Mis on e-posti päises ja miks peaks see teid huvitama?

Kas olete kunagi saanud rämpsposti või andmepüügisõnumi e-posti aadressilt, mida te ei tundnud? Võib-olla pakkus keegi teile tasuta reisi, palus teil saata neile bitcoin vastu isiklike fotode eest või saatis teile lihtsalt soovimatu turundusmeili?

Kas olete mõelnud, kust need meilid pärinevad? Olete rämpsposti saatja petnud oma e-posti aadressi ja mõelnud, kuidas nad seda tegid?

E-kirjade võltsimine või e-kirja ilmumine nii, nagu oleks see tulnud muult aadressilt kui see (näiteks e-kiri, mis näib olevat pärit whitehouse.gov-ist, kuid tegelikult petturilt), on märkimisväärselt lihtne.

Põhilistel meiliprotokollidel pole ühtegi autentimismeetodit, see tähendab, et aadress "alates" on põhimõtteliselt lihtsalt tühi tekst.

Tavaliselt näeb see meili saamisel välja umbes selline:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

Selle all on teema ja sõnum.

Aga kuidas sa tead, kust see e-kiri päriselt tuli? Kas pole täiendavaid andmeid, mida saaks analüüsida?

Mida me otsime, on täielikud e-posti päised - see, mida näete ülal, on vaid osaline päis. Need andmed annavad meile lisateavet selle kohta, kust meil tuli ja kuidas see teie postkasti jõudis.

Kui soovite vaadata oma e-posti päiseid, leiate siit, kuidas neile Outlookis ja Gmailis juurde pääseda. Enamik meiliprogramme töötab sarnasel viisil ja lihtne Google'i otsing annab teile teada, kuidas alternatiivsete postiteenuste päiseid vaadata.

Selles artiklis vaatleme reaalsete päiste komplekti (kuigi need on tugevalt redigeeritud - olen muutnud hostinimesid, ajatempleid ja IP-aadresse).

Me loeme päiseid ülevalt alla, kuid pidage meeles, et iga uus server lisab oma päise meilisõnumi ülaossa. See tähendab, et loeme kõik päised lõplikust sõnumiedastuse agendist (MTA) ja töötame esimese MTA-ni, et sõnum vastu võtta.

Sisemised ülekanded

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

See esimene hüpp näitab HTTPS-joont, mis tähendab, et server ei saanud sõnumit tavalise SMTP kaudu ja lõi sõnumi hoopis veebirakenduses saadud sisendist.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

Need on kaks esimest päiseplokki, mis on sisemised meiliedastused. Võite öelda, et need said Office365 serverid (outlook.com) ja suunati sisemiselt õigele adressaadile.

Võite ka öelda, et sõnumit saadetakse krüptitud SMTP kaudu. Teate seda seetõttu, et päises on kiri „koos Microsoft SMTP Serveriga” ja seejärel täpsustatakse kasutatav TLS-i versioon ning konkreetne šifr.

Kolmas päiseplokk tähistab üleminekut kohalikust meiliserverist posti filtreerimisteenusesse. Teate seda, sest see käis "Frontend Transpordi kaudu", mis on Microsoft-Exchange'i spetsiifiline protokoll (ja seetõttu ei olnud see rangelt SMTP).

See blokeering sisaldab ka mõnda e-posti kontrolli. Outlook.com päises on üksikasjalikult kirjeldatud nende SPF / DKIM / DMARC tulemusi. SPF softfail tähendab, et sellel IP-aadressil ei ole õigust meilide saatmiseks gmail.com nimel.

"dkim = pass" tähendab, et meil pärineb väidetavalt saatjalt ja seda (tõenäoliselt) ei muudetud transiidi ajal.  

DMARC on reeglite kogum, mis ütleb meiliserverile, kuidas SPF- ja DKIM-tulemusi tõlgendada. Tõenäoliselt tähendab see, et e-post jätkab oma sihtkohta.

