Herkese selam! Bu yazımda ele aldığım konuMAİL HEADER ANALİZİ , Keyifli Okumalar. 🙂
Siber saldırganların çevrimiçi kimlik avı aracılığıyla kullanıcılara saldırmaya daha fazla odaklanması doğaldır. Bunun kim tarafından nasıl yapıldığını tespit etmek için adli bilişim açısından elektronik postaların incelenmesi sonucunda önemli deliller elde edilebilir sadece e-posta ile işlenen suçların bulunmasında değil aynı zamanda veri hırsızlığı ve apt saldırısı gibi olaylarda inceleme yapılarak olayın çözümü için önemli delillere ulaşılabilir.
Peki mail analizi ile neleri öğrenebiliriz ona bakalım
E-postayı kimin gönderdiğini öğrenmek için;
-Mail adresine
-IP adresine
-Mail içeriğine bakılır.
E-postanın ne zaman gönderildiğini öğrenmek için;
-Başlık kısmında yer alan tarih ve zamana
-Mail sunucusundaki tarih ve zamana bakılır.
E-postanın nereden geldiğini öğrenmek için;
-IP adresine
-ISP bilgisine
-Geolocation bilgisine
-Mail sunucusu domain bilgisine bakılır.
E-MAİL analizinde üç kısım analiz edilebilir bunlar;
-Mesajın gövdesi
-Mesajın ekleri
-Mail başlığı şeklindedir.
Peki bir Gmail’de E-posta başlık analizini nasıl yapar ve inceleriz buna bakalım;
Gerçek e-posta kaynağını belirlemek için orijinal e-posta başlığını incelememiz gerekir. Gmail’de bu, e-posta açılırken 3 nokta simgesi aracılığıyla orijinali göster diyerek kolayca bulunabilir:

Orijinal e-postayı açtıktan sonra, başlıkta ve e-postanın izlediği yolda birçok bilgi göreceksiniz.

Bize e-postanın nereden geldiğini belirlememiz için gereken bilgileri verecek olan başlıktaki “ Received: ” girişleriyle ilgileniyoruz. E-postanın kaynaktan hedefe giderken aldığı duraklar (e-posta sunucuları) gibi. Bir e-posta kaynaktan hedefine giderken her sunucu başlık girdilerini e-posta gövdesinin en üstüne ekler. Dolayısıyla, e-postanın kaynağını izlemek istiyorsak, bu orijinal e-postanın altında karşılaşılan ilk “ Received ” girişi olacaktır.Baktığımızda ise bizde şöyle görünmektedir.

Burada gördüğümüz gibi Delivered –To teslim edilecek E-posta adresini gösterir.Received alanı ise sunucun IP adresini, ziyaret edilen SMTP kimliğini ve e-postanın sunucu tarafından alındığı tarih ve saat bilgisini vermektedir.
X-Google-Smtp-Kaynak

E-postanın gmail’in SMTP’si aracılığıyla işlendiğini göstermektedir.
X-Received

Mesaj alan sunucuların IP adresi, sunucunun SMTP kimliği ve E-postanın zaman dilimini gösterir.
ARC-Seal

ARC (Alınan Kimlik Doğrulama Zinciri) bu protokol farklı aracı cihazlardan geçerken kimlik doğrulama geçerliliğini teyit eder.
ARC-Message-Signature & ARC- Authentication-Results

Arc-Message-Signature Gönderenin alan adını doğrulayarak posta sahteciliğini önleyen bir kimlik doğrulama yöntemi olan DKIM yani kısacası DKIM kaydı Türkçe karşılığıyla Domain Anahtarlarıyla Tanımlanmış E-posta (Domain Keys Identified Mail) e-posta mesajlarına dijital kriptografik imzalar ekleyen bir e-posta doğrulama formudur.
ARC-Authentication-Results da ise kimlik doğrulamanın sonucunu görebiliriz. DKIM’e ek olarak bir kimlik doğrulama yöntemi ise SPF’dir bu ise bağlı bulunduğunuz sunucunun alan adınıza ait IP adreslerinin eklenmesiyle Email göndermeye yetkili olduğunun teyit edildiği standarttır
Return-Path

Dönüş yoludur bu alan hedeflenen alıcıya ulaşamaması durumunda mesajın döndürüleceği e-posta adresini içermektedir.

Son olarak ise posta sunucusu DKIM sürümü ve şifreleme gücü ile ilgili bilgiler görüntülenir.

MIME
Çok Amaçlı İnternet Posta Uzantıları anlamına gelmektedir. Burada sürümü ve kullanıcılara gösterilen düzenli bilgileri bulabilirsiniz.
Bunun yanı sıra manuel incelemek dışında belli başlı araçlar ile de inceleyebiliriz birkaç örnek verecek olursak.
E-posta Başlığı Çözümleyici Araçlar
-Google Yönetici Araç Kutusu
-G Suite Toolbox Messageheader
-Mx Toolbox
-What Is My IP?
-Mailheader.org vb araçlarla inceleme yapabilirsiniz.
Google Yönetici Araç Kutusu
Linke tıklayarak ulaşabilirsiniz https://toolbox.googleapps.com/apps/messageheader/

Ara yüzü çok basit bir araçtır buraya görselde dediği gibi E-posta üstbilgisini veya metin dosyasını sürükleyerek inceleme yapabiliriz.

Yukarıdaki çıkan sonuçta inceleme yapabiliriz.
Sunucu IP’sini ise https://www.onyphe.io/ sitesi ile sorguluyarak sunucunun konumunu doğrulayabiliriz.

MXTOOLBOX

Burada kopyalamış olduğum header ı yapıştırarak analize başlıyorum Kısa sürede sonucu karşımıza çıkaracaktır. Bu araç ile de detaylı incelemesini yapabilirsiniz.
Umarım e-posta başlık analiziyle ilgili bu yazımı faydalı bulmuşsunuzdur. Okuduğunuz için teşekkürler. 🙂
Share this content: