Phenquestions
Ako želite biti profesionalniji, možete provjeriti neke od alata opisanih na Forenzički alati uživo.
Čitanje i razumijevanje zaglavlja e-pošte (Gmail):
Sljedeći je čudan tekst zaglavlje e-pošte poslane s računa urednik [na ~] linuxhint.com do ivan [at ~] linux.lat. Uklonjeni su neki nebitni dijelovi, ali to je u potpunosti vjerno izvornom zaglavlju.
Ispod svakog dijela zaglavlja e-pošte bit će objašnjeno:
Prvi dolje izolirani segment vrlo je intuitivan i otkriva e-poštu kojoj je dostavljena ivan [at ~] pamet.com i primio ih je poslužitelj identificiran IP adresom (IPv6) i SMTP ID-om, s detaljima datuma i vremena isporuke:
Isporučeno-do: pametna ivana [at ~].com Primljeno: do 2002: a05: 620a: 1461: 0: 0: 0: 0 sa SMTP id j1csp966363qkl; Srijeda, 3. travnja 2019. 19:50:15 -0700 (PDT)
Sljedeći fragment pokazuje da se e-pošta obrađuje putem gmailovog SMTP-a.
X-Google-Smtp-Izvor: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
The X-primljeno zaglavlje primjenjuju neki davatelji usluga e-pošte, u ovom ga slučaju dodaje Gmailov SMTP.
X-primljeno: do 2002: a62: 52c3 :: s SMTP id g186mr3128011pfb.173.1554346215815; Srijeda, 03. travnja 2019. 19:50:15 -0700 (PDT)
Sljedeći segment prikazuje ARC (Autentifikacija primljeni lanac). Ovaj protokol osigurava valjanost provjere autentičnosti prilikom prolaska kroz različite posredničke uređaje. U ovom slučaju e-pošta se šalje iz uređivača [~ at] linuxhint.com do ivan [~ at] linux.lat koji prosljeđuje e-poštu na ivan [~ at] smartlation.com.
ARC-brtva: i = 1; a = rsa-sha256; t = 1554346215; cv = nema; d = google.com; s = luk-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
I evo prvog pojavljivanja DKIM (Pošta s identificiranim ključevima domene), metoda provjere autentičnosti koja sprječava krivotvorenje pošte provjerom valjanosti imena domene pošiljatelja. Prethodno detaljni protokol ARC pomaže i DKIM i SPF (koji će biti prikazani u nastavku) da ostanu na snazi unatoč ruti. Ovaj izvadak prikazuje dane vjerodajnice.
ARC-Potpis poruke: i = 1; a = rsa-sha256; c = opušteno / opušteno; d = google.com; s = luk-20160816; h = do: subject: message-id: date: from: mime-version: dkim-signature: dkim-signature: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Ovdje možete vidjeti rezultat provjere autentičnosti, kao što vidite i da je uspjela, uz DKIM koji možete vidjeti SPF (Okvir politike pošiljatelja), još jedan način provjere autentičnosti kako bi primatelj znao da je pošiljatelj ovlašten koristiti ime domene prikazano u odjeljku "IZ".
U ovom su slučaju DKIM i SPF prošli fazu provjere autentičnosti.
ARC-Autentifikacija-Rezultati: i = 1; mx.google.com;
dkim = proći zaglavlje [e-mail zaštićen].s = zadano zaglavlje.b = oY3SGJai; dkim = proći zaglavlje [e-mail zaštićen].s = 20150623 zaglavlje.b = udLEKRXT; spf = pass (google.com: domena poslužitelja [zaštićenih e-poštom].com označava 162.255.118.246 kao dopušteni pošiljatelj) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = editor @ eforward1e.matičari-poslužitelji.com "
Ispod se nalazi odjeljak pod nazivom "Povratak-put" i ovdje je definirana adresa e-pošte koja odbija, a koja se razlikuje od odjeljka "Od" za odskakanje poruka koje obrađuje administrator poslužitelja pošte.
Povratni put: <[email protected]om>
Napokon, u nastavku se prikazuju podaci o poslužitelju pošte, (Postfix), DKIM inačici i jačini šifriranja,
Primljeno: od se17.matičari-poslužitelji.com (se17.matičari-poslužitelji.com [198.54.122.197]) od eforward1e.matičari-poslužitelji.com (Postfix) s ESMTP id 9060A4207A2 za <[email protected]>; Srijeda, 3. travnja 2019. 22:50:14 -0400 (EDT) DKIM-filtar: OpenDKIM filtar v2.11.0 naprijed1e.matičari-poslužitelji.com 9060A4207A2 DKIM-potpis: v = 1; a = rsa-sha256; c = opušteno / opušteno; d = matični poslužitelji.com; s = zadani; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = Od: Datum: Predmet: Do; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-Potpis: v = 1; a = rsa-sha256; c = opušteno / opušteno; d = 1e100.neto; s = 20161025; h = x-gm-message-state: mime-version: from: date: message-id: subject: to; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
Odjeljak X-Gm-State-State prikazuje jedinstveni niz za dva moguća stanja: odskočio i poslana.
X-Gm-State-State: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
Primljena vrijednost X posebno pripada Gmailu.
X-primljeno: do 2002: a50: 89fb :: s SMTP id h56mr1932247edh.176.1554346208456; Srijeda, 03. travnja 2019. 19:50:08 -0700 (PDT)
Ispod možete pronaći verziju MIME (Višenamjensko proširenje internetske pošte) i redovite informacije prikazane korisnicima:
MIME-verzija: 1.0 Od: Urednik LinuxHint <[email protected]> Datum: Srijeda, 3. travnja 2019. 19:50:27 -0700 ID poruke: <[email protected]om> Predmet: uplata poslana 150 USD Prima: Ivan <[email protected]> Sadržaj: više dijelova / alternativa; border = "0000000000009d08b80585ab6de6" Rezultati provjere autentičnosti: serveri registra.com; dkim = zaglavlje prolaska.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-klasa: nesigurni X-SpamExperts-dokazi: kombinirani (0.50) X-Preporučeni radnju: prihvatiti X Filter ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Nadam se da vam je ovaj vodič o analizi zaglavlja e-pošte bio koristan. Nastavite pratiti LinuxHint za više savjeta i vodiča o Linuxu i umrežavanju.
