Phenquestions
Ако желите да постанете професионалнији, можете да проверите неке од алата описаних на Форензички алати уживо.
Читање и разумевање заглавља е-поште (Гмаил):
Следећи комад чудног текста је заглавље е-поште послато са налога едитор [ат ~] линукхинт.цом до иван [ат ~] линук.лат. Неки небитни делови су уклоњени, али је потпуно у складу са оригиналним заглављем.
Испод сваког дела заглавља е-поште биће објашњено:
Први доле изоловани сегмент врло је интуитиван и открива е-пошту којој је достављена иван [ат ~] памет.цом и примио их је сервер идентификован ИП адресом (ИПв6) и СМТП ИД-ом, детаљно описујући датум и време испоруке:
Испоручено: паметна ивана [ат ~].цом Примљено: до 2002: а05: 620а: 1461: 0: 0: 0: 0 са СМТП ид ј1цсп966363ккл; Сре, 3. априла 2019. 19:50:15 -0700 (ПДТ)
Следећи фрагмент показује да се е-пошта обрађује путем гмаиловог СМТП-а.
Кс-Гоогле-Смтп-Извор: АПКСвИккЛебБи88АСД / 5вкЛИдг + НГЛв + сНимПјуОУ6аКи3Х1ЛиРбк4 8Е4И9ојХНсМ4Бвпа2лАпЗКЈ
Тхе Кс-Рецеивед заглавље примењују неки добављачи е-поште, у овом случају га додаје Гмаил-ов СМТП.
Кс-Рецеивед: до 2002: а62: 52ц3 :: са СМТП ид г186мр3128011пфб.173.1554346215815; Сре, 03. априла 2019. 19:50:15 -0700 (ПДТ)
Следећи сегмент приказује АРЦ (Аутентификација примљени ланац). Овај протокол осигурава валидност аутентификације приликом проласка кроз различите посредничке уређаје. У овом случају е-пошта се шаље из уређивача [~ ат] линукхинт.цом до иван [~ ат] линук.лат који прослеђује имејл на иван [~ ат] смартлатион.цом.
АРЦ-печат: и = 1; а = рса-сха256; т = 1554346215; цв = нема; д = гоогле.цом; с = арц-20160816; КскУКС87СмР3Јца4ГХтИдЦАкрд8еЈ67гНу6н укеДПБзВо1и5ј + вИТРп + 1ф6ЦгЈТУЗАНЕРННх8зд9УедБхГк11дИТХзмск9Ј + иЈЈЛвцЗн 0м1А ==
И ево првог појављивања ДКИМ (Пошта са идентификованим кључевима домена), метод аутентификације који спречава фалсификовање поште верификовањем имена домена пошиљаоца. Претходно детаљни протокол АРЦ помаже и ДКИМ и СПФ (који ће бити приказани у наставку) да остану на снази упркос рути. Овај извод показује дате акредитиве.
АРЦ-Потпис поруке: и = 1; а = рса-сха256; ц = опуштено / опуштено; д = гоогле.цом; с = арц-20160816; х = до: субјецт: мессаге-ид: дате: фром: миме-версион: дким-сигнатуре: дким-сигнатуре: дким-филтер; бх = СГСЛ8вЈРА7 + ИфлВА67ЕТккпМЦМузИг + Фе1ЛКВзлднбА =; б = 1ХЦ5цАТј9нР43хдЗкт0ДМГхРгМАЛСБ к2ДлфвклЛлфДБ02пЦвТЗТДЦВИБИхудлурДвсихј + ОКЦ / ИкОаГу7ОсД06ннзхЕФтлЕИгН ибТг ==
Овде можете видети резултат потврде идентитета, онако како видите да је успела, поред ДКИМ-а који можете видети СПФ (Оквир политике пошиљаоца), други начин потврде идентитета како би прималац знао да је пошиљалац овлашћен да користи име домена приказано у одељку „ИЗ“.
У овом случају ДКИМ и СПФ су прошли фазу потврде идентитета.
