Hacknite Wiki

User Tools

Site Tools

Trace: email_header_forensics string_format_read command_injection string_format_write
email_header_forensics

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
email_header_forensics [2023/10/27 10:26] katarinaemail_header_forensics [2023/11/24 16:36] (current) – external edit 127.0.0.1
Line 1: Line 1:
 ====Forenzika e-mail zaglavlja==== ====Forenzika e-mail zaglavlja====
-Forenzika e-mail zaglavlja (eng. header) bavi se proučavanjem podataka o e-mail poruci sadržanih u zaglavlju. Ovi podatci uključuju identitet stvarnog pošiljatelja, vrijeme dospijeća, primatelja te put poruke. Ovakva forenzika može se koristiti za istragu slučaja kibernetičkog kriminala u kojima je korišten e-mail.+Forenzika e-mail zaglavlja (eng. //header//) bavi se proučavanjem podataka o e-mail poruci sadržanih u zaglavlju. Ovi podatci uključuju identitet stvarnog pošiljatelja, vrijeme dospijeća, primatelja te put poruke. Ovakva forenzika može se koristiti za istragu slučaja kibernetičkog kriminala.
  
-**PRIMJER: Forenzika e-mail zaglavlja u Gmailu** +**PRIMJER: Forenzika e-mail zaglavlja u Gmailu**\\ 
-Kako bismo vidjeli zaglavlje e-mail poruke u gmailuprvo se trebamo ulogirati u Gmail i kliknuti na poruku čiji sadržaj zaglavlja želimo vidjeti. Pored tipke „reply“ možemo pronaći tipku za dropdown menu u kojem možemo pronaći opciju „Show original“. Ova opcija prikazati će nam parametre e-mail zaglavlja u novom prozoru. +Kako bismo vidjeli zaglavlje e-mail poruke u Gmailu, trebamo odabrati poruku čiji sadržaj zaglavlja želimo vidjeti. Pored tipke „reply“ možemo pronaći tipku za padajući izbornik u kojem trebamo odabrati opciju „Show original“. Ova opcija prikazat će nam parametre e-mail zaglavlja u novom prozoru.
-Slika 1: pronađimo dropdown menu+
  
-Dobivamo sirovi e-mail header, pa proučimo na ovom primjeru njegove dijelove. +{{ ::m1.png?nolink&500 | Pronalazimo padajući izbornik}}
-Slika 2primjer+
  
-**1. Delivered to** +Dobivamo sirovo e-mail zaglavljeProučimo na ovom primjeru njegove dijelove.
-E-mail adresa primatelja kojemu je poruka namijenjenaE-mail adresa različita od one na koju je poruka stigla upućuje na izmjenu poruke koju treba iztražiti i često je indikator phishinga. Danas je vrlo lako izmjeniti ovo polje, sve što je napadaču potrebno je SMPT poslužitelj i mail.+
  
-**2. Received by**+{{ ::m2.png?nolink&500 | Sirovo e-mail zaglavlje }} 
 + 
 +**1. Delivered to**\\ 
 +E-mail adresa primatelja kojemu je poruka namijenjena. Ako je različita od one na koju je poruka stigla, to  upućuje na izmjenu poruke koju treba istražiti i često je indikator //phishinga//. Danas je vrlo lako izmijeniti ovo polje, sve što je napadaču potrebno je SMPT poslužitelj i mail. 
 + 
 +**2. Received by**\\
 Prikazuje podatke posljednjeg posjećenog SMTP poslužitelja. Prikazani su poslužiteljeva IP adresa, SMTP ID posjećenog poslužitelja te datum i vrijeme kada je e-mail posjetio poslužitelj. Prikazuje podatke posljednjeg posjećenog SMTP poslužitelja. Prikazani su poslužiteljeva IP adresa, SMTP ID posjećenog poslužitelja te datum i vrijeme kada je e-mail posjetio poslužitelj.
  
