มีอะไรอยู่ในส่วนหัวของอีเมลและเหตุใดคุณจึงควรสนใจ

เคยได้รับข้อความสแปมหรือฟิชชิ่งจากที่อยู่อีเมลที่คุณไม่รู้จักหรือไม่? อาจมีใครบางคนเสนอทริปฟรีให้คุณ ขอให้คุณส่ง bitcoin ให้พวกเขาเพื่อแลกกับรูปถ่ายส่วนตัว หรือเพียงแค่ส่งอีเมลการตลาดที่ไม่ต้องการให้คุณ

คุณเคยสงสัยหรือไม่ว่าอีเมลเหล่านั้นมาจากไหน? เห็นนักส่งสแปมปลอมที่อยู่อีเมลของคุณและสงสัยว่าพวกเขาทำได้อย่างไร

การปลอมแปลงอีเมลหรือการทำอีเมลให้ดูเหมือนอีเมลนั้นมาจากที่อยู่อื่น (เช่น อีเมลที่ดูเหมือนว่ามาจาก whitehouse.gov แต่จริงๆ แล้วมาจากผู้หลอกลวง) เป็นเรื่องง่ายอย่างน่าทึ่ง

โปรโตคอลอีเมลหลักไม่มีวิธีการตรวจสอบสิทธิ์ หมายความว่าโดยพื้นฐานแล้วที่อยู่ "จาก" เป็นเพียงการกรอกข้อมูลในช่องว่าง

โดยปกติเมื่อคุณได้รับอีเมล จะมีลักษณะดังนี้:

From: Name <[email protected]>
Date: Tuesday, July 16, 2019 at 10:02 AM
To: Me <[email protected]>

ด้านล่างเป็นหัวเรื่องและข้อความ

แต่คุณรู้ได้อย่างไรว่าอีเมลนั้นมาจากไหนจริงๆ ไม่มีข้อมูลเพิ่มเติมที่สามารถวิเคราะห์ได้หรือไม่

สิ่งที่เรากำลังมองหาคือส่วนหัวของอีเมลแบบเต็ม — สิ่งที่คุณเห็นด้านบนเป็นเพียงส่วนหัวบางส่วนเท่านั้น ข้อมูลนี้จะให้ข้อมูลเพิ่มเติมเกี่ยวกับที่มาของอีเมลและวิธีที่อีเมลส่งถึงกล่องจดหมายของคุณ

หากคุณต้องการดูส่วนหัวของอีเมล ต่อไปนี้คือวิธีเข้าถึงใน Outlook และ Gmail โปรแกรมอีเมลส่วนใหญ่ทำงานในลักษณะเดียวกัน และการค้นหาโดย Google แบบง่ายๆ จะบอกวิธีดูส่วนหัวของบริการอีเมลอื่นให้คุณทราบ

ในบทความนี้ เราจะพิจารณาชุดของส่วนหัวจริง (แม้ว่าจะมีการปกปิดอย่างหนัก — ฉันได้เปลี่ยนชื่อโฮสต์ เวลาประทับ และที่อยู่ IP)

เราจะอ่านส่วนหัวจากบนลงล่าง แต่โปรดทราบว่าแต่ละเซิร์ฟเวอร์ใหม่จะเพิ่มส่วนหัวที่ด้านบนของเนื้อหาอีเมล ซึ่งหมายความว่าเราจะอ่านแต่ละส่วนหัวจากตัวแทนการโอนข้อความสุดท้าย (MTA) และดำเนินการจนถึง MTA แรกเพื่อยอมรับข้อความ

การโอนภายใน

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

ฮ็อพแรกนี้แสดงบรรทัด HTTPS ซึ่งหมายความว่าเซิร์ฟเวอร์ไม่ได้รับข้อความผ่าน SMTP มาตรฐาน และสร้างข้อความจากอินพุตที่ได้รับบนเว็บแอปพลิเคชันแทน

