月光愛靑狼

◎ 발신자 이메일 주소를 위조(Spoofing)한 경우

• 일반적으로 공격자가 소유하지 않은 주소를 사용하여 신뢰를 유도합니다.
• 악성 파일 첨부 또는 피싱 링크 포함 확률이 매우 높습니다.
• 사용자로 하여금 클릭 또는 로그인을 유도하는 문구를 포함합니다.
  * 예시:
  "메일 용량이 초과되었습니다. 저장공간을 확보하세요."
  "비밀번호가 만료되었습니다. 즉시 변경해주세요."
• 이메일에 회신을 유도하지 않으며, 일방적인 동작 유도(클릭/로그인 등) 위주입니다.
• 메일 도메인은 정식 도메인과 한 글자 정도 차이나는 유사 도메인을 사용합니다.
  * 예: microsoft.com → micr0soft.com, nate.com → narte.com
• 발송 메일 서버(SMTP) 역시 원 도메인과 관련 없는 무료 메일 서버를 사용하는 경우가 많습니다.
• SPF, DKIM, DMARC 인증 결과에서 실패(spf=fail 등)가 나타나는 경우가 많습니다.

 > 주요 식별 포인트

• From과 Return-Path, Received 헤더 간 불일치 여부
• 발송 서버의 도메인/IP가 공식 도메인과 일치하지 않는지 확인
• DKIM 서명 누락 또는 위조 흔적 확인

◎ 발신자 이메일 주소를 실제로 사용하는 경우 (계정 탈취)

• 실제 합법적인 메일 계정이 해킹된 경우입니다.
• 외형상으로는 정상적인 발신자처럼 보이므로 식별이 어렵습니다.
• 기존 대화 내용이 포함되거나, 정상적인 메일 흐름을 위장하기도 합니다.
• 주로 금전적 목적의 공격이 많습니다.
   * 예시:
  "최근 계좌가 변경되었습니다. 아래 계좌로 송금 바랍니다."
  "송장 파일 첨부드립니다. 확인 후 회신 부탁드립니다."
• 회신을 유도하는 문구가 있으며, 실제 회신 시 공격자가 응답합니다.
• 메일 서명이 실제와 동일하거나 사내 서명 템플릿을 그대로 사용합니다.
• 수신자가 의심 없이 대응할 가능성이 높습니다.

 > 주요 식별 포인트

• 회신 주소(Reply-To)가 원 발신자와 다를 수 있음
• 발신자와 주고받은 이메일 내역 확인
• 메일 서버 IP의 이상 여부
• 메일 작성 시점이나 언어 표현이 비정상적일 경우 주의
• 파일 첨부 시, 파일 확장자 위장 (pdf.exe, docx.scr 등)

1. MXToolbox - Email Header Analyzer

• URL: https://mxtoolbox.com/EmailHeaders.aspx
• 설명:
  이메일 헤더를 붙여넣으면, 메일이 거쳐간 서버들과 소요 시간(latency) 등을 시각적으로 분석해줍니다.
  Received 순서, 발송지 도메인/IP, 인증정보 등을 명확하게 보여줍니다.
• 장점:
  사용자 친화적인 UI
  지연 시간 기준으로 서버 경로를 시각화
  스팸 및 블랙리스트 검사 도구와 연동 가능

2. IP-Adress.com - Trace Email Address

• URL: https://www.ip-adress.com/trace-email-address
• 설명:
  이메일 헤더를 기반으로 IP 추적 및 위치 정보 분석에 특화된 도구입니다.
  발신 IP를 지리적 위치와 함께 표시해주며, 위장된 IP 여부 판단에 도움을 줍니다.
• 장점:
  IP 기반 위치 분석에 탁월
  간단한 UI로 초보자도 사용 가능
  누가 메일을 보냈는지 대략적인 물리적 위치 추정 가능

3. Google Admin Toolbox – Messageheader

• URL: https://toolbox.googleapps.com/apps/messageheader/
• 설명:
  구글에서 제공하는 전문적인 이메일 헤더 분석 도구입니다.
  Received 분석, SPF/DKIM/DMARC 결과, 인증 평가 등을 정확하게 제공합니다.
• 장점:
  신뢰성 높은 구글 제공 서비스
  헤더 간 시간 간격 분석이 매우 정밀
  SMTP 인증 및 전달 흐름 시각화

4. Mailheader.org

• URL: https://mailheader.org/
• 설명:
  간단한 UI로 Received 헤더 분석, IP 추적, 인증 실패 여부 등을 요약해줍니다.
• 장점:
  빠르고 직관적인 결과 제공
  초보자에게 적합한 단순한 구성
  인증된 메일인지 아닌지 바로 확인 가능

5. Header Analyzer by Microsoft (Outlook)

• URL: https://testconnectivity.microsoft.com/
          (https://mha.azurewebsites.net/)
• 경로: 왼쪽 메뉴 '메세지 분석기'
• 설명:
  마이크로소프트 이메일(특히 Exchange/Outlook) 관련 메시지를 상세 분석할 수 있는 기업용 도구입니다.
  이메일 전송 시간, 지연 원인, 인증 실패 로그까지 추적 가능
• 장점:
  Outlook/Exchange 환경에 최적화
  포렌식 분석에 적합한 상세 로그 제공

