Anasayfa » nasıl » Bir E-posta Başlığında Ne Bulabilirsiniz?

    Bir E-posta Başlığında Ne Bulabilirsiniz?

    Bir e-posta aldığınızda, göründüğünden çok daha fazlası var. Genellikle yalnızca adrese, konu satırına ve iletinin gövdesine dikkat etseniz de, her bir e-postanın “başlığı altında” bulunan ve size ek bilgi zenginliği sağlayabilecek birçok bilgi vardır..

    Neden bir E-posta Başlığına Bakmak Rahatsız Ediyor??

    Bu çok iyi bir soru. Çoğunlukla, asla:

    • Bir e-postanın kimlik avı girişimi veya sahtekarlık olduğundan şüpheleniyorsunuz
    • E-postanın yolundaki yönlendirme bilgilerini görüntülemek istiyorsunuz.
    • Sen meraklı bir ineğin

    Sebepleriniz ne olursa olsun, e-posta başlıklarını okumak aslında oldukça kolaydır ve çok açıklayıcı olabilir..

    Makale Not: Ekran görüntülerimiz ve verilerimiz için Gmail kullanıyor olacağız, ancak neredeyse her diğer posta istemcisi de aynı bilgiyi sağlamalıdır..

    E-posta Başlığını Görüntüleme

    Gmail’de e-postayı görüntüleyin. Bu örnek için aşağıdaki e-postayı kullanacağız.

    Ardından sağ üst köşedeki oka tıklayın ve Orijinali göster'i seçin..

    Ortaya çıkan pencerede e-posta başlığı verisi düz metin olacak.

    Not: Aşağıda gösterdiğim tüm e-posta başlığı verilerinde, Gmail adresimi olarak gösterilecek şekilde değiştirdim. [email protected] ve harici e-posta adresim olarak gösterilsin [email protected] ve [email protected] yanı sıra e-posta sunucularımın IP adresini de maskeledi.

    Teslim Edilenler: [email protected]
    Alınan: 10.60.14.3 itibariyle SMTP kimliği l3csp18666oec;
    Sal, 6 Mar 2012 08:30:51 -0800 (PST)
    Alınan: 10.68.125.129 itibariyle SMTP kimliği mq1mr1963003pbb.21.1331051451044;
    Sal, 06 Mar 2012 08:30:51 -0800 (PST)
    Dönüş yolu:
    Alınan: exprod7og119.obsmtp.com adresinden (exprod7og119.obsmtp.com. [64.18.2.16])
    mx.google.com tarafından SMTP kimliği l7si25161491pbd.80.2012.03.06.08.30.49;
    Sal, 06 Mar 2012 08:30:50 -0800 (PST)
    Alınan SPF: nötr (google.com: 64.18.2.16, [email protected] etki alanı için en iyi tahmin kaydı tarafından izin verilmez veya reddedilmez) client-ip = 64.18.2.16;
    Kimlik Doğrulama-Sonuçları: mx.google.com; spf = nötr (google.com: 64.18.2.16, [email protected] alan adı için en iyi tahmin kaydı tarafından izin verilmez veya reddedilmez) [email protected]
    Alınan: mail.externalemail.com adresinden ([XXX.XXX.XXX.XXX]) (TLSv1 kullanarak) exprod7ob119.postini.com ([64.18.6.12]) tarafından SMTP ile
    Kimlik DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Sal, 06 Mar 2012 08:30:50 PST
    Alınan: MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) tarafından
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) mapi; Sal, 6 Mar
    2012 11:30:48 - 0500
    Gönderen: Jason Faulkner
    Kime: “[email protected]
    Tarih: Sal, 6 Mar 2012 11:30:48 -0500
    Konu: Bu yasal bir e-posta
    Konu Konusu: Bu okunaklı bir e-posta
    Konu Dizini: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Mesaj Kimliği:
    Kabul Et Dili: tr
    İçerik Dili: tr
    X-MS-Has-takın:
    X-MS-TNEF korelatör:
    kabul dili: tr
    İçerik Türü: çok parçalı / alternatif;
    Sınır =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME Sürümü: 1.0

    Bir e-posta başlığını okuduğunuzda, veriler ters kronolojik sıradadır, yani üstteki bilgi en son olaydır. Bunun için e-postayı göndericiden alıcıya kadar izlemek istiyorsanız, en alttan başlayın. Bu e-postanın başlıklarını inceleyerek birkaç şey görebiliriz.

    Burada, gönderen müşteri tarafından üretilen bilgileri görüyoruz. Bu durumda, e-posta Outlook'tan gönderildi, bu yüzden Outlook ekleyen meta veri.

    Gönderen: Jason Faulkner
    Kime: “[email protected]
    Tarih: Sal, 6 Mar 2012 11:30:48 -0500
    Konu: Bu yasal bir e-posta
    Konu Konusu: Bu okunaklı bir e-posta
    Konu Dizini: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    Mesaj Kimliği:
    Kabul Et Dili: tr
    İçerik Dili: tr
    X-MS-Has-takın:
    X-MS-TNEF korelatör:
    kabul dili: tr
    İçerik Türü: çok parçalı / alternatif;
    Sınır =”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
    MIME Sürümü: 1.0

    Bir sonraki kısım, e-postanın gönderen sunucudan hedef sunucuya giden yolu izler. Bu adımların (veya atlamaların) ters kronolojik sırayla listelendiğini unutmayın. Sırayı göstermek için her sıçramanın yanına ilgili numarayı yerleştirdik. Her sekmenin IP adresi ve ilgili ters DNS adı hakkında ayrıntılı bilgi gösterdiğini unutmayın..

    Teslim Edilenler: [email protected]
    [6] Alınan: 10.60.14.3 itibariyle SMTP kimliği l3csp18666oec;
    Sal, 6 Mar 2012 08:30:51 -0800 (PST)
    [5] Alınan: 10.68.125.129 itibariyle SMTP kimliği mq1mr1963003pbb.21.1331051451044;
    Sal, 06 Mar 2012 08:30:51 -0800 (PST)
    Dönüş yolu:
    [4] Alınan: exprod7og119.obsmtp.com adresinden (exprod7og119.obsmtp.com. [64.18.2.16])
    mx.google.com tarafından SMTP kimliği l7si25161491pbd.80.2012.03.06.08.30.49;
    Sal, 06 Mar 2012 08:30:50 -0800 (PST)
    [3] Alınan SPF: nötr (google.com: 64.18.2.16, [email protected] etki alanı için en iyi tahmin kaydı tarafından izin verilmez veya reddedilmez) client-ip = 64.18.2.16;
    Kimlik Doğrulama-Sonuçları: mx.google.com; spf = nötr (google.com: 64.18.2.16, [email protected] alan adı için en iyi tahmin kaydı tarafından izin verilmez veya reddedilmez) [email protected]
    [2] Alınan: mail.externalemail.com adresinden ([XXX.XXX.XXX.XXX]) (TLSv1 kullanarak) exprod7ob119.postini.com ([64.18.6.12]) tarafından SMTP ile
    Kimlik DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Sal, 06 Mar 2012 08:30:50 PST
    [1] Alınan: MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) tarafından
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) mapi; Sal, 6 Mar
    2012 11:30:48 - 0500

    Bu meşru bir e-posta için oldukça sıradan olsa da, spam veya kimlik avı e-postalarını incelemek söz konusu olduğunda bu bilgiler oldukça açık olabilir..

    Kimlik Avı E-postasını İnceleme - Örnek 1

    İlk kimlik avı örneğimiz için, açıkça bir kimlik avı girişimi olan bir e-postayı inceleyeceğiz. Bu durumda, bu mesajı sadece görsel göstergelerle dolandırıcılık olarak tanımlayabiliriz ancak uygulama için başlıklardaki uyarı işaretlerine göz atacağız..

