Τι υπάρχει σε μια κεφαλίδα ηλεκτρονικού ταχυδρομείου και γιατί πρέπει να σας ενδιαφέρει

Πήρατε ποτέ ένα μήνυμα spam ή ηλεκτρονικού ψαρέματος από μια διεύθυνση email που δεν αναγνωρίζατε; Ίσως κάποιος να σας προσφέρει ένα δωρεάν ταξίδι, σας ζήτησε να τους στείλετε bitcoin σε αντάλλαγμα για προσωπικές φωτογραφίες ή απλώς σας έστειλε ένα ανεπιθύμητο email μάρκετινγκ;

Αναρωτηθήκατε από πού προέρχονται αυτά τα μηνύματα; Είδα έναν spammer να πλαστογραφήσει τη διεύθυνση email σου και αναρωτήθηκες πώς το έκανε;

Η πλαστογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου ή η εμφάνιση ενός μηνύματος ηλεκτρονικού ταχυδρομείου φαίνεται σαν να προήλθε από διαφορετική διεύθυνση από αυτήν (για παράδειγμα, ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχεται από το whitehouse.gov, αλλά είναι στην πραγματικότητα από έναν απατεώνα) είναι εξαιρετικά εύκολο.

Τα βασικά πρωτόκολλα ηλεκτρονικού ταχυδρομείου δεν έχουν καμία μέθοδο ελέγχου ταυτότητας, πράγμα που σημαίνει ότι η διεύθυνση «από» είναι βασικά απλώς ένα συμπλήρωμα.

Συνήθως όταν λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, φαίνεται κάτι τέτοιο:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

Παρακάτω είναι το θέμα και το μήνυμα.

Αλλά πώς ξέρετε από πού προήλθε πραγματικά αυτό το email; Δεν υπάρχουν επιπλέον δεδομένα που μπορούν να αναλυθούν;

Αυτό που ψάχνουμε είναι οι πλήρεις κεφαλίδες email - αυτό που βλέπετε παραπάνω είναι μόνο μια μερική κεφαλίδα. Αυτά τα δεδομένα θα μας δώσουν μερικές πρόσθετες πληροφορίες σχετικά με το πού προήλθε το email και πώς έφτασε στα εισερχόμενά σας.

Αν θέλετε να δείτε τις δικές σας κεφαλίδες email, δείτε πώς μπορείτε να αποκτήσετε πρόσβαση σε αυτές στο Outlook και στο Gmail. Τα περισσότερα προγράμματα αλληλογραφίας λειτουργούν με παρόμοιο τρόπο και μια απλή αναζήτηση στο Google θα σας πει πώς να βλέπετε κεφαλίδες σε εναλλακτικές υπηρεσίες αλληλογραφίας.

Σε αυτό το άρθρο θα εξετάσουμε ένα σύνολο πραγματικών κεφαλίδων (αν και έχουν γίνει πολύ σοβαρές αλλαγές - έχω αλλάξει ονόματα κεντρικού υπολογιστή, χρονικές σημάνσεις και διευθύνσεις IP).

Θα διαβάσουμε τις κεφαλίδες από πάνω προς τα κάτω, αλλά πρέπει να γνωρίζετε ότι κάθε νέος διακομιστής προσθέτει την κεφαλίδα του στο πάνω μέρος του σώματος του ηλεκτρονικού ταχυδρομείου. Αυτό σημαίνει ότι θα διαβάσουμε κάθε κεφαλίδα από τον τελικό πράκτορα μεταφοράς μηνυμάτων (MTA) και θα εργαστούμε μέχρι το πρώτο MTA για να αποδεχτούμε το μήνυμα.

Εσωτερικές μεταφορές

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

Αυτό το πρώτο hop εμφανίζει μια γραμμή HTTPS, που σημαίνει ότι ο διακομιστής δεν έλαβε το μήνυμα μέσω τυπικού SMTP και αντ 'αυτού δημιούργησε το μήνυμα από την είσοδο που έλαβε σε μια εφαρμογή ιστού.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

Αυτά είναι τα πρώτα δύο μπλοκ κεφαλίδας είναι εσωτερικές μεταφορές αλληλογραφίας. Μπορείτε να πείτε ότι αυτά ελήφθησαν από τους διακομιστές του Office365 (outlook.com) και δρομολογήθηκαν εσωτερικά στον σωστό παραλήπτη.

