如何查看可疑邮件的来源

62 views
Skip to first unread message

lihlii

unread,
Nov 8, 2012, 7:21:45 AM11/8/12
to Salon Friends, lihlii-g, posterous
Date: 2009/6/25

查看可疑邮件的来源

这里举一个例子:通过查看邮件源码,分析第三方假冒 anh...@hotmail.com 发出的信。该 email 的头标摘录如下:
X-Sender: chenya...@yandex.ru
Received: by 10.204.31.100 with SMTP id x36mr25071bkc.10.1245814092199; Tue, 23 Jun 2009 20:28:12 -0700 (PDT)
Return-Path: <chenya...@yandex.ru>
Received: from forwards5.yandex.ru (forwards5.yandex.ru [77.88.61.37]) by gmr-mx.google.com with ESMTP id 5si39323fge.17.2009.06.23.20.28.11; Tue, 23 Jun 2009 20:28:12 -0700 (PDT)
Received-SPF: pass (google.com: domain of chenya...@yandex.ru designates 77.88.61.37 as permitted sender) client-ip=77.88.61.37;
Authentication-Results: gmr-mx.google.com; spf=pass (google.com: domain of chenya...@yandex.ru designates 77.88.61.37 as permitted sender) smtp.mail=chenyangchao@yandex.ru
Received: from smtp19.yandex.ru (smtp19.yandex.ru [77.88.61.35]) by forwards5.yandex.ru (Yandex) with ESMTP id 47A80AF30A for <gongminliliang@googlegroups.com>; Wed, 24 Jun 2009 07:28:11 +0400 (MSD)
Received: from s006.ondnet.net ([217.68.153.23]:3337 "EHLO sdshkpmoc" smtp-auth: "chenyangchao" TLS-CIPHER: <none> TLS-PEER-CN1: <none>) by mail.yandex.ru with ESMTP id S3097975AbZFXD2G (ORCPT <rfc822;gongminliliang@googlegroups.com>); Wed, 24 Jun 2009 07:28:06 +0400
X-Yandex-TimeMark: 1245814086
X-Yandex-Spam: 1
X-Yandex-Front: smtp19
X-BornDate: 1191186000
X-Yandex-Karma: 0
X-Yandex-KarmaStatus: 0
X-MsgDayCount: 5
X-Comment: RFC 2476 MSA function at smtp19.yandex.ru logged sender identity as: chenyangchao
Message-ID: <ADEFC4A3EA741E6083F3C4EE32F97CBD@sdshkpmoc>
From: "Anhunqu" <anh...@hotmail.com>
To: <gongminliliang@googlegroups.com>
Subject: =?windows-1252?B?Rlc6ID8/kz8/Pz+UPz8=?=
Date: Wed, 24 Jun 2009 05:28:03 +0100
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
这封信是在马耳他的 IP 地址上(可能使用了代理) 通过俄罗斯的 SMTP 服务器上 chenya...@yandex.ru 的帐号发出的。这可能是冒名陈泱潮的帐号。

yandex.ru 77.88.61.37 是一个在俄罗斯的 IP 地址。
ondnet.net 217.68.153.23 是一个在马耳他的 IP 地址。

查询 DNS 名或者 IP 地址所在地区的网络服务商的信息,可以用 IPNetInfo [19]软件,或者IP地理信息查询网站[20]-[24]。

发信人的计算机上的时区设置是 +0100,这是英国等地的夏令时间。马耳他采用夏令时,目前标准时区应该是 +0200。也许发信人的计算机在 Malta 但是没有设置夏令时。或者他的计算机根本设置的是虚假的时区。

发信人采用 Outlook Express 软件发信。设置的字符集是 ISO-1252,符合马耳他的当地语言特征。

由此可见,这封信[8]是假冒 anh...@hotmail.com 发出的信。并且,其所带附件 Anhunqu.pdf,在 gmail web 界面通过 google doc 打开阅读,内容空白。经检查,Sunbelt 报告是一个可疑的木马病毒[17]:
Sunbelt    3.2.1858.2    2009.06.23    Exploit.PDF-JS.Gen (v)
可见,googlegroups 邮件组检验发信人的发信权限的方法是不完善的,不能有效杜绝虚假的发信人。请各位慎重注意,不可轻信所收到的电子邮 件,尤其在你不熟悉计算机技术的条件 下。

对 PDF 附件木马病毒的安全防范

Acrobat Reader 阅读 PDF 可能会受到 PDF 内嵌 Javascript 木马病毒攻击[1]-[5][9][10][12]-[16]。推荐卸载 Acrobat Reader 而采用 Foxit [18]等小巧的免费 PDF 阅读器[6]。因为其支持的功能少,相对更安全。但是注意,Foxit 默认也是允许 Javascript 的,最好关闭这一功能。如果你不得不使用 Acrobat Reader,必须及时更新软件,并设置禁止 Javascript,以降低受攻击的风险。当在 Acrobat Reader 中禁止 Javascript 以后,打开一个内嵌 Javascript 的 PDF 文件时,会提示你是否要允许 Javascript,这时候要注意,一定要选择不要允许

