# Email Header Analysis

Có 2 câu hỏi chính mà chúng ta cần trả lời khi kiểm tra header trong quá trình phân tích a Phishing:

* Email có được gửi từ đúng SMTP server?
* Dữ liệu "From" và "Return-Path/Reply-To" có giống nhau không?

## &#x20;Was the email sent from the correct SMTP server?

Chúng ta có thể kiểm tra trường "Received" để xem đường dẫn mà email đã đi.&#x20;

Như bạn có thể thấy trong hình bên dưới, email đến từ máy chủ có địa chỉ IP "101\[.]99.94.116".

<figure><img src="/files/NeevyLR3LilsI6fdHmx7" alt=""><figcaption></figcaption></figure>

Nếu chúng ta xem ai đang gửi thư ("sender"), chúng ta có thể thấy rằng thư đó đến từ miền "letsdefend.io".

<figure><img src="/files/b4KyXmT3elYOr7q7veWp" alt=""><figcaption></figcaption></figure>

Vì vậy, trong những trường hợp thông thường, "letsdefend.io" nên sử dụng "101\[.]99.94.116" để gửi thư. Để xác nhận điều này, chúng tôi có thể truy vấn máy chủ MX mà "letsdefend.io" đang tích cực sử dụng." <https://mxtoolbox.com/>" sẽ giúp bạn bằng cách hiển thị cho bạn các máy chủ MX được miền bạn đang yêu cầu sử dụng:

<figure><img src="/files/St8oShmORCsbq42VNW1t" alt=""><figcaption></figcaption></figure>

Nếu chúng ta nhìn vào hình ảnh trên, tên miền "letsdefend.io" sử dụng địa chỉ Google làm máy chủ email của nó. Vì vậy, không có mối liên hệ nào với địa chỉ emkei\[.]cz hoặc "101\[.]99.94.116"

Cuộc kiểm tra này cho thấy email không đến từ địa chỉ ban đầu mà bị giả mạo (spoofed).

## Are the 'From' and 'Return-Path / Reply-To' details the same?

Ngoại trừ những trường hợp ngoại lệ, chúng ta mong đợi sender email và người nhận thư trả lời giống nhau.&#x20;

Dưới đây là ví dụ về cách các phần này được sử dụng khác nhau trong các cuộc tấn công phishing:

Ai đó gửi email (Gmail, Hotmail, v.v.) tới LetsDefend có cùng họ với một người làm việc cho Google, LetsDefend nói với nhân viên rằng họ đã xuất hóa đơn và họ cần thanh toán vào tài khoản XXX của mình. Nó chèn địa chỉ email thực của nhân viên Google vào trường "Reply-To" để địa chỉ email giả sẽ không nổi bật khi email được trả lời.

Quay trở lại với email chúng ta đã tải ở trên, tất cả những gì chúng ta cần làm là so sánh các địa chỉ email trong phần “From” và “Reply-to”.

<figure><img src="/files/9b0C6B4G8T1rnAgJHfo5" alt=""><figcaption></figcaption></figure>

Như bạn có thể thấy, dữ liệu là khác nhau. Nói cách khác, nếu chúng tôi muốn trả lời email này, chúng tôi sẽ gửi thư trả lời vào địa chỉ gmail bên dưới.&#x20;

Xin lưu ý rằng việc dữ liệu này khác nhau không phải lúc nào cũng có nghĩa đó chắc chắn là email lừa đảo, nên chúng tôi cần xem xét toàn bộ sự kiện. Nói cách khác, ngoài tình huống đáng ngờ này, nếu có **tệp đính kèm độc hại**, **URL** hoặc nội dung gây hiểu lầm trong nội dung email, chúng ta có thể hiểu đó là email lừa đảo.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/techniques/phishing-email-analysis/email-header-analysis.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.