이메일 헤더의 내용과 관심을 가져야하는 이유

알지 못하는 이메일 주소에서 스팸 또는 피싱 메시지를받은 적이 있습니까? 누군가가 당신에게 무료 여행을 제안했거나, 개인 사진 대신 비트 코인을 보내달라고 요청했거나, 원치 않는 마케팅 이메일을 보냈을 수도 있습니다.

그 이메일이 어디에서 왔는지 궁금하십니까? 스패머가 귀하의 이메일 주소를 스푸핑하고 어떻게했는지 궁금하십니까?

이메일 스푸핑 또는 이메일이 다른 주소에서 온 것처럼 보이게 만드는 것 (예 : whitehouse.gov에서 온 것처럼 보이지만 실제로는 사기꾼이 보낸 이메일)은 매우 쉽습니다.

핵심 이메일 프로토콜에는 인증 방법이 없습니다. 즉, '보낸 사람'주소는 기본적으로 빈칸 채우기 일뿐입니다.

일반적으로 이메일을 받으면 다음과 같이 표시됩니다.

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

그 아래에는 제목과 메시지가 있습니다.

하지만 그 이메일의 출처를 어떻게 알 수 있습니까? 분석 할 수있는 추가 데이터가 없습니까?

우리가 찾고있는 것은 전체 이메일 헤더입니다. 위에 보이는 것은 단지 부분적인 헤더입니다. 이 데이터는 이메일의 출처와받은 편지함에 도달 한 방법에 대한 추가 정보를 제공합니다.

자신의 이메일 헤더를보고 싶은 경우 Outlook 및 Gmail에서 액세스하는 방법은 다음과 같습니다. 대부분의 메일 프로그램은 유사한 방식으로 작동하며 간단한 Google 검색을 통해 대체 메일 서비스에서 헤더를 보는 방법을 알 수 있습니다.

이 기사에서는 실제 헤더 세트를 살펴볼 것입니다 (대부분 수정되었지만 호스트 이름, 타임 스탬프 및 IP 주소를 변경했습니다).

우리는 헤더를 위에서 아래로 읽을 것이지만 각각의 새로운 서버는 헤더를 이메일 본문의 상단에 추가한다는 점에 유의하십시오. 즉, 최종 메시지 전송 에이전트 (MTA)에서 각 헤더를 읽고 첫 번째 MTA로 작업하여 메시지를 수락합니다.

내부 송금

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

이 첫 번째 홉은 HTTPS 라인을 보여줍니다. 즉, 서버가 표준 SMTP를 통해 메시지를받지 않고 대신 웹 애플리케이션에서받은 입력으로 메시지를 생성했음을 의미합니다.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

처음 두 개의 헤더 블록은 내부 메일 전송입니다. Office365 서버 (outlook.com)에서 수신되었으며 내부적으로 올바른 수신자에게 라우팅되었음을 알 수 있습니다.

메시지가 암호화 된 SMTP를 통해 전송되고 있음을 알 수도 있습니다. 헤더가 "with Microsoft SMTP Server"를 나열한 다음 사용중인 TLS 버전과 특정 암호를 지정하기 때문에 알 수 있습니다.

세 번째 헤더 블록은 로컬 메일 서버에서 메일 필터링 서비스로의 전환을 표시합니다. 이것은 Microsoft-Exchange 특정 프로토콜 인 "프런트 엔드 전송"을 통해 이루어 졌기 때문에 알 수 있습니다 (따라서 엄격히 SMTP가 아님).

이 블록에는 일부 이메일 확인도 포함됩니다. Outlook.com의 헤더에는 여기에 SPF / DKIM / DMARC 결과가 자세히 나와 있습니다. SPF softfail은이 IP 주소가 gmail.com을 대신하여 이메일을 보낼 수있는 권한이 없음을 의미합니다.

"dkim = pass"는 이메일이 보낸 사람이 보낸 것이며 전송 중에 변경되지 않았 음을 의미합니다.  

