====Forenzika e-mail zaglavlja====
Forenzika e-mail zaglavlja (eng. //header//) bavi se proučavanjem podataka o e-mail poruci sadržanih u zaglavlju. Ovi podatci uključuju identitet stvarnog pošiljatelja, vrijeme dospijeća, primatelja te put poruke. Ovakva forenzika može se koristiti za istragu slučaja kibernetičkog kriminala.

**PRIMJER: Forenzika e-mail zaglavlja u Gmailu**\\
Kako bismo vidjeli zaglavlje e-mail poruke u Gmailu, trebamo odabrati poruku čiji sadržaj zaglavlja želimo vidjeti. Pored tipke „reply“ možemo pronaći tipku za padajući izbornik u kojem trebamo odabrati opciju „Show original“. Ova opcija prikazat će nam parametre e-mail zaglavlja u novom prozoru.

{{ ::m1.png?nolink&500 | Pronalazimo padajući izbornik}}

Dobivamo sirovo e-mail zaglavlje. Proučimo na ovom primjeru njegove dijelove.

{{ ::m2.png?nolink&500 | Sirovo e-mail zaglavlje }}

**1. Delivered to**\\
E-mail adresa primatelja kojemu je poruka namijenjena. Ako je različita od one na koju je poruka stigla, to  upućuje na izmjenu poruke koju treba istražiti i često je indikator //phishinga//. Danas je vrlo lako izmijeniti ovo polje, sve što je napadaču potrebno je SMPT poslužitelj i mail.

**2. Received by**\\
Prikazuje podatke posljednjeg posjećenog SMTP poslužitelja. Prikazani su poslužiteljeva IP adresa, SMTP ID posjećenog poslužitelja te datum i vrijeme kada je e-mail posjetio poslužitelj.

**3. X-received**\\
Neki e-mail parametri nisu definirani standardnim protokolima. Takvi parametri stvoreni su od strane agenata prijenosa maila (//Mail Transfer Agents//, MTA), kao što je na primjer Gmail SMTP poslužitelj. Služi za prijenos nestandardnih informacija, u ovom slučaju IP adresu poslužitelja koji zaprimaju poruku, SMTP ID tih poslužitelja te datum i vrijeme kada je e-mail stigao na poslužitelj.

**4. Return path**\\
Ovo polje sadrži adresu na koju se poruka vraća u slučaju da ne uspije doći do željenog primatelja. Ovo polje sadrži podatke o prvom SMTP poslužitelju do kojeg je poruka došla. Neki od podataka koji se potencijalno mogu pronaći u ovom polju su IP adresa poslužitelja, primateljeva IP adresa, informacije o enkripciji te datum i vrijeme kada je poruka zaprimljena.

**5. Received from**\\
Jedno od najvažnijih polja e-mail zaglavlja. U njemu možemo pronaći podatke o pošiljatelju, uključujući njegovu IP adresu i //hostname//.

**6. Received SPF**\\
SPF (//Sender Policy Framework//) sigurnosni je e-mail protokol koji se koristi za verifikaciju pošiljatelja. Sistem prosljeđuje poruku samo ako je identitet korisnika autentificiran. Tehnika koristi domensku adresu za autentifikaciju te dodaje status provjere u zaglavlje.\\ 
Koriste se sljedeći kodovi:
   *Pass: izvor je valjan
   *Softfail: moguće je da je izvor lažiran
   *Fail: izvor je nevaljan
   *Neutral: teško je procijeniti valjanost izvora
   *None: SPF zapis nije pronađen
   *Unknown: SPF provjera ne može biti provedena
   *Error: Greška se dogodila prilikom SPF provjere

U našem primjeru poruka je prošla s oznakom //pass//.

**7. Authenthication Results**\\
MTA primjenjuju razne autentifikacijske tehnike na e-mail poruke prije procesiranja. Rezultati tih provjera dodaju se u zaglavlje poruke razdvojeni točka-zarezima (;). Ovo polje nam osim samih provedenih tehnika provjere autentifikacije daje i ID poslužitelja koji je proveo te provjere. U našem primjeru provedene su spf, dkim i dmarc provjere.

**8. DKIM Signature**\\
Polje DKIM potpisa daje nam informacije o pošiljatelju i poruci te javni ključ koji je potreban za autentifikaciju poruke. Oznake koje se mogu pronaći u ovom polju su:
   *-v: verzija aplikacije. Za sad postoji samo jedna verzija tako da bi ovo polje uvijek trebalo biti 1
   *-a: algoritmi korišteni za enkripciju. U većini slučajeva to bi trebao biti rsa-sha256
   *-c: algoritmi korišteni za kanonizaciju
   *-s: selektorski zapis imena u domeni
   *-h: potpisana zaglavlja koja se koriste u algoritmu potpisa kako bi se stvorio sažetak u b oznaci
   *-bh: sažetak tijela poruke
   *-b: sažeti podatci zaglavlja iz -h oznake. Također poznato pod nazivom DKIM potpis.
   *-d: domena selektorskog zapisa
Sve oznake su potrebne da bi DKIM radio. Ako neka oznaka nedostaje, DKIM će imati grešku.

**9. From**\\
Email adresa pošiljatelja

**10. To**\\
Email adresa primatelja

**11. Message ID**\\
Jedinstven identifikator email poruke koji ju čini prepoznatljivom. Dvije email poruke ne mogu imati isti ID.

**12. MIME version**\\
Pokazuje da je poruka MIME (//Multipurpose Internet Mail Extension//) formata te može podržati formatiranje i privitke oblika čistog teksta, videa, audia itd.

===Izvori===
[1]https://www.xploreforensics.com/blog/email-header-forensic-analysis.html\\
[2]https://www.stellarinfo.com/article/email-header-structure-forensic-analysis.php