Čo je v hlavičke e-mailu a prečo by vás to malo zaujímať?

Dostali ste niekedy spam alebo phishingovú správu z e-mailovej adresy, ktorú ste nepoznali? Možno vám niekto ponúkol výlet zadarmo, požiadal vás, aby ste im výmenou za osobné fotografie poslali bitcoin, alebo vám poslal iba nežiaduci marketingový e-mail?

Zaujímalo vás, odkiaľ tie e-maily pochádzajú? Videli ste, ako spamer šíri vašu e-mailovú adresu, a zaujímalo vás, ako to urobili?

Falošný e-mail alebo vytváranie e-mailov, ktoré vyzerajú, akoby e-mail pochádzal z inej adresy, ako bola (napríklad e-mail, ktorý zrejme pochádza z whitehouse.gov, ale v skutočnosti je z podvodníka), je pozoruhodne jednoduchý.

Základné e-mailové protokoly nemajú žiadnu metódu autentifikácie, čo znamená, že adresa „od“ je v zásade iba vyplnená.

Keď dostanete e-mail, zvyčajne to vyzerá asi takto:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

Pod tým je predmet a správa.

Ako však viete, odkiaľ ten e-mail skutočne pochádza? Nie je možné analyzovať nejaké ďalšie údaje?

Hľadáme úplné hlavičky e-mailov - to, čo vidíte vyššie, je iba čiastočná hlavička. Tieto údaje nám poskytnú ďalšie informácie o tom, odkiaľ e-mail pochádza a ako sa dostal do vašej doručenej pošty.

Ak sa chcete pozrieť na svoje vlastné hlavičky e-mailov, v aplikácii Outlook a Gmail k nim získate prístup. Väčšina poštových programov funguje podobným spôsobom a jednoduché vyhľadávanie Google vám povie, ako zobraziť hlavičky alternatívnych poštových služieb.

V tomto článku sa pozrieme na množinu skutočných hlavičiek (aj keď sú výrazne redigované - zmenil som názvy hostiteľov, časové značky a adresy IP).

Čítame hlavičky zhora nadol, ale uvedomte si, že každý nový server pridáva svoje hlavičky do hornej časti tela e-mailu. To znamená, že prečítame každú hlavičku od konečného agenta na prenos správ (MTA) a prepracujeme sa k prvému MTA, aby správu prijal.

Interné prevody

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

Tento prvý skok ukazuje linku HTTPS, čo znamená, že server nedostal správu prostredníctvom štandardného protokolu SMTP a namiesto toho vytvoril správu zo vstupu, ktorý prijal vo webovej aplikácii.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

Toto sú prvé dva bloky hlavičiek, ktoré sú internými poštovými prenosmi. Môžete zistiť, že tieto boli prijaté servermi Office365 (outlook.com) a interne smerované k správnemu príjemcovi.

Môžete tiež zistiť, že správa sa odosiela prostredníctvom šifrovaného protokolu SMTP. Viete to, pretože hlavička obsahuje zoznam „so serverom Microsoft SMTP“ a potom určuje používanú verziu TLS, ako aj konkrétnu šifru.

Tretí blok hlavičky označuje prechod z lokálneho poštového servera na službu filtrovania pošty. Vy to viete, pretože to išlo „cez Frontend Transport“, čo je špecifický protokol pre Microsoft Exchange (a teda to nebol striktne SMTP).

Tento blok obsahuje aj niektoré e-mailové kontroly. V hlavičke Outlook.com sú podrobne uvedené ich výsledky SPF / DKIM / DMARC. Softfail SPF znamená, že táto adresa IP nemá oprávnenie na odosielanie e-mailov v mene servera gmail.com.

„dkim = pass“ znamená, že e-mail pochádza od údajného odosielateľa a pri preprave nebol (s najväčšou pravdepodobnosťou) zmenený.  

DMARC je sada pravidiel, ktoré poštovému serveru hovoria, ako interpretovať výsledky SPF a DKIM. Heslo pravdepodobne znamená, že e-mail pokračuje ďalej do svojho cieľa.

