Uvod
Za početak, dobro je razumeti zašto i kada treba izvući header mail-a i kako ih tumačiti. Sigurno se često srećete sa sumnjivim mailovima za koje niste sigurni da li su SPAM ili ne. Oni deluju kao da su poslati sa legitimne adrese, ali je sadržaj maila pomalo čudan - ima pravopisnih i gramatičkih grešaka, meša se ekavica i ijekavica, itd… Možda i nema ovih stavki, ali se mailu traži da kliknete na neki link, ostavite neke bitne podatke i slično. Ovo je najčešće phishing mail koji dolazi sa spoof-ovane mail adrese.
Spoofing mail adresa
Spoofing mail adrese znači da se pošiljalac predstavlja kao neko drugi, vama poznat, i ovo se često koristi uz phishing kako bi takav mail delovao uverljivije, a i kako bi zaobišli SPAM filtere. Način na koji možete da proverite da li je mail poslat zapravo sa neke adrese ili je spoof-ovan jeste izvlačenjem i analizom email header-a.
Email header
Email header je u stvari izveštaj koji Vam govori ko je pošiljalac, server sa kog je mail poslat kao i kroz koje dodatne servere je prošao da bi došao do primaoca, kome je mail poslat, kada je poslat, spam status, DKIM, SPF i DMARC proveru, sam sadržaj maila i još dosta drugih informacija. Sve ove informacije su bitne kako bi mogli da proverite od koga tačno je neki mail došao.
Glavni delovi email headera
From - od koga je došao mail
To - kome je poslat mail
Date - datum i vreme kada je mail poslat
Subject - Naslov maila
Dodatni delovi email header-a
Return-Path - Na koju adresu poslati izveštaj o mailu koji nije dostavljen
Authentication-Results - Rezultati DMARC, DKIM i SPF provera
Received - Log IP adresa preko kojih se mail slao
Message-ID - Unikantan ID koji se generisao prilikom kreiranja maila
MIME-Version - Govori koja verzija MIME-a (Multipurpose Internet Mail Extensions) je korišćena za formatiranje maila
Content-type - Ovde će pisati da li se u mailu nalazi HTML ili je u pitanju čist tekst
Izvlačenje email header-a
Ovaj postupak se može razlikovati od mail klijenta do mail klijenta pa ćemo proći par najpopularnijih:
Gmail
U mailu u gornjem desnom ćošku kliknete na tri tačkice (Još/More) i tu odaberete opciju Prikaži originalnu poruku/Show original.
Apple
U gornjem levom ćošku panela kliknite na Pogledaj/View, zatim na Poruka/Message i potom na Sva zaglavlja/All headers
Outlook
Otvorite mail(dva puta kliknete na njega) i kliknite na Svojstva/Properties u Datoteka meniju, zatim u Internet zaglavlja/Internet Headers pronađite header
Webmail
U Više/More meniju odaberite Prikaži izvor/Show source
Hotmail
Selektujte mail i desnim klikom na njega otvorite padajući meni i u njemu odaberite Pogledaj izvor poruke/Show message source
Thunderbird
Otvorite mail i kliknite na Prikaži/View i potom na Izvor poruke/Message source
Svaki mail header počinje sa linijom Delivered-To: primer@adrese.rs I dosta su dugački. Sledeći korak bi bio čitanje mail headera ili analiza pomoću nekog od mnogobrojnih online alatki.
Analiza email header-a
U ovom primeru, za analziu email header-a koristićemo alatku koju nudi MXToolBox, ceo email header ćemo prekopirati i nalepiti u prozorče u tom alatu i potom kliknete na dugme ispod (Analyze Header), a header koji koristimo je od jednog od phishing mailova koji su slati kao da su od SBB-a (EUnet-a).
Nakon što je header analiziran, pri vrhu će biti prikazano da li je mail prošao DMARC, DKIM i SPF provere, a ispod toga da li je neki od servera sa kog je slat mail ili preko kog je mail putovao na blacklist-i.
Ispod ovoga je detaljnije napisano šta tačno nije prošlo kod DMARC, DKIM i SPF provera:
A ispod se u tabeli nalazi sve ono što piše u headeru, samo je za ljudsko oko lakše pregledati:
Da bi proverili da li je mail zapravo od pošiljaoca koji se predstavlja u mailu - uporedite From, Received i Return-Path delove mail header-a. Ukoliko se ovi podaci ne poklapaju - mail nije došao od pošiljaoca koji je naveden.
Konkretno na primeru gore vidimo da je mail predstavljen kao da se šalje sa admin@eunet.co.rs, a možemo videti pod sekcijom Received-SPF da je mail ustvari poslat sa servera kojem nije dozvoljeno slanje sa tog domena, a vidimo i razlog zašto je taj mail ipak stizao ljudima u inbox - SPF zapis nije bio ispravan.