O que você pode encontrar em um cabeçalho de email?

Sempre que você recebe um e-mail, há muito mais do que aparenta. Embora normalmente você preste atenção apenas ao endereço de remetente, linha de assunto e corpo da mensagem, há muito mais informações disponíveis “nos bastidores” de cada e-mail que podem fornecer uma grande quantidade de informações adicionais.

Por que se preocupar em olhar para um cabeçalho de email?

Esta é uma pergunta muito boa. Na maior parte, você realmente não precisaria, a menos que:

  • Você suspeita que um e-mail é uma tentativa de phishing ou spoof
  • Você deseja ver as informações de roteamento no caminho do e-mail
  • Você é um geek curioso

Independentemente das suas razões, ler cabeçalhos de e-mail é realmente muito fácil e pode ser muito revelador.

Nota do artigo: Para nossas capturas de tela e dados, usaremos o Gmail, mas praticamente todos os outros clientes de e-mail também devem fornecer essas mesmas informações.

Visualizando o Cabeçalho do Email

No Gmail, veja o e-mail. Para este exemplo, usaremos o e-mail abaixo.

imagem

Em seguida, clique na seta no canto superior direito e selecione Mostrar original.

imagem

A janela resultante terá os dados do cabeçalho do email em texto simples.

Nota: Em todos os dados de cabeçalho de e-mail que mostro abaixo, mudei meu endereço do Gmail para mostrar como myemail@gmail.com e meu endereço de e-mail externo para mostrar como jfaulkner@externalemail.com e jason@myemail.com , bem como mascarei o IP endereço de meus servidores de e-mail.

 

Delivered-To: myemail@gmail.com
Recebido: por 10.60.14.3 com SMTP id l3csp18666oec;
Ter, 6 de março de 2012 08:30:51 -0800 (PST)
Recebido: por 10.68.125.129 com SMTP id mq1mr1963003pbb.21.1331051451044;
Ter, 06 de março de 2012 08:30:51 -0800 (PST)
Caminho de retorno: <jfaulkner@externalemail.com>
Recebido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx. google.com com id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Ter, 06 de março de 2012 08:30:50 -0800 (PST)
Received-SPF: neutro (google.com: 64.18.2.16 não é permitido nem negado pelo registro de melhor estimativa para o domínio de jfaulkner@externalemail.com) client-ip = 64.18.2.16;
Resultados da autenticação: mx.google.com; spf = neutral (google.com: 64.18.2.16 não é permitido nem negado pelo registro de melhor estimativa para o domínio de jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
Recebido: de mail.externalemail.com ([XXX. XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) com
ID SMTP DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Ter, 06 de março de 2012 08:30:50 PST
Recebido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) com mapi; Ter, 6 de março de
2012 11:30:48 -0500
De: Jason Faulkner <jfaulkner@externalemail.com>
Para: “myemail@gmail.com” <myemail@gmail.com>
Data: Ter, 6 de março de 2012 11:30: 48 -0500
Assunto: Este é um e-mail legítimo
Thread-Topic: Este é um e-mail legítimo
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
conteúdo -Idioma: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternativo;
limite = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versão MIME: 1.0

Recomendado:  O que é o novo recurso de arquivo do Google Fotos?

 

Quando você lê um cabeçalho de e-mail, os dados estão em ordem cronológica inversa, o que significa que as informações no topo são o evento mais recente. Portanto, se você deseja rastrear o e-mail do remetente ao destinatário, comece na parte inferior. Examinando os cabeçalhos deste e-mail, podemos ver várias coisas.

Aqui vemos as informações geradas pelo cliente remetente. Nesse caso, o e-mail foi enviado do Outlook, portanto, este é o metadado que o Outlook adiciona.

De: Jason Faulkner <jfaulkner@externalemail.com>
Para: “myemail@gmail.com” <myemail@gmail.com>
Data: Ter, 6 Mar 2012 11:30:48 -0500
Assunto: Este é um email legítimo
Tópico- Tópico: Este é um email legítimo
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Idioma de
conteúdo dos EUA : en-US
X : en-US X -Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
limite = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
Versão MIME: 1.0

A próxima parte rastreia o caminho que o e-mail percorre do servidor de envio ao servidor de destino. Lembre-se de que essas etapas (ou saltos) estão listados em ordem cronológica inversa. Colocamos o respectivo número ao lado de cada salto para ilustrar a ordem. Observe que cada salto mostra detalhes sobre o endereço IP e o respectivo nome DNS reverso.