Word doc 可能带有 Macro 脚本病毒,打开 Word Doc 需谨慎。最好用 Google doc 阅读来历不明的 word doc,或者将收到的 word doc 发送到 virustotal.com 等在线查毒网站进行检查后,确认无木马病毒,才可以尝试打开。更多网络安全建议,请参考[11]。

避免被冒名邮件欺骗

简单的应对方法是,对于有附件的邮件,务必谨慎处理,不要贸然打开任何附件。要学会查看邮件源代码,以确认发信人是 否伪造的方法。查看邮件源码,注意邮件 标头(headers)中的 Received, Return Path, X-Sender 等行。Received 从下到上,是邮件传递过程中所经过的转交路径。

gmail web 界面显示邮件源码的方法

    a. 点击 Reply 右边的下拉菜单,点击 show original :


    b. 出现新窗口显示信件源码

googlegroups web 界面显示邮件源码的方法

点击帖子右上角的 "more options 更多选项",帖子标题下会出现更多选项链接。点击 "show original 显示原始文件" > "show only message text 仅显示帖子内容"

Thunderbird 显示 email 源码的方法

在邮件列表中选中邮件,或者在邮件打开阅读状态,按 Ctrl+U

Outlook Express 显示 email 源码的方法:

在邮件列表中选中邮件,或者在邮件打开阅读状态,按 Ctrl+F3

数字签名加密邮件增强安全

更进一步,可以采用 Thunderbird / Outlook Express / Windows Live Mail / Office Outlook 内置支持的 S/MIME 数字签名邮件功能,或者 Thunderbird + Enigmail 扩展支持的 Open PGP/GPG 数字签名邮件。这样,只有获取了你的加密签名私钥密码,才可能冒名发送邮件。用 OpenPGP 的好处是,可以用于加密文件。安装 GPG2Win 套装软件[25],可以创建和管理 PGP 密钥,对邮件和任何文件进行加密或添加签名认证。

S/MIME PKI 密钥证书可以用 Thunderbird 或者 Firefox 安装 的 Key Manager addon 创建,也可以用 IBM Keyman 这个 Java 软件创建。
Thunderbird 安装 Enigmail 扩展后,可以支持 OpenPGP 加密签名邮件,创建密钥。

S/MIME PKI 证书,和 OpenPGP Pubkey 公钥 都可以在朋友之间相互签名认证,这样当你得到一个新的证书或者公钥时,如果它带有你所信任的朋友或者权威证书颁发机 构的签名,那么这个证书或公钥是可以信 任的。

参考
  1. Adobe Confirms PDF Zero-Day, Says Kill JavaScript; http://it.slashdot.org/article.pl?sid=09/04/29/1823234
  2. PDF Exploits On the Rise http://it.slashdot.org/article.pl?sid=08/09/23/1320258
  3. PDF Vulnerability Now Exploitable With No Clicking http://it.slashdot.org/article.pl?sid=09/03/05/1328244
  4. F-Secure Suggests Ditching Adobe Reader For Free PDF Viewers http://it.slashdot.org/article.pl?sid=09/04/22/222237
  5. Firehose:Adobe Confirms PDF Zero-Day, Says Kill JavaScript by CWmike http://it.slashdot.org/firehose.pl?id=4334423&op=view
  6. After getting fed up with Reader in the wake of the Feb. 19th PDF remote exploit notice (http://www.adobe.com/support/security/advisories/apsa09-01.html/ [adobe.com]) I decided to install FoxIt (I know, proprietary, not open source goodness)... But anyway, when I went to uninstall Adobe Reader, Windows claimed it to be taking up 221MB on my hard drive. 221 Megabytes! For a document reader!?

