通过邮件获取发件人部分信息
一、溯源-邮件
当您收到电子邮件时,往往都要看下发件人是谁,是吗?这是我们了解 E-mail 来源的最快方式。
电子邮件的「邮件头」中包含了有关发件人、邮件路由、签名和加密相关的大量信息,我们可以通过这些信息对电子邮件进行跟踪溯源。
「邮件头」信息应该从下往上看(即底部的信息最旧),并且电子邮件经过的每个新服务器都会向「邮件头」中添加信息。我随便从 Outlook 邮箱中「捞」了一个老邮件出来,向大家简要「邮件头」中常见的标头数据含义:
Reply-To:发送回复的电子邮件地址。
From:显示邮件发件人,很容易伪造。
Content-Type:告诉您的浏览器或电子邮件客户端如何解释电子邮件的内容。最常见的字符集是 UTF-8 和 ISO-8859-1。
MIME-Version:声明正在使用的电子邮件格式标准。MIME-Version 版本通常为 1.0。
Subject:电子邮件的主题内容。
To:电子邮件的收件人地址,可能会显示其他地址。
DKIM-Signature:DomainKeys Identified Mail 对发送电子邮件的域进行身份验证,并应防止电子邮件欺骗和发件人欺诈。
Received:「Received」行从下往上列出了电子邮件在到达收件箱之前所经过的每个服务器。
Authentication-Results:包含了执行过身份验证检查的记录,可以包含多个身份验证方法。
Received-SPF:发件人策略框架(SPF)构成电子邮件的一部分。
Return-Path:非发送或退回邮件最终的地址。
二、其他信息
当然,还有一些别的信息就不介绍了。
可以阅读:英文电子邮件中常见的 15 个首字母缩略词汇总,查看。
查找电子邮件的原始发件人,要跟踪原始电子邮件发件人的 IP 地址,请转到完整电子邮件标头中的第 1 个「Received」,除第 1 个「Received」外,还有发送电子邮件的服务器的 IP 地址。
有时,显示为X-Originating-IP 或 Original-IP。
三、分析工具如下:
1、https://toolbox.googleapps.com/apps/messageheader/
2、https://mxtoolbox.com/EmailHeaders.aspx
注:
反制小技巧1:当被某红邮件钓鱼时,可采用反向发邮件的方式进行钓鱼,不过几率不是很大(建议在收到莫名邮件的事,不对邮件任何内容进行操作,及时删除)(特别注意邮件如-1315xxx122x@139.com,前面可能是个手机号,后续咳咳咳应该都懂);
例子如下:
第二个小技巧留着明天,啊哈哈和额;
有投稿的师傅可以后台私信,筛选后会有小礼品相送;
投稿内容不限于:红蓝对抗、漏洞分析、溯源手段;
截至日期:本周日;
封面来源于:互联网、n世界