1. Có gì đặc biệt trong phần Email Header?
Đây là 1 câu hỏi khá thú vị, vì với hầu hết mọi người thì họ sẽ chỉ quan tâm đến những yếu tố, thành phần dưới đây:
- Bạn nghi ngờ rằng email đó là giả mạo.
- Bạn muốn kiểm tra toàn bộ thông tin “đường đi” của email.
- Bạn là người tò mò.
Cụ thể, trong bài thử nghiệm dưới đây chúng tôi áp dụng với dịch vụ Gmail, nhưng với các dịch vụ email khác thì cũng tương tự.
2. Kiểm tra Email Header:
Dưới đây là 1 email ví dụ của Gmail:
Nhấn vào biểu tượng hình mũi tên phía trên góc phải và chọn Show original:
Hệ thống sẽ hiển thị cửa sổ kết quả cùng với dữ liệu có liên quan trong phần Header có dạng như dưới đây:
Note: In all the email header data I show below I have changed my Gmail address to show as myemail@gmail.com and my external email address to show as jfaulkner@externalemail.com and jason@myemail.com as well as masked the IP address of my email servers.
Delivered-To: myemail@gmail.com
Received: by 10.60.14.3 with SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Return-Path: <jfaulkner@externalemail.com>
Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) client-ip=64.18.2.16;
Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Tue, 06 Mar 2012 08:30:50 PST
Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar
2012 11:30:48 -0500
From: Jason Faulkner <jfaulkner@externalemail.com>
To: “myemail@gmail.com” <myemail@gmail.com>
Date: Tue, 6 Mar 2012 11:30:48 -0500
Subject: This is a legit email
Thread-Topic: This is a legit email
Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart/alternative;
boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Version: 1.0
Khi đọc 1 phần email header nào đó, các bạn cần biết rằng dữ liệu được sắp theo theo thứ tự đảo ngược, nghĩa là thông tin nào ở trên cùng chính là những hành động xảy ra gần nhất. Do vậy, nếu muốn “giám sát” email từ người gửi tới người nhận, hãy bắt đầu từ phần dưới cùng. Như ví dụ trên, chúng ta sẽ thấy phần thông tin được tạo ra bởi ứng dụng client, cụ thể là từ Outlook và dưới đây là metadata của Outlook:
From: Jason Faulkner <jfaulkner@externalemail.com>
To: “myemail@gmail.com” <myemail@gmail.com>
Date: Tue, 6 Mar 2012 11:30:48 -0500
Subject: This is a legit email
Thread-Topic: This is a legit email
Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q==
Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart/alternative;
boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”
MIME-Version: 1.0
Phần đường dẫn tiếp theo của email lấy ra từ server gửi tới server nhận. Lưu ý rằng những bước này cũng được trình bày, liệt kê theo thứ tự đảo ngược. Chúng tôi đã đặt thứ tự tương ứng bên cạnh các bước thực hiện, và mỗi bước như vậy lại chỉ ra thông tin chi tiết về địa chỉ IP cùng với tên DNS tương ứng.
Delivered-To: myemail@gmail.com
[6] Received: by 10.60.14.3 with SMTP id l3csp18666oec;
Tue, 6 Mar 2012 08:30:51 -0800 (PST)
[5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044;
Tue, 06 Mar 2012 08:30:51 -0800 (PST)
Return-Path: <jfaulkner@externalemail.com>
[4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Tue, 06 Mar 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) client-ip=64.18.2.16;
Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
[2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Tue, 06 Mar 2012 08:30:50 PST
[1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by
MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar
2012 11:30:48 -0500
Tuy những thông tin này có thể tương đối buồn tẻ, nhàm chán và khó hiểu với nhiều người sử dụng, nhưng nó lại dễ dàng chỉ ra rằng đó có phải là 1 email hợp lệ hay không.
| 
Tin công ty
04 3563 2217 Ext (11)