    After installing FoxIt, Windows claims that it takes up only 7.15MB, which I corroborated by checking the size of the install directory. For the life of me, I can't figure out what exactly it is that Adobe Reader does that FoxIt doesn't. They're functionality identical so far as I can tell. So what in god's name is Adobe doing with that extra 200 megabytes of disk space?
    http://it.slashdot.org/article.pl?sid=09/04/29/1823234
  7. IBM keyman http://www.alphaworks.ibm.com/tech/keyman
  8. 草庵兄其事有些忽悠 https://groups.google.com/group/GongMinLiLiang/msg/4061eaf87c41de1a
  9. Eric Bumpus: Critical Adobe Reader And Acrobat JavaScript Vulnerability; April 30th, 2009; http://research.gladtech.net/index.php/2009/04/30/critical-adobe-reader-and-acrobat-javascript-vulnerability/
  10. Mark Edward Soper: JavaScript Vulnerability Gives a Whole New Meaning to "Get Adobe Reader"; 06/26/08 02:27:24 PM; http://www.maximumpc.com/article/news/javascript_vulnerability_gives_a_whole_new_meaning_get_adobe_reader
  11. 立里: Internet 安全建议 https://groups.google.com/group/lihlii/msg/7b7c189ae5386010
  12. PDF javascript exploit (PDF_JavaScript_Exploit) http://www.iss.net/security_center/reference/vuln/PDF_JavaScript_Exploit.htm
  13. How to protect yourself from the Adobe Reader PDF JavaScript Vulnerability http://www.bleepingcomputer.com/forums/topic205515.html
    http://www.bleepingcomputer.com/forums/index.php?act=Print&client=printer&f=2&t=205515
  14. Gregg Keizer: Adobe confirms PDF zero-day, urges users to kill JavaScript, 'Broken record,' says security expert of Adobe's advice; April 29, 2009 12:00 PM ET; http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9132307
  15. Angela Gunn: Adobe delivers a patch for JavaScript-related PDF vulnerability, A critical-level flaw has been flapping in the digital wind for two weeks; May 13, 2009, 5:01 PM; http://www.betanews.com/article/Adobe-delivers-a-patch-for-JavaScriptrelated-PDF-vulnerability/1242248507
  16. Adobe Acrobat PDF Javascript printf Stack Overflow Vulnerability, ZDI-08-072: November 4th, 2008; http://www.zerodayinitiative.com/advisories/ZDI-08-072/
  17. http://www.virustotal.com/analisis/bfc73c1b7c58d96eedcbba09cf0f47367f754b8a9280960f486dc5e6fbc655e3-1245829132
  18. http://www.foxitsoftware.com/pdf/reader/download.php
  19. IPNetInfo: Retrieve IP Address Information from WHOIS servers; http://www.nirsoft.net/utils/ipnetinfo.html
    IPNetInfo is a small utility that allows you to easily find all available information about an IP address.
  20. IP Address Geolocation to Country City Region Latitude Longitude ZIP Code ISP Domain Name Time Zone http://www.ip2location.com/demo.aspx
  21. SEOmoz | AJAX Powered IP Location Lookup http://www.seomoz.org/ip2loc?start
  22. Geo Locate IP Addresses with our Gadget http://www.infosniper.net/geolocate-visitor-gadget.php
  23. Geotool - Google Maps IP address locator http://digg.com/programming/Geotool_-_Google_Maps_IP_address_locator
  24. Find IP Location With Google Maps http://googlesystem.blogspot.com/2006/08/find-ip-location-with-google-maps.html
  25. http://www.gpg4win.org

Date: 2009/6/25

google doc https://docs.google.com 是 在线编辑显示 doc, pdf 等文件的服务网站,即便运行 macro 也不是在你的计算机上运行,因此可以避免 word doc, pdf 中的脚本木马攻击。

: Message Source 被  disable 了(灰色)。这又没有办法解开?

如果你保存一个 eml 文件在硬盘上,然后用 thunderbird 打开阅读,这时候是无法按 Ctrl+U 显示邮件源码的,菜单项 View > Message Source 是无效的灰色。这是 thunderbird 功能设计上的不可思议的缺陷。如果你说的是这种情形,那你直接用文本编辑器打开硬盘上的那个 eml 文件看源码即可。

2009/6/25 X

谢谢。Google doc 我没用过,不清楚其安全性。是不是它不运行任何 Macro 或其他隐藏的 codes?另外,对于 MS Word,我从来都是设置成“Disable all macros with notification”的。

又,有时收到的一些估计带病毒的邮件,在 thounderbird 中打开看时,却发现 Message Source 被  disable 了(灰色)。这又没有办法解开?


关于如何阅读邮件源码头标(header),如何查看一封信是否假冒,从哪个地址发出?请 参考[6]。
  1. 防范邮件钓鱼欺诈窃取密码如何查看邮件源码 http://lihlii.posterous.com/23036316
  2. 120526-网络信息安全实用技术系列-立里-电子邮件安全防范 http://www.docin.com/p1-409834683.html
  3. 防范邮件钓鱼欺诈窃取密码 https://profiles.google.com/111763901051622023220/buzz/8V51WoevTpo ; http://lihlii.posterous.com/23036316
  4. googlegroups 中网狗假冒邮件的危险如何查看可疑邮件的来源 https://groups.google.com/d/msg/lihlii/pTjL8hfGUzU/sASRyqFkkCYJ
  5. 091006 网络安全指南 如何检查自己帐号的异常登录 防范网狗破解 gmail 帐号 http://lihlii.blogspot.nl/2012/11/091006-gmail.html ; https://profiles.google.com/111763901051622023220/buzz/PzVefcyuRFt ; https://groups.google.com/group/wlaq-gg/browse_thread/thread/de832630db4b870e/980cb2648dcda422?#980cb2648dcda422
  6. 注意电邮和 eml 文件隐私泄露问题; http://lihlii.blogspot.nl/2012/04/eml.html ; http://lihlii.posterous.com/eml
  7. Skype 泄露你的IP地址和地理位置 http://lihlii.blogspot.nl/2012/04/skype-ip.html

Reply all
Reply to author
Forward
0 new messages