    Teslim Edilenler: [email protected]
    Alınan: 10.60.14.3 itibariyle SMTP kimliği l3csp12958oec;
    Pzt, 5 Mar 2012 23:11:29 -0800 (PST)
    Alınan: 10.236.46.164 tarihine kadar SMTP kimliği r24mr7411623yhb.101.1331017888982;
    Pzt, 05 Mar 2012 23:11:28 -0800 (PST)
    Dönüş yolu:
    Alınan: ms.externalemail.com adresinden (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    mx.google.com tarafından ESMTP kimliği ile t19si8451178ani.110.2012.03.05.23.11.28;
    Pzt, 05 Mar 2012 23:11:28 -0800 (PST)
    Alınan SPF: başarısız (google.com: [email protected] etki alanı, XXX.XXX.XXX.XXX'i izin verilen gönderici olarak belirtmiyor) client-ip = XXX.XXX.XXX.XXX;
    Kimlik Doğrulama-Sonuçları: mx.google.com; spf = hardfail (google.com: [email protected] etki alanı, izin verilen gönderici olarak XXX.XXX.XXX.XXX öğesini belirlemez) [email protected]
    Alınan: MailEnable Postane Bağlayıcı ile; Sal, 6 Mar 2012 02:11:20 -0500
    Alınan: mail.lovingtour.com adresinden ([211.166.9.218]) MailEnable ESMTP'li ms.externalemail.com tarafından; Sal, 6 Mar 2012 02:11:10 -0500
    Alınan: Kullanıcıdan ([118.142.76.58])
    mail.lovingtour.com tarafından
    ; Pzt, 5 Mar 2012 21:38:11 +0800
    Mesaj Kimliği:
    Yanıt Adresi:
    Gönderen: “[email protected]
    Konu: Bildirim
    Tarih: Pzt, 5 Mar 2012 21:20:57 +0800
    MIME Sürümü: 1.0
    İçerik Türü: çok parçalı / karışık;
    Sınır =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X Önceliği: 3
    X-MSMail Önceliği: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Microsoft MimeOLE V6.00.2600.0000 tarafından üretilmiştir.
    X-ME-Bayesian: 0,000000

    İlk kırmızı bayrak müşteri bilgi alanında. Burada dikkat edin, meta veriler, Outlook Express'e başvuruda bulundu. Visa'nın 12 yaşında bir e-posta istemcisi kullanarak e-posta gönderen birisinin ellerinde e-posta göndermesinin çok gerisinde kalması muhtemel değildir..

    Yanıt Adresi:
    Gönderen: “[email protected]
    Konu: Bildirim
    Tarih: Pzt, 5 Mar 2012 21:20:57 +0800
    MIME Sürümü: 1.0
    İçerik Türü: çok parçalı / karışık;
    Sınır =”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    X Önceliği: 3
    X-MSMail Önceliği: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Microsoft MimeOLE V6.00.2600.0000 tarafından üretilmiştir.
    X-ME-Bayesian: 0,000000

    Şimdi, e-posta yönlendirmesinde ilk atlamanın incelenmesi, gönderenin 118.142.76.58 IP adresinde bulunduğunu ve e-postalarının mail.lovingtour.com posta sunucusu üzerinden iletildiğini ortaya koyuyor.

    Alınan: Kullanıcıdan ([118.142.76.58])
    mail.lovingtour.com tarafından
    ; Pzt, 5 Mar 2012 21:38:11 +0800

    Nirsoft'un IPNetInfo yardımcı programını kullanarak IP bilgilerini ararken gönderenin Hong Kong'da ve posta sunucusunun Çin'de bulunduğunu görebiliriz..

    Söylemeye gerek yok, bu biraz şüpheli.

    E-posta atlamalarının geri kalanı bu durumda pek geçerli değil çünkü en sonunda teslim edilmeden önce yasal sunucu trafiği etrafında zıplayan e-postaları gösteriyorlar..

    Kimlik Avı E-postasını İnceleme - Örnek 2

    Bu örnek için, phishing e-postamız çok daha ikna edicidir. Yeterince sert görünüyorsanız burada birkaç görsel gösterge var, ancak yine de bu makalenin amaçları için araştırmamızı e-posta başlıklarına sınırlayacağız..

    Teslim Edilenler: [email protected]
    Alınan: 10.60.14.3 itibariyle SMTP kimliği l3csp15619oec;
    Sal, 6 Mar 2012 04:27:20 -0800 (PST)
    Alınan: 10.236.170.165 itibariyle SMTP kimliği p25mr8672800yhl.123.1331036839870;
    Sal, 06 Mar 2012 04:27:19 -0800 (PST)
    Dönüş yolu:
    Alınan: ms.externalemail.com adresinden (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    mx.google.com tarafından ESMTP kimliği o2si20048188yhn.34.2012.03.06.04.27.19;
    Sal, 06 Mar 2012 04:27:19 -0800 (PST)
    Alınan SPF: başarısız (google.com: [email protected] etki alanı, XXX.XXX.XXX.XXX’i izin verilen gönderici olarak belirtmiyor) client-ip = XXX.XXX.XXX.XXX;
    Kimlik Doğrulama-Sonuçları: mx.google.com; spf = hardfail (google.com: [email protected] etki alanı, XXX.XXX.XXX.XXX’i izin verilen gönderen olarak belirtmiyor) [email protected]
    Alınan: MailEnable Postane Bağlayıcı ile; Sal, 6 Mar 2012 07:27:13 -0500
    Alınan: dynamicEpool-xxx.hcm.fpt.vn ([118.68.152.212]) tarafından, MailEnable ESMTP'li ms.externalemail.com tarafından; Sal, 6 Mar 2012 07:27:08 -0500
    Alındı: apache'den intuit.com tarafından yerel (exim 4.67)
    (zarftan)
    kimliği GJMV8N-8BERQW-93
    için ; Sal, 6 Mar 2012 19:27:05 +0700
    Kime:
    Konu: Intuit.com faturanız.
    X-PHP-Script: 118.68.152.212 için intuit.com/sendmail.php
    Kimden: “INTUIT INC.”
    X-Gönderen: “INTUIT INC.”
    X-Mailer: PHP
    X Önceliği: 1
    MIME Sürümü: 1.0
    İçerik Türü: çok parçalı / alternatif;
    Sınır =”- 03060500702080404010506"
    Mesaj Kimliği:
    Tarih: Sal, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Bu örnekte, bir posta istemcisi uygulaması, 118.68.152.212 kaynak IP adresine sahip bir PHP betiği kullanılmamıştır..