Резултати АРЦ-аутентификације: и = 1; мк.гоогле.цом;
дким = додај заглавље [заштићено е-поштом].с = подразумевано заглавље.б = оИ3СГЈаи; дким = додај заглавље [заштићено е-поштом].с = 20150623 заглавље.б = удЛЕКРКСТ; спф = пасс (гоогле.цом: домен сервера [заштићених е-поштом].цом означава 162.255.118.246 као дозвољени пошиљалац) смтп.маилфром = "СРС0 + ГМс5 = СГ = линукхинт.цом = едитор @ ефорвард1е.регистрар-сервери.цом "
Испод се налази одељак под називом „Повратна путања“ и овде је дефинисана адреса е-поште која се одбија, а која се разликује од одељка „Од“ за одскакање порука које обрађује администратор сервера поште.
Повратни пут: <[email protected]om>
И на крају, испод се приказују информације о поштанском серверу, (Постфик), ДКИМ верзија и јачина шифрирања,
Примљено: од се17.регистрар-сервери.цом (се17.регистрар-сервери.цом [198.54.122.197]) од ефорвард1е.регистрар-сервери.цом (Постфик) са ЕСМТП ид 9060А4207А2 за <[email protected]>; Сре, 3. априла 2019. 22:50:14 -0400 (ЕДТ) ДКИМ-филтер: ОпенДКИМ филтер в2.11.0 ефорвард1е.регистрар-сервери.цом 9060А4207А2 ДКИМ-потпис: в = 1; а = рса-сха256; ц = опуштено / опуштено; д = сервери регистратора.цом; с = подразумевано; т = 1554346214; бх = СГСЛ8вЈРА7 + ИфлВА67ЕТккпМЦМузИг + Фе1ЛКВзлднбА =; х = Од: Датум: Предмет: До; б = оИ3СГЈаиН0ЕВВИЗГе4кРВ387о3ЈТИ2хМаввК / 6РсТТосзЕуР9Ј4тВБ3ЦУЦеубу9С+
Потпис Кс-Гоогле-ДКИМ: в = 1; а = рса-сха256; ц = опуштено / опуштено; д = 1е100.нет; с = 20161025; х = к-гм-мессаге-стате: миме-версион: фром: дате: мессаге-ид: субјецт: то; бх = СГСЛ8вЈРА7 + ИфлВА67ЕТккпМЦМузИг + Фе1ЛКВзлднбА =; б = ИаВзЦднв7КСФУн6Н6Цеок2а
Секција Кс-Гм-држава-порука приказује јединствени низ за два могућа стања: одскочио и послао.
Кс-Гм-Мессаге-Стате: АПјАААУДЗт8фдкВПтМкМВ5тр36иЈЕКсЛ / 6кВДвоЗПРииФл0ЉцТЕ1втК т6ХвЦиРДпуХХвПКиП
Примљена вредност Кс припада посебно Гмаил-у.
Кс-Рецеивед: до 2002: а50: 89фб :: витх СМТП ид х56мр1932247едх.176.1554346208456; Сре, 03. априла 2019. 19:50:08 -0700 (ПДТ)
Испод можете пронаћи верзију МИМЕ (Вишенаменско проширење Интернет поште) и редовне информације приказане корисницима:
МИМЕ-верзија: 1.0 Од: Едитор ЛинукХинт <[email protected]> Датум: Сре, 3. априла 2019. 19:50:27 -0700 ИД поруке: <[email protected]om> Предмет: уплата послата 150 УСД Прима: Иван <[email protected]> Садржај: вишеделни / алтернативни; бордер = "0000000000009д08б80585аб6де6" Резултати аутентификације: сервери регистратора.цом; дким = заглавље проласка.и = линукхинт-цом.20150623.гаппссмтп.цом Кс-СпамЕкпертс-Цласс: несигурни Кс-СпамЕкпертс-Евиденце: Комбиновани (0.50) к-Препоручена-Акција: прихвате Кс филтер ИД: ПквсволАВУРа0гвкуН3С5аКс1Д1ВТкЗз4ЗУВЗсЕКИАЗмКЗхррХО4тЦЦдд7Глц / хЕ6Ад92Ф9ЛвЛиЗБ УмТДс6ЛзтДдИхјКЈтмиккГггХТБКкРв3цФКС8ллим30хС81НКз3ИПКЈфБц4дфлнСКСјиЦ + хцВко8Т7 едт47вТУЕЗСГ1пЛБлхмиКсн4нИф
Надам се да вам је овај водич о анализи заглавља е-поште био користан. Пратите ЛинукХинт за више савета и упутстава о Линуку и умрежавању.