Delivered-To: myemail@gmail.com
[6] Recebido: por 10.60.14.3 com SMTP id l3csp18666oec;
Ter, 6 de março de 2012 08:30:51 -0800 (PST)
[5] Recebido: por 10.68.125.129 com SMTP id mq1mr1963003pbb.21.1331051451044;
Ter, 06 de março de 2012 08:30:51 -0800 (PST)
Caminho de retorno: <jfaulkner@externalemail.com>
[4] Recebido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com com id SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Ter, 06 de março de 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutro (google.com: 64.18.2.16 não é permitido nem negado pelo registro de melhor estimativa para o domínio de jfaulkner@externalemail.com) cliente -ip = 64.18.2.16;
Resultados da autenticação: mx.google.com; spf = neutral (google.com: 64.18.2.16 não é permitido nem negado pelo registro de melhor estimativa para o domínio de jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
[2] Recebido: de mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) com
ID SMTP DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Ter, 06 de março de 2012 08:30:50 PST
[1] Recebido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local ([fe80 :: a805: c335 : 8c71: cdb3% 11]) com mapi; Ter, 6 de março de
2012 11:30:48 -0500

Embora isso seja bastante comum para um e-mail legítimo, essas informações podem ser bastante reveladoras quando se trata de examinar e-mails de spam ou phishing.

 

Examinando um e-mail de phishing – Exemplo 1

Para nosso primeiro exemplo de phishing, examinaremos um e-mail que é uma tentativa óbvia de phishing. Neste caso, poderíamos identificar esta mensagem como uma fraude simplesmente pelos indicadores visuais, mas para a prática, daremos uma olhada nos sinais de aviso nos cabeçalhos.

imagem

Delivered-To: myemail@gmail.com
Recebido: por 10.60.14.3 com SMTP id l3csp12958oec;
Seg, 5 de março de 2012 23:11:29 -0800 (PST)
Recebido: por 10.236.46.164 com ID SMTP r24mr7411623yhb.101.1331017888982;
Seg, 05 de março de 2012 23:11:28 -0800 (PST)
Caminho de retorno: <securityalert@verifybyvisa.com>
Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX] )
por mx.google.com com ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Seg, 05 de março de 2012 23:11:28 -0800 (PST)
Recebido-SPF: falha (google.com: domínio de securityalert@verifybyvisa.com não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX;
Resultados da autenticação: mx.google.com; spf = hardfail (google.com: domínio de securityalert@verifybyvisa.com não designa XXX.XXX.XXX.XXX como remetente permitido) smtp.mail=securityalert@verifybyvisa.com
Recebido: com MailEnable Postoffice Connector; Ter, 6 de março de 2012 02:11:20 -0500
Recebido: de mail.lovingtour.com ([211.166.9.218]) por ms.externalemail.com com MailEnable ESMTP; Ter, 6 de março de 2012 02:11:10 -0500
Recebido: do usuário ([118.142.76.58])
por mail.lovingtour.com
; Seg, 5 de março de 2012 21:38:11 +0800
Message-ID: <6DCB4366-3518-4C6C-B66A-F541F32A4C4C@mail.lovingtour.com>
Responder para: <securityalert@verifybyvisa.com>
De: “securityalert @ verifybyvisa .com ”<securityalert@verifybyvisa.com>
Assunto: Aviso
Data: Seg, 5 de março de 2012 21:20:57 +0800
Versão MIME: 1.0
Tipo de conteúdo: multipart / mixed;
limite = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-Prioridade: 3
X-MSMail-Prioridade: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produzido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian : 0,000000

Recomendado:  Como compartilhar links “Fazer uma cópia” com seus arquivos do Google

 

A primeira bandeira vermelha está na área de informações do cliente. Observe aqui que os metadados adicionados fazem referência ao Outlook Express. É improvável que a Visa esteja tão atrasada no tempo a ponto de ter alguém enviando e-mails manualmente usando um cliente de e-mail de 12 anos.

Responder a: <securityalert@verifybyvisa.com>
De: “securityalert@verifybyvisa.com” <securityalert@verifybyvisa.com>
Assunto:
Data do aviso : Seg, 5 de março de 2012 21:20:57 +0800
Versão MIME: 1.0
Conteúdo -Tipo: multipart / misto;
limite = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″
X-Prioridade: 3
X-MSMail-Prioridade: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produzido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian : 0,000000

Agora, examinando o primeiro salto no roteamento de email, revela que o remetente estava localizado no endereço IP 118.142.76.58 e seu email foi retransmitido por meio do servidor de email mail.lovingtour.com.

Recebido: do usuário ([118.142.76.58])
por mail.lovingtour.com
; Seg, 5 de março de 2012 21:38:11 +0800

Olhando as informações de IP usando o utilitário IPNetInfo da Nirsoft, podemos ver que o remetente estava localizado em Hong Kong e o servidor de e-mail está localizado na China.

imagem

imagem

Nem é preciso dizer que isso é um pouco suspeito.

O restante dos saltos de e-mail não são realmente relevantes neste caso, pois mostram o e-mail pulando no tráfego do servidor legítimo antes de finalmente ser entregue.

