Phenquestions
Sekiranya anda ingin menjadi lebih profesional, anda boleh menyemak beberapa alat yang dijelaskan di Alat Forensik Langsung.
Membaca dan memahami tajuk e-mel (Gmail):
Teks pelik berikut adalah tajuk e-mel dari e-mel yang dihantar dari akaun penyunting [di ~] linuxhint.com ke ivan [at ~] linux.lat. Beberapa bahagian yang tidak berkaitan dikeluarkan tetapi ia benar-benar sesuai dengan tajuk asal.
Di bawah setiap bahagian tajuk e-mel akan dijelaskan:
Segmen pertama yang diasingkan di bawah ini sangat intuitif dan mendedahkan e-mel dihantar ke ivan [at ~] pintarlasi.com dan diterima oleh pelayan yang dikenal pasti dengan alamat IPnya (IPv6) dan id SMTP, yang memperincikan tarikh dan masa penghantaran:
Dihantar ke: ivana [at ~] pintarlasi.com Diterima: menjelang tahun 2002: a05: 620a: 1461: 0: 0: 0: 0 dengan SMTP id j1csp966363qkl; Rabu, 3 Apr 2019 19:50:15 -0700 (PDT)
Fragmen berikut menunjukkan e-mel sedang diproses melalui SMTP gmail.
X-Google-Smtp-Source: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
The X-Diterima header diterapkan oleh beberapa penyedia e-mel, dalam hal ini ia ditambahkan oleh SMTP Gmail.
X-Diterima: menjelang tahun 2002: a62: 52c3 :: dengan SMTP id g186mr3128011pfb.173.1554346215815; Rabu, 03 Apr 2019 19:50:15 -0700 (PDT)
Segmen seterusnya menunjukkan ARC (Rangkaian Diterima Pengesahan). Protokol ini memastikan kesahihan pengesahan ketika melalui peranti perantaraan yang berbeza. Dalam kes ini, e-mel dihantar dari editor [~ at] linuxhint.com ke ivan [~ at] linux.lat yang meneruskan e-mel kepada ivan [~ at] smartlation.com.
ARC-Seal: i = 1; a = rsa-sha256; t = 1554346215; cv = tiada; d = google.com; s = arc-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
Dan inilah penampilan pertama dari DKIM (Mel yang Dikenal pasti DomainKeys), kaedah pengesahan yang menghalang pemalsuan surat dengan mengesahkan nama domain pengirim. Protokol ARC yang diperincikan sebelum ini membantu kedua-dua DKIM dan SPF (yang akan ditunjukkan di bawah) untuk tetap berlaku walaupun ada laluan. Ekstrak ini menunjukkan kelayakan yang diberikan.
ARC-Mesej-Tandatangan: i = 1; a = rsa-sha256; c = santai / santai; d = google.com; s = arc-20160816; h = hingga: subjek: message-id: tarikh: from: mime-version: dkim-signature: dkim-signature: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Di sini anda dapat melihat hasil pengesahan, seperti yang anda lihat berjaya, selain DKIM anda juga dapat melihatnya SPF (Kerangka Dasar Pengirim), kaedah pengesahan yang lain untuk memberitahu penerima bahawa pengirim diberi kuasa untuk menggunakan nama domain yang ditunjukkan di bahagian "DARI".
Dalam kes ini, DKIM dan SPF melepasi fasa pengesahan.
ARC-Pengesahan-Hasil: i = 1; mx.google.com;
dkim = lulus tajuk [dilindungi e-mel].s = pengepala lalai.b = oY3SGJai; dkim = lulus tajuk [dilindungi e-mel].s = 20150623 pengepala.b = udLEKRXT; spf = lulus (google.com: domain pelayan [dilindungi e-mel].com menetapkan 162.255.118.246 sebagai pengirim yang dibenarkan) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = penyunting @ eforward1e.pelayan pendaftar.com "
Di bawah ini terdapat seksyen yang disebut "Jalur Kembali" dan di sini ditentukan alamat e-mel pentalan, yang berbeza dari bahagian "Dari" untuk memantul mesej untuk diproses oleh pentadbir pelayan e-mel.
Jalan Balik: <[email protected]om>
Akhirnya di bawah, maklumat mengenai pelayan mel, (Postfix), versi DKIM dan kekuatan penyulitan dipaparkan,
Diterima: dari se17.pelayan pendaftar.com (se17.pelayan pendaftar.com [198.54.122.197]) oleh eforward1e.pelayan pendaftar.com (Postfix) dengan ESMTP id 9060A4207A2 untuk <[email protected]>; Rabu, 3 Apr 2019 22:50:14 -0400 (EDT) DKIM-Filter: OpenDKIM Filter v2.11.0 eforward1e.pelayan pendaftar.com 9060A4207A2 DKIM-Tandatangan: v = 1; a = rsa-sha256; c = santai / santai; d = pelayan pendaftar.com; s = lalai; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = Dari: Tarikh: Subjek: Kepada; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-Tandatangan: v = 1; a = rsa-sha256; c = santai / santai; d = 1e100.bersih; s = 20161025; h = x-gm-message-state: mime-version: from: tarikh: message-id: subjek: hingga; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
Bahagian itu X-Gm-Mesej-Negeri menunjukkan rentetan unik untuk dua keadaan yang mungkin: melambung ke belakang dan dihantar.
X-Gm-Mesej-Negeri: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
Nilai X-Received adalah khusus untuk gmail.
X-Diterima: menjelang tahun 2002: a50: 89fb :: dengan SMTP id h56mr1932247edh.176.1554346208456; Rabu, 03 Apr 2019 19:50:08 -0700 (PDT)
Di bawah ini anda dapat mencari versi MIME (Pelbagai Mel Internet Serbaguna) dan maklumat biasa yang dipaparkan kepada pengguna:
Versi MIME: 1.0 Dari: Editor LinuxHint <[email protected]> Tarikh: Rab, 3 Apr 2019 19:50:27 -0700 Mesej-ID: <[email protected]om> Subjek: pembayaran dihantar $ 150 Kepada: Ivan <[email protected]> Jenis Kandungan: pelbagai bahagian / alternatif; batas = "0000000000009d08b80585ab6de6" Pengesahan-Hasil: pelayan pendaftar.com; dkim = tandukan lulus.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Class: tidak pasti X-SpamExperts-Bukti: Gabungan (0.50) X-lawatan-Action: menerima X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Saya harap anda menganggap tutorial ini mengenai analisis tajuk e-mel berguna. Terus ikuti LinuxHint untuk mendapatkan lebih banyak petua dan tutorial mengenai Linux dan rangkaian.