-**3. X-received** +**3. X-received**\\ 
-Neki e-mail parametri nisu definirani standardnim protokolima. Takvi parametri stvoreni su od strane agenata prijenosa maila (Mail Transfer Agents, MTA), kao što je na primjer Gmail SMTP poslužitelj. X-received je dakle polje koje služi za prijenos vanstandardnih informacija, u ovom slučaju IP adresu poslužitelja koji zaprimaju poruku, SMTP ID tih istih poslužitelja te datum i vrijeme kada je e-mail stigao na poslužitelj.+Neki e-mail parametri nisu definirani standardnim protokolima. Takvi parametri stvoreni su od strane agenata prijenosa maila (//Mail Transfer Agents//, MTA), kao što je na primjer Gmail SMTP poslužitelj. Služi za prijenos nestandardnih informacija, u ovom slučaju IP adresu poslužitelja koji zaprimaju poruku, SMTP ID tih poslužitelja te datum i vrijeme kada je e-mail stigao na poslužitelj
 + 
 +**4. Return path**\\ 
 +Ovo polje sadrži adresu na koju se poruka vraća u slučaju da ne uspije doći do željenog primatelja. Ovo polje sadrži podatke o prvom SMTP poslužitelju do kojeg je poruka došla. Neki od podataka koji se potencijalno mogu pronaći u ovom polju su IP adresa poslužitelja, primateljeva IP adresa, informacije o enkripciji te datum i vrijeme kada je poruka zaprimljena.
  
-**4. Return path** +**5. Received from**\\ 
-Ovo polje sadrži adresu na koju se poruka vraća u slučaju da ne uspije doći do željenog primatelja. Ovo polje sadrži podatke o prvom SMTP poslužitelju do kojeg je poruka došla. Neki od poadataka koji se potencijalno mogu pronaći u ovom polju su IP adresa poslužitelja, primateljeva IP adresa, informacije o enkripciji te datum i vrijeme kada je poruka zaprimljena. +Jedno od najvažnijih polja e-mail zaglavlja. U njemu možemo pronaći podatke o pošiljatelju, uključujući njegovu IP adresu i //hostname//.
-** +
-5. Received from** +
-Jedno od najbitnijih polja e-mail zaglavlja. Tu možemo pronaći podatke o pošiljatelju, uključujući njegovu IP adresu i hostname.+
  
-**6. Received SPF** +**6. Received SPF**\\ 
-SPF (Sender Policy Framework) je sigurnosni e-mail protokol koji se koristi za verifikaciju pošiljatelja. Sistem prosljeđuje poruku samo ako je identitet korisnika autentificiran. Tehnika koristi domensku adresu za autentifikaciju te dodaje status provjere u zaglavlje.\\ Koriste se sljedeći kodovi:+SPF (//Sender Policy Framework//) sigurnosni je e-mail protokol koji se koristi za verifikaciju pošiljatelja. Sistem prosljeđuje poruku samo ako je identitet korisnika autentificiran. Tehnika koristi domensku adresu za autentifikaciju te dodaje status provjere u zaglavlje.\\  
 +Koriste se sljedeći kodovi:
    *Pass: izvor je valjan    *Pass: izvor je valjan
    *Softfail: moguće je da je izvor lažiran    *Softfail: moguće je da je izvor lažiran
    *Fail: izvor je nevaljan    *Fail: izvor je nevaljan
-   *Neutral: teško je procjeniti valjanost izvora+   *Neutral: teško je procijeniti valjanost izvora
    *None: SPF zapis nije pronađen    *None: SPF zapis nije pronađen
    *Unknown: SPF provjera ne može biti provedena    *Unknown: SPF provjera ne može biti provedena
    *Error: Greška se dogodila prilikom SPF provjere    *Error: Greška se dogodila prilikom SPF provjere
  
-U našem primjeruporuka je prošla s oznakom pass.+U našem primjeru poruka je prošla s oznakom //pass//.
  