 

Examinando um e-mail de phishing – Exemplo 2

Para este exemplo, nosso e-mail de phishing é muito mais convincente. Existem alguns indicadores visuais aqui se você olhar com atenção, mas, novamente, para os fins deste artigo, vamos limitar nossa investigação aos cabeçalhos de e-mail.

imagem

Delivered-To: myemail@gmail.com
Recebido: por 10.60.14.3 com SMTP id l3csp15619oec;
Ter, 6 de março de 2012 04:27:20 -0800 (PST)
Recebido: por 10.236.170.165 com SMTP id p25mr8672800yhl.123.1331036839870;
Ter, 06 de março de 2012 04:27:19 -0800 (PST)
Caminho de retorno: <security@intuit.com>
Recebido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX] )
por mx.google.com com ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Ter, 06 de março de 2012 04:27:19 -0800 (PST)
Recebido-SPF: falha (google.com: domínio de security@intuit.com não designa XXX.XXX.XXX.XXX como remetente permitido) client-ip = XXX.XXX.XXX.XXX;
Resultados da autenticação: mx.google.com; spf = hardfail (google.com: domínio de security@intuit.com não designa XXX.XXX.XXX.XXX como remetente permitido) smtp.mail=security@intuit.com
Recebido: com MailEnable Postoffice Connector; Ter, 6 de março de 2012 07:27:13 -0500
Recebido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com com MailEnable ESMTP; Ter, 6 de março de 2012 07:27:08 -0500
Recebido: do apache por intuit.com com local (Exim 4.67)
(envelope-from <security@intuit.com>)
id GJMV8N-8BERQW-93
para <jason @ myemail. com>; Ter, 6 de março de 2012 19:27:05 +0700
Para: <jason@myemail.com>
Assunto: Sua fatura da Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: “INTUIT INC.” <security@intuit.com>
X-Sender: “INTUIT INC.” <security@intuit.com>
X-Mailer: PHP
X-Priority: 1
MIME-Version: 1.0
Content-Type: multipart / alternative;
limite = ”———— 03060500702080404010506 ″
Message-Id: <JXON1H-5GTPKV-0H@intuit.com>
Data: Ter, 6 de março de 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000

Recomendado:  10 maneiras de personalizar sua conta do Slack

 

Neste exemplo, um aplicativo cliente de e-mail não foi usado, em vez de um script PHP com o endereço IP de origem de 118.68.152.212.

Para: <jason@myemail.com>
Assunto: Sua fatura da Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: “INTUIT INC.” <security@intuit.com>
X-Sender: “INTUIT INC.” <security@intuit.com>
X-Mailer: PHP
X-Priority: 1
MIME-Version: 1.0
Content-Type: multipart / alternative;
limite = ”———— 03060500702080404010506 ″
Message-Id: <JXON1H-5GTPKV-0H@intuit.com>
Data: Ter, 6 de março de 2012 19:27:05 +0700
X-ME-Bayesian: 0,000000

No entanto, quando olhamos o primeiro e-mail, parece ser legítimo, pois o nome de domínio do servidor de envio corresponde ao endereço de e-mail. No entanto, tenha cuidado com isso, pois um spammer pode facilmente nomear seu servidor como “intuit.com”.

Recebido: do apache por intuit.com com local (Exim 4.67)
(envelope-from <security@intuit.com>)
id GJMV8N-8BERQW-93
para <jason@myemail.com>; Ter, 6 de março de 2012 19:27:05 +0700

O exame da próxima etapa destrói este castelo de cartas. Você pode ver que o segundo salto (onde é recebido por um servidor de e-mail legítimo) resolve o servidor de envio de volta para o domínio “dynamic-pool-xxx.hcm.fpt.vn”, não “intuit.com” com o mesmo endereço IP indicado no script PHP.

Recebido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com com MailEnable ESMTP; Ter, 6 de março de 2012 07:27:08 -0500

Visualizar as informações do endereço IP confirma a suspeita, pois a localização do servidor de e-mail retorna ao Vietnã.

imagem

Embora este exemplo seja um pouco mais inteligente, você pode ver a rapidez com que a fraude é revelada com apenas um pouco de investigação.

 

Conclusão

Embora a exibição de cabeçalhos de e-mail provavelmente não faça parte de suas necessidades diárias, há casos em que as informações neles contidas podem ser muito valiosas. Como mostramos acima, você pode identificar facilmente os remetentes se mascarando como algo que não são. Para um golpe muito bem executado, em que as dicas visuais são convincentes, é extremamente difícil (senão impossível) personificar os servidores de email reais, e a revisão das informações dentro dos cabeçalhos de email pode revelar rapidamente qualquer fraude.

 

Links

Baixe IPNetInfo da Nirsoft