Viac informácií o SPF, DKIM a DMARC nájdete v tomto článku.

Interný / externý prechod

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

Toto je záznam SPF spoločnosti Google - informujúci prijímajúci server, že e-mail, ktorý hovorí, že pochádza z gmail.com, pochádza zo servera schváleného spoločnosťou Google.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

Zobrazuje niekoľko ďalších kontrol SPF / DKIM / DMARC, ako aj výsledky skenovania IronPort.

Ironport je populárny e-mailový filter používaný mnohými spoločnosťami na vyhľadávanie spamu, vírusov a iných škodlivých e-mailov. Naskenuje odkazy a prílohy v e-maile a určí, či je e-mail škodlivý (a mal by byť zrušený), či je pravdepodobný legitímny a má byť doručený, alebo či je podozrivý. V takom prípade môže k hlavičke pripojiť hlavičku. hovorí používateľom, aby si dávali pozor na e-mail.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Táto časť zobrazuje interné chmele, ktoré e-mail prevzal z pôvodného zariadenia odosielateľa prostredníctvom smerovacieho systému služby Gmail a do výhľadového prostredia príjemcu. Z toho vidíme, že pôvodný odosielateľ bol z Macbooku, ktorý používal domáci router, s Verizon Fios v NYC.

Toto je koniec chmeľu ukazujúci cestu, ktorú e-mail prešiel od odosielateľa k príjemcovi. Po uplynutí tejto doby uvidíte telo e-mailu (a hlavičky, ktoré sa zvyčajne zobrazujú ako „od:“, „do:“ atď.), Možno s určitým formátovaním založeným na type média a e-mailovom klientovi (napríklad Verzia MIME, typ obsahu, hranice atď.). Môže obsahovať aj niektoré informácie o agentovi user-agent, čo sú podrobnosti o tom, aký typ zariadenia správu odoslal.

V tomto prípade už vieme, že odosielajúcim zariadením bol z dôvodu konvencie pomenovania spoločnosti Apple Macbook, ale môže obsahovať aj podrobnosti o type, verzii, dokonca aj prehliadači a verzii procesora, ktoré boli v zariadení nainštalované.

V niektorých prípadoch, ale nie vo všetkých, môže obsahovať aj adresu IP odosielajúceho zariadenia (hoci mnohí poskytovatelia tieto informácie skryjú bez predvolania).

Čo vám môžu povedať hlavičky e-mailov?

Hlavičky e-mailov môžu pomôcť zistiť, kedy sa e-maily neposielajú od ich údajných odosielateľov. Môžu poskytnúť nejaké informácie o odosielateľovi - hoci to zvyčajne nestačí na identifikáciu skutočného odosielateľa.

Orgány činné v trestnom konaní môžu tieto údaje často použiť na predvolanie informácií od správneho poskytovateľa internetových služieb, ale my ostatní ich väčšinou môžeme použiť iba na pomoc pri informovaní vyšetrovania, zvyčajne vo veci phishingu.

Tento proces sťažuje skutočnosť, že hlavičky môžu byť fingované škodlivými servermi alebo hackermi. Bez kontaktovania vlastníkov každého servera a individuálneho overenia, či sa hlavičky vo vašom e-maile zhodujú s ich protokolmi SMTP, čo je náročné a časovo náročné, nebudete si istí, že sú hlavičky presné (okrem hlavičiek pripojených vašimi vlastnými poštovými servermi).

Bez toho, aby ste kontaktovali vlastníka každého servera a individuálne overovali, či sa hlavičky vo vašom e-maile zhodujú s ich protokolmi SMTP, čo je síce náročné a časovo náročné, nebudete si istí, že všetky hlavičky sú presné.

DKIM, DMARC a SPF môžu všetci pomôcť s týmto procesom, ale nie sú dokonalé a bez nich neexistuje vôbec žiadne overenie.

Nechcete analyzovať svoje vlastné hlavičky? Táto stránka to urobí za vás.