Herkese Selamlar. 🙂
Bu makalemde sizlere, e-posta başlık alanlarını ve adli bilişim açısından öneminden bahsetmeye çalıştım. Gmail, e-posta başlıklarını görüntülenmesi ve analizinin yapılmasını adım adım anlatmaya çalıştım.
E-postaları kullanarak siber saldırı yapmak isteyen saldırganlar ve suçlarla alakalı vakaları araştırmak için uzmanlar ilgili olan e-postaları tararlar. Saldırganlar tespit edilmekten kaçınmak için sahte mesajlar oluşturduğundan, uzmanlar önemli kanıtları çıkarmak ve toplamak için e-posta başlığı analizi yapmalıdır.
E-posta başlıkları, mesajın hedefine ulaşmadan önce geçtiği yolun önemli bilgilerini içerisinde barındırır. Bu bilgiler, alıcıların ve gönderenlerin adlarını, e-posta mesajı gönderme/alma zamanını, e-posta istemcisini, internet servis sağlayıcısını (ISS), gönderenin IP adresini vb. içerir. Bu bilgiler ve diğer e-posta başlık alanları, e-posta iletisinin içeriğini belirlemede yardımcı olabilir.
E-posta Başlıkları nelerdir?
E-posta başlığı gönderilen e-postanın gövdesini oluşturan iletimin temel bir parçasıdır. Bu temel içeriğin önünde gönderen, alıcı, konu satırı ve tarih gibi bilgileri içeren başlık satırları bulunur. Bu bilgi parçaları e-posta istemcisi tarafından ayrıştırılır ve mesajın içeriğini daha iyi anlamamız için bazı kısımları görünür hale getirir.
Bir e-posta başlığını kavramsallaştırmanın en iyi yolu, tam bir e-posta başlığı örneğinin nasıl göründüğünü incelemektir. What Is My IP bölümündeki örneğe göz atabilirsiniz.
Gmail’de E-posta Başlığı Analizi Nasıl Yapılır?
Bir e-posta başlığını analiz etmeden önce, sırası ile şu işlemler yapılır:
- Gmail’i açın.
- Analiz etmek istediğiniz mesajı bulun.
- Mesajın sağ üst köşesindeki üç dikey noktayı tıklayın.
- “Orijinali Göster”e tıklayın.
Burada, başlıkta bulunan bilgilerin kısa bir dökümünü göreceksiniz. Aşağı kaydırırsanız, mesajın gövde içeriğinden hemen önce sona erecek olan e-posta başlığının tam metnini de görebilirsiniz.
Daha iyi görüntüleme sağlamak için bu parametreleri doğrudan inceleyebilir ya da e-posta başlığını bir e-posta başlığı analiz aracına kopyalayabilirsiniz. Örnek olarak metni e-posta başlık analizörüne kopyalayıp yapıştırabilirsiniz.
Burada ise e-posta başlığının tam metni görüntülenmektedir.
1) Delivered-To: teslim edilecek e-posta adresi
Bu e-posta başlığı alanı hedeflenen alıcının e-posta adresini içerir. E-posta analizi sırasında kontrol edilmesi gereken önemli kısımlardandır. Buradaki e-posta adresi, alıcının gerçek e-posta adresiyle aynı değilse, bu detaylı incelenmesi gereken bir mail olabilmektedir.
2) Received By: alınan
Bu alan, son ziyaret edilen SMTP sunucusunun ayrıntılarını içerir. Bu bilgiler şunlardır:
- Sunucunun IP adresi
- Ziyaret edilen sunucunun SMTP kimliği
- E-postanın SMTP sunucusu tarafından alındığı veri ve saat
3) X-Received
Bazı e-posta parametreleri, İnternet Resmi Protokol Standartlarında tanımlanmamıştır ve standart olmayan başlıklar olarak adlandırılır. Bunlar, standart olmayan bilgileri paylaşmak için X-Alınan alanını kullanabilen Google posta SMTP sunucusu gibi posta aktarım aracıları tarafından oluşturulur. Bu alan, aşağıdaki ayrıntıları paylaşır:
- Mesaj alan sunucuların IP adresi
- Sunucunun SMTP Kimliği
- E-postanın alındığı veri ve saat
4) Return Path – dönüş yolu
Bu alan, hedeflenen alıcıya ulaşamaması durumunda mesajın döndürüleceği e-posta adresini içerir. Gönderen, alıcı için yanlış bir e-posta adresi kullandıysa bu kolayca gerçekleşebilir. Yani gönderen kişiye bu bildiri ulaşır.
