Als je professioneler wilt gaan, kun je een aantal van de tools bekijken die worden beschreven op Live forensische hulpmiddelen.
Een e-mailheader lezen en begrijpen (Gmail):
Het volgende stukje vreemde tekst is een e-mailheader van een e-mail die vanuit het account is verzonden redacteur[at~]linuxhint.com naar ivan[at~]linux.latijns. Sommige irrelevante delen zijn verwijderd, maar het is volledig trouw aan de originele kop.
Hieronder wordt elk onderdeel van de e-mailheader uitgelegd:
Het eerste hieronder geïsoleerde segment is zeer intuïtief en laat zien dat de e-mail is afgeleverd bij ivan[at~]smartlation.com en ontvangen door een server geïdentificeerd door zijn IP-adres (IPv6) en een SMTP-ID, met details over de datum en tijd van de levering:
Geleverd aan: ivana[at~]smartlation.com Ontvangen: in 2002:a05:620a:1461:0:0:0:0 met SMTP-id j1csp966363qkl; wo, 3 apr 2019 19:50:15 -0700 (PDT)
Het volgende fragment laat zien dat de e-mail wordt verwerkt via de SMTP van Gmail.
X-Google-Smtp-bron: APXvYqxLebBy88ASD/5vqLYdg+NGLv+sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
De X-Ontvangen header wordt toegepast door sommige e-mailproviders, in dit geval wordt het toegevoegd door Gmail's SMTP.
X-Ontvangen: tegen 2002:a62:52c3:: met SMTP-id g186mr3128011pfb.173.1554346215815; wo, 03 apr 2019 19:50:15 -0700 (PDT)
Het volgende segment toont de ARC (Authentication Received Chain). Dit protocol verzekert de geldigheid van de authenticatie bij het passeren van verschillende intermediaire apparaten. In dit geval wordt de e-mail verzonden vanaf editor [~at]linuxhint.com naar ivan[~at]linux.lat die de e-mail doorstuurt naar ivan[~at]smartlation.com.
ARC-zegel: i=1; a=rsa-sha256; t=1554346215; cv=geen; d=google.com; s=arc-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j+vITRp+1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J+iJJLvcZn 0m1A==
En hier is de eerste verschijning van de DKIM (DomainKeys geïdentificeerde e-mail), een authenticatiemethode die e-mailvervalsing voorkomt door de domeinnaam van de afzender te valideren. Het eerder gedetailleerde protocol ARC helpt zowel DKIM als SPF (die hieronder worden weergegeven) om ondanks de route geldig te blijven. Dit uittreksel toont de gegeven referenties.
ARC-bericht-handtekening: i=1; a=rsa-sha256; c=ontspannen/ontspannen; d=google.com; s=arc-20160816; h=to:subject:message-id:date:from:mime-version:dkim-signature :dkim-signature:dkim-filter; bh=SGSL8wJRA7+YflVA67ETqxpMCMuzIg+Fe1LKVzldnbA=; b=1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj+OQC/YxOaGu7OsD06nnzhEFtlEYgN ibTg==
Hier kunt u het resultaat van de authenticatie zien, zoals u ziet dat deze is geslaagd, naast de DKIM die u kunt zien SPF (Sender Policy Framework), een andere authenticatiemethode om de ontvanger te laten weten dat de afzender geautoriseerd is om de domeinnaam te gebruiken die wordt weergegeven in het gedeelte "FROM".
In dit geval hebben DKIM en SPF de authenticatiefase doorlopen.
ARC-authenticatie-resultaten: i=1; mx.google.com;
dkim=pass [email protected] header.s=standaard koptekst.b=oY3SGJai; dkim=pass [email protected] header.s=20150623 koptekst.b=udLEKRXT; spf=pass (google.com: domein van [e-mail beveiligde] servers.com duidt 162 . aan.255.118.246 als toegestane afzender) smtp.mailfrom="SRS0+GMs5=SG=linuxhint.com=editor @eforward1e.registrar-servers.kom"
Hieronder is er een sectie met de naam 'Return-Path' en hier wordt het bounce-e-mailadres gedefinieerd, dat verschilt van de sectie 'Van' voor bounceberichten die moeten worden verwerkt door de beheerder van de e-mailserver.
Terugweg: <[email protected]om>
Tot slot wordt hieronder informatie over de mailserver, (Postfix), DKIM-versie en encryptiesterkte weergegeven,
Ontvangen: vanaf se17.registrar-servers.com (se17.registrar-servers.com [198.54.122.197]) door eforward1e.registrar-servers.com (Postfix) met ESMTP-id 9060A4207A2 voor <[email protected]>; wo, 3 apr 2019 22:50:14 -0400 (EDT) DKIM-Filter: OpenDKIM Filter v2.11.0 eforward1e.registrar-servers.com 9060A4207A2 DKIM-handtekening: v=1; a=rsa-sha256; c=ontspannen/ontspannen; d=registrar-servers.com; s=standaard; t=1554346214; bh=SGSL8wJRA7+YflVA67ETqxpMCMuzIg+Fe1LKVzldnbA=; h=Van:Datum:Onderwerp:Aan; b=oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK/6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-handtekening: v=1; a=rsa-sha256; c=ontspannen/ontspannen; d=1e100.netto; s=20161025; h=x-gm-message-state:mime-version:from:date:message-id:subject:to; bh=SGSL8wJRA7+YflVA67ETqxpMCMuzIg+Fe1LKVzldnbA=; b=YaWzCdnw7XFUn6N6Ceok2a
Het deel X-Gm-bericht-status toont een unieke string voor twee mogelijke toestanden: kaatste terug en verzonden.
X-Gm-berichtstatus: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL/6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
De waarde X-Ontvangen hoort specifiek bij Gmail.
X-Ontvangen: tegen 2002:a50:89fb:: met SMTP-id h56mr1932247edh.176.1554346208456; wo, 03 apr 2019 19:50:08 -0700 (PDT)
Hieronder vindt u de MIME-versie (Multipurpose Internet Mail Extensions) en reguliere informatie die aan gebruikers wordt getoond:
MIME-versie: 1.0 Van: Editor LinuxHint <[email protected]> Datum: wo, 3 apr 2019 19:50:27 -0700 Bericht-ID: <[email protected]om> Onderwerp: betaling verzonden $150 Naar: Ivan <[email protected]> Inhoudstype: meerdelig/alternatief; grens = "0000000000009d08b80585ab6de6" Authenticatie-resultaten: registrar-servers.com; dkim=pass header.i= linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Klasse: onzeker X-SpamExperts-Bewijs: Gecombineerd (0.50)-X Aanbevolen-Actie: accepteren X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Ik hoop dat je deze tutorial over analyse van e-mailheaders nuttig vond. Blijf Linux volgen Hint voor meer tips en tutorials over Linux en netwerken.