Email Header Analysis [Gmail]
ADIM 1: E-posta gövdesinin nasıl göründüğünü inceleyin. URL'ler ve ekler varsa, bunları sanal ortamda test etmeniz gerekecektir [Sanal Makine].
Sandbox Ortamı — (statik ve dinamik analiz)
Bağlantıları/ekleri sandbox ortamında test etmek için, URL itibar kontrolü/dosya karma kontrolü için Virus Total, Urlscan.io, Palo Alto URL filtreleme, whois, domaintools, haveibeenpwned, Web sayfasının öğelerini denetle -> ağ etkinliğini kontrol et, Google dorks, Browserling, bağlantılara/eklere yapılan kullanıcı tıklama eylemleri için E-keşif kontrolü çalıştırabilir. Sandbox ortamında bağlantıları/ekleri analiz etmek için diğer OSINT araçlarını da kullanabilirsiniz.
ADIM 2: E-posta başlığını ve e-posta gövdesini analiz etmek için öncelikle e-postayı .eml formatında indirin.
ADIM 3: Orijinal Mesaj sayfasıyla karşılaşacaksınız. "Orijinali İndir" seçeneğini belirlerseniz, başlık analizi için e-postayı .eml formatında indirebilir veya isterseniz "Panoya Kopyala" seçeneğini kullanarak başlığı doğrudan kopyalayıp herhangi bir e-posta başlık analiz aracına yapıştırabilirsiniz.
panoya kopyala
orjinali indir
STEP 4: Email Header Analysis: SPF, DKIM, DMARC, SCL & BCL score
Header analysis is done on MxtoolBox
SPF Hizalaması, SPF Kimlik Doğrulaması, DKIM Hizalaması ve DKIM Kimlik Doğrulaması'nın hepsinin PASS olduğunu görüyoruz.
· Spoof'u kontrol etmek için → üç noktaya tıklayın
→ original message → check Message ID [Mesaj Kimliği değeri ile "Kimden" Alanı değeri arasında fark varsa, bu sahtekarlık göstergesidir]
· SPF Hizalaması — SPF Hizalaması yalnızca "Dönüş Yolu" ve "Kimden" alan adı aynı olduğunda BAŞARILI'dır. Aralarındaki fark, e-postanın sahte olabileceğini anlamamıza yardımcı olur.
· SPF Kimlik Doğrulaması — SPF kimlik doğrulaması BAŞARISIZ ise, gönderici IP adresinin yasal alan adı adına e-posta gönderme yetkisi olmadığı anlamına gelir.
· DKIM Hizalaması — DKIM İmzası alanını [d=domain.com] "Kimden" ile karşılaştırın, eşleşmezse sonuç DKIM Hizalamasını BAŞARISIZ olarak işaretler.
· DKIM Kimlik Doğrulaması — DKIM İmzası alanı [b=……..] doğrulanmazsa, e-postanın değiştirildiğini veya değiştirildiğini söyleyebiliriz.
SPF, DKIM ve DMARC nedir?
Gönderen Politikası Çerçevesi (SPF), bir alan adının e-posta gönderdiği tüm sunucuları listelemesinin bir yoludur. Bunu, bir çalışanın bir kuruluşta çalışıp çalışmadığını doğrulamaya yardımcı olan, herkese açık bir çalışan dizini gibi düşünün.
SPF kaydı genellikle şu şekilde görünür: v=spf1 ip4:123.123.123.123 ~all
SPF, "yumuşak" ve "sert" hatalar arasında ayrım yapar. Başlığınıza ~all yazmak, yetkisiz bir göndericiyle karşılaşıldığında yumuşak bir hata olduğunu gösterir; -all ise alıcı sunucuya sert bir hata kullanmasını söyler. Sert bir hata durumunda e-posta tamamen silinir. Yumuşak hatalar, e-postanın alıcının önemsiz posta klasörüne iletilmesine izin verebilir.
DMARC artık yaygın olarak kullanılabiliyor ve aşağıda göreceğimiz gibi, genellikle ~all (yumuşak hata) kullanılması önerilir. Bu, meşru e-postalarda yanlış pozitifleri önler, DMARC'a daha fazla kontrol sağlar ve sonraki doğrulama aşamalarında hata ayıklamaya yardımcı olabilir. Alan Adı Anahtarlarıyla Tanımlanmış Posta (DKIM), alan adı sahiplerinin kendi alanlarından gelen e-postaları otomatik olarak "imzalamalarını" sağlar; tıpkı bir çekteki imzanın çeki kimin yazdığını onaylamasına yardımcı olması gibi.
