해킹메일/스팸메일/악성메일/피싱메일 등 위변조된 이메일을 분석하기위한 기초로 이메일 헤더형식을 알아보겠습니다.

 

◎ Email Headers
> From
회사명이나 회사 직책과 같은 신원이나 이메일 주소를 나타내지만 쉽게 위조될 수 있으며 신뢰성이 가장 낮을 수 있습니다.

> Sender
발신자 이메일 주소입니다. 이 속성을 설정하지 않으면 Sender 이메일 주소는 From 이메일 주소와 동일합니다.

> Subject
이는 보낸 사람이 이메일 제목 줄에 표시한 제목을 나타냅니다.

> Date
이메일 메시지가 작성된 날짜와 시간이 표시됩니다.

> To
이는 메시지가 누구에게 전달되었는지 표시하지만 수신자의 주소를 포함하지 않을 수 있습니다.

> Cc 
이메일 메시지의 추가 수신자 이메일 주소입니다.

> Bcc
이메일 메시지를 받고 있지만 주소가 다른 수신자에게 표시되지 않는 수신자의 이메일 주소(숨은참조)입니다.

> Delivered-To
수신자의 이름과 주소뿐만 아니라 참조 및 숨은 참조에 있는 기타 주소도 표시합니다.

> Deliver-To
배송을 받은 수령인의 주소가 표시됩니다. 배송이 진행되는 동안 Deliver-To 헤더가 추가됩니다.

> Reply-To
답장을 보낼 이메일 주소를 포함하는 선택적 필드입니다.

>: Return-Path
반송 메일의 이메일 주소입니다. 이는 "Reply-To:"과 동일합니다.

> Envelope-To
이 헤더는 이메일 주소가 사서함으로 전달되었음을 보여줍니다.

> Delivery Date
메일 서버나 클라이언트에서 이메일을 받은 날짜와 시간을 표시합니다.

> Received
수신된 내용은 이메일 헤더의 가장 중요한 부분이며 일반적으로 가장 신뢰할 수 있습니다. 이는 메시지가 귀하에게 도달하기 위해 이동한 모든 서버/컴퓨터의 목록을 형성합니다.
수신된 줄은 아래에서 위로 읽는 것이 가장 좋습니다.
즉, 첫 번째 "Received:" 줄은 사용자의 시스템 또는 메일 서버입니다.
마지막 “Received:” 줄은 메일이 시작된 곳입니다.
각 메일 시스템에는 "Received:" 줄이라는 고유한 스타일이 있습니다.
"Received:" 줄은 일반적으로 메일을 받은 서버와 메일을 받은 서버를 식별합니다.

> Dkim-Signature & Domainkey-Signature
이는 이 도메인에 서명된 서버가 실제로 이 메시지를 보냈는지 확인하기 위해 도메인 키 식별자가 검증되었는지 여부를 나타냅니다. 이메일은 디지털 서명으로 서명되며, 이는 보낸 사람 도메인의 DNS 레코드에서 보낸 사람의 공개 키를 확인하여 확인할 수 있습니다.

> PF or Sender Policy Framework
보낸 사람이 도메인을 대신하여 이메일을 보낼 수 있는 호스트를 지정하는 데 사용하는 인증 방법입니다. MTA(메일 전송 에이전트)는 보낸 사람의 DNS 레코드를 확인하여 도메인에서 받은 이메일이 보낸 사람의 DNS 레코드에 나열된 호스트에서 보낸 것인지 확인합니다.

> Message-id
메시지가 처음 생성될 때 메일 시스템에서 할당한 고유 문자열입니다. 여기에는 다양한(약 50개) 문자와 숫자가 포함됩니다.

> Mime-Version
MIME(Multi Purpose Internet Mail Extensions)은 이메일 형식을 확장하는 인터넷 표준 입니다. 메시지를 암호화하기 위해 PGP 서명을 사용하는 S/MIME과 같이 첨부할 수 있는 다양한 MIME 차별화 요소가 있습니다.

> Content-Type
일반적으로 이는 html 또는 일반 텍스트와 같은 메시지 형식을 알려줍니다.

◎ X-Headers
이 필드는 이메일이 인터넷과 내부 네트워크를 통과할 때 이메일 안티 바이러스 스캐너와 같은 보안 장치에 의해 이메일에 추가됩니다. X-헤더는 순서가 맞지 않을 수 있으며 종종 메시지 정보 및 서버 릴레이 헤더 내에서 혼합됩니다. 모든 X-Headers가 모든 경우에 나타나는 것은 아닙니다. 

> X-Spam-Status
서비스 또는 메일 클라이언트에서 생성된 스팸 점수를 표시합니다.

> X-Spam-Level
서비스 또는 메일 클라이언트에서 일반적으로 생성되는 스팸 점수를 표시합니다.

> X-Mailer
이메일을 보내는 데 사용된 이메일 클라이언트 또는 소프트웨어.

> X-Microsoft-Antispam
대량 메일 및 피싱에 대한 추가 정보가 포함되어 있습니다.

> X-Originating-Email
실제 메일을 보낸 사람의 이메일주소입니다.

> X-Originating-IP
실제 메일을 보낸 사람의 PC의 IP 주소입니다.

> X-Priority
이메일의 우선순위를 지정하는 데 사용되는 이메일 사양의 선택적 매개변수입니다.
1(가장 높음), 2(높음), 3(보통), 4(낮음), 5(가장 낮음). 필드가 생략된 경우 3(일반)이 기본값입니다.

> X-OriginalArrivalTime
메시지가 도착하는 시간으로 간주됩니다.

◎ Message Body
이는 보낸 사람이 작성한 이메일 자체의 실제 내용입니다.

'분석 > 이메일' 카테고리의 다른 글

해킹메일 시나리오  (0) 2023.10.16
이메일 헤더 분석 사이트  (0) 2023.10.16
이메일 헤더 분석  (0) 2023.10.16

+ Recent posts