6. WhatIsMyIPAddress – Email Header Analyzer

• URL: https://whatismyipaddress.com/trace-email
• 설명:
  IP 주소 전문 사이트에서 제공하는 간단한 헤더 분석 도구
  IP 추적과 발신지 도메인 파악에 중점
• 장점:
  이메일 발신지 추적 목적에 특화
  스팸 추적이나 개인 사용자 분석에 적합

◎ 사용 팁

• 헤더를 붙여 넣기 전에 이메일 원본 보기(View Source) 또는 "원문 다운로드 (.eml)" 기능을 통해 전체 헤더를 확보하세요.
• Received 헤더는 항상 가장 아래(최초 발송지)부터 분석하는 것이 좋습니다.
• 도구를 2개 이상 병행 사용하면 위·변조된 메일의 특성을 더욱 정확히 파악할 수 있습니다

해킹 메일, 스팸 메일, 악성 메일, 피싱 메일 등 위·변조된 이메일을 분석하기 위해 이메일 헤더를 살펴보았습니다.

◎ 주요 분석 항목

> Received

• 이메일이 어떤 경로(서버)를 통해 전달되었는지를 기록합니다.
• 가장 상단의 Received는 마지막 경유지, 가장 하단은 최초 발신지입니다.
• 형식:
  Received: from [A] by [B] for [C]
  → A 서버에서 B 서버로 메일이 전달되었고, 수신자는 C입니다.
• 헤더에 Received:가 여러 개 있다면, 메일이 여러 서버를 거쳐 전달되었음을 의미합니다.
• 각 from 필드에는 호스트명 또는 IP 주소가 포함되며, 이를 통해 발신지 추적이 가능합니다.

 * 예시:

• us2.outbound.mailhostbox.com는 무료 메일 발송 서버이며,
• From 주소는 kaiwei.yeo@sheleqals.com으로 보이지만, 실제로는 다른 서버를 통해 전송되었습니다.
• 이는 수신자가 sheleqals.com 도메인을 신뢰하도록 유도하려는 위장 수법일 수 있습니다.

> Authentication-Results

• 이메일 인증 결과를 보여줍니다.
• SPF, DKIM, DMARC 등의 인증 상태가 이 필드에 표시됩니다.

 * 예시:

• DKIM이 없다는 것은 발신자가 도메인 소유 인증을 하지 않았다는 의미입니다.
• 기업 메일에서는 일반적으로 DKIM 서명이 필수이며, 없을 경우 위조 가능성이 있습니다.

> SPF (Sender Policy Framework)

• 보낸 사람의 IP가 도메인의 DNS에 등록된 발송 가능 IP인지 확인하는 기술입니다.
• SPF 결과는 Authentication-Results에 함께 표시됩니다.
   * 예: 

> DMARC

• SPF와 DKIM 결과를 종합하여, 정책에 따라 차단/허용/보고할지를 판단합니다.
• 없거나 fail 상태일 경우 위조 가능성이 매우 높습니다.

> Date

• 이메일이 전송된 시점(작성된 시간)을 나타냅니다.
• 일부 악성 메일은 이 시간을 조작해 수신자에게 혼란을 줄 수 있습니다.

> From

• 송신자의 이름과 이메일 주소를 나타냅니다.
• 위조가 가장 쉬운 필드이며, Received나 Return-Path와 함께 비교하여 분석해야 합니다.

> To

• 수신자의 이메일 주소입니다.

> Subject

• 이메일 제목입니다.
• 악성 메일은 보통 클릭을 유도하는 자극적인 제목을 사용합니다. 예: 연말정산 자료, 거래명세서(Invoice)  등

> User-Agent

• 메일을 작성한 클라이언트 정보입니다.

 * 예시:

• Roundcube는 오픈소스 웹메일 클라이언트로, 기업에서 자체 호스팅하는 경우는 드뭅니다.
• 낮은 버전이나 생소한 클라이언트가 사용된 경우 의심 요인이 될 수 있습니다.

> Message-ID

• 메일 서버에서 자동으로 생성한 고유 식별자입니다.
• 중복되거나 비정상적인 형식일 경우, 위조 가능성이 있습니다.

> Return-Path

• 메일이 반송될 경우 도달하는 주소입니다.
• 일반적으로 MTA(메일 전송 에이전트)에서 설정합니다.
• From 주소와 불일치할 경우 의심할 요소가 됩니다.

> 헤더 위조 여부 예시

• 악성 메일은 추적을 어렵게 하기 위해 허위 Received 헤더를 삽입하는 경우가 있습니다.

 * 예시:

• 실제 존재하지 않는 서버명이거나 비표준 메시지가 포함되어 있는 경우, 위조 가능성이 매우 높습니다.

해킹메일/스팸메일/악성메일/피싱메일 등 위변조된 이메일을 분석하기위한 기초로 이메일 헤더형식을 알아보겠습니다.