DKIM "imzası", e-postanın alan adından geldiğini matematiksel olarak doğrulamak için kriptografi kullanan dijital bir imzadır. Alan Adı Tabanlı Mesaj Kimlik Doğrulama Raporlama ve Uyumluluk (DMARC), alıcı e-posta sunucusuna SPF ve DKIM kontrollerinden sonra elde edilen sonuçlara göre ne yapması gerektiğini söyler.
Bir alan adının DMARC politikası çeşitli şekillerde ayarlanabilir; posta sunucularına SPF veya DKIM'de (veya her ikisinde de) başarısız olan e-postaları karantinaya almaları, bu tür e-postaları reddetmeleri veya teslim etmeleri talimatını verebilir.
DMARC DNS Kaydı v=DMARC1; p=yok; rua=mailto:user@example.com
SPF ve DKIM'den farklı olarak DMARC, alan adı sahiplerine, bir e-posta sunucusu uygun kimlik doğrulaması olmadan bir ileti aldığında ne olacağını belirleme olanağı sunar. Desteklenen üç eylem vardır:
· yok — Sunucu iletiyi iletmeye devam edebilir.
· karantina — İletiyi önemsiz veya spam klasörüne ilet.
· reddet — İletiyi reddedip geri gönder.
DMARC ayrıca bir raporlama mekanizması da sağlar. Alan adınızdan geliyormuş gibi görünen bir e-posta aldıklarında, alıcı posta sunucularının arayacağı bir sunucu uç noktası belirleyebilirsiniz. Bu, alan adınızmış gibi gönderim yapan sunucuların internet genelinde bir görünümünü sağlar.
SCL ve BCL puanı hakkında bilinmesi gereken bir diğer önemli nokta nedir?
İletilerdeki spam güven düzeyini (SCL) ayarlamak için posta akışı kurallarını kullanın. SCL'ye benzer şekilde, toplu şikayet düzeyi (BCL), kötü toplu e-postaları (Gri posta olarak da bilinir) belirler. Daha yüksek bir BCL, toplu bir e-posta iletisinin şikayet oluşturma olasılığının daha yüksek olduğunu (ve dolayısıyla spam olma olasılığının daha yüksek olduğunu) gösterir.
Öncelikle neyi temsil ettiklerini anlamak için bazı önemli başlıkları inceleyelim. E-postanın nereden geldiğini doğru bir şekilde anlayabilmek için mesaj başlıklarını aşağıdan yukarıya doğru okumak idealdir.
X-önceliği: X-önceliği, e-postanın önceliğini belirtmek için kullanılan e-posta özelliğindeki isteğe bağlı bir parametredir. Değerler 1 (En Yüksek), 2 (Yüksek), 3 (Normal), 4 (Düşük) veya 5 (En Düşük) olabilir. Alan atlanırsa varsayılan değer 3'tür. Çoğu e-posta programı, düşük veya yüksek olarak ayarlanmadığı sürece bu alanı doldurmaz. İstemci tarafı programları, gelen mesajı (!) 1 veya 2 ise vurgular.
İçerik Türü: Bu başlık, e-postadaki içerik türünü belirtir. Önceki e-posta düz metindir.
Teslim Edilen: Bu başlık, e-postanın teslim edildiği hedef e-posta kimliğini temsil eder. Alınan-SPF: Bu başlık, gönderenin izin verilen bir gönderici olup olmadığını belirten Gönderen Politika Çerçevesi (SPF) sonuçlarını temsil eder.
Alınan: Bu başlık, alıcı bilgilerini temsil eder. E-posta birden fazla sunucudan geçerken bu başlığın birden fazla girişi olabilir.
Kimden: Bu başlık, e-postanın gönderildiği kullanıcı adını veya e-posta adresini görüntülemek için kullanılır. Sahte e-postaların genellikle bilinen bir kaynaktan gelmiş gibi görünmesi için bu başlığı değiştirdiğini unutmayın.
Mesaj Kimliği: Mesaj Kimliği, mesajı tanımlamak için kullanılabilen benzersiz bir tanımlayıcıdır.
Yanıtla: Bu başlık, alıcı alınan e-postaya yanıt verdiğinde yanıtın kime gönderileceğini belirtir.
Şimdiye kadar ele alınan başlıklara ek olarak, aşağıda gösterildiği gibi üç ek başlık daha görebiliriz.
ARC-Seal
ARC-Message-Signature
ARC-Authentication-Results
ARC-XXXX başlıkları, e-posta kimlik doğrulama sonuçlarını korumaya ve bir mesajı nihai hedefine ileten e-posta aracılarının kimliğini doğrulamaya yardımcı olur.
