Forenzika e-mail zaglavlja
Forenzika e-mail zaglavlja (eng. header) bavi se proučavanjem podataka o e-mail poruci sadržanih u zaglavlju. Ovi podatci uključuju identitet stvarnog pošiljatelja, vrijeme dospijeća, primatelja te put poruke. Ovakva forenzika može se koristiti za istragu slučaja kibernetičkog kriminala.
PRIMJER: Forenzika e-mail zaglavlja u Gmailu
Kako bismo vidjeli zaglavlje e-mail poruke u Gmailu, trebamo odabrati poruku čiji sadržaj zaglavlja želimo vidjeti. Pored tipke „reply“ možemo pronaći tipku za padajući izbornik u kojem trebamo odabrati opciju „Show original“. Ova opcija prikazat će nam parametre e-mail zaglavlja u novom prozoru.
Dobivamo sirovo e-mail zaglavlje. Proučimo na ovom primjeru njegove dijelove.
1. Delivered to
E-mail adresa primatelja kojemu je poruka namijenjena. Ako je različita od one na koju je poruka stigla, to upućuje na izmjenu poruke koju treba istražiti i često je indikator phishinga. Danas je vrlo lako izmijeniti ovo polje, sve što je napadaču potrebno je SMPT poslužitelj i mail.
2. Received by
Prikazuje podatke posljednjeg posjećenog SMTP poslužitelja. Prikazani su poslužiteljeva IP adresa, SMTP ID posjećenog poslužitelja te datum i vrijeme kada je e-mail posjetio poslužitelj.
3. X-received
Neki e-mail parametri nisu definirani standardnim protokolima. Takvi parametri stvoreni su od strane agenata prijenosa maila (Mail Transfer Agents, MTA), kao što je na primjer Gmail SMTP poslužitelj. Služi za prijenos nestandardnih informacija, u ovom slučaju IP adresu poslužitelja koji zaprimaju poruku, SMTP ID tih poslužitelja te datum i vrijeme kada je e-mail stigao na poslužitelj.
4. Return path
Ovo polje sadrži adresu na koju se poruka vraća u slučaju da ne uspije doći do željenog primatelja. Ovo polje sadrži podatke o prvom SMTP poslužitelju do kojeg je poruka došla. Neki od podataka koji se potencijalno mogu pronaći u ovom polju su IP adresa poslužitelja, primateljeva IP adresa, informacije o enkripciji te datum i vrijeme kada je poruka zaprimljena.
5. Received from
Jedno od najvažnijih polja e-mail zaglavlja. U njemu možemo pronaći podatke o pošiljatelju, uključujući njegovu IP adresu i hostname.
6. Received SPF
SPF (Sender Policy Framework) sigurnosni je e-mail protokol koji se koristi za verifikaciju pošiljatelja. Sistem prosljeđuje poruku samo ako je identitet korisnika autentificiran. Tehnika koristi domensku adresu za autentifikaciju te dodaje status provjere u zaglavlje.
Koriste se sljedeći kodovi:
- Pass: izvor je valjan
- Softfail: moguće je da je izvor lažiran
- Fail: izvor je nevaljan
- Neutral: teško je procijeniti valjanost izvora
- None: SPF zapis nije pronađen
- Unknown: SPF provjera ne može biti provedena
- Error: Greška se dogodila prilikom SPF provjere
U našem primjeru poruka je prošla s oznakom pass.
7. Authenthication Results
MTA primjenjuju razne autentifikacijske tehnike na e-mail poruke prije procesiranja. Rezultati tih provjera dodaju se u zaglavlje poruke razdvojeni točka-zarezima (;). Ovo polje nam osim samih provedenih tehnika provjere autentifikacije daje i ID poslužitelja koji je proveo te provjere. U našem primjeru provedene su spf, dkim i dmarc provjere.
8. DKIM Signature
Polje DKIM potpisa daje nam informacije o pošiljatelju i poruci te javni ključ koji je potreban za autentifikaciju poruke. Oznake koje se mogu pronaći u ovom polju su:
- -v: verzija aplikacije. Za sad postoji samo jedna verzija tako da bi ovo polje uvijek trebalo biti 1
- -a: algoritmi korišteni za enkripciju. U većini slučajeva to bi trebao biti rsa-sha256
- -c: algoritmi korišteni za kanonizaciju
- -s: selektorski zapis imena u domeni
- -h: potpisana zaglavlja koja se koriste u algoritmu potpisa kako bi se stvorio sažetak u b oznaci
- -bh: sažetak tijela poruke
- -b: sažeti podatci zaglavlja iz -h oznake. Također poznato pod nazivom DKIM potpis.
- -d: domena selektorskog zapisa
Sve oznake su potrebne da bi DKIM radio. Ako neka oznaka nedostaje, DKIM će imati grešku.
9. From
Email adresa pošiljatelja
10. To
Email adresa primatelja
11. Message ID
Jedinstven identifikator email poruke koji ju čini prepoznatljivom. Dvije email poruke ne mogu imati isti ID.
12. MIME version
Pokazuje da je poruka MIME (Multipurpose Internet Mail Extension) formata te može podržati formatiranje i privitke oblika čistog teksta, videa, audia itd.