Email bandiera rossa dell'intestazione

2

Devo analizzare le intestazioni delle e-mail per i tentativi di spam / phishing. Qual è la metodologia che dovrei seguire osservando l'intestazione? So che devo dare un'occhiata al campo da campo, al percorso di ritorno, al sistema di politica dei mittenti ricevuti, ma puoi fornire alcuni esempi o alcuni suggerimenti? Come posso riconoscere attraverso i vari hop che potrebbe essere sospetto?

In particolare, ho bisogno di formalizzare un'eventuale teoria su eventuali tentativi di frode. Voglio capire meglio:

  • ciò che il primo hop sta effettivamente descrivendo, nel senso che è un salto tra il primo Message Transfer Agent e il successivo, il che significa che non rappresenta l'hop tra la macchina dell'utente e il primo server di scambio di posta o potrebbe anche rappresentare quest'ultima situazione? (Ad esempio sto analizzando alcune email e in alcuni casi il primo hop è "da apache di" some domain "", o "da user [numero IP] da" some domain "");
  • se c'è un salto in cui c'è il nome dello scambiatore di posta e anche l'IP accanto ad esso, in una parentesi chiusa, ma sembra che l'IP sia in un altro paese, cosa significa?
  • come deve essere interpretato SPF (il controllo si riferisce alla macchina del server mittente in modo che sia il primo hop)?
posta Myke 21.06.2017 - 13:51
fonte

1 risposta

1

Queste domande sono un po 'ampie e confuse. Le intestazioni delle e-mail sono spesso diverse per una serie di motivi.

what the first hop is actually describing, in the sense that it is a hop between the first Message Transfer Agent and the next one, meaning that it is not representing the hop between the machine of the user and the first mail exchange server, or could also represent this last situation? (For example I am analyzing some emails and in some cases the first hop is "from apache by "some domain" ", or "from user[IP number] by "some domain" ")

Il primo hop è generalmente il primo MTA che segnala di aver ricevuto il messaggio. "Da Apache" significa semplicemente che il server che lo ha inviato stava eseguendo Apache. In genere, l'indirizzo IP effettivo degli utenti, se presente, si trova nel campo X-Originating-IP .

if there is a hop in which there is the name of the mail exchanger and also the IP next to it, in an enclosed parenthesis, but it looks like that the IP is in another country, what does it mean?

I nomi visualizzati in un'intestazione email sono nomi di dominio completi (FQDN). Identificano una particolare macchina su Internet e all'interno di quel dominio. L'indirizzo IP in paranthesis è l'indirizzo IP di quella macchina, quindi se si risolve in un determinato paese, è lì che si trova la macchina.

how should SPF be interpreted (the check refers the machine of the sending server so the first hop)?

SPF inserisce un record in DNS con un elenco di tutti gli indirizzi IP autorizzati a inviare posta per conto del dominio. I client di posta elettronica destinatari controllano se l'MTA che invia il messaggio che stanno ricevendo ha un indirizzo IP che rientra in tali intervalli. Se lo fa, di solito c'è una denotazione nell'intestazione che dice Pass . In caso contrario, possono accadere diverse cose a seconda di come è configurato il criterio SPF:

  • Se il record termina in -all , i messaggi non saranno consentiti e vedrai una denotazione Fail nell'intestazione.
  • Se il record termina in ~all , i messaggi saranno consentiti ma dovrebbero essere contrassegnati. Potresti visualizzare Nessuno o SoftFail per questi messaggi.

Altre cose che si possono fare riguarda il luppolo è controllare se il FQDN corrisponde al record MX per il dominio. Ad esempio, se il dominio di Mario del mittente foo-bar.com ha utilizzato Google per inviare la posta, puoi aspettarti di vedere FQDN di Google nella sua parte del percorso del messaggio. A volte ciò può richiedere l'esecuzione di ricerche whois sui nomi di dominio in questione perché potrebbero non essere sempre denominati in modo tale che sia ovvio che appartengono a una determinata organizzazione.

Un altro test consiste nel verificare se il dominio di invio utilizza DKIM. Se lo fa, e non c'è la firma DKIM presente, questo è un buon indicatore di una email falsificata.

    
risposta data 21.06.2017 - 15:17
fonte

Leggi altre domande sui tag