Ak chcete ísť profesionálnejšie, môžete skontrolovať niektoré z nástrojov popísaných na Live forenzné nástroje.
Čítanie a porozumenie hlavičke e-mailu (Gmail):
Nasledujúca časť čudného textu je e-mailová hlavička e-mailu odoslaného z účtu editor [at ~] linuxhint.com do ivan [at ~] linux.lat. Niektoré nepodstatné časti boli odstránené, je však úplne v súlade s pôvodnou hlavičkou.
Pod každou časťou hlavičky e-mailu bude vysvetlené:
Prvý segment izolovaný nižšie je veľmi intuitívny a ukazuje, že e-mail bol doručený ivan [at ~] smartlation.com a prijaté serverom identifikovaným podľa jeho adresy IP (IPv6) a ID SMTP s podrobným uvedením dátumu a času doručenia:
Doručené komu: ivana [at ~] smartlation.com Prijaté: do roku 2002: a05: 620a: 1461: 0: 0: 0: 0 s identifikátorom SMTP j1csp966363qkl; St, 3. apríla 2019 19:50:15 -0 700 (PDT)
Nasledujúci fragment ukazuje, že e-mail sa spracováva prostredníctvom protokolu SMTP v Gmaile.
Zdroj X-Google-Smtp: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
The Prijaté X hlavičku používajú niektorí poskytovatelia e-mailových služieb, v tomto prípade ju pridáva SMTP služby Gmail.
Prijaté X: do roku 2002: a62: 52c3 :: s ID SMTP g186mr3128011pfb.173.1554346215815; St, 3. apríla 2019 19:50:15 -0 700 (PDT)
Nasledujúci segment zobrazuje ARC (Authentication Received Chain). Tento protokol zaisťuje platnosť autentifikácie pri prechode cez rôzne sprostredkovateľské zariadenia. V takom prípade je e-mail odoslaný z editora [~ at] linuxhint.com na ivan [~ at] linux.lat, ktorý preposiela e-mail na ivan [~ at] smartlation.com.
Tesnenie ARC: i = 1; a = rsa-sha256; t = 1554346215; cv = žiadny; d = google.com; s = oblúk-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
A tu je prvý výskyt DKIM (Identifikovaná pošta DomainKeys), metóda overovania, ktorá zabraňuje falšovaniu pošty overením názvu domény odosielateľa. Predtým podrobný protokol ARC pomáha DKIM aj SPF (ktoré sa zobrazia nižšie) zostať v platnosti aj napriek trase. Tento výpis zobrazuje dané poverenia.
Podpis správy ARC: i = 1; a = rsa-sha256; c = uvoľnená / uvoľnená; d = google.com; s = oblúk-20160816; h = to: subject: message-id: date: from: mime-version: dkim-signature: dkim-signature: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Tu vidíte výsledok autentifikácie, ako vidíte, že bola úspešná, navyše k DKIM, ktorý vidíte SPF (rámec politiky odosielateľa), iná metóda overovania s cieľom informovať príjemcu, že odosielateľ je oprávnený používať názov domény zobrazený v časti „OD“.
V tomto prípade DKIM a SPF prešli fázou autentifikácie.
Výsledky overenia pomocou ARC: i = 1; mx.google.com;
dkim = odovzdať [chránený e-mailom] hlavičku.s = predvolená hlavička.b = oY3SGJai; dkim = odovzdať [chránený e-mailom] hlavičku.s = 20150623 hlavička.b = udLEKRXT; spf = prejsť (google.com: doména serverov [chránených e-mailom].com označuje 162.255.118.246 ako povolený odosielateľ) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = editor @ eforward1e.registrátorské servery.com "
Nižšie je uvedená časť s názvom „Návratová cesta“ a tu je definovaná e-mailová adresa na odchod zo servera, ktorá sa líši od sekcie „Od“ na účely odosielania správ, ktoré má spracovať správca poštového servera.
Spiatočná cesta: <[email protected]om>
Nakoniec nižšie sú zobrazené informácie o poštovom serveri (Postfix), verzii DKIM a sile šifrovania,
Prijaté: od se17.registrátorské servery.com (se17.registrátorské servery.sk [198.54.122.197]) od eforward1e.registrátorské servery.com (Postfix) s ESMTP id 9060A4207A2 pre <[email protected]>; St, 3. apríla 2019 22:50:14 -0400 (EDT) DKIM-Filter: OpenDKIM Filter v2.11.0 eforward1e.registrátorské servery.com 9060A4207A2 DKIM-podpis: v = 1; a = rsa-sha256; c = uvoľnená / uvoľnená; d = registrátorské servery.com; s = predvolené; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = Od: Dátum: Predmet: Komu; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
Podpis X-Google-DKIM: v = 1; a = rsa-sha256; c = uvoľnená / uvoľnená; d = 1e100.sieť; s = 20161025; h = x-gm-message-state: mime-version: from: date: message-id: subject: to; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
Sekcia Stav správy X-Gm zobrazuje jedinečný reťazec pre dva možné stavy: odrazil sa naspäť a odoslané.
Stav správy X-Gm: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
Hodnota X-Received patrí konkrétne do Gmailu.
Prijaté X: do roku 2002: a50: 89fb :: s ID SMTP h56mr1932247edh.176.1554346208456; St, 3. apríla 2019 19:50:08 -0700 (PDT)
Ďalej nájdete verziu MIME (Multipurpose Internet Mail Extensions) a bežné informácie zobrazené používateľom:
Verzia MIME: 1.0 Od: Editor LinuxHint <[email protected]> Dátum: St, 3. apríla 2019 19:50:27 -0700 ID správy: <[email protected]om> Predmet: platba odoslaná 150 dolárov Komu: Ivan <[email protected]> Typ obsahu: viacdielny / alternatívny; boundary = "0000000000009d08b80585ab6de6" Výsledky autentifikácie: servery registrátora.com; dkim = odovzdať hlavičku.i = linuxhint-com.20150623.gappssmtp.com Trieda X-SpamExperts: neisté X-SpamExperts-Dôkazy: Kombinované (0.50) X-Odporúčané akcie: prijať X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Dúfam, že vám tento návod o analýze hlavičiek e-mailov bol užitočný. Pokračujte v sledovaní LinuxHintu, kde nájdete ďalšie tipy a návody o systéme Linux a sieťach.