DMARC는 SPF 및 DKIM 결과를 해석하는 방법을 메일 서버에 알려주는 일련의 규칙입니다. 통과는 이메일이 목적지까지 계속된다는 것을 의미합니다.

SPF, DKIM 및 DMARC에 대한 자세한 내용은이 도움말을 확인하세요.

내부 / 외부 전환

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

이것은 Google의 SPF 레코드입니다. 수신 서버에 gmail.com에서 보낸 이메일이 Google 승인 서버에서 온 것임을 알려줍니다.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

이것은 몇 가지 추가 SPF / DKIM / DMARC 검사와 IronPort 스캔의 결과를 보여줍니다.

Ironport는 스팸, 바이러스 및 기타 악성 이메일을 찾기 위해 많은 기업에서 사용하는 인기있는 이메일 필터입니다. 이메일의 링크와 첨부 파일을 검사하고 이메일이 악의적인지 (삭제해야하는지), 합법적이며 전달해야하는지 또는 의심스러운 경우 본문에 헤더를 첨부 할 수 있는지 확인합니다. 사용자에게 이메일을주의하도록합니다.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

이 섹션은 이메일이 Gmail 라우팅 시스템을 통해 발신자의 초기 기기에서 수신인의 Outlook 환경으로 가져간 내부 홉을 보여줍니다. 이것에서 우리는 초기 발신자가 뉴욕의 Verizon Fios와 함께 가정용 라우터를 사용하는 Macbook에서 온 것임을 알 수 있습니다.

이것은 이메일이 보낸 사람에서받는 사람으로 이동 한 경로를 보여주는 홉의 끝입니다. 그 다음에는 미디어 유형 및 이메일 클라이언트 (예 : 다음과 같은 형식)를 기반으로 일부 형식을 사용하여 이메일 본문 (일반적으로 "보낸 사람 :", "받는 사람 :"등으로 표시되는 헤더)을 볼 수 있습니다. MIME 버전, 콘텐츠 유형, 경계 등). 또한 메시지를 보낸 장치 유형에 대한 세부 정보 인 사용자 에이전트 정보가 포함될 수도 있습니다.

이 경우 Apple의 명명 규칙으로 인해 전송 장치가 Macbook이라는 것을 이미 알고 있지만, CPU 유형, 버전, 심지어 장치에 설치된 브라우저 및 버전에 대한 세부 정보도 포함 할 수 있습니다.

전부는 아니지만 일부 경우에는 전송 장치의 IP 주소도 포함될 수 있습니다 (많은 공급자가 소환장없이 해당 정보를 숨길 수 있음).

이메일 헤더로 무엇을 알 수 있습니까?

이메일 헤더는 의도 된 발신자로부터 이메일이 전송되지 않는시기를 식별하는 데 도움이 될 수 있습니다. 그들은 보낸 사람에 대한 정보를 제공 할 수 있지만 일반적으로 실제 보낸 사람을 식별하기에는 충분하지 않습니다.

법 집행 기관은 종종이 데이터를 사용하여 올바른 ISP의 정보를 소환 할 수 있지만, 나머지 우리는 대부분이 데이터를 사용하여 조사, 일반적으로 피싱에 대한 정보를 제공 할 수 있습니다.

이 프로세스는 헤더가 악의적 인 서버 나 해커에 의해 위조 될 수 있기 때문에 더 어려워집니다. 각 서버의 소유자에게 연락하고 이메일의 헤더가 SMTP 로그와 일치하는지 개별적으로 확인하지 않으면 (자신의 메일 서버에서 첨부 된 헤더를 제외하고) 헤더가 정확한지 확신 할 수 없습니다.

Without contacting each server's owner and individually verifying that the headers in your email match their SMTP logs, which is painstaking and time-consuming, you won't be certain the headers are all accurate..

DKIM, DMARC and SPF can all help with this process, but aren't perfect, and without them, there's no verification at all.

Don't want to analyze your own headers? This site will do it for you.