Analiza nagłówków w podejrzanych mailach


(miclis) #1

Cześć,

Za względu na brak lepszego działu, umieszczam swoje pytanie w tym, ponieważ, moim zdaniem, ma on powiązanie z zagadnieniami bezpieczeństwa.

Ostatnimi czasy dorzucili mi w pracy zadanie polegające na analizie podejrzanych maili, otrzymywanych przez innych pracowników. Krótko mówiąc, jeśli ktoś otrzyma wiadomość, co do której ma wątpliwości, może podesłać ją do mojego działu, a my analizujemy jej zawartość, nagłówki, linki, załączniki itp. aby stwierdzić, czy wiadomość jest bezpieczna czy nie. Całkiem fajne zadanie, biorąc pod uwagę fakt, że w wiadomościach tych można znaleźć fajne kwiatki oraz nietypowe przykłady phishingu.

Jednym z kroków analizy, który zazwyczaj wykonuję jest sprawdzenie nagłówków maila w celu weryfikacji prawdziwego nadawcy. Jako że nagłówek “from” może być łatwo spoofowany, należy sprawdzić nagłówek zwrotny (return path, reply to). Jednakże, w 2 czy 3 mailach, które sprawdzałem, nagłówki te były nieobecne. Z czego to wynika? I czy da się bez nich w jakiś inny sposób określić kto nadał wiadomość? Wiem, że można przejrzeć nagłówki dodawane przez serwery pocztowe, przez które przechodziła wiadomość, co daje pewne wskazówki, ale pełne określenie nadawcy jest w ten sposób nadal niemożliwe.

Przyznam, że nigdy wcześniej nie miałem za wiele wspólnego z usługami pocztowymi (poza zwykłym wysyłaniem i odbieraniem maili), więc jeśli pytanie jest banalne, to z góry wybaczcie. Grzebałem co nieco na ten temat w sieci, ale nie znalazłem odpowiedzi, która w satysfakcjonujący sposób tłumaczyłaby ten problem.