ماذا يوجد في عنوان البريد الإلكتروني ولماذا يجب أن تهتم؟

هل تلقيت يومًا رسالة بريد عشوائي أو رسالة تصيد احتيالي من عنوان بريد إلكتروني لم تتعرف عليه؟ ربما عرض عليك شخص ما رحلة مجانية ، أو طلب منك إرسال البيتكوين مقابل الصور الشخصية ، أو أرسل لك بريدًا إلكترونيًا تسويقيًا غير مرغوب فيه؟

هل تساءلت من أين أتت تلك الرسائل الإلكترونية؟ هل رأيت مرسل بريد عشوائي ينتحل عنوان بريدك الإلكتروني وتساءل كيف فعلوا ذلك؟

انتحال البريد الإلكتروني ، أو جعل البريد الإلكتروني يظهر كما لو أن البريد الإلكتروني جاء من عنوان مختلف عما كان عليه (على سبيل المثال ، البريد الإلكتروني الذي يبدو أنه يأتي من whitehouse.gov ، ولكنه في الواقع من محتال) أمر سهل للغاية.

لا تحتوي بروتوكولات البريد الإلكتروني الأساسية على أي طريقة للمصادقة ، مما يعني أن العنوان "من" هو في الأساس مجرد ملء الفراغات.

عادةً عندما تتلقى بريدًا إلكترونيًا ، يبدو الأمر كما يلي:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

أدناه هو الموضوع والرسالة.

ولكن كيف تعرف من أين جاء هذا البريد الإلكتروني حقًا؟ ألا توجد بيانات إضافية يمكن تحليلها؟

ما نبحث عنه هو رؤوس البريد الإلكتروني الكاملة - ما تراه أعلاه هو مجرد رأس جزئي. ستوفر لنا هذه البيانات بعض المعلومات الإضافية حول مصدر البريد الإلكتروني وكيف وصل إلى صندوق الوارد الخاص بك.

إذا كنت تريد إلقاء نظرة على رؤوس البريد الإلكتروني الخاصة بك ، فإليك كيفية الوصول إليها في Outlook و Gmail. تعمل معظم برامج البريد بطريقة مماثلة ، وسيخبرك بحث Google البسيط عن كيفية عرض الرؤوس على خدمات البريد البديلة.

في هذه المقالة سنلقي نظرة على مجموعة من الرؤوس الحقيقية (على الرغم من تنقيحها بشكل كبير - لقد قمت بتغيير أسماء المضيف والطوابع الزمنية وعناوين IP).

سنقرأ الرؤوس من أعلى إلى أسفل ، ولكن يجب أن تدرك أن كل خادم جديد يضيف رأسه إلى أعلى نص البريد الإلكتروني. هذا يعني أننا سنقرأ كل رأس من عامل نقل الرسائل النهائي (MTA) وسنعمل على الوصول إلى أول MTA لقبول الرسالة.

الحوالات الداخلية

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

تُظهر هذه الخطوة الأولى خط HTTPS ، مما يعني أن الخادم لم يستقبل الرسالة عبر SMTP القياسي وبدلاً من ذلك أنشأ الرسالة من الإدخال الذي استلمه على تطبيق ويب.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

هذان هما أول كتلتين رئيسيتين هما عمليات نقل البريد الداخلية. يمكنك معرفة أن خوادم Office365 (outlook.com) قد استلمتها ، وتم توجيهها داخليًا إلى المستلم الصحيح.

يمكنك أيضًا معرفة أن الرسالة يتم إرسالها عبر SMTP المشفر. أنت تعرف هذا لأن العنوان يسرد "مع Microsoft SMTP Server" ثم يحدد إصدار TLS الذي يستخدمه ، بالإضافة إلى التشفير المحدد.

تشير كتلة الرأس الثالثة إلى الانتقال من خادم البريد المحلي إلى خدمة تصفية البريد. أنت تعرف هذا لأنه ذهب "عبر Frontend Transport" وهو بروتوكول خاص بـ Microsoft-Exchange (وبالتالي لم يكن SMTP بشكل صارم).

يتضمن هذا الحظر أيضًا بعض عمليات التحقق من البريد الإلكتروني. يوضح عنوان Outlook.com بالتفصيل نتائج نظام التعرف على هوية المرسل (SPF) / DKIM / DMARC هنا. يعني برنامج SPF softfail أن عنوان IP هذا غير مصرح له بإرسال رسائل بريد إلكتروني نيابة عن gmail.com.

يعني "dkim = pass" أن البريد الإلكتروني من المرسل المزعوم وأنه (على الأرجح) لم يتم تغييره أثناء النقل.  

DMARC عبارة عن مجموعة من القواعد التي تخبر خادم البريد بكيفية تفسير نتائج نظام التعرف على هوية المرسل (SPF) و DKIM. من المحتمل أن يعني المرور أن البريد الإلكتروني يستمر في الوصول إلى وجهته.

