Phenquestions
Če želite biti bolj profesionalni, lahko preverite nekaj orodij, opisanih na Forensics Tools v živo.
Branje in razumevanje glave e-pošte (Gmail):
Naslednji nenavaden tekst je glava e-pošte, poslane iz računa urejevalnik [at ~] linuxhint.com do ivan [at ~] linux.lat. Nekateri nepomembni deli so bili odstranjeni, vendar se popolnoma ujema z originalno glavo.
Pod vsakim delom glave e-pošte bo razloženo:
Prvi odsek, izoliran spodaj, je zelo intuitiven in razkriva, da je bilo sporočilo dostavljeno ivan [at ~] pamet.com in jih prejme strežnik, identificiran s svojim naslovom IP (IPv6) in ID-jem SMTP, ki podrobno opisuje datum in čas dostave:
Dostavljeno do: pametna ivana [at ~].com Prejeto: do 2002: a05: 620a: 1461: 0: 0: 0: 0 z ID-jem SMTP j1csp966363qkl; Sreda, 3. april 2019 19:50:15 -0700 (PDT)
Naslednji fragment prikazuje, da se e-pošta obdeluje prek gmailovega SMTP-ja.
X-Google-Smtp-Vir: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
The X-prejeto glavo uporabljajo nekateri ponudniki e-pošte, v tem primeru jo doda Gmailov SMTP.
X-prejeto: do 2002: a62: 52c3 :: z ID-jem SMTP g186mr3128011pfb.173.1554346215815; Sreda, 3. april 2019 19:50:15 -0700 (PDT)
Naslednji segment prikazuje ARC (Authentication Received Chain). Ta protokol zagotavlja veljavnost overjanja pri prehodu skozi različne posredniške naprave. V tem primeru je e-poštno sporočilo poslano iz urejevalnika [~ at] linuxhint.com do ivan [~ at] linux.lat, ki posreduje e-pošto ivan [~ at] smartlation.com.
ARC-tesnilo: i = 1; a = rsa-sha256; t = 1554346215; cv = nobena; d = google.com; s = lok-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
In tu je prvi nastop DKIM (Identificirana pošta DomainKeys), metoda overjanja, ki preprečuje ponarejanje pošte s preverjanjem veljavnosti imena domene pošiljatelja. Prej podroben protokol ARC pomaga tako DKIM kot SPF (ki bo prikazan spodaj), da kljub poti ostaneta veljavna. Ta izvleček prikazuje dane poverilnice.
Podpis sporočila ARC: i = 1; a = rsa-sha256; c = sproščeno / sproščeno; d = google.com; s = lok-20160816; h = do: subject: message-id: date: from: mime-version: dkim-signature: dkim-signature: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Tukaj si lahko ogledate rezultat preverjanja pristnosti, kot vidite, da je uspelo, poleg DKIM-a, ki ga vidite SPF (okvir pošiljateljeve politike), še en način preverjanja pristnosti, s katerim lahko prejemnik ve, da je pošiljatelj pooblaščen za uporabo imena domene, prikazanega v razdelku »FROM«.
V tem primeru sta DKIM in SPF prestala fazo preverjanja pristnosti.
Rezultati preverjanja pristnosti ARC: i = 1; mx.google.com;
dkim = prenesite [e-poštno zaščiteno] glavo.s = privzeta glava.b = oY3SGJai; dkim = prenesite [e-poštno zaščiteno] glavo.s = 20150623 glava.b = udLEKRXT; spf = pass (google.com: domena [e-poštno zaščitenih] strežnikov.com označuje 162.255.118.246 kot dovoljeni pošiljatelj) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = editor @ eforward1e.registrar-strežniki.com "
Spodaj je razdelek z naslovom »Povratna pot« in tukaj je definiran e-poštni naslov, ki se razlikuje od oddelka »Od« za odbijanje sporočil, ki jih mora obdelati skrbnik poštnega strežnika.
Povratna pot: <[email protected]om>
Na koncu so spodaj prikazane informacije o poštnem strežniku, (Postfix), različici DKIM in moči šifriranja,
Prejeto: od se17.registrar-strežniki.com (se17.registrar-strežniki.com [198.54.122.197]) avtor eforward1e.registrar-strežniki.com (Postfix) z ESMTP id 9060A4207A2 za <[email protected]>; Sreda, 3. april 2019 22:50:14 -0400 (EDT) DKIM-filter: OpenDKIM Filter v2.11.0 eforward1e.registrar-strežniki.com 9060A4207A2 Podpis DKIM: v = 1; a = rsa-sha256; c = sproščeno / sproščeno; d = strežniki registrarjev.com; s = privzeto; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = Od: Datum: Zadeva: Do; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-podpis: v = 1; a = rsa-sha256; c = sproščeno / sproščeno; d = 1e100.mreža; s = 20161025; h = x-gm-message-state: mime-version: from: date: message-id: subject: to; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
Odsek X-Gm-State-State prikazuje edinstven niz za dve možni stanji: odbil nazaj in poslano.
Stanje sporočila X-Gm: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
Vrednost X-Received pripada posebej gmailu.
X-prejeto: do 2002: a50: 89fb :: z ID-jem SMTP h56mr1932247edh.176.1554346208456; Sreda, 3. april 2019 19:50:08 -0700 (PDT)
Spodaj najdete različico MIME (Večnamenske razširitve internetne pošte) in običajne informacije, ki se prikažejo uporabnikom:
Različica MIME: 1.0 Od: Urejevalnik LinuxHint <[email protected]> Datum: sreda, 3. april 2019 19:50:27 -0700 ID sporočila: <[email protected]om> Zadeva: plačilo poslano 150 USD Za: Ivan <[email protected]> Vsebina: večdelna / alternativna; border = "0000000000009d08b80585ab6de6" Rezultati preverjanja pristnosti: strežniki registrar.com; dkim = glava predaje.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Class: negotov X-SpamExperts-Evidence: Combined (0.50) X-Priporočajo dejanju: sprejeti X filtra ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Upam, da vam je bila ta vadnica o analizi glave e-pošte koristna. Še naprej sledite LinuxHint za več nasvetov in vadnic o Linuxu in mreženju.
