Phenquestions
Se vuoi diventare più professionale puoi controllare alcuni degli strumenti descritti su Strumenti forensi dal vivo.
Leggere e comprendere l'intestazione di un'email (Gmail):
Il seguente pezzo di testo strano è un'intestazione di un'e-mail inviata dall'account editor[at~]linuxhint.come per ivan[a~]linux.lat. Sono state rimosse alcune parti irrilevanti ma è completamente fedele alla testata originale.
Di seguito verrà spiegata ogni parte dell'intestazione dell'e-mail:
Il primo segmento isolato di seguito è molto intuitivo e rivela che l'e-mail è stata consegnata a ivan[at~]smartlation.come e ricevuti da un server identificato dal suo indirizzo IP (IPv6) e da un id SMTP, dettagliando la data e l'ora della consegna:
Consegnato a: ivana[at~]smartlation.com Ricevuto: entro il 2002:a05:620a:1461:0:0:0:0 con id SMTP j1csp966363qkl; Mer 3 Apr 2019 19:50:15 -0700 (PDT)
Il seguente frammento mostra che l'e-mail viene elaborata tramite l'SMTP di Gmail.
X-Google-Smtp-Fonte: APXvYqxLebBy88ASD/5vqLYdg+NGLv+sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
Il X-ricevuto l'intestazione viene applicata da alcuni provider di posta elettronica, in questo caso viene aggiunta dall'SMTP di Gmail.
X-Ricevuto: entro il 2002:a62:52c3:: con ID SMTP g186mr3128011pfb.173.1554346215815; Mer, 03 Apr 2019 19:50:15 -0700 (PDT)
Il segmento successivo mostra l'ARC (Authentication Received Chain). Questo protocollo garantisce la validità dell'autenticazione quando si passa attraverso diversi dispositivi di intermediazione. In questo caso l'e-mail viene inviata dall'editor [~at]linuxhint.com a ivan[~at]linux.lat che inoltra l'e-mail a ivan[~at]smartlation.come.
Sigillo ARC: i=1; a=rsa-sha256; t=1554346215; cv=nessuno; d=google.com; s=arco-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j+vITRp+1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J+iJJLvcZn 0m1A==
Ed ecco la prima apparizione del DKIM (Posta identificata DomainKeys), un metodo di autenticazione che impedisce la falsificazione della posta convalidando il nome di dominio del mittente. Il protocollo ARC precedentemente dettagliato aiuta sia DKIM che SPF (che verrà mostrato di seguito) a rimanere validi nonostante il percorso. Questo estratto mostra le credenziali fornite.
ARC-Message-Firma: i=1; a=rsa-sha256; c=rilassato/rilassato; d=google.com; s=arco-20160816; h=to:subject:message-id:date:from:mime-version:dkim-signature :dkim-signature:dkim-filter; bh=SGSL8wJRA7+YflVA67ETqxpMCMuzIg+Fe1LKVzldnbA=; b=1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj+OQC/YxOaGu7OsD06nnzhEFtlEYgN ibTg==
Qui puoi vedere il risultato dell'autenticazione, come vedi è riuscita, oltre al DKIM che puoi vedere SPF (Sender Policy Framework), un altro metodo di autenticazione per far sapere al destinatario che il mittente è autorizzato a utilizzare il nome a dominio mostrato nella sezione "FROM".
In questo caso DKIM e SPF hanno superato la fase di autenticazione.
Risultati dell'autenticazione ARC: i=1; mx.Google.com;
dkim=pass [email protected] header.s=intestazione predefinita.b=oY3SGJai; dkim=pass [email protected] header.s=20150623 intestazione.b=udLEKRXT; spf=pass (google.com: dominio dei server [email protected].com designa 162.255.118.246 come mittente autorizzato) smtp.mailfrom="SRS0+GMs5=SG=linuxhint.com=editor @eforward1e.registrar-server.com"
Di seguito è presente una sezione denominata “Return-Path” e qui viene definito l'indirizzo email di rimbalzo, che è diverso dalla sezione “Da” per i messaggi di rimbalzo che devono essere elaborati dall'amministratore del server di posta.
Sentiero di ritorno: <[email protected]om>
Infine, di seguito, vengono visualizzate le informazioni sul server di posta (Postfix), la versione DKIM e il livello di crittografia,
Ricevuto: da se17.registrar-server.com (se17.registrar-server.com [198.54.122.197]) di eforward1e.registrar-server.com (Postfix) con ID ESMTP 9060A4207A2 per <[email protected]>; Mer, 3 Apr 2019 22:50:14 -0400 (EDT) DKIM-Filter: OpenDKIM Filter v2.11.0 avanti1e.registrar-server.com 9060A4207A2 Firma DKIM: v=1; a=rsa-sha256; c=rilassato/rilassato; d=server-registrar.com; s=predefinito; t=1554346214; bh=SGSL8wJRA7+YflVA67ETqxpMCMuzIg+Fe1LKVzldnbA=; h=Da:Data:Oggetto:A; b=oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK/6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-Firma: v=1; a=rsa-sha256; c=rilassato/rilassato; d=1e100.netto; s=20161025; h=x-gm-message-state:mime-version:from:date:message-id:subject:to; bh=SGSL8wJRA7+YflVA67ETqxpMCMuzIg+Fe1LKVzldnbA=; b=YaWzCdnw7XFUn6N6Ceok2a
La sezione X-Gm-Message-Stato mostra una stringa univoca per due possibili stati: rimbalzato indietro e inviato.
X-Gm-Message-State: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL/6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
Il valore X-Received appartiene specificamente a gmail g.
X-Ricevuto: entro il 2002:a50:89fb:: con id SMTP h56mr1932247edh.176.1554346208456; Mer, 03 Apr 2019 19:50:08 -0700 (PDT)
Di seguito puoi trovare la versione MIME (Multipurpose Internet Mail Extensions) e le informazioni regolari visualizzate dagli utenti:
Versione MIME: 1.0 Da: Editor LinuxHint <[email protected]> Data: mer, 3 aprile 2019 19:50:27 -0700 ID messaggio: <[email protected]om> Oggetto: pagamento inviato $ 150 A: Ivan <[email protected]> Tipo di contenuto: multiparte/alternativa; boundary="0000000000009d08b80585ab6de6" Risultati di autenticazione: registrar-server.com; dkim=pass header.i= linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Class: incerto X-SpamExperts-Evidence: combinato (0.50) X-Recommended-Azione: accettare X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Spero che tu abbia trovato utile questo tutorial sull'analisi dell'intestazione delle email. Continua a seguire LinuxHint per ulteriori suggerimenti e tutorial su Linux e il networking.