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

เหล่านี้เป็นสองบล็อกส่วนหัวแรกคือการถ่ายโอนจดหมายภายใน คุณสามารถบอกได้ว่าเซิร์ฟเวอร์ Office365 (outlook.com) ได้รับสิ่งเหล่านี้และกำหนดเส้นทางภายในไปยังผู้รับที่ถูกต้อง

คุณยังสามารถบอกได้ว่าข้อความนั้นถูกส่งผ่าน SMTP ที่เข้ารหัส คุณทราบสิ่งนี้เนื่องจากส่วนหัวแสดงรายการ "พร้อมเซิร์ฟเวอร์ Microsoft SMTP" แล้วระบุเวอร์ชัน TLS ที่กำลังใช้อยู่ รวมถึงรหัสลับเฉพาะ

บล็อกส่วนหัวที่สามทำเครื่องหมายการเปลี่ยนจากเซิร์ฟเวอร์เมลในเครื่องเป็นบริการกรองเมล คุณรู้เรื่องนี้เพราะ "ผ่าน Frontend Transport" ซึ่งเป็นโปรโตคอลเฉพาะของ Microsoft-Exchange (ดังนั้นจึงไม่ใช่ SMTP อย่างเคร่งครัด)

บล็อกนี้ยังรวมถึงการตรวจสอบอีเมลด้วย ส่วนหัวของ Outlook.com มีรายละเอียดผลลัพธ์ SPF/DKIM/DMARC ที่นี่ SPF softfail หมายความว่าที่อยู่ IP นี้ไม่ได้รับอนุญาตให้ส่งอีเมลในนามของ gmail.com

"dkim=pass" หมายความว่าอีเมลนั้นมาจากผู้ส่งที่อ้างว่าส่งและ (น่าจะ) ไม่ถูกแก้ไขระหว่างการส่ง

DMARC คือชุดกฎที่บอกเซิร์ฟเวอร์อีเมลถึงวิธีตีความผลลัพธ์ SPF และ DKIM มีแนวโน้มว่าผ่านหมายความว่าอีเมลยังคงดำเนินต่อไปยังปลายทาง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ SPF, DKIM และ DMARC โปรดดูบทความนี้

การเปลี่ยนผ่านภายใน/ภายนอก

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000

Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible


Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

นี่คือบันทึก SPF ของ Google ซึ่งบอกเซิร์ฟเวอร์ที่รับว่าอีเมลที่ระบุว่ามาจาก gmail.com นั้นมาจากเซิร์ฟเวอร์ที่ Google อนุมัติ

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

สิ่งนี้แสดงการตรวจสอบ SPF/DKIM/DMARC เพิ่มเติมบางส่วน รวมถึงผลลัพธ์จากการสแกน IronPort

Ironport เป็นตัวกรองอีเมลยอดนิยมที่บริษัทหลายแห่งใช้เพื่อค้นหาสแปม ไวรัส และอีเมลที่เป็นอันตรายอื่นๆ โดยจะสแกนลิงก์และไฟล์แนบในอีเมลและพิจารณาว่าอีเมลนั้นเป็นอันตรายหรือไม่ (และควรทิ้ง) ว่ามีแนวโน้มถูกต้องตามกฎหมายและควรส่งหรือไม่ หรือหากมีข้อสงสัย ในกรณีนี้สามารถแนบส่วนหัวกับเนื้อหาได้ บอกให้ผู้ใช้ระวังอีเมล

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400

Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT)

X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected]

Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

ส่วนนี้แสดงฮ็อพภายในที่อีเมลใช้จากอุปกรณ์เริ่มต้นของผู้ส่งผ่านระบบการกำหนดเส้นทางของ Gmail และสภาพแวดล้อม Outlook ของผู้รับ จากนี้เราจะเห็นว่าผู้ส่งเริ่มต้นมาจาก Macbook โดยใช้เราเตอร์ที่บ้านกับ Verizon Fios ในนิวยอร์ค

นี่คือจุดสิ้นสุดของฮ็อพที่แสดงเส้นทางที่อีเมลใช้จากผู้ส่งไปยังผู้รับ เมื่อผ่านไปแล้ว คุณจะเห็นเนื้อหาของอีเมล (และส่วนหัวที่คุณมักจะเห็นเช่น "จาก:", "ถึง:" เป็นต้น) อาจมีการจัดรูปแบบตามประเภทสื่อและโปรแกรมรับส่งเมล (เช่น เวอร์ชัน MIME ประเภทเนื้อหา ขอบเขต ฯลฯ) นอกจากนี้ยังอาจมีข้อมูล user-agent ซึ่งเป็นรายละเอียดเกี่ยวกับประเภทของอุปกรณ์ที่ส่งข้อความ

ในกรณีนี้ เราทราบแล้วว่าอุปกรณ์ที่ส่งเป็น Macbook เนื่องจากการตั้งชื่อตามแบบแผนของ Apple แต่อาจมีรายละเอียดเกี่ยวกับประเภท CPU เวอร์ชัน แม้แต่เบราว์เซอร์และเวอร์ชันที่ติดตั้งบนอุปกรณ์

ในบางกรณี แต่ไม่ใช่ทั้งหมด อาจมีที่อยู่ IP ของอุปกรณ์ส่ง (แม้ว่าผู้ให้บริการหลายรายจะซ่อนข้อมูลนั้นโดยไม่มีหมายเรียก)

ส่วนหัวของอีเมลบอกอะไรคุณได้บ้าง

ส่วนหัวของอีเมลสามารถช่วยระบุได้ว่าเมื่อใดที่ไม่มีการส่งอีเมลจากผู้ส่งที่อ้างว่าเป็นผู้ส่ง พวกเขาสามารถให้ข้อมูลบางอย่างเกี่ยวกับผู้ส่ง แม้ว่าโดยปกติแล้วจะไม่เพียงพอในการระบุผู้ส่งที่แท้จริง

การบังคับใช้กฎหมายมักใช้ข้อมูลนี้เพื่อเรียกข้อมูลจาก ISP ที่ถูกต้อง แต่พวกเราที่เหลือส่วนใหญ่สามารถใช้ข้อมูลนี้เพื่อช่วยแจ้งการสืบสวน ซึ่งโดยทั่วไปแล้วจะเป็นฟิชชิง

กระบวนการนี้ทำได้ยากขึ้นเนื่องจากเซิร์ฟเวอร์หรือแฮกเกอร์ที่เป็นอันตรายสามารถปลอมแปลงส่วนหัวได้ หากไม่ติดต่อเจ้าของเซิร์ฟเวอร์แต่ละรายและตรวจสอบว่าส่วนหัวในอีเมลของคุณตรงกับบันทึก SMTP ซึ่งต้องใช้ความอุตสาหะและใช้เวลานาน คุณจะไม่แน่ใจว่าส่วนหัวนั้นถูกต้องหรือไม่ (นอกเหนือจากส่วนหัวที่เซิร์ฟเวอร์อีเมลของคุณแนบมาด้วย)

หากไม่ติดต่อเจ้าของเซิร์ฟเวอร์แต่ละรายและตรวจสอบว่าส่วนหัวในอีเมลของคุณตรงกับบันทึก SMTP ซึ่งต้องใช้ความอุตสาหะและใช้เวลานาน คุณจะไม่แน่ใจว่าส่วนหัวนั้นถูกต้องทั้งหมดหรือไม่

DKIM, DMARC และ SPF สามารถช่วยในกระบวนการนี้ได้ แต่ก็ไม่สมบูรณ์แบบ และหากไม่มี ก็ไม่ต้องมีการยืนยันเลย

ไม่ต้องการวิเคราะห์ส่วนหัวของคุณเองหรือ เว็บไซต์นี้จะทำเพื่อคุณ