Mi található az e-mail fejlécében, és miért kell törődnie?

Kapott már spam- vagy adathalász üzenetet egy olyan e-mail címről, amelyet nem ismert fel? Lehet, hogy valaki felajánlotta neked egy ingyenes utat, megkért, hogy küldj nekik bitcoinot személyes fotók fejében, vagy csak egy nem kívánt marketing e-mailt küldött neked?

Kíváncsi volt, honnan jöttek ezek az e-mailek? Látott egy spamelőt, aki meghamisította az e-mail címét, és kíváncsi volt, hogyan csinálták?

Az e-mailek hamisítása vagy az e-mail megjelenése úgy tűnik, mintha az e-mail más címről érkezett volna, mint korábban (például egy e-mail, amely a whitehouse.gov címről származik, de valójában egy csalótól származik) rendkívül könnyű.

Az alapvető e-mail protokollok nem rendelkeznek semmilyen módszerrel a hitelesítéshez, ami azt jelenti, hogy a 'feladó' cím alapvetően csak egy kitöltési mező.

Általában amikor e-mailt kap, valami ilyesmi néz ki:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

Ez alatt található a téma és az üzenet.

De honnan lehet tudni, hogy valójában honnan jött ez az e-mail? Nincs további elemezhető adat?

Amit keresünk, az a teljes e-mail fejléc - amit fent lát, csak egy részfejléc. Ezek az adatok további információkat nyújtanak arról, hogy az e-mail honnan származik és hogyan jutott el a beérkező levelek közé.

Ha meg szeretné nézni a saját e-mail fejlécét, az alábbiakban olvashatja el, hogyan érheti el őket az Outlook és a Gmail használatával. A legtöbb levelezőprogram hasonló módon működik, és az egyszerű Google-keresés megmondja, hogyan tekintheti meg az alternatív levelezési szolgáltatások fejlécét.

Ebben a cikkben megvizsgáljuk a valódi fejlécek készletét (bár erősen átalakultak - megváltoztattam a gazdagépneveket, az időbélyegeket és az IP-címeket).

Felülről lefelé olvassuk a fejléceket, de vegye figyelembe, hogy minden új szerver hozzáadja a fejlécét az e-mail törzsének tetejéhez. Ez azt jelenti, hogy minden fejlécet elolvasunk a végső üzenetátviteli ügynöktől (MTA), és az első MTA-ig dolgozunk, hogy elfogadjuk az üzenetet.

Belső transzferek

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

Ez az első ugrás egy HTTPS vonalat mutat, ami azt jelenti, hogy a szerver nem az üzenetet kapta normál SMTP-n keresztül, hanem egy webalkalmazáson kapott bemenetből hozta létre az üzenetet.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

Ez az első két fejlécblokk belső levélátvitel. Elmondhatja, hogy ezeket az Office365 szerverek (outlook.com) fogadták, és belső úton irányították a megfelelő címzetthez.

Azt is elmondhatja, hogy az üzenetet titkosított SMTP-n keresztül küldik. Ezt azért tudja, mert a fejléc a "Microsoft SMTP Server" felsorolást tartalmazza, majd meghatározza az általa használt TLS verziót, valamint a konkrét titkosítást.

A harmadik fejlécblokk jelöli az átmenetet a helyi levelezőszerverről egy levélszűrő szolgáltatásra. Tudja ezt, mert a "Frontend Transport segítségével" ment keresztül, amely egy Microsoft-Exchange-specifikus protokoll (és ezért nem volt szigorúan SMTP).

Ez a blokk tartalmaz néhány e-mail ellenőrzést is. Az Outlook.com fejléce itt részletezi az SPF / DKIM / DMARC eredményeiket. Az SPF softfail azt jelenti, hogy ez az IP-cím nem jogosult e-mailek küldésére a gmail.com nevében.

A "dkim = pass" azt jelenti, hogy az e-mail állítólagos feladójától származik, és a szállítás során (valószínűleg) nem változtatták meg.  