ARC Kimlik Doğrulama Sonuçları: Bu başlık, SPF, DKIM ve DMARC gibi e-posta kimlik doğrulama sonuçlarını içerir.
ARC-Message-Signature: Bu, DKIM benzeri bir imzadır ve mesaj başlık bilgilerinin anlık görüntüsünü alır. Bu, kime, kimden, konu ve gövde bilgilerini içerir.
ARC-Seal: Bu başlık, ARC-MessageSignature ve ARC Kimlik Doğrulama Sonuçları başlık bilgilerini içeren bir imza içerir.
ADIM 5: E-posta Gövde Analizi: gönderen, konu, e-posta gövdesi, gömülü URL/Ekler
E-postanın konusunu kontrol ederek ne hakkında olduğunu anlayın. Gönderen alan adını Virus Total, Whois DomainTools, Urlscan.io, Browserling ve Palo Alto URL Filtreleme'de kontrol edin.
Kimliğinizin ihlal edilip edilmediğini veya güvende olup olmadığını kontrol etmek için kişisel e-posta kimliğinizi "Have I been Pwned" bölümünde test edebilirsiniz. Buraya profesyonel/kurumsal e-posta kimliği girmeyin - "Have I been Pwned" (herkese açık bir depo olduğu için).
Yönlendirilen URL etkinliğini ve Temel/orijinal URL'nin gerçek amacını kontrol etmek için "Inspect element -> Network" kullanımı da önemlidir.
Kontrol edilecek alanlar: Konu, Gönderen, Gönderen Alan Adı, Alıcı, Alıcı Alan Adı, Ağ Mesaj Kimliği, Son e-posta teslimi, Orijinal e-posta teslimi.
Daha sonra e-posta gövdesinin/e-posta içeriğinin tonunu kontrol edin. E-postaya herhangi bir bağlantı (URL) veya Ek eklenmişse, URL'yi/Eki tıklayarak değil (etkileşime girmeden) kopyalayarak [Sağ tıklama -> Köprüyü Kopyala / Kopyala] yapıştırarak çıkarın ve URL'yi/Dosyayı Windows Sandbox/Sandbox Ortamında test edin veya Eki Sandbox ortamında (örneğin, Windows Sandbox) test edin.
GİDERME/AZALTMA - (Kişisel / Kurumsal)
ADIM 6: Giderme/Azaltma - Kullanıcılar kimlik avı veya spam e-postası almışsa
· Kişisel (PII)/gizli/çok gizli/hassas bilgiler içerebilen hesaplar için çok faktörlü kimlik doğrulama (MFA) sistemlerini etkinleştirin.
· Posta kutusundan e-posta temizleme (e-posta silme) işlemi gerçekleştirin.
· E-postayı kimlik avı/spam kötüye kullanımı olarak e-posta servis sağlayıcınıza bildirin.
· Bulgularınıza dayanarak e-posta servis sağlayıcısını (örneğin Gmail) veya kurumsal ortamda kullanılan aracı kimlik avı veya spam olarak bildirerek bilgilendirin.
· Gerekirse, Kötü Amaçlı/Şüpheli URL/Alan Adı için URL engelleme işlemi de gerçekleştirebilirsiniz.
· Veya temel URL/Yönlendirilen URL'nin devre dışı bırakılması için posta servis sağlayıcınıza talep gönderin. · Şimdi, e-postanın URL'sine/ekine tıklamış olabilecek kullanıcı sayısını arayın; eğer bu kullanıcı/kullanıcılar için herhangi bir sıfırlama kimlik bilgisi tespit edildiyse. · Aşağıdaki görselden de işlem yapabilirsiniz.
KULLANICI FARKINDALIĞI
ADIM 7: KULLANICI FARKINDALIĞI / Kimlik Avı Simülasyonu E-postaları
Kullanıcıları kimlik avı e-postalarını nasıl tespit edecekleri ve kendilerini nasıl koruyacakları konusunda bilgilendirmek için farkındalık afişleri ve broşürler oluşturun. Şirket için, ortamdaki kimlik avı simülasyonu faaliyetlerine yönelik planlanmış etkinlikler, kuruluşun çalışanlarının kimlik avı saldırıları hakkındaki anlayışını değerlendirmesine yardımcı olur.
What about that email from President Donald Trump?