    Kime:
    Konu: Intuit.com faturanız.
    X-PHP-Script: 118.68.152.212 için intuit.com/sendmail.php
    Kimden: “INTUIT INC.”
    X-Gönderen: “INTUIT INC.”
    X-Mailer: PHP
    X Önceliği: 1
    MIME Sürümü: 1.0
    İçerik Türü: çok parçalı / alternatif;
    Sınır =”- 03060500702080404010506"
    Mesaj Kimliği:
    Tarih: Sal, 6 Mar 2012 19:27:05 +0700
    X-ME-Bayesian: 0,000000

    Ancak, ilk e-posta atlama noktasına baktığımızda, gönderen sunucunun etki alanı adı e-posta adresiyle eşleştiği için yasal görünüyor. Bununla birlikte, spam gönderenlerin sunucularına kolayca “intuit.com” adını verebileceğine dikkat edin.

    Alındı: apache'den intuit.com tarafından yerel (exim 4.67)
    (zarftan)
    kimliği GJMV8N-8BERQW-93
    için ; Sal, 6 Mar 2012 19:27:05 +0700

    Bir sonraki adıma bakıldığında bu kartlar evi parçalanır. İkinci atlamanın (meşru bir e-posta sunucusu tarafından alındığı yerde), gönderen sunucuyu aynı IP adresine sahip “intuit.com” yerine “dynamic-pool-xxx.hcm.fpt.vn” alanına geri gönderdiğini görebilirsiniz. PHP betiğinde belirtilenler.

    Alınan: dynamicEpool-xxx.hcm.fpt.vn ([118.68.152.212]) tarafından, MailEnable ESMTP'li ms.externalemail.com tarafından; Sal, 6 Mar 2012 07:27:08 -0500

    IP adresi bilgilerini görüntülemek, posta sunucusunun konumu Viet Nam'a döndüğü için şüpheyi onaylar.

    Bu örnek biraz daha zekice olsa da, sahtekarlığın ne kadar çabuk açığa çıkarıldığını birazcık araştırma ile görebilirsiniz..

    Sonuç

    E-posta başlıklarını görüntülemek, muhtemelen günlük olarak günlük ihtiyaçlarınızın bir parçası olmasa da, içinde bulunan bilgilerin oldukça değerli olabileceği durumlar vardır. Yukarıda gösterdiğimiz gibi, gizlice gönderen göndericileri, olmadıkları bir şey olarak kolayca tanımlayabilirsiniz. Görsel ipuçlarının inandırıcı olduğu çok iyi bir şekilde yürütülen bir aldatmaca için, asıl posta sunucularını taklit etmek son derece zordur ve e-posta başlıklarının içindeki bilgileri incelemek herhangi bir hileliğin çabucak ortaya çıkmasına neden olabilir.

    Bağlantılar

    Nirsoft’tan IPNetInfo’yu indirin

    İnternetten İndirilen Dosya Uyarısına Neden Olan ve Nasıl Kolayca Kaldırabilirim?
    Web 2.0'dan Sonra Neler Geliyor?
    Samsung Health ile Neler Yapabilirsiniz?
    Sonraki makale
    Windows Vista Service Pack 1'den Gerçekten Ne Bekleyebilirsiniz?
    Önceki makale
    Samsung Bixby İle Ne Yapabilirsiniz?