◎ 주요 헤더 필드
> From
보낸 사람의 이름과 이메일 주소를 나타냅니다. 회사명이나 직책을 포함할 수 있지만 쉽게 위조 가능하며, 신뢰성이 낮은 필드입니다.

> Sender
실제 메일 발송자의 이메일 주소를 나타냅니다. 명시되지 않으면 From과 동일하게 간주됩니다.

> Subject
보낸 사람이 입력한 이메일 제목입니다.

> Date
이메일이 작성된 날짜와 시간입니다.

> To
이메일 수신자의 주소입니다. 메일이 실제로 전송된 대상과 일치하지 않을 수도 있으며, 참조(Bcc/Cc)된 주소는 포함되지 않을 수 있습니다.

> Cc (Carbon Copy)
참조 수신자 이메일 주소입니다. 수신자와 함께 표시됩니다.

> Bcc (Blind Carbon Copy)
숨은 참조 수신자의 이메일 주소로, 다른 수신자들에게는 표시되지 않습니다.

> Reply-To
수신자가 회신할 이메일 주소를 나타냅니다. 보통 From과 다를 경우 사용됩니다.

> Return-Path
메일이 반송될 때 도착하는 이메일 주소입니다. 실제 발신자의 정보를 추적하는 데 중요한 필드입니다.

> Delivered-To
최종적으로 메일이 전달된 수신자의 이메일 주소입니다.

> Deliver-To
배송을 받은 수령인의 주소가 표시됩니다. 배송이 진행되는 동안 Deliver-To 헤더가 추가됩니다.

> Envelope-To
SMTP 프로토콜 수준에서의 수신자 주소입니다. 실제 메일이 전달된 경로를 확인하는 데 사용됩니다.

> Delivery Date
메일 서버가 해당 메일을 수신한 날짜와 시간입니다.

>  Message-ID
메일 서버에서 생성한 고유 식별자입니다. 메일이 중복 전송되었는지 식별하거나 스레딩 처리에 사용됩니다.

> Received
가장 신뢰성 있는 헤더 중 하나로, 메일이 거쳐온 서버의 경로를 기록합니다.
Received 필드는 아래에서 위로 읽는 것이 일반적이며, 맨 마지막 줄이 최초 발송 서버입니다. 
즉, 첫 번째 "Received:" 줄은 사용자의 시스템 또는 메일 서버입니다.
마지막 “Received:” 줄은 메일이 시작된 곳입니다.

위조 가능성이 있지만, 수많은 보안 분석에서 필수적으로 확인하는 요소입니다.

◎ 보안 관련 인증 헤더
> Dkim-Signature & Domainkey-Signature
발송 도메인에서 서명된 메일인지 여부를 확인하는 디지털 서명 필드입니다. DNS에 등록된 공개 키를 기반으로 메일의 무결성과 진위 여부를 검증합니다.

> SPF (Sender Policy Framework)
이메일 발신자가 해당 도메인을 대표할 수 있는 서버인지 확인하는 인증 방식입니다. 도메인의 DNS 레코드에 등록된 IP와 메일 발송 서버를 비교합니다.

>  DMARC (Domain-based Message Authentication, Reporting, and Conformance)
SPF와 DKIM의 검증 결과를 종합하여 메일을 차단, 허용, 보고할지를 결정하는 정책입니다. 해당 필드는 빠져 있으므로 꼭 추가되어야 합니다. 예: Authentication-Results: dmarc=pass (p=none) header.from=example.com

◎ MIME 및 콘텐츠 관련 필드
> Mime-Version
멀티미디어 컨텐츠가 포함된 이메일을 지원하는 포맷 버전입니다. 일반적으로 1.0이 사용됩니다.

> Content-Type
이메일 본문의 형식을 지정합니다. 예: text/plain, text/html, multipart/mixed 등.

◎ X-Headers (비표준 확장 헤더)
X-헤더는 메일 서버, 보안 솔루션, 바이러스 검사기 등에서 추가적으로 삽입하는 비표준 정보 필드입니다. 모든 메일에 항상 존재하지 않습니다.

> X-Spam-Status / X-Spam-Level
스팸 필터가 판별한 결과 및 스팸 점수입니다.

> X-Mailer
메일 작성에 사용된 프로그램 또는 클라이언트를 나타냅니다.

> X-Originating-Email / X-Originating-IP
메일 작성자의 실제 이메일 주소 및 IP 주소를 표시합니다. 실제 발신자 추적에 유용합니다.

> X-Microsoft-Antispam / X-Priority / X-OriginalArrivalTime
Microsoft 기반 서버에서 제공하는 필드로, 스팸 판단, 도착 시간, 우선순위 등을 포함합니다.
 * X-Priority: 1(높음) ~ 5(낮음)

◎ 이메일 본문

> Message Body
보낸 사람이 작성한 실제 이메일 내용입니다. 헤더와 분리되어 있으며, 악성 코드, 스크립트, 피싱 링크 등이 포함될 수 있으므로 정밀 분석이 필요합니다.