5) Received From – gönderen
gönderenin IP adresini ana bilgisayar adı gibi diğer ayrıntılarla birlikte bulabileceğiniz için bir e-posta başlığındaki en önemli alanlardan biridir.
Bu alan, e-postanın ulaştığı ilk SMTP sunucusunun bilgilerini içerir. Aşağıdaki ayrıntılar burada bulunabilir:
- Sunucu ile ilgili IP adresi
- Alıcının e-posta adresi
- Şifreleme bilgileri
- Mesajın alındığı veri ve saat
6) Received-SPF
Sender Policy Framework (SPF), göndereni doğrulamak için kullanılan bir e-posta güvenlik protokolüdür. Sistem mesajı ancak gönderenin kimliği doğrulandıktan sonra iletir. Teknik, kimlik doğrulama için etki alanı adresini kullanır ve başlık alanına kontrol durumunu ekler. Aşağıdaki kodlar kullanılır:
- Pass: E-posta kaynağı geçerlidir
- Softfail: Sahte kaynak mümkün
- Fail: Kaynak geçersiz
- Neutral: Kaynak geçerliliğini tespit etmek zor
- None: SPF kaydı bulunamadı
- Unknown: SPF kontrolü yapılamıyor
- Error: SPF kontrolü sırasında oluşan bir hata
7. Authentication Results
Posta Aktarım Aracıları, e-posta iletilerini işlemeden önce bir dizi kimlik doğrulama tekniği uygular. Bu tekniklerin sonuçları, mesajların başlık alanına eklenir ve noktalı virgülle ayrılır.
Kimlik Sonuçları kimlik doğrulama gerçekleştiren sunucunun kimliğini paylaşmaktadır saha e-posta başlık analiz adli tıp büyük önem taşımaktadır. Ayrıca, sonuçlarıyla birlikte kimlik doğrulama tekniklerini de paylaşır.
8) DKIM Signature
DKIM imza başlığı alanı, göndericinin, mesajın ve mesaj doğrulamasını gerçekleştirmek için gerekli olan genel anahtarın ayrıntılarını paylaşmak için bir e-posta mesajına eklenir. Gmail ve Outlook.com gibi birçok e-posta platformu, e-posta orijinalliğini doğrulamak için bu alanı destekler.
E-posta Başlığı Çözümleyici Araçları
E-posta başlığının kopyasına sahip olduğunuzda, aşağıdaki e-posta başlığı analiz araçlarından birini kullanarak analiz edebilirsiniz. Bu araçlar;
- G Suite Toolbox Messageheader
- Mx Toolbox
- What Is My IP?
- Mailheader.org
- Gaijin
Araç Kullanılarak Mail Header Analizi
Bu kısımda kullandığım 2 farklı araç ile aynı mail headerini kopyalayıp 2 farklı araç üzerinde analiz etmeye çalıştım.
- Mx Toolbox kullanılarak “header” analizi
Burada headerini kopyalamış olduğum maili yapıştırarak analiz etme aşamasına geçtim.
Ve aşağıdaki görsellerdeki gibi header analizini otomatik olarak analiz etmemize olanak sağladı.
2) Mailheader kullanılarak “header” analizi
Bu kısımda da yine kopyalamış olduğumuz headeri bu kısma yapıştırıyoruz.
Çıkan sonuçlardan mail içeriğinin ve başlığının analizini detaylı olarak görüntülüyoruz.
Buraya kadar okuduğunuz için teşekkürler, umarım faydalı olmuştur. 🙂