SPF-i, DKIM-i ja DMARC-i kohta leiate lisateavet sellest artiklist.

Sisemine / väline üleminek

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

See on Google'i SPF-kirje - öeldes vastuvõtvale serverile, et e-kiri, mis ütleb, et see pärineb aadressilt gmail.com, tuleb Google'i kinnitatud serverilt.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

See näitab mõningaid täiendavaid SPF / DKIM / DMARC-kontrolle ja ka IronPorti skannimise tulemusi.

Ironport on populaarne meilifilter, mida paljud ettevõtted kasutavad rämpsposti, viiruste ja muude pahatahtlike meilide otsimiseks. See skannib meilis olevad lingid ja manused ning teeb kindlaks, kas e-kiri on pahatahtlik (ja tuleks maha visata), kas see on tõenäoliselt õigustatud ja tuleks kohale toimetada või on kahtlane, millisel juhul saab selle lisada päise kehale, mis käsib kasutajatel olla e-posti suhtes ettevaatlik.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Selles jaotises kuvatakse sisemised hüpped, mille e-kiri saatja algseadmelt Gmaili marsruutimissüsteemi kaudu ja adressaadi väljavaate keskkonda viis. Sellest näeme, et esialgne saatja oli pärit Mac Routerist, kasutades koduruuterit ja Verizon Fios NYC-s.

See on humala lõpp, mis näitab marsruuti, mille meilisõnumid saatjalt adressaadile on tehtud. Sellest möödudes näete meilisõnumit (ja päiseid, mida tavaliselt näete nagu "alates:", "kuni:" jne), võib-olla koos vorminguga, mis põhineb meediumitüübil ja e-posti kliendil (näiteks MIME versioon, sisutüüp, piir jne). See võib sisaldada ka mõnda kasutajaagendi teavet, mis on üksikasjalik teave selle kohta, millist tüüpi seade sõnumi saatis.

Sel juhul teame juba, et Apple'i nimetamiskonventsiooni tõttu oli saatev seade Macbook, kuid see võib sisaldada ka seadmesse installitud protsessori tüübi, versiooni, isegi brauseri ja versiooni üksikasju.

Mõnel juhul, kuid mitte kõigil, võib see sisaldada ka saatva seadme IP-aadressi (kuigi paljud teenusepakkujad varjavad seda teavet ilma kohtukutseta).

Mida saavad e-posti päised teile öelda?

E-posti päised võivad aidata tuvastada, millal e-kirju nende väidetavatelt saatjatelt ei saadeta. Nad võivad saata saatja kohta mõningast teavet, ehkki tõelise saatja tuvastamiseks sellest tavaliselt ei piisa.

Õiguskaitseorganid võivad neid andmeid sageli kasutada õigelt Interneti-teenuse pakkujalt teabe väljakutsumiseks, kuid ülejäänud meist saavad neid enamasti kasutada lihtsalt uurimisteabe, tavaliselt andmepüügi, teavitamiseks.

Selle protsessi muudab raskemaks asjaolu, et pahatahtlikud serverid või häkkerid võivad päiseid võltsida. Ilma iga serveri omanikuga ühendust võtmata ja individuaalselt kontrollimata, et teie e-posti päised vastavad nende SMTP logidele, mis on vaevarikas ja aeganõudev, ei saa te kindel olla, et päised on täpsed (välja arvatud teie enda meiliserverite lisatud päised).

Ilma iga serveri omanikuga ühendust võtmata ja eraldi kontrollimata, kas teie e-posti päised vastavad nende SMTP logidele, mis on vaevarikas ja aeganõudev, ei saa te kindel olla, et päised on kõik täpsed.

DKIM, DMARC ja SPF võivad kõik selles protsessis aidata, kuid pole täiuslikud ja ilma nendeta pole kontrollimist üldse võimalik.

Kas te ei soovi oma päiseid analüüsida? See sait teeb seda teie eest.