivered-To: myemail@gmail.com
Received: by 10.60.14.3 with SMTP id l3csp12958oec;
Mon, 5 Mar 2012 23:11:29 -0800 (PST)
Received: by 10.236.46.164 with SMTP id r24mr7411623yhb.101.1331017888982;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Return-Path: <securityalert@verifybyvisa.com>
Received: from ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
by mx.google.com with ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Mon, 05 Mar 2012 23:11:28 -0800 (PST)
Received-SPF: fail (google.com: domain of securityalert@verifybyvisa.com does not designate XXX.XXX.XXX.XXX as permitted sender) client-ip=XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of securityalert@verifybyvisa.com does not designate XXX.XXX.XXX.XXX as permitted sender) smtp.mail=securityalert@verifybyvisa.com
Received: with MailEnable Postoffice Connector; Tue, 6 Mar 2012 02:11:20 -0500
Received: from mail.lovingtour.com ([211.166.9.218]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 02:11:10 -0500
Received: from User ([118.142.76.58])
by mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800
Message-ID: <6DCB4366-3518-4C6C-B66A-F541F32A4C4C@mail.lovingtour.com>
Reply-To: <securityalert@verifybyvisa.com>
From: “securityalert@verifybyvisa.com”<securityalert@verifybyvisa.com>
Subject: Notice
Date: Mon, 5 Mar 2012 21:20:57 +0800
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=_NextPart_000_0055_01C2A9A6.1C1757C0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Điểm nghi ngờ đầu tiên ở đây chính là phần thông tin về client. Có vẻ như Visa là cá nhân hoặc doanh nghiệp nào đó vẫn còn đi sau thời đại công nghệ khi họ tiếp tục gửi email bằng ứng dụng email client có "tuổi thọ" 12 năm:

Reply-To: <securityalert@verifybyvisa.com>
From: “securityalert@verifybyvisa.com”<securityalert@verifybyvisa.com>
Subject: Notice
Date: Mon, 5 Mar 2012 21:20:57 +0800
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=_NextPart_000_0055_01C2A9A6.1C1757C0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000

Và tiếp theo địa chỉ của người gửi được tiết lộ qua IP 118.142.76.58, và email của họ phải đi qua mail server mail.lovingtour.com:

Received: from User ([118.142.76.58])
by mail.lovingtour.com
; Mon, 5 Mar 2012 21:38:11 +0800

Sử dụng tiện ích IPNetInfo của Nirsoft, chúng ta có thể dễ dàng biết rằng địa chỉ người gửi được đặt tại Hong Kong, còn mail server tại China.

Kiểm tra thông tin địa chỉ IP

Không cần phải nghi ngờ gì về nguồn gốc của email này nữa, rõ ràng nó không hề hợp lệ. Và do vậy, chúng ta không cần phải quan tâm về nội dung còn lại của email.

4. Ví dụ tiếp theo:

Trong ví dụ tiếp theo dưới đây, cách thức lừa đảo được hacker sử dụng chuyên nghiệp hơn rất nhiều.

Delivered-To: myemail@gmail.com
Received: by 10.60.14.3 with SMTP id l3csp15619oec;
Tue, 6 Mar 2012 04:27:20 -0800 (PST)
Received: by 10.236.170.165 with SMTP id p25mr8672800yhl.123.1331036839870;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Return-Path: <security@intuit.com>
Received: from ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
by mx.google.com with ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Tue, 06 Mar 2012 04:27:19 -0800 (PST)
Received-SPF: fail (google.com: domain of security@intuit.com does not designate XXX.XXX.XXX.XXX as permitted sender) client-ip=XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of security@intuit.com does not designate XXX.XXX.XXX.XXX as permitted sender) smtp.mail=security@intuit.com
Received: with MailEnable Postoffice Connector; Tue, 6 Mar 2012 07:27:13 -0500
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
Received: from apache by intuit.com with local (Exim 4.67)
(envelope-from <security@intuit.com>)
id GJMV8N-8BERQW-93
for <jason@myemail.com>; Tue, 6 Mar 2012 19:27:05 +0700
To: <jason@myemail.com>
Subject: Your Intuit.com invoice.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
From: “INTUIT INC.” <security@intuit.com>
X-Sender: “INTUIT INC.” <security@intuit.com>
X-Mailer: PHP
X-Priority: 1
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”————03060500702080404010506″
Message-Id: <JXON1H-5GTPKV-0H@intuit.com>
Date: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Cụ thể, trên ví dụ trên thì hacker đã không sử dụng bất kỳ chương trình email client nào, mà thay vào đó là 1 đoạn mã PHP với địa chỉ IP: 118.68.152.212.

To: <jason@myemail.com>
Subject: Your Intuit.com invoice.
X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212
From: “INTUIT INC.” <security@intuit.com>
X-Sender: “INTUIT INC.” <security@intuit.com>
X-Mailer: PHP
X-Priority: 1
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”————03060500702080404010506″
Message-Id: <JXON1H-5GTPKV-0H@intuit.com>
Date: Tue, 6 Mar 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000

Tuy nhiên, khi nhìn vào 1 trong những dấu hiệu đầu tiên thì lại khá hợp lý, vì tên domain của server gửi trùng khớp với địa chỉ email. Nhưng thực ra, đó chỉ là 1 thủ thuật đơn giản của hacker, vì họ có thể đổi tên server của họ thành intuit.com:

Received: from apache by intuit.com with local (Exim 4.67)
(envelope-from <security@intuit.com>)
id GJMV8N-8BERQW-93
for <jason@myemail.com>; Tue, 6 Mar 2012 19:27:05 +0700

Điểm tiếp theo là giải quyết vấn đề gửi tín hiệu server trở lại domain: dynamic-pool-xxx.hcm.fpt.vn chứ không phải là intuit.com với địa chỉ IP trong đoạn mã PHP:

Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

Khi kiểm tra chi tiết về địa chỉ IP thì vị trí đặt server mail là Việt Nam:

Trên đây là một số thao tác cơ bản để kiểm tra email, tuy không quá phức tạp nhưng lại tỏ ra vô cùng hữu ích trong nhiều trường hợp. Chúc các bạn thành công!

Thứ Bảy, 17/03/2012 10:00
31 👨 4.148