Phenquestions
Ако искате да станете по-професионални, можете да проверите някои от инструментите, описани на Инструменти за криминалистика на живо.
Четене и разбиране на заглавка на имейл (Gmail):
Следващият странен текст е заглавна част на имейл, изпратен от акаунта редактор [at ~] linuxhint.com да се ivan [at ~] linux.лат. Някои неподходящи части бяха премахнати, но това е напълно вярно на оригиналния хедър.
Под всяка част на заглавката на имейла ще бъде обяснено:
Първият сегмент, изолиран по-долу, е много интуитивен и разкрива, че е изпратен имейл ivan [at ~] smartlation.com и получени от сървър, идентифициран чрез неговия IP адрес (IPv6) и SMTP идентификатор, с подробности за датата и часа на доставката:
Доставено до: ivana [at ~] smartlation.com Получено: до 2002: a05: 620a: 1461: 0: 0: 0: 0 с SMTP идентификатор j1csp966363qkl; Сряда, 3 април 2019 г. 19:50:15 -0700 (PDT)
Следващият фрагмент показва, че имейлът се обработва чрез SMTP на gmail.
X-Google-Smtp-Източник: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
The X-получено header се прилага от някои доставчици на електронна поща, в този случай се добавя от SMTP на Gmail.
X-получено: до 2002: a62: 52c3 :: с SMTP id g186mr3128011pfb.173.1554346215815; Сряда, 03 април 2019 19:50:15 -0700 (PDT)
Следващият сегмент показва ARC (Authentication Received Chain). Този протокол гарантира валидността на удостоверяването при преминаване през различни посреднически устройства. В този случай имейлът се изпраща от редактора [~ at] linuxhint.com към ivan [~ at] linux.lat, който препраща имейла към ivan [~ at] smartlation.com.
ARC-Seal: i = 1; a = rsa-sha256; t = 1554346215; cv = няма; d = google.com; s = дъга-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
И ето първата поява на DKIM (Идентифицирана поща на DomainKeys), метод за удостоверяване, който предотвратява фалшифициране на поща чрез валидиране на името на домейна на подателя. По-рано подробният протокол ARC помага както на DKIM, така и на SPF (които ще бъдат показани по-долу) да останат валидни въпреки маршрута. Този извлечение показва дадените идентификационни данни.
ARC-Съобщение-подпис: i = 1; a = rsa-sha256; c = отпуснат / отпуснат; d = google.com; s = дъга-20160816; h = до: subject: message-id: date: from: mime-version: dkim-signature: dkim-signature: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Тук можете да видите резултата от удостоверяването, както виждате, че е успяло, освен DKIM, което можете да видите SPF (Рамка на политиката за изпращане), друг метод за удостоверяване, за да уведоми получателя, че подателят е упълномощен да използва името на домейна, показано в раздела „ОТ“.
В този случай DKIM и SPF преминаха фазата на удостоверяване.
ARC-Authentication-Results: i = 1; mx.google.com;
dkim = пропуск [имейл защитен] заглавка.s = заглавие по подразбиране.b = oY3SGJai; dkim = пропуск [имейл защитен] заглавка.s = 20150623 заглавка.b = udLEKRXT; spf = pass (google.com: домейн на [имейл защитени] сървъри.com обозначава 162.255.118.246 като разрешен подател) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = редактор @ eforward1e.регистратор-сървъри.com "
По-долу има раздел, наречен „Път за връщане“ и тук е дефиниран имейл адресът за отказ, който е различен от раздела „От“ за подскачащи съобщения, които трябва да бъдат обработени от администратора на пощенския сървър.
Път за връщане: <[email protected]om>
Накрая по-долу се показва информация за пощенския сървър, (Postfix), версия на DKIM и сила на криптиране,
Получено: от se17.регистратор-сървъри.com (se17.регистратор-сървъри.com [198.54.122.197]) от eforward1e.регистратор-сървъри.com (Postfix) с ESMTP id 9060A4207A2 за <[email protected]>; Сряда, 3 април 2019 г. 22:50:14 -0400 (EDT) DKIM-филтър: OpenDKIM филтър v2.11.0 eforward1e.регистратор-сървъри.com 9060A4207A2 DKIM-Подпис: v = 1; a = rsa-sha256; c = отпуснат / отпуснат; d = регистратори-сървъри.com; s = по подразбиране; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = От: Дата: Тема: До; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-Подпис: v = 1; a = rsa-sha256; c = отпуснат / отпуснат; d = 1e100.мрежа; s = 20161025; h = x-gm-message-state: mime-version: from: date: message-id: subject: to; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
Разделът Състояние на съобщението X-Gm показва уникален низ за две възможни състояния: отскочи назад и изпратени.
Състояние на съобщението X-Gm: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
Получената X стойност принадлежи специално на gmail.
X-получено: до 2002: a50: 89fb :: с SMTP id h56mr1932247edh.176.1554346208456; Сряда, 03 април 2019 19:50:08 -0700 (PDT)
По-долу можете да намерите версията MIME (Multipurpose Internet Mail Extensions) и редовна информация, показвана на потребителите:
MIME-версия: 1.0 От: Редактор LinuxHint <[email protected]> Дата: сряда, 3 април 2019 г. 19:50:27 -0700 Съобщение-ID: <[email protected]om> Тема: изпратено плащане $ 150 До: Иван <[email protected]> Тип съдържание: многочаст / алтернатива; border = "0000000000009d08b80585ab6de6" Резултати за удостоверяване: сървъри на регистратора.com; dkim = хедър за преминаване.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Class: несигурен X-SpamExperts-Evidence: Комбиниран (0.50) X-Препоръчителен-действие: приема X-Филтър-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Надявам се, че този урок за анализ на заглавки на имейли ви е бил полезен. Продължавайте да следвате LinuxHint за още съвети и уроци за Linux и мрежи.
