이메일 헤더 분석

해킹메일/스팸메일/악성메일/피싱메일 등 위변조된 이메일 헤더형식을 분석해 봤습니다.

 

◎ 이메일 헤더 분석
> Received: 는 송신된 메일이 어떤 경로를 통해서 전송되었는지의 기록합니다.(최상단이 가장 마지막 경로)
ㄴ from A by B for C : A메일서버를 통해 B메일서버에 전송된 전자우편으로 C에게 전달되었다는 의미입니다.
ㄴ Header 내에 Received: 가 여러개 있는 경우, 다른 몇 개 서버를 거쳐 전달된 것으로 Received: 헤더에 거쳐온 메일 서버들이 모두 표시됩니다.
ㄴ 최하단 Received: 헤더가 제일 처음 메일이 발송된 곳이고, 그 곳에서 차례대로 위쪽으로 지나온 것입니다.
ㄴ 최하단 Received: 정보 중 from 정보는 호스트네임(도메인 이름, IP)입니다.
ex. Received: from localhost(unknown [10.86.224.108](Authenticated sender: kaiwei.yeo@sheleqals.com) by us2.outbound.mailhostbox.com
ㄴ 메일서버 도메인과 발신자 메일 도메인을 비교합니다.
ㄴ 발송 메일서버는 us2.outbound.mailhostbox.com인데(무료), 발송자 전자운편 주소 도메인은 sheleqals.com입니다.

     => 수신자가 이메일을 확인 시  kaiwei.yeo@sheleqals.com 이메일 주소에서 발신된 것으로 착각할 수 있으나,
          실제로 발신된 메일서버는 sheleqals.com 가 아니라 무료 메일서버( us2.outbound.mailhostbox.com )를 이용해 
          수신자를 속이려고 한 것입니다.

> Authentication-Results는 전자메일 인증 확인 결과입니다.
ㄴ dkim="none (message not signed)" => 인증결과 메시지서명 없다는 것으로 기업에서는 메시지서명을 필수로  사용합니다.

> Date는 수진자가 메일을 수신한 날짜 및 시간입니다.

> From은 메일의 송신자 이름 및 계정 정보입니다.

> To는 메일의 수신자 이름 및 계정 정보입니다.

> Subject는 메일 본문의 제목입니다.

> User-Agent는 에플리케이션 정보입니다.
ㄴ User-Agent: Roundcube Webmail/1.4.8 => 오픈소스로 기업에서는 사용하는 경우가 없습니다.

> Message-ID는 메일 서버에서 부여하는 메일의 식별 번호입니다.

> Return-Path는 메일 전송이 실패할 경우 반송될 계정 정보로서 일반적으로 MTA에서 송신자의 메일 주소를 입력합니다.

> 헤더 위조 여부 확인 : 추적을 어렵게 하기 위해 헤더에 아래 내용을 추가하는 경우도 있습니다.
Received: from nowhere by fictitious-site (8.8.3/8.7.2)...
Received: No Information Here, Go Away!