E-mailem

Analýza záhlaví e-mailu

Analýza záhlaví e-mailu
Analýza hlaviček e-mailů je jednou z nejběžnějších úloh počítačové forenzní analýzy a může nám pomoci, pokud pochybujeme o pravosti odesílatele e-mailu. Příkladem profesionálního praktického použití analýzy záhlaví pošty může být ujištění, že označeným hráčem u soudu byl odesílatel nebo příjemce e-mailu. Čtením záhlaví mohou počítačoví znalci znalci ověřit ověřovací klíče a zjistit, zda byl odesílatel e-mailu zfalšován.Tento výukový program ukazuje, jak číst běžnou hlavičku GMAIL v prostém textu, online existuje mnoho bezplatných nástrojů, díky nimž je člověk čitelný v přátelském formátu, jako je například https: // mxtoolbox.com / EmailHeaders.aspx , redukce veškerého obsahu zobrazeného v tomto výukovém programu na něco podobného tomuto obrázku

Pokud chcete být profesionálnější, můžete zkontrolovat některé z nástrojů popsaných na  Živé forenzní nástroje.

Čtení a porozumění záhlaví e-mailu (Gmail):

Následující podivný text je záhlaví e-mailu odeslaného z účtu editor [at ~] linuxhint.com na ivan [at ~] linux.lat. Byly odstraněny některé irelevantní části, ale je to zcela věrné původní hlavičce.

Pod každou částí záhlaví e-mailu bude vysvětleno:

První níže izolovaný segment je velmi intuitivní a odhaluje, že byl e-mail doručen ivan [at ~] smartlation.com a přijato serverem identifikovaným podle jeho IP adresy (IPv6) a ID SMTP s podrobným uvedením data a času doručení:

 Doručeno komu: ivana [at ~] smartlation.com Přijato: do roku 2002: a05: 620a: 1461: 0: 0: 0: 0 s ID SMTP j1csp966363qkl; St, 3. dubna 2019 19:50:15 -0700 (PDT)  

Následující fragment ukazuje, že e-mail je zpracováván prostřednictvím SMTP v Gmailu.

 Zdroj X-Google-Smtp: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ 

The X-přijato záhlaví je aplikováno některými poskytovateli e-mailů, v tomto případě je přidáno pomocí SMTP Gmailu.

 Přijato X: do roku 2002: a62: 52c3 :: s ID SMTP g186mr3128011pfb.173.1554346215815; St, 3. dubna 2019 19:50:15 -0700 (PDT) 

Následující segment ukazuje ARC (Authentication Received Chain). Tento protokol zajišťuje platnost ověření při průchodu různými zprostředkujícími zařízeními. V tomto případě je e-mail odeslán z editoru [~ at] linuxhint.com na ivan [~ at] linux.lat, který přeposílá e-mail na ivan [~ at] smartlation.com.

 Těsnění ARC: i = 1; a = rsa-sha256; t = 1554346215; cv = žádný; d = google.com; s = oblouk-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A == 

A tady je první výskyt DKIM (DomainKeys Identified Mail), metoda ověřování, která zabrání padělání pošty ověřením názvu domény odesílatele.  Dříve podrobný protokol ARC pomáhá DKIM i SPF (které budou zobrazeny níže) zůstat v platnosti i přes trasu. Tento výpis zobrazuje zadaná pověření.

 Podpis zprávy ARC: i = 1; a = rsa-sha256; c = uvolněný / uvolněný; d = google.com; s = oblouk-20160816; h = to: subject: message-id: date: from: mime-version: dkim-signature: dkim-signature: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg == 

Zde můžete vidět výsledek ověřování, jak vidíte, že bylo úspěšné, navíc k DKIM, který vidíte SPF (rámec politiky odesílatele), jinou metodu ověřování, aby příjemce věděl, že odesílatel je oprávněn používat název domény zobrazený v části „OD“.
V tomto případě DKIM a SPF prošly fází autentizace.

 Výsledky ověření ARC: i = 1; mx.Google.com; 

 dkim = předat záhlaví [chráněné e-mailem].s = výchozí záhlaví.b = oY3SGJai; dkim = předat záhlaví [chráněné e-mailem].s = 20150623 záhlaví.b = udLEKRXT; spf = projít (google.com: doména serverů [chráněných e-mailem].com označuje 162.255.118.246 jako povolený odesílatel) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = editor @ eforward1e.registrační servery.com " 

Níže je část s názvem „Návratová cesta“ a zde je definována e-mailová adresa pro okamžité odeslání, která se liší od části „Od“ pro odesílání zpráv, které má zpracovat správce poštovního serveru.

 Zpáteční cesta: <[email protected]om> 

Nakonec níže jsou zobrazeny informace o poštovním serveru (Postfix), verzi DKIM a síle šifrování,

 Přijato: od se17.registrační servery.com (se17.registrační servery.com [198.54.122.197]) eforward1e.registrační servery.com (Postfix) s ESMTP id 9060A4207A2 pro <[email protected]>; St, 3. dubna 2019 22:50:14 -0400 (EDT) DKIM-Filter: OpenDKIM Filter v2.11.0 eforward1e.registrační servery.com 9060A4207A2 DKIM-podpis: v = 1; a = rsa-sha256; c = uvolněný / uvolněný; d = registrační servery.com; s = výchozí; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = Od: Datum: Předmět: Komu; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+ 

 Podpis X-Google-DKIM: v = 1; a = rsa-sha256; c = uvolněný / uvolněný; d = 1e100.síť; s = 20161025; h = x-gm-message-state: mime-version: from: date: message-id: subject: to; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a 

Sekce Stav zprávy X-Gm zobrazuje jedinečný řetězec pro dva možné stavy: vrátily zpět a odesláno.

 Stav zprávy X-Gm: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP 

Hodnota X-Received patří konkrétně do gmailu.

 Přijato X: do roku 2002: a50: 89fb :: s ID SMTP h56mr1932247edh.176.1554346208456; 3. dubna 2019 19:50:08 -0700 (PDT) 

Níže najdete verzi MIME (Multipurpose Internet Mail Extensions) a běžné informace zobrazené uživatelům:

 Verze MIME: 1.0 Od: Editor LinuxHint <[email protected]> Datum: St, 3. dubna 2019 19:50:27 -0700 ID zprávy: <[email protected]om> Předmět: platba odeslána 150 $ Komu: Ivan <[email protected]> Typ obsahu: vícedílný / alternativní; boundary = "0000000000009d08b80585ab6de6" Výsledky ověření: registrační servery.com; dkim = předat hlavičku.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Class: nejistý X-SpamExperts-Evidence: Combined (0.50) X-Doporučené akce: přijmout X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf 

Doufám, že vám tento návod k analýze záhlaví e-mailů připadal užitečný. Pokračujte v LinuxHintu, kde najdete další tipy a výukové programy o Linuxu a sítích.

Jak používat Xdotool ke stimulaci kliknutí myší a klávesových zkratek v systému Linux
Xdotool je bezplatný a otevřený nástroj příkazového řádku pro simulaci kliknutí myší a stisknutí kláves. Tento článek se bude věnovat krátkému průvodc...
Top 5 ergonomických produktů pro počítačové myši pro Linux
Způsobuje dlouhodobé používání počítače bolest zápěstí nebo prstů? Trpíte ztuhlými klouby a neustále si musíte třást ruce? Cítíte pálivou bolest pokaž...
Jak změnit nastavení myši a touchpadu pomocí Xinput v Linuxu
Většina linuxových distribucí je ve výchozím nastavení dodávána s knihovnou „libinput“ pro zpracování vstupních událostí v systému. Může zpracovávat v...