لمزيد من المعلومات حول نظام التعرف على هوية المرسل (SPF) و DKIM و DMARC ، راجع هذه المقالة.

الانتقال الداخلي / الخارجي

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

هذا هو سجل نظام التعرف على هوية المرسل (SPF) من Google - يخبر الخادم المتلقي أن البريد الإلكتروني الذي يقول إنه وارد من gmail.com ، وارد من خادم معتمد من Google.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

يعرض هذا بعض فحوصات SPF / DKIM / DMARC الإضافية ، بالإضافة إلى نتائج فحص IronPort.

Ironport هو عامل تصفية بريد إلكتروني شائع تستخدمه العديد من الشركات للبحث عن البريد العشوائي والفيروسات ورسائل البريد الإلكتروني الضارة الأخرى. يقوم بمسح الروابط والمرفقات في البريد الإلكتروني ويحدد ما إذا كان البريد الإلكتروني ضارًا (ويجب إسقاطه) ، أو ما إذا كان من المحتمل أن يكون شرعيًا ويجب تسليمه ، أو إذا كان مشبوهًا في هذه الحالة ، يمكنه إرفاق رأس بالجسم والذي يطلب من المستخدمين توخي الحذر من البريد الإلكتروني.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

يعرض هذا القسم القفزات الداخلية التي أخذها البريد الإلكتروني من الجهاز الأولي للمرسل عبر نظام توجيه gmail وإلى بيئة التوقعات الخاصة بالمستلم. من هذا يمكننا أن نرى أن المرسل الأولي كان من Macbook ، باستخدام جهاز توجيه منزلي ، مع Verizon Fios في مدينة نيويورك.

هذه هي نهاية القفزات التي توضح المسار الذي سلكه البريد الإلكتروني من المرسل إلى المستلم. بعد ذلك ، سترى نص الرسالة الإلكترونية (والعناوين التي تراها عادةً مثل "من:" ، "إلى:" ، وما إلى ذلك) ، ربما مع بعض التنسيق استنادًا إلى نوع الوسائط وعميل البريد الإلكتروني (على سبيل المثال إصدار MIME ، ونوع المحتوى ، والحدود ، وما إلى ذلك). قد تحتوي أيضًا على بعض معلومات وكيل المستخدم ، وهي تفاصيل حول نوع الجهاز الذي أرسل الرسالة.

في هذه الحالة ، نعلم بالفعل أن الجهاز المرسل كان Macbook بسبب اصطلاح تسمية Apple ، ولكنه قد يحتوي أيضًا على تفاصيل حول نوع وحدة المعالجة المركزية وإصدارها وحتى المتصفح والإصدار الذي تم تثبيته على الجهاز.

في بعض الحالات ، وليس كلها ، قد يحتوي أيضًا على عنوان IP الخاص بجهاز الإرسال (على الرغم من أن العديد من مقدمي الخدمة سيخفون هذه المعلومات بدون أمر استدعاء)

ماذا يمكن أن تخبرك رؤوس البريد الإلكتروني؟

يمكن أن تساعد رؤوس البريد الإلكتروني في تحديد متى لا يتم إرسال رسائل البريد الإلكتروني من المرسلين المزعومين. يمكنهم تقديم بعض المعلومات عن المرسل - على الرغم من أنه لا يكفي عادةً تحديد المرسل الحقيقي.

غالبًا ما تستخدم جهات إنفاذ القانون هذه البيانات لاستدعاء المعلومات من مزود خدمة الإنترنت الصحيح ، ولكن يمكن لبقيتنا في الغالب استخدامها للمساعدة في إبلاغ التحقيقات ، بشكل عام في التصيد الاحتيالي.

تزداد هذه العملية صعوبة بسبب حقيقة أن الرؤوس يمكن تزويرها بواسطة خوادم ضارة أو قراصنة. بدون الاتصال بمالك كل خادم والتحقق بشكل فردي من تطابق الرؤوس الموجودة في بريدك الإلكتروني مع سجلات SMTP الخاصة بهم ، وهو أمر مرهق ويستغرق وقتًا طويلاً ، فلن تكون متأكدًا من دقة الرؤوس (بخلاف الرؤوس المرفقة بواسطة خوادم البريد الخاصة بك).

بدون الاتصال بمالك كل خادم والتحقق بشكل فردي من تطابق الرؤوس الموجودة في بريدك الإلكتروني مع سجلات SMTP ، وهو أمر مرهق ويستغرق وقتًا طويلاً ، فلن تكون متأكدًا من دقة جميع الرؤوس ..

يمكن أن تساعد DKIM و DMARC و SPF جميعًا في هذه العملية ، ولكنها ليست مثالية ، وبدونها ، لا يوجد تحقق على الإطلاق.

لا تريد تحليل الرؤوس الخاصة بك؟ هذا الموقع سيفعل ذلك من أجلك.