Μπορείτε επίσης να πείτε ότι το μήνυμα αποστέλλεται μέσω κρυπτογραφημένου SMTP. Το γνωρίζετε αυτό επειδή η κεφαλίδα παραθέτει "με Microsoft SMTP Server" και, στη συνέχεια, καθορίζει την έκδοση TLS που χρησιμοποιεί, καθώς και τη συγκεκριμένη κρυπτογράφηση.

Το τρίτο μπλοκ κεφαλίδας σηματοδοτεί τη μετάβαση από έναν τοπικό διακομιστή αλληλογραφίας σε μια υπηρεσία φιλτραρίσματος αλληλογραφίας. Το γνωρίζετε αυτό επειδή πήγε "μέσω του Frontend Transport", το οποίο είναι ένα πρωτόκολλο Microsoft-Exchange (και επομένως δεν ήταν αυστηρά SMTP).

Αυτό το μπλοκ περιλαμβάνει επίσης κάποιους ελέγχους μέσω email. Η κεφαλίδα του Outlook.com περιγράφει λεπτομερώς τα αποτελέσματα SPF / DKIM / DMARC εδώ. Ένα softfail SPF σημαίνει ότι αυτή η διεύθυνση IP δεν είναι εξουσιοδοτημένη να στέλνει email για λογαριασμό του gmail.com.

"dkim = pass" σημαίνει ότι το email προέρχεται από τον υποτιθέμενο αποστολέα του και (κατά πάσα πιθανότητα) δεν άλλαξε κατά τη μεταφορά.  

Το DMARC είναι ένα σύνολο κανόνων που λένε στον διακομιστή αλληλογραφίας πώς να ερμηνεύει τα αποτελέσματα SPF και DKIM. Το Pass πιθανότατα σημαίνει ότι το email συνεχίζει στον προορισμό του.

Για περισσότερα σχετικά με τα SPF, DKIM και DMARC, ανατρέξτε σε αυτό το άρθρο.

Εσωτερική / εξωτερική μετάβαση

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

Αυτό είναι το αρχείο SPF της Google - λέγοντας στον διακομιστή λήψης ότι το μήνυμα ηλεκτρονικού ταχυδρομείου που λέει ότι προέρχεται από το gmail.com, προέρχεται από διακομιστή εγκεκριμένο από την Google.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]google.com";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

Αυτό δείχνει μερικούς επιπλέον ελέγχους SPF / DKIM / DMARC, καθώς και τα αποτελέσματα από σάρωση IronPort.

Το Ironport είναι ένα δημοφιλές φίλτρο email που χρησιμοποιείται από πολλές εταιρείες για την αναζήτηση ανεπιθύμητων μηνυμάτων, ιών και άλλων κακόβουλων email. Σαρώνει τους συνδέσμους και τα συνημμένα στο email και καθορίζει εάν το email είναι κακόβουλο (και πρέπει να απορριφθεί), εάν είναι πιθανό νόμιμο και πρέπει να παραδοθεί, ή εάν είναι ύποπτο, οπότε μπορεί να επισυνάψει μια κεφαλίδα στο σώμα που λέει στους χρήστες να είναι προσεκτικοί με το email.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Σε αυτήν την ενότητα εμφανίζονται οι εσωτερικοί λυκίσκοι που έλαβε το email από την αρχική συσκευή του αποστολέα μέσω του συστήματος δρομολόγησης του gmail και στο περιβάλλον προοπτικής του παραλήπτη. Από αυτό μπορούμε να δούμε ότι ο αρχικός αποστολέας προήλθε από ένα Macbook, χρησιμοποιώντας έναν οικιακό δρομολογητή, με το Verizon Fios στη Νέα Υόρκη.

