Phenquestions
Om du vill bli mer professionell kan du kolla in några av de verktyg som beskrivs på Live kriminaltekniska verktyg.
Läsa och förstå en e-postrubrik (Gmail):
Följande bit av konstig text är en e-postrubrik till ett e-postmeddelande som skickas från kontot redaktör [vid ~] linuxhint.com till ivan [vid ~] linux.lat. Vissa irrelevanta delar togs bort men det är helt troget mot den ursprungliga rubriken.
Nedanför varje del av e-postrubriken förklaras:
Det första segmentet som isoleras nedan är väldigt intuitivt och avslöjar att e-postmeddelandet levererades till ivan [vid ~] smartlation.com och mottas av en server som identifierats av dess IP-adress (IPv6) och ett SMTP-id, som anger datum och tid för leveransen:
Delivered-To: ivana [at ~] smartlation.com Mottagen: senast 2002: a05: 620a: 1461: 0: 0: 0: 0 med SMTP-id j1csp966363qkl; Ons, 3 apr 2019 19:50:15 -0700 (PDT)
Följande fragment visar att e-postmeddelandet bearbetas via Gmail: s SMTP.
X-Google-Smtp-källa: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
De X-mottagen header tillämpas av vissa e-postleverantörer, i det här fallet läggs det till av Gmails SMTP.
X-mottagen: senast 2002: a62: 52c3 :: med SMTP-id g186mr3128011pfb.173.1554346215815; Ons, 03 apr 2019 19:50:15 -0700 (PDT)
Nästa segment visar ARC (Authentication Mottagen kedja). Detta protokoll säkerställer autentiseringsgiltigheten när de passerar genom olika mellanliggande enheter. I det här fallet skickas e-postmeddelandet från redaktören [~ at] linuxhint.com till ivan [~ at] linux.lat som vidarebefordrar e-postmeddelandet till ivan [~ at] smartlation.com.
ARC-tätning: i = 1; a = rsa-sha256; t = 1554346215; cv = ingen; d = google.com; s = båge-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
Och här är det första utseendet på DKIM (DomainKeys Identified Mail), en autentiseringsmetod som förhindrar förfalskning av e-post genom att validera avsändarens domännamn. Det tidigare detaljerade protokollet ARC hjälper både DKIM och SPF (som visas nedan) att förbli giltiga trots rutten. Detta utdrag visar de angivna referenserna.
ARC-meddelande-signatur: i = 1; a = rsa-sha256; c = avslappnad / avslappnad; d = google.com; s = båge-20160816; h = till: ämne: meddelande-id: datum: från: mime-version: dkim-signatur: dkim-signatur: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Här kan du se resultatet av autentiseringen, eftersom du ser att den lyckades, förutom DKIM som du kan se SPF (Sender Policy Framework), en annan autentiseringsmetod för att låta mottagaren veta att avsändaren är behörig att använda domännamnet som visas i avsnittet "FROM".
I det här fallet klarade DKIM och SPF autentiseringsfasen.
ARC-autentiseringsresultat: i = 1; mx.Google.com;
dkim = passera [e-postskyddad] rubrik.s = standardrubrik.b = oY3SGJai; dkim = passera [e-postskyddad] rubrik.s = 20150623 rubrik.b = udLEKRXT; spf = pass (google.com: domän för [e-postskyddade] servrar.com betecknar 162.255.118.246 som tillåten avsändare) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = redaktör @ eforward1e.registrarservrar.com "
Nedan finns ett avsnitt som heter "Return-Path" och här definieras avvisnings-e-postadressen, som skiljer sig från avsnittet "Från" för att studsa meddelanden som ska behandlas av e-postserveradministratören.
Return-Path: <[email protected]om>
Slutligen nedan visas information om e-postservern, (Postfix), DKIM-version och krypteringsstyrka,
Mottagen: från se17.registrarservrar.com (se17.registrarservrar.com [198.54.122.197]) av eforward1e.registrarservrar.com (Postfix) med ESMTP-id 9060A4207A2 för <[email protected]>; Ons 3 apr 2019 22:50:14 -0400 (EDT) DKIM-filter: OpenDKIM Filter v2.11.0 eforward1e.registrarservrar.com 9060A4207A2 DKIM-signatur: v = 1; a = rsa-sha256; c = avslappnad / avslappnad; d = registrarservrar.com; s = standard; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = Från: Datum: Ämne: Till; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-signatur: v = 1; a = rsa-sha256; c = avslappnad / avslappnad; d = 1e100.netto; s = 20161025; h = x-gm-meddelande-tillstånd: mime-version: från: datum: meddelande-id: ämne: till; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
Sektionen X-Gm-meddelandestatus visar en unik sträng för två möjliga tillstånd: studsade tillbaka och skickas.
X-Gm-meddelandestatus: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
X-mottaget värde tillhör specifikt gmail.
X-mottagen: senast 2002: a50: 89fb :: med SMTP-id h56mr1932247edh.176.1554346208456; Ons, 03 apr 2019 19:50:08 -0700 (PDT)
Nedan hittar du MIME-versionen (Multipurpose Internet Mail Extensions) och vanlig information som visas för användarna:
MIME-version: 1.0 Från: Editor LinuxHint <[email protected]> Datum: ons 3 apr 2019 19:50:27 -0700 Meddelande-ID: <[email protected]om> Ämne: betalning skickat 150 USD till: Ivan <[email protected]> Innehållstyp: multipart / alternativ; boundary = "0000000000009d08b80585ab6de6" Autentisering-resultat: registrarservrar.com; dkim = passera rubrik.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-klass: osäker X-SpamExperts-Evidence: Combined (0.50) X-Rekommenderat-Åtgärd: acceptera X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Jag hoppas att du tyckte att den här guiden om analys av e-posthuvud var användbar. Fortsätt följa LinuxHint för fler tips och handledning om Linux och nätverk.
