Phenquestions
Hvis du vil være mere professionel, kan du tjekke nogle af de værktøjer, der er beskrevet på Live retsmedicinske værktøjer.
Læsning og forståelse af en e-mail-overskrift (Gmail):
Det følgende underlige tekst er en mailoverskrift på en e-mail sendt fra kontoen editor [ved ~] linuxhint.com til ivan [ved ~] linux.lat. Nogle irrelevante dele blev fjernet, men det er helt tro mod den originale header.
Nedenfor vil hver del af e-mail-overskriften blive forklaret:
Det første segment isoleret nedenfor er meget intuitivt og afslører, at e-mailen blev leveret til ivan [ved ~] smartlation.com og modtaget af en server identificeret ved dens IP-adresse (IPv6) og en SMTP-id, der angiver dato og klokkeslæt for levering:
Delivered-To: ivana [at ~] smartlation.com Modtaget: inden 2002: a05: 620a: 1461: 0: 0: 0: 0 med SMTP-id j1csp966363qkl; Ons, 3. apr 2019 19:50:15 -0700 (PDT)
Det følgende fragment viser, at e-mailen behandles via gmail's SMTP.
X-Google-Smtp-kilde: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
Det X-modtaget header anvendes af nogle e-mail-udbydere, i dette tilfælde tilføjes det af Gmails SMTP.
X-modtaget: inden 2002: a62: 52c3 :: med SMTP id g186mr3128011pfb.173.1554346215815; Ons, 03 apr 2019 19:50:15 -0700 (PDT)
Det næste segment viser ARC (godkendelse modtaget kæde). Denne protokol sikrer godkendelsesgyldigheden, når de passerer gennem forskellige mellemliggende enheder. I dette tilfælde sendes e-mailen fra editor [~ at] linuxhint.com til ivan [~ at] linux.lat, som videresender e-mailen til ivan [~ at] smartlation.com.
ARC-forsegling: i = 1; a = rsa-sha256; t = 1554346215; cv = ingen; d = google.com; s = bue-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
Og her er den første optræden af DKIM (DomainKeys Identified Mail), en godkendelsesmetode, der forhindrer postforfalskning ved at validere afsenderens domænenavn. Den tidligere detaljerede protokol ARC hjælper både DKIM og SPF (som vises nedenfor) med at forblive gyldige på trods af ruten. Dette uddrag viser de givne legitimationsoplysninger.
ARC-Message-Signature: i = 1; a = rsa-sha256; c = afslappet / afslappet; d = google.com; s = bue-20160816; h = til: emne: besked-id: dato: fra: mime-version: dkim-signatur: dkim-signatur: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Her kan du se resultatet af godkendelsen, som du ser det lykkedes, ud over DKIM, du kan se SPF (Sender Policy Framework), en anden godkendelsesmetode for at lade modtageren vide, at afsenderen er autoriseret til at bruge domænenavnet vist i afsnittet “FRA”.
I dette tilfælde bestod DKIM og SPF godkendelsesfasen.
ARC-godkendelsesresultater: i = 1; mx.google.com;
dkim = pass [email protected] overskrift.s = standard overskrift.b = oY3SGJai; dkim = pass [email protected] overskrift.s = 20150623 header.b = udLEKRXT; spf = pass (google.com: domæne af [e-mail-beskyttede] servere.com betegner 162.255.118.246 som tilladt afsender) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = editor @ eforward1e.registrarservere.com "
Nedenfor er der et afsnit kaldet "Return-Path", og her er defineret bounce-e-mail-adressen, som er forskellig fra "Fra" -sektionen for at hoppe beskeder, der skal behandles af mailserveradministratoren.
Retursti: <[email protected]om>
Endelig nedenfor vises oplysninger om mailserveren (Postfix), DKIM-version og krypteringsstyrke,
Modtaget: fra se17.registrarservere.com (se17.registrarservere.com [198.54.122.197]) af eforward1e.registrarservere.com (Postfix) med ESMTP-id 9060A4207A2 til <[email protected]>; Ons 3. apr 2019 22:50:14 -0400 (EDT) DKIM-filter: OpenDKIM filter v2.11.0 eforward1e.registrarservere.com 9060A4207A2 DKIM-signatur: v = 1; a = rsa-sha256; c = afslappet / afslappet; d = registrarservere.com; s = standard; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = Fra: Dato: Emne: Til; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-signatur: v = 1; a = rsa-sha256; c = afslappet / afslappet; d = 1e100.net; s = 20161025; h = x-gm-besked-tilstand: mime-version: fra: dato: besked-id: emne: til; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
Sektionen X-Gm-besked-tilstand viser en unik streng til to mulige tilstande: hoppede tilbage og sendt.
X-Gm-meddelelsesstatus: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
X-modtaget værdi hører specifikt til gmail.
X-modtaget: inden 2002: a50: 89fb :: med SMTP-id h56mr1932247edh.176.1554346208456; Ons, 03 Apr 2019 19:50:08 -0700 (PDT)
Nedenfor kan du finde MIME-versionen (Multipurpose Internet Mail Extensions) og regelmæssige oplysninger, der vises til brugerne:
MIME-version: 1.0 Fra: Editor LinuxHint <[email protected]> Dato: Ons, 3. apr 2019 19:50:27 -0700 Meddelelses-ID: <[email protected]om> Emne: betaling sendt $ 150 til: Ivan <[email protected]> Indholdstype: multipart / alternativ; boundary = "0000000000009d08b80585ab6de6" Authentication-Results: registrar-servers.com; dkim = pass header.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-klasse: usikker X-SpamExperts-bevis: Kombineret (0.50) X-Anbefalet-Handling: acceptere X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Jeg håber, du fandt denne vejledning om e-mail-headeranalyse nyttig. Fortsæt med at følge LinuxHint for flere tip og tutorials om Linux og netværk.