A DMARC egy olyan szabálykészlet, amely megmondja a levelező szervernek, hogyan kell értelmezni az SPF és a DKIM eredményeit. Az átadás valószínűleg azt jelenti, hogy az e-mail a céljáig folytatódik.

Az SPF-ről, a DKIM-ről és a DMARC-ról további információt ebben a cikkben talál.

Belső / külső átmenet

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

Ez a Google SPF-rekordja - elmondja a fogadó szervernek, hogy az e-mail, amely azt mondja, hogy a gmail.com-ról származik, egy Google által jóváhagyott szerverről érkezik.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

Ez néhány további SPF / DKIM / DMARC ellenőrzést, valamint egy IronPort vizsgálat eredményeit mutatja.

Az Ironport egy népszerű e-mail szűrő, amelyet sok vállalat használ spam, vírusok és más rosszindulatú e-mailek keresésére. Beolvassa az e-mailben található linkeket és mellékleteket, és megállapítja, hogy az e-mail rosszindulatú (és el kell-e dobni), valószínűleg jogos-e és át kell-e adni, vagy gyanús-e. Ebben az esetben fejlécet csatolhat a testhez, amely azt mondja a felhasználóknak, hogy óvakodjanak az e-mailtől.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Ez a szakasz bemutatja azokat a belső ugrásokat, amelyeket az e-mail a feladó eredeti eszközéről a gmail útválasztó rendszerén keresztül és a címzett outlook környezetébe vett. Ebből láthatjuk, hogy a kezdeti küldő egy Macbook-ból származott, otthoni útválasztót használva, a New York-i Verizon Fios-szal.

Ez a komló vége, amely megmutatja az e-mail útját a feladótól a címzettig. Ezen túl látni fogja az e-mail törzsét (és a fejléceket, amelyeket általában a "tól:", "ig:" stb.) Láthat, esetleg valamilyen formázással a média típusa és az e-mail kliens alapján (például MIME verzió, tartalomtípus, határ stb.). Ez tartalmazhat néhány felhasználói ügynök-információt is, amelyek részletesen leírják, hogy milyen típusú eszköz küldte az üzenetet.

Ebben az esetben már tudjuk, hogy a küldő eszköz Macbook volt az Apple elnevezési konvenciója miatt, de tartalmazhat részleteket a CPU típusáról, verziójáról, akár a böngészőről és az eszközre telepített verzióról is.

Bizonyos esetekben, de nem minden esetben, tartalmazhatja a küldő eszköz IP-címét is (bár sok szolgáltató idézés nélkül elrejti ezeket az információkat).

Mit tudnak mondani az e-mail fejlécek?

Az e-mail fejlécek segíthetnek azonosítani, amikor az e-maileket nem állítólag küldik. Adhatnak némi információt a feladóról - bár ez általában nem elegendő a valódi feladó azonosításához.

A bűnüldöző szervek gyakran felhasználhatják ezeket az adatokat a megfelelő internetszolgáltatótól származó információk megidézésére, de a többiek többnyire csak a nyomozás, általában az adathalászat informálásához nyújtanak segítséget.

Ezt a folyamatot nehezíti, hogy a fejléceket rosszindulatú szerverek vagy hackerek hamisíthatják. Anélkül, hogy kapcsolatba lépne az egyes szerverek tulajdonosával, és külön-külön nem ellenőrizné, hogy az e-mail címsorában szereplő fejlécek megegyeznek-e az SMTP-naplóikkal, ami fáradságos és időigényes, nem lesz biztos abban, hogy a fejlécek pontosak (kivéve a saját levelező szerverei által csatolt fejléceket).

Anélkül, hogy kapcsolatba lépne az egyes szerverek tulajdonosával, és külön nem ellenőrizné, hogy az e-mail címsorában szereplő fejlécek megegyeznek-e az SMTP-naplóikkal, ami fáradságos és időigényes, nem lesz biztos abban, hogy a fejlécek mind pontosak.

A DKIM, a DMARC és az SPF egyaránt segíthet ebben a folyamatban, de nem tökéletes, és ezek nélkül egyáltalán nincs ellenőrzés.

Nem akarja elemezni a saját fejlécét? Ez az oldal megteszi helyetted.