Какво има в заглавката на имейл и защо трябва да ви е грижа?

Получавали ли сте някога спам или фишинг съобщение от имейл адрес, който не сте разпознали? Може би някой ви предложи безплатно пътуване, помоли ви да им изпратите биткойн в замяна на лични снимки или просто ви изпрати нежелан маркетингов имейл?

Чудили ли сте се откъде идват тези имейли? Видяхте фалшификатор на вашите имейли и се чудехте как са го направили?

Подправянето на имейли или създаването на имейл, сякаш имейлът идва от различен адрес от него (например имейл, който изглежда идва от whitehouse.gov, но всъщност е от измамник), е изключително лесен.

Основните имейл протоколи нямат никакъв метод за удостоверяване, което означава, че адресът „от“ по същество е просто попълване на празното място.

Обикновено, когато получите имейл, изглежда по следния начин:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

По-долу е темата и съобщението.

Но как да разберете откъде всъщност идва този имейл? Няма ли допълнителни данни, които могат да бъдат анализирани?

Това, което търсим, са пълните заглавки на имейли - това, което виждате по-горе, е само частична заглавка. Тези данни ще ни дадат допълнителна информация за това откъде идва имейлът и как е стигнал до входящата ви поща.

Ако искате да разгледате собствените си заглавки на имейли, ето как да получите достъп до тях в Outlook и Gmail. Повечето пощенски програми работят по подобен начин и просто търсене с Google ще ви каже как да видите заглавките на алтернативни пощенски услуги.

В тази статия ще разгледаме набор от реални заглавки (въпреки че те са силно редактирани - промених имена на хостове, времеви марки и IP адреси).

Ще прочетем заглавията отгоре надолу, но имайте предвид, че всеки нов сървър добавя своя заглавка в горната част на тялото на имейла. Това означава, че ще прочетем всеки хедър от последния агент за прехвърляне на съобщения (MTA) и ще стигнем до първия MTA, за да приемем съобщението.

Вътрешни трансфери

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

Този първи хоп показва линия HTTPS, което означава, че сървърът не е получил съобщението чрез стандартен SMTP и вместо това е създал съобщението от входа, който е получил в уеб приложение.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

Това са първите два заглавни блока са вътрешни прехвърляния на поща. Можете да разберете, че те са получени от сървъри на Office365 (outlook.com) и са пренасочени вътрешно към правилния получател.

Можете също така да кажете, че съобщението се изпраща чрез криптиран SMTP. Знаете това, защото заглавката изброява „с Microsoft SMTP сървър“ и след това посочва версията на TLS, която използва, както и конкретния шифър.

Третият заглавен блок маркира прехода от локален пощенски сървър към услуга за филтриране на поща. Знаете това, защото премина „през Frontend Transport“, който е специфичен за Microsoft-Exchange протокол (и следователно не беше строго SMTP).

Този блок включва и някои проверки на имейл. Заглавката на Outlook.com подробно описва резултатите от SPF / DKIM / DMARC тук. Софтфайл SPF означава, че този IP адрес не е упълномощен да изпраща имейли от името на gmail.com.

"dkim = pass" означава, че имейлът е от предполагаемия подател и (най-вероятно) не е бил променен по време на транспортиране.  

DMARC е набор от правила, които казват на пощенския сървър как да интерпретира резултатите от SPF и DKIM. Pass вероятно означава, че имейлът продължава към местоназначението си.

За повече информация относно SPF, DKIM и DMARC вижте тази статия.

Вътрешен / външен преход

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

Това е записът на SPF на Google - съобщавайки на получаващия сървър, че имейлът, който казва, че идва от gmail.com, идва от одобрен от Google сървър.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

Това показва някои допълнителни проверки на SPF / DKIM / DMARC, както и резултатите от сканиране на IronPort.

Ironport е популярен филтър за електронна поща, използван от много корпорации за търсене на спам, вируси и други злонамерени имейли. Той сканира връзките и прикачените файлове в имейла и определя дали имейлът е злонамерен (и трябва да бъде отпаднал), дали е вероятно легитимен и трябва да бъде доставен, или ако е подозрителен, в който случай може да прикачи заглавка към тялото, което казва на потребителите да внимават с имейла.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Този раздел показва вътрешните скокове, които имейлът е взел от първоначалното устройство на подателя чрез системата за маршрутизиране на gmail и към външната среда на получателя. Оттук можем да видим, че първоначалният подател е от Macbook, използващ домашен рутер, с Verizon Fios в Ню Йорк.

Това е краят на скоковете, показващ маршрута, по който е преминал имейл от подателя до получателя. След това ще видите тялото на имейла (и заглавията, които обикновено виждате като "от:", "до:" и т.н.), може би с някакво форматиране въз основа на типа медия и имейл клиента (например MIME версия, тип съдържание, граница и т.н.). Той може също така да съдържа информация за потребителски агент, която представлява подробности за типа устройство, изпратило съобщението.

В този случай вече знаем, че изпращащото устройство е Macbook поради конвенцията за именуване на Apple, но може да съдържа и подробности за типа процесор, версията, дори браузъра и версията, които са били инсталирани на устройството.

В някои случаи, но не всички, той може да съдържа и IP адреса на изпращащото устройство (въпреки че много доставчици ще скрият тази информация без призовка).

Какво могат да ви кажат заглавията на имейли?

Заглавките на имейлите могат да помогнат да се идентифицира кога имейлите не се изпращат от предполагаемите им податели. Те могат да предоставят известна информация за подателя - макар че обикновено не е достатъчно да се идентифицира истинският подател.

Правоприлагащите органи често могат да използват тези данни, за да призоват информацията от десния доставчик на интернет услуги, но останалите от нас могат най-вече просто да ги използват, за да подпомогнат информирането на разследванията, обикновено за фишинг.

Този процес се затруднява от факта, че заглавията могат да бъдат фалшифицирани от злонамерени сървъри или хакери. Без да се свързвате със собственика на всеки сървър и индивидуално да проверявате дали заглавките във вашия имейл съвпадат с техните SMTP регистрационни файлове, което е трудоемко и отнема много време, няма да сте сигурни, че заглавията са точни (различни от заглавията, прикачени от вашите собствени пощенски сървъри).

Без да се свързвате със собственика на всеки сървър и индивидуално да проверявате дали заглавките във вашия имейл съвпадат с техните SMTP регистрационни файлове, което е трудоемко и отнема много време, няма да сте сигурни, че всички заглавки са точни ..

DKIM, DMARC и SPF могат да помогнат с този процес, но не са перфектни и без тях изобщо няма проверка.

Не искате да анализирате собствените си заглавки? Този сайт ще го направи вместо вас.