Due diversi IPV4 all'interno dell'intestazione dell'email di Outlook

-2

Attualmente sto analizzando un'intestazione email di Outlook.

Sono molto confuso perché ha due indirizzi IPv4 x provenienti da diverse posizioni. Di solito c'è un ipv4 verso l'alto dell'header e un ipv6 verso il basso.

le e-mail mi sono state inviate e ho bisogno di determinare quali e-mail sono state inviate da un hacker tramite la traccia IP

Potresti darmi dei consigli sul perché dovrei vedere due diversi ipv4 da diversi host e posizioni diverse in un header di Outlook quando ho intenzione di vedere un ipv4 e un ipv6?

eventuali vulnerabilità o attacchi causerebbero questo?

X-Originating-IP: [40.107.6.122]
X-SpamReason: No, hits=0.3 required=7.0 tests=HTML_60_70,HTML_MESSAGE
X-StarScan-Received:
X-StarScan-Version: 9.9.15; banners=-,-,-
X-VirusChecked: Checked
Received:
Received: from mail-eopbgr60122.outbound.protection.outlook.com (HELO
 EUR04-DB3-obe.outb
 server-7.tower-with AES256-GCM-SHA384 encrypted SMTP; 13
 Sep 2018 14:47:44 -0000
Received: from DB6PR07MB3286.eurprd07.prod.outlook.com (10.175.233.33) by
 DB6PR07MB3384.eurprd07.prod.outlook.com (10.175.234.11) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.1143.11; Thu, 13 Sep 2018 14:47:44 +0000
Received: from DB6PR07MB3286.eurprd07.prod.outlook.com
 ([fe80::ccea:aa3a:fbcf:883f]) by DB6PR07MB3286.eurprd07.prod.outlook.com
 ([fe80::ccea:aa3a:fbcf:883f%6]) with mapi id 15.20.1164.0
 14:47:44 +0000
From: 
To: 
Subject: Re: 
Thread-Topic: O
Thread-Index: AQHUS2XPliaNQXagG0e1Tro6EyKodqTuSn9k
Date
Message-ID: 
References: 
In-Reply-To: <
Accept-Language: en-GB, en-US
Content-Language: en-GB
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip: [84.9.167.97]
    
posta KingKala 24.10.2018 - 16:15
fonte

3 risposte

1

Perché vedi due indirizzi:

Ogni volta che invii un'email, la tua email passa attraverso diversi server prima che raggiunga la sua destinazione. Lungo il percorso, alcuni server possono aggiungere un determinato testo alle intestazioni della e-mail (le intestazioni delle e-mail includono dati come chi è il messaggio da / a). Ad esempio, il tuo fornitore di servizi Internet (come Comcast o AT & T) può aggiungere alle intestazioni l'ora in cui hanno ricevuto l'email da te. Il server finale che accetta l'e-mail può eseguire la scansione per verificare se lo spam e-mail e può aggiungere un sommario di questa scansione alle intestazioni.

Gli indirizzi IP vengono aggiunti anche alle intestazioni della tua email. Ad esempio, l'indirizzo IP di casa / ufficio può essere aggiunto all'email. Il server di posta dell'ISP che inizialmente accetta la tua email potrebbe aggiungere il loro indirizzo IP e il server finale che accetta il messaggio potrebbe registrare anche il loro indirizzo IP.

Source

Qualsiasi vulnerabilità o attacco causerebbe questo:

È una domanda troppo ampia un po '; ma come al solito, la risposta dovrebbe essere: Dipende.
Come sottolineato da altri membri della comunità, dovresti esaminare le intestazioni.

    
risposta data 24.10.2018 - 16:30
fonte
1

Non fidarti delle intestazioni di qualsiasi altra fonte rispetto ai tuoi server. Possono essere falsificati in qualsiasi momento e potrebbero essere stati aggiunti ulteriori dettagli.

Indagine sulle intestazioni Received dall'alto: le intestazioni aggiunte dal tuo sistema di posta elettronica hanno l'indirizzo IP effettivo dal quale il messaggio è stato ricevuto. Questo è il motivo per cui ogni server che inoltra il messaggio a un altro dovrebbe aggiungere le proprie intestazioni aggiuntive all'inizio del messaggio.

Qui, X-Originating-IP: [40.107.6.122] viene aggiunto da server-7.tower-with quando ha ricevuto la posta da *.protection.outlook.com . Ciò significa che il messaggio proviene da Microsoft Office 365. Inside Office 365 ha attraversato diversi server utilizzando IPv6.

Il x-originating-ip: [84.9.167.97] potrebbe essere parte delle intestazioni dei messaggi originali e potrebbe essere stato spoofato del tutto.

Email header usually has an ipv4 originating and a ipv6 like this so I would of thought it would be same or similar.

X-Originating-IP: [40.107.7.115]
x-originating-ip: [2a00:23c2:341b:ab01:d0b:b7eb:1115:dff2]

Mentre qualsiasi computer può avere sia la connettività IPv4 che IPv6 e può inviare il messaggio al successivo server SMTP utilizzando uno dei due, non può mai utilizzarli entrambi contemporaneamente. Ecco perché solo uno può essere registrato da un server SMTP ricevente. Il tuo esempio non implica che [40.107.7.115] e [2a00:23c2:341b:ab01:d0b:b7eb:1115:dff2] siano indirizzi IPv4 e IPv6 della stessa macchina. Puoi vedere entrambe le forme all'interno delle intestazioni Received , perché il messaggio viaggia attraverso diversi server, cioè attraverso diverse connessioni che possono utilizzare IPv4 o IPv6. L'unico posto affidabile per X-Originating-IP si trova accanto all'intestazione Received aggiunta dal tuo server.

    
risposta data 24.10.2018 - 16:29
fonte
0

Come ha spiegato Esa Jokinen: ogni server di posta può aggiungere intestazioni. Solitamente vengono aggiunti in alto, ma possono iniettare quelle intestazioni in qualsiasi posizione desiderata. Infatti, il server di posta può anche modificare le intestazioni esistenti ricevute e persino il corpo dell'email!

Questo è il motivo per cui si dovrebbe usare DKIM, con DKIM il corpo e (la maggior parte) le intestazioni sono firmate dal mittente, consentendo così di convalidare le intestazioni incluse nella firma. Le intestazioni che non sono incluse nella firma DKIM non dovrebbero essere considerate attendibili in quanto potrebbero essere state iniettate da un altro server di posta.

Credo che questo sia anche il motivo per cui i grandi fornitori di posta come Gmail e Office365 stanno adottando le intestazioni ARC per firmare l'e-mail in transito.

    
risposta data 24.10.2018 - 16:47
fonte

Leggi altre domande sui tag