-**7. Authenthication Results** +**7. Authenthication Results**\\ 
-MTA primjenjuju razne autentifikacijske tehnike na e-mail poruke prije procesuiranja. Rezultati tih provjera dodaju se u zaglavlje poruke razdvojeni točka-zarezima (;). Ovo polje nam osim samih provedenih tehnika provjere autentifikacije daje i ID poslužitelja koji je provjere proveo +MTA primjenjuju razne autentifikacijske tehnike na e-mail poruke prije procesiranja. Rezultati tih provjera dodaju se u zaglavlje poruke razdvojeni točka-zarezima (;). Ovo polje nam osim samih provedenih tehnika provjere autentifikacije daje i ID poslužitelja koji je proveo te provjere. U našem primjeru provedene su spf, dkim i dmarc provjere.
-U našem primjeruprovedene su spf, dkim i dmarc provjere.+
  
-**8. DKIM Signature** +**8. DKIM Signature**\\ 
-Polje DKIM potpisa nam daje informacije o pošiljatelju i poruci te javni ključ koji je potreban za autentifikaciju poruke. Oznake koje se mogu pronaći u ovom polju su:+Polje DKIM potpisa daje nam informacije o pošiljatelju i poruci te javni ključ koji je potreban za autentifikaciju poruke. Oznake koje se mogu pronaći u ovom polju su:
    *-v: verzija aplikacije. Za sad postoji samo jedna verzija tako da bi ovo polje uvijek trebalo biti 1    *-v: verzija aplikacije. Za sad postoji samo jedna verzija tako da bi ovo polje uvijek trebalo biti 1
-   *-a: algoritmi korišteni zaenkripciju. U većini slučajeva to bi trebao biti rsa-sha256+   *-a: algoritmi korišteni za enkripciju. U većini slučajeva to bi trebao biti rsa-sha256
    *-c: algoritmi korišteni za kanonizaciju    *-c: algoritmi korišteni za kanonizaciju
    *-s: selektorski zapis imena u domeni    *-s: selektorski zapis imena u domeni
    *-h: potpisana zaglavlja koja se koriste u algoritmu potpisa kako bi se stvorio sažetak u b oznaci    *-h: potpisana zaglavlja koja se koriste u algoritmu potpisa kako bi se stvorio sažetak u b oznaci
    *-bh: sažetak tijela poruke    *-bh: sažetak tijela poruke
-   *-b: sažeti podatci zaglavlja iz h oznake. Također poznato pod nazivom DKIM potpis.+   *-b: sažeti podatci zaglavlja iz -h oznake. Također poznato pod nazivom DKIM potpis.
    *-d: domena selektorskog zapisa    *-d: domena selektorskog zapisa
-Sve oznake su potrebne da bi DKIM radio. Ukoliko neka oznaka fali, DKIM će imati grešku.+Sve oznake su potrebne da bi DKIM radio. Ako neka oznaka nedostaje, DKIM će imati grešku.
  
-**9. From**+**9. From**\\
 Email adresa pošiljatelja Email adresa pošiljatelja
  
-**10. To**+**10. To**\\
 Email adresa primatelja Email adresa primatelja
  
-**11. Message ID** +**11. Message ID**\\ 
-Unikatni ID email poruke koji ju čini prepoznatljivom. Dvije email poruke ne mogu imati isti ID.+Jedinstven identifikator email poruke koji ju čini prepoznatljivom. Dvije email poruke ne mogu imati isti ID.
  
-**12. MIME version** +**12. MIME version**\\ 
-Pokazuje da je poruka MIME (Multipurpose Internet Mail Extension) formata te može podržati formatiranje i privitke oblika čistog teksta, videa, audia itd.+Pokazuje da je poruka MIME (//Multipurpose Internet Mail Extension//) formata te može podržati formatiranje i privitke oblika čistog teksta, videa, audia itd.
  
 +===Izvori===
 +[1]https://www.xploreforensics.com/blog/email-header-forensic-analysis.html\\
 +[2]https://www.stellarinfo.com/article/email-header-structure-forensic-analysis.php
email_header_forensics.1698402398.txt.gz · Last modified: 2025/06/03 10:22 (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki