Phenquestions
Ja vēlaties kļūt profesionālāks, varat pārbaudīt dažus šeit aprakstītos rīkus Live kriminālistikas rīki.
E-pasta galvenes lasīšana un izpratne (Gmail):
Šis dīvainā teksta fragments ir e-pasta ziņojuma galvene, kas nosūtīta no konta redaktors [at ~] linuxhint.com uz ivan [at ~] linux.lat. Dažas neatbilstošās daļas tika noņemtas, taču tas pilnībā atbilst sākotnējai galvenei.
Zem katras e-pasta galvenes daļas tiks paskaidrots:
Pirmais zemāk izolētais segments ir ļoti intuitīvs un atklāj, ka e-pasts tika piegādāts ivan [pie ~] smartlation.com un saņem serveris, kuru identificē pēc tā IP adreses (IPv6) un SMTP id, norādot piegādes datumu un laiku:
Piegādāts: ivana [at ~] viedlation.com Saņemts: līdz 2002. gadam: a05: 620a: 1461: 0: 0: 0: 0 ar SMTP id j1csp966363qkl; Trešdiena, 2019. gada 3. aprīlis 19:50:15 -0700 (PDT)
Šis fragments parāda, ka e-pasts tiek apstrādāts, izmantojot Gmail SMTP.
X-Google-Smtp-Source: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
The X-saņemts galveni lieto daži e-pasta pakalpojumu sniedzēji, šajā gadījumā to pievieno Gmail SMTP.
X saņemts: līdz 2002. gadam: a62: 52c3 :: ar SMTP id g186mr3128011pfb.173.1554346215815; Trešdiena, 2019. gada 3. aprīlis 19:50:15 -0700 (PDT)
Nākamais segments parāda ARC (autentifikācijas saņemšanas ķēde). Šis protokols nodrošina autentifikācijas derīgumu, šķērsojot dažādas starpniecības ierīces. Šajā gadījumā e-pasts tiek nosūtīts no redaktora [~ at] linuxhint.com uz ivan [~ at] linux.lat, kas pārsūta e-pastu ivan [~ at] smartlation.com.
ARC-Seal: i = 1; a = rsa-ša256; t = 1554346215; cv = nav; d = google.com; s = loka-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
Un šeit ir pirmais DKIM (DomainKeys identificētais pasts), autentifikācijas metode, kas novērš pasta viltošanu, apstiprinot sūtītāja domēna vārdu. Iepriekš detalizētais protokols ARC palīdz gan DKIM, gan SPF (kas tiks parādīts zemāk) palikt derīgs, neskatoties uz maršrutu. Šis izraksts parāda dotos akreditācijas datus.
ARC-Message-Signature: i = 1; a = rsa-ša256; c = atvieglinātas / atvieglinātas; d = google.com; s = loka-20160816; h = uz: tēma: ziņojuma id: datums: no: mime-versija: dkim-paraksts: dkim-paraksts: dkim-filtrs; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Šeit jūs varat redzēt autentifikācijas rezultātu, kā redzat, ka tas izdevās, papildus redzamajam DKIM SPF (sūtītāja politikas ietvars), cita autentifikācijas metode, lai informētu saņēmēju, ka sūtītājs ir pilnvarots izmantot domēna nosaukumu, kas parādīts sadaļā “FROM”.
Šajā gadījumā DKIM un SPF izturēja autentifikācijas fāzi.
ARC autentifikācijas rezultāti: i = 1; mx.google.com;
dkim = pass [aizsargāta ar e-pastu] galvene.s = noklusējuma galvene.b = oY3SGJai; dkim = pass [aizsargāta ar e-pastu] galvene.s = 20150623 galvene.b = udLEKRXT; spf = iet (google.com: [ar e-pastu aizsargātu] serveru domēns.com apzīmē 162.255.118.246 kā atļautais sūtītājs) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = redaktors @ eforward1e.reģistrators-serveri.com "
Zemāk ir sadaļa ar nosaukumu “Atgriešanās ceļš”, un šeit ir definēta atlēcošā e-pasta adrese, kas atšķiras no sadaļas “No” atlecošajiem ziņojumiem, kurus apstrādās pasta servera administrators.
Atgriešanās ceļš: <[email protected]om>
Visbeidzot, zemāk tiek parādīta informācija par pasta serveri (Postfix), DKIM versija un šifrēšanas stiprums,
Saņemts: no se17.reģistrators-serveri.com (se17.reģistrators-serveri.com [198.54. lpp.122.197]) autors eforward1e.reģistrators-serveri.com (Postfix) ar ESMTP id 9060A4207A2 domēnam <[email protected]>; Trešdiena, 2019. gada 3. aprīlis 22:50:14 -0400 (EDT) DKIM filtrs: OpenDKIM filtrs v2.11.0 eforward1e.reģistrators-serveri.com 9060A4207A2 DKIM-Paraksts: v = 1; a = rsa-ša256; c = atvieglinātas / atvieglinātas; d = reģistrācijas serveri.com; s = noklusējums; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = No: Datums: Temats: Kam; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-paraksts: v = 1; a = rsa-ša256; c = atvieglinātas / atvieglinātas; d = 1e100.tīkls; s = 20161025; h = x-gm-message-state: mime-version: no: datums: ziņojuma ID: tēma: līdz; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
Sadaļa X-Gm-Message-State parāda unikālu virkni diviem iespējamiem stāvokļiem: atlēca un nosūtīts.
X-Gm-Message-State: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
X-Received vērtība pieder tieši Gmail.
X saņemts: līdz 2002. gadam: a50: 89fb :: ar SMTP id h56mr1932247edh.176. lpp.1554346208456; Trešdiena, 2019. gada 3. aprīlis 19:50:08 -0700 (PDT)
Zemāk varat atrast MIME (daudzfunkcionālu interneta pasta paplašinājumu) versiju un regulāru lietotājiem parādītu informāciju:
MIME versija: 1.0 No: Redaktors LinuxHint <[email protected]> Datums: trešdien, 2019. gada 3. aprīlī 19:50:27 -0700 Ziņojuma ID: <[email protected]om> Temats: maksājums nosūtīts 150 USD adresātam: Ivanam <[email protected]> Satura tips: daudzdaļīgs / alternatīvs; robežas = "0000000000009d08b80585ab6de6" Autentifikācijas rezultāti: reģistratūras serveri.com; dkim = piespēles galvene.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Class: nav pārliecināts par X-SpamExperts-Evidence: kombinēts (0.50) X-Ieteicamais-Darbība: akceptēt X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Es ceru, ka šī apmācība par e-pasta galvenes analīzi jums šķita noderīga. Turpiniet sekot LinuxHint, lai iegūtu vairāk padomu un konsultācijas par Linux un tīklu.
