Hacknite Wiki

User Tools

Site Tools

Trace: gdb nmap pages enum linux email_header_forensics
email_header_forensics

This is an old revision of the document!

Forenzika e-mail zaglavlja

Forenzika e-mail zaglavlja (eng. header) bavi se proučavanjem podataka o e-mail poruci sadržanih u zaglavlju. Ovi podatci uključuju identitet stvarnog pošiljatelja, vrijeme dospijeća, primatelja te put poruke. Ovakva forenzika može se koristiti za istragu slučaja kibernetičkog kriminala u kojima je korišten e-mail.

PRIMJER: Forenzika e-mail zaglavlja u Gmailu Kako bismo vidjeli zaglavlje e-mail poruke u gmailu, prvo se trebamo ulogirati u Gmail i kliknuti na poruku čiji sadržaj zaglavlja želimo vidjeti. Pored tipke „reply“ možemo pronaći tipku za dropdown menu u kojem možemo pronaći opciju „Show original“. Ova opcija prikazati će nam parametre e-mail zaglavlja u novom prozoru. Slika 1: pronađimo dropdown menu

Dobivamo sirovi e-mail header, pa proučimo na ovom primjeru njegove dijelove. Slika 2: primjer

1. Delivered to E-mail adresa primatelja kojemu je poruka namijenjena. E-mail adresa različita od one na koju je poruka stigla upućuje na izmjenu poruke koju treba iztražiti i često je indikator phishinga. Danas je vrlo lako izmjeniti ovo polje, sve što je napadaču potrebno je SMPT poslužitelj i mail.

2. Received by Prikazuje podatke posljednjeg posjećenog SMTP poslužitelja. Prikazani su poslužiteljeva IP adresa, SMTP ID posjećenog poslužitelja te datum i vrijeme kada je e-mail posjetio poslužitelj.

3. X-received Neki e-mail parametri nisu definirani standardnim protokolima. Takvi parametri stvoreni su od strane agenata prijenosa maila (Mail Transfer Agents, MTA), kao što je na primjer Gmail SMTP poslužitelj. X-received je dakle polje koje služi za prijenos vanstandardnih informacija, u ovom slučaju IP adresu poslužitelja koji zaprimaju poruku, SMTP ID tih istih poslužitelja te datum i vrijeme kada je e-mail stigao na poslužitelj.

4. Return path Ovo polje sadrži adresu na koju se poruka vraća u slučaju da ne uspije doći do željenog primatelja. Ovo polje sadrži podatke o prvom SMTP poslužitelju do kojeg je poruka došla. Neki od poadataka koji se potencijalno mogu pronaći u ovom polju su IP adresa poslužitelja, primateljeva IP adresa, informacije o enkripciji te datum i vrijeme kada je poruka zaprimljena. 5. Received from Jedno od najbitnijih polja e-mail zaglavlja. Tu možemo pronaći podatke o pošiljatelju, uključujući njegovu IP adresu i hostname.

6. Received SPF SPF (Sender Policy Framework) je sigurnosni e-mail protokol koji se koristi za verifikaciju pošiljatelja. Sistem prosljeđuje poruku samo ako je identitet korisnika autentificiran. Tehnika koristi domensku adresu za autentifikaciju te dodaje status provjere u zaglavlje.
Koriste se sljedeći kodovi:

  • Pass: izvor je valjan
  • Softfail: moguće je da je izvor lažiran
  • Fail: izvor je nevaljan
  • Neutral: teško je procjeniti valjanost izvora
  • None: SPF zapis nije pronađen
  • Unknown: SPF provjera ne može biti provedena
  • Error: Greška se dogodila prilikom SPF provjere

U našem primjeru, poruka je prošla s oznakom pass.

7. Authenthication Results MTA primjenjuju razne autentifikacijske tehnike na e-mail poruke prije procesuiranja. Rezultati tih provjera dodaju se u zaglavlje poruke razdvojeni točka-zarezima (;). Ovo polje nam osim samih provedenih tehnika provjere autentifikacije daje i ID poslužitelja koji je provjere proveo. U našem primjeru, provedene su spf, dkim i dmarc provjere.

8. DKIM Signature Polje DKIM potpisa nam daje informacije o pošiljatelju i poruci te javni ključ koji je potreban za autentifikaciju poruke. Oznake koje se mogu pronaći u ovom polju su:

  • -v: verzija aplikacije. Za sad postoji samo jedna verzija tako da bi ovo polje uvijek trebalo biti 1
  • -a: algoritmi korišteni zaenkripciju. U većini slučajeva to bi trebao biti rsa-sha256
  • -c: algoritmi korišteni za kanonizaciju
  • -s: selektorski zapis imena u domeni
  • -h: potpisana zaglavlja koja se koriste u algoritmu potpisa kako bi se stvorio sažetak u b oznaci
  • -bh: sažetak tijela poruke
  • -b: sažeti podatci zaglavlja iz h oznake. Također poznato pod nazivom DKIM potpis.
  • -d: domena selektorskog zapisa

Sve oznake su potrebne da bi DKIM radio. Ukoliko neka oznaka fali, DKIM će imati grešku.

9. From Email adresa pošiljatelja

10. To Email adresa primatelja

11. Message ID Unikatni ID email poruke koji ju čini prepoznatljivom. Dvije email poruke ne mogu imati isti ID.

12. MIME version Pokazuje da je poruka MIME (Multipurpose Internet Mail Extension) formata te može podržati formatiranje i privitke oblika čistog teksta, videa, audia itd.

email_header_forensics.1698402398.txt.gz · Last modified: 2025/06/03 10:22 (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki