Pokud chcete být profesionálnější, můžete zkontrolovat některé z nástrojů popsaných na Živé forenzní nástroje.
Čtení a porozumění záhlaví e-mailu (Gmail):
Následující podivný text je záhlaví e-mailu odeslaného z účtu editor [at ~] linuxhint.com na ivan [at ~] linux.lat. Byly odstraněny některé irelevantní části, ale je to zcela věrné původní hlavičce.
Pod každou částí záhlaví e-mailu bude vysvětleno:
První níže izolovaný segment je velmi intuitivní a odhaluje, že byl e-mail doručen ivan [at ~] smartlation.com a přijato serverem identifikovaným podle jeho IP adresy (IPv6) a ID SMTP s podrobným uvedením data a času doručení:
Doručeno komu: ivana [at ~] smartlation.com Přijato: do roku 2002: a05: 620a: 1461: 0: 0: 0: 0 s ID SMTP j1csp966363qkl; St, 3. dubna 2019 19:50:15 -0700 (PDT)
Následující fragment ukazuje, že e-mail je zpracováván prostřednictvím SMTP v Gmailu.
Zdroj X-Google-Smtp: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
The X-přijato záhlaví je aplikováno některými poskytovateli e-mailů, v tomto případě je přidáno pomocí SMTP Gmailu.
Přijato X: do roku 2002: a62: 52c3 :: s ID SMTP g186mr3128011pfb.173.1554346215815; St, 3. dubna 2019 19:50:15 -0700 (PDT)
Následující segment ukazuje ARC (Authentication Received Chain). Tento protokol zajišťuje platnost ověření při průchodu různými zprostředkujícími zařízeními. V tomto případě je e-mail odeslán z editoru [~ at] linuxhint.com na ivan [~ at] linux.lat, který přeposílá e-mail na ivan [~ at] smartlation.com.
Těsnění ARC: i = 1; a = rsa-sha256; t = 1554346215; cv = žádný; d = google.com; s = oblouk-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
A tady je první výskyt DKIM (DomainKeys Identified Mail), metoda ověřování, která zabrání padělání pošty ověřením názvu domény odesílatele. Dříve podrobný protokol ARC pomáhá DKIM i SPF (které budou zobrazeny níže) zůstat v platnosti i přes trasu. Tento výpis zobrazuje zadaná pověření.
Podpis zprávy ARC: i = 1; a = rsa-sha256; c = uvolněný / uvolněný; d = google.com; s = oblouk-20160816; h = to: subject: message-id: date: from: mime-version: dkim-signature: dkim-signature: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Zde můžete vidět výsledek ověřování, jak vidíte, že bylo úspěšné, navíc k DKIM, který vidíte SPF (rámec politiky odesílatele), jinou metodu ověřování, aby příjemce věděl, že odesílatel je oprávněn používat název domény zobrazený v části „OD“.
V tomto případě DKIM a SPF prošly fází autentizace.
Výsledky ověření ARC: i = 1; mx.Google.com;
dkim = předat záhlaví [chráněné e-mailem].s = výchozí záhlaví.b = oY3SGJai; dkim = předat záhlaví [chráněné e-mailem].s = 20150623 záhlaví.b = udLEKRXT; spf = projít (google.com: doména serverů [chráněných e-mailem].com označuje 162.255.118.246 jako povolený odesílatel) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = editor @ eforward1e.registrační servery.com "
Níže je část s názvem „Návratová cesta“ a zde je definována e-mailová adresa pro okamžité odeslání, která se liší od části „Od“ pro odesílání zpráv, které má zpracovat správce poštovního serveru.
Zpáteční cesta: <[email protected]om>
Nakonec níže jsou zobrazeny informace o poštovním serveru (Postfix), verzi DKIM a síle šifrování,
Přijato: od se17.registrační servery.com (se17.registrační servery.com [198.54.122.197]) eforward1e.registrační servery.com (Postfix) s ESMTP id 9060A4207A2 pro <[email protected]>; St, 3. dubna 2019 22:50:14 -0400 (EDT) DKIM-Filter: OpenDKIM Filter v2.11.0 eforward1e.registrační servery.com 9060A4207A2 DKIM-podpis: v = 1; a = rsa-sha256; c = uvolněný / uvolněný; d = registrační servery.com; s = výchozí; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = Od: Datum: Předmět: Komu; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
Podpis X-Google-DKIM: v = 1; a = rsa-sha256; c = uvolněný / uvolněný; d = 1e100.síť; s = 20161025; h = x-gm-message-state: mime-version: from: date: message-id: subject: to; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
Sekce Stav zprávy X-Gm zobrazuje jedinečný řetězec pro dva možné stavy: vrátily zpět a odesláno.
Stav zprávy X-Gm: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
Hodnota X-Received patří konkrétně do gmailu.
Přijato X: do roku 2002: a50: 89fb :: s ID SMTP h56mr1932247edh.176.1554346208456; 3. dubna 2019 19:50:08 -0700 (PDT)
Níže najdete verzi MIME (Multipurpose Internet Mail Extensions) a běžné informace zobrazené uživatelům:
Verze MIME: 1.0 Od: Editor LinuxHint <[email protected]> Datum: St, 3. dubna 2019 19:50:27 -0700 ID zprávy: <[email protected]om> Předmět: platba odeslána 150 $ Komu: Ivan <[email protected]> Typ obsahu: vícedílný / alternativní; boundary = "0000000000009d08b80585ab6de6" Výsledky ověření: registrační servery.com; dkim = předat hlavičku.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Class: nejistý X-SpamExperts-Evidence: Combined (0.50) X-Doporučené akce: přijmout X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Doufám, že vám tento návod k analýze záhlaví e-mailů připadal užitečný. Pokračujte v LinuxHintu, kde najdete další tipy a výukové programy o Linuxu a sítích.