Here is the raw header:
Received: from CY1PR0701MB1819.namprd07.prod.outlook.com (10.163.42.152) by
SN1PR0701MB1822.namprd07.prod.outlook.com (10.162.100.151) with Microsoft
SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id 15.1.1240.13 via
Mailbox Transport; Wed, 12 Jul 2017 22:49:17 +0000
Received: from SN1PR0701CA0032.namprd07.prod.outlook.com (10.162.96.42) by
CY1PR0701MB1819.namprd07.prod.outlook.com (10.163.42.152) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id
15.1.1261.13; Wed, 12 Jul 2017 22:49:16 +0000
Received: from BY2NAM01FT042.eop-nam01.prod.protection.outlook.com
(2a01:111:f400:7e42::203) by SN1PR0701CA0032.outlook.office365.com
(2a01:111:e400:5173::42) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id 15.1.1261.13 via
Frontend Transport; Wed, 12 Jul 2017 22:49:16 +0000
Exercise Email Header Analysis
Authentication-Results: spf=none (sender IP is 148.163.152.157)
smtp.mailfrom=loki.ist.unomaha.edu; unomaha.edu; dkim=none (message not
signed) header.d=none;unomaha.edu; dmarc=none action=none
header.from=whitehouse.gov;
Received-SPF: None (protection.outlook.com: loki.ist.unomaha.edu does not
designate permitted sender hosts)
Received: from mx0b-00261b01.pphosted.com (148.163.152.157) by
BY2NAM01FT042.mail.protection.outlook.com (10.152.68.172) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.1240.9 via Frontend Transport; Wed, 12 Jul 2017 22:49:15 +0000
Received: from pps.filterd (m0104361.ppops.net [127.0.0.1])
by mx0b-00261b01.pphosted.com (8.16.0.21/8.16.0.21) with SMTP id v6CMlhnA032537
for <smartprof@unomaha.edu>; Wed, 12 Jul 2017 17:49:15 -0500
Authentication-Results-Original: ppops.net; spf=none
smtp.mailfrom=smartprof@loki.ist.unomaha.edu
Received: from loki.ist.unomaha.edu (loki.ist.unomaha.edu [137.48.187.123])
by mx0b-00261b01.pphosted.com with ESMTP id 2bnsq8rykp-1
for <smartprof@unomaha.edu>; Wed, 12 Jul 2017 17:49:15 -0500
Received: by loki.ist.unomaha.edu (Postfix, from userid 13823)
id 958031E5EE0; Wed, 12 Jul 2017 17:49:14 -0500 (CDT)
To: <smartprof@unomaha.edu>
Subject: Make Cybersecurity Great Again!
X-PHP-Originating-Script: 13823:spoof.php
From: Donald Trump <therealdonaldtrump@whitehouse.gov>
Reply-To: Robin Gandhi <smartprof@unomaha.edu>
Content-Type: text/html; charset="ISO-8859-1"
Message-ID: <20170712224914.958031E5EE0@loki.ist.unomaha.edu>
Date: Wed, 12 Jul 2017 17:49:14 -0500
X-Proofpoint-Spam-Details: rule=inbound_notspam policy=inbound score=1 priorityscore=0 m
alwarescore=0
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> </head> <
body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-w
hite-space;" class=""> Dear Dr. Gandhi,<br class=""> <br class=""> You are doin
g very very good work with the Gencyber Camp. <br class=""> Just let me know wha
t you need to make it bigly successful next year!<br class=""> Please put in your fun
ding request here: <a href="https://robinagandhi.github.io/phishing-demo/encoding.h
tml" class="">Grant Application</a><br class=""> <br class=""><div class="">~Yours Truly
<br class=""><font color="#ff2600" class="">Donald</font></div></body></html>
suspectscore=10 phishscore=0 bulkscore=0 spamscore=1 clxscore=195
lowpriorityscore=0 impostorscore=0 adultscore=0 classifier=spam adjust=0
reason=mlx scancount=1 engine=8.0.1-1706020000 definitions=main-1707120363
Return-Path: smartprof@loki.ist.unomaha.edu
X-MS-Exchange-Organization-Network-Message-Id: c0790240-3fdc-4b35-078d-08d4c9783957
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: f1f4be86-d048-47e8-aa26-15b01dcdb13d:0
X-MS-Exchange-Organization-MessageDirectionality: Incoming
X-Forefront-Antispam-Report: CIP:148.163.152.157;IPV:NLI;CTRY:US;EFV:NLI;SFV:SKN;SFS:;DI
R:INB;SFP:;SCL:-1;SRVR:CY1PR0701MB1819;H:mx0b-00261b01.pphosted.com;FPR:;SPF:None;LANG:e
n;
MIME-Version: 1.0
What are the From and Return-Path email addresses. Do they match? What are they?
What is the name of the sending computer or server?
Where is the sending computer geo-located?
What website is linked to “Grant funding request.” in the message?
How likely is it that this message is spam?