Αυτό είναι το τέλος του λυκίσκου που δείχνει τη διαδρομή που έχει λάβει το email από τον αποστολέα στον παραλήπτη. Μετά από αυτό, θα δείτε το σώμα του μηνύματος ηλεκτρονικού ταχυδρομείου (και τις κεφαλίδες που βλέπετε συνήθως όπως "από:", "έως:", κ.λπ.), ίσως με κάποια μορφοποίηση βάσει του τύπου πολυμέσων και του προγράμματος-πελάτη email (για παράδειγμα Έκδοση MIME, τύπος περιεχομένου, όριο, κ.λπ.). Μπορεί επίσης να περιέχει ορισμένες πληροφορίες παράγοντα χρήστη, που είναι λεπτομέρειες σχετικά με τον τύπο συσκευής που έστειλε το μήνυμα.

Σε αυτήν την περίπτωση γνωρίζουμε ήδη ότι η συσκευή αποστολής ήταν ένα Macbook λόγω της σύμβασης ονομασίας της Apple, αλλά μπορεί επίσης να περιέχει λεπτομέρειες σχετικά με τον τύπο CPU, την έκδοση, ακόμη και το πρόγραμμα περιήγησης και την έκδοση που εγκαταστάθηκαν στη συσκευή.

Σε ορισμένες περιπτώσεις, αλλά όχι όλες, μπορεί επίσης να περιέχει τη διεύθυνση IP της συσκευής αποστολής (αν και πολλοί πάροχοι θα κρύψουν αυτές τις πληροφορίες χωρίς κλήση).

Τι μπορούν να σας πουν οι κεφαλίδες email;

Οι κεφαλίδες email μπορούν να σας βοηθήσουν να προσδιορίσετε πότε δεν αποστέλλονται μηνύματα ηλεκτρονικού ταχυδρομείου από τους υποτιθέμενους αποστολείς τους. Μπορούν να παρέχουν ορισμένες πληροφορίες σχετικά με τον αποστολέα - αν και συνήθως δεν αρκούν για να προσδιορίσουν τον πραγματικό αποστολέα.

Η επιβολή του νόμου μπορεί συχνά να χρησιμοποιεί αυτά τα δεδομένα για να κλέψει τις πληροφορίες από το σωστό ISP, αλλά οι υπόλοιποι από εμάς μπορούμε κυρίως να τις χρησιμοποιήσουμε για να βοηθήσουμε στην ενημέρωση των ερευνών, γενικά για το ηλεκτρονικό ψάρεμα.

Αυτή η διαδικασία γίνεται δυσκολότερη από το γεγονός ότι οι κεφαλίδες μπορούν να παραποιηθούν από κακόβουλους διακομιστές ή χάκερ. Χωρίς να επικοινωνήσετε με τον κάτοχο κάθε διακομιστή και να επιβεβαιώσετε μεμονωμένα ότι οι κεφαλίδες στο email σας ταιριάζουν με τα αρχεία καταγραφής SMTP τους, κάτι που είναι επίπονο και χρονοβόρο, δεν θα είστε σίγουροι ότι οι κεφαλίδες είναι ακριβείς (εκτός από τις κεφαλίδες που επισυνάπτονται από τους δικούς σας διακομιστές αλληλογραφίας).

Χωρίς να επικοινωνήσετε με τον κάτοχο κάθε διακομιστή και να επαληθεύσετε μεμονωμένα ότι οι κεφαλίδες στο email σας ταιριάζουν με τα αρχεία καταγραφής SMTP, τα οποία είναι επίπονα και χρονοβόρα, δεν θα είστε βέβαιοι ότι οι κεφαλίδες είναι όλες ακριβείς.

Τα DKIM, DMARC και SPF μπορούν όλοι να βοηθήσουν σε αυτήν τη διαδικασία, αλλά δεν είναι τέλεια, και χωρίς αυτά, δεν υπάρχει καμία επαλήθευση.

Δεν θέλετε να αναλύσετε τις δικές σας κεφαλίδες; Αυτός ο ιστότοπος θα το κάνει για εσάς.