月光愛靑狼

해킹메일/스팸메일/악성메일/피싱메일 등 위변조된 이메일을 분석하기위한 기초로 이메일 헤더형식을 알아보겠습니다.

◎ 주요 헤더 필드
> From
보낸 사람의 이름과 이메일 주소를 나타냅니다. 회사명이나 직책을 포함할 수 있지만 쉽게 위조 가능하며, 신뢰성이 낮은 필드입니다.

> Sender
실제 메일 발송자의 이메일 주소를 나타냅니다. 명시되지 않으면 From과 동일하게 간주됩니다.

> Subject
보낸 사람이 입력한 이메일 제목입니다.

> Date
이메일이 작성된 날짜와 시간입니다.

> To
이메일 수신자의 주소입니다. 메일이 실제로 전송된 대상과 일치하지 않을 수도 있으며, 참조(Bcc/Cc)된 주소는 포함되지 않을 수 있습니다.

> Cc (Carbon Copy)
참조 수신자 이메일 주소입니다. 수신자와 함께 표시됩니다.

> Bcc (Blind Carbon Copy)
숨은 참조 수신자의 이메일 주소로, 다른 수신자들에게는 표시되지 않습니다.

> Reply-To
수신자가 회신할 이메일 주소를 나타냅니다. 보통 From과 다를 경우 사용됩니다.

> Return-Path
메일이 반송될 때 도착하는 이메일 주소입니다. 실제 발신자의 정보를 추적하는 데 중요한 필드입니다.

> Delivered-To
최종적으로 메일이 전달된 수신자의 이메일 주소입니다.

> Deliver-To
배송을 받은 수령인의 주소가 표시됩니다. 배송이 진행되는 동안 Deliver-To 헤더가 추가됩니다.

> Envelope-To
SMTP 프로토콜 수준에서의 수신자 주소입니다. 실제 메일이 전달된 경로를 확인하는 데 사용됩니다.

> Delivery Date
메일 서버가 해당 메일을 수신한 날짜와 시간입니다.

>  Message-ID
메일 서버에서 생성한 고유 식별자입니다. 메일이 중복 전송되었는지 식별하거나 스레딩 처리에 사용됩니다.

> Received
가장 신뢰성 있는 헤더 중 하나로, 메일이 거쳐온 서버의 경로를 기록합니다.
Received 필드는 아래에서 위로 읽는 것이 일반적이며, 맨 마지막 줄이 최초 발송 서버입니다. 
즉, 첫 번째 "Received:" 줄은 사용자의 시스템 또는 메일 서버입니다.
마지막 “Received:” 줄은 메일이 시작된 곳입니다.

위조 가능성이 있지만, 수많은 보안 분석에서 필수적으로 확인하는 요소입니다.

◎ 보안 관련 인증 헤더
> Dkim-Signature & Domainkey-Signature
발송 도메인에서 서명된 메일인지 여부를 확인하는 디지털 서명 필드입니다. DNS에 등록된 공개 키를 기반으로 메일의 무결성과 진위 여부를 검증합니다.

> SPF (Sender Policy Framework)
이메일 발신자가 해당 도메인을 대표할 수 있는 서버인지 확인하는 인증 방식입니다. 도메인의 DNS 레코드에 등록된 IP와 메일 발송 서버를 비교합니다.

>  DMARC (Domain-based Message Authentication, Reporting, and Conformance)
SPF와 DKIM의 검증 결과를 종합하여 메일을 차단, 허용, 보고할지를 결정하는 정책입니다. 해당 필드는 빠져 있으므로 꼭 추가되어야 합니다. 예: Authentication-Results: dmarc=pass (p=none) header.from=example.com

◎ MIME 및 콘텐츠 관련 필드
> Mime-Version
멀티미디어 컨텐츠가 포함된 이메일을 지원하는 포맷 버전입니다. 일반적으로 1.0이 사용됩니다.

> Content-Type
이메일 본문의 형식을 지정합니다. 예: text/plain, text/html, multipart/mixed 등.

◎ X-Headers (비표준 확장 헤더)
X-헤더는 메일 서버, 보안 솔루션, 바이러스 검사기 등에서 추가적으로 삽입하는 비표준 정보 필드입니다. 모든 메일에 항상 존재하지 않습니다.

> X-Spam-Status / X-Spam-Level
스팸 필터가 판별한 결과 및 스팸 점수입니다.

> X-Mailer
메일 작성에 사용된 프로그램 또는 클라이언트를 나타냅니다.

> X-Originating-Email / X-Originating-IP
메일 작성자의 실제 이메일 주소 및 IP 주소를 표시합니다. 실제 발신자 추적에 유용합니다.

> X-Microsoft-Antispam / X-Priority / X-OriginalArrivalTime
Microsoft 기반 서버에서 제공하는 필드로, 스팸 판단, 도착 시간, 우선순위 등을 포함합니다.
 * X-Priority: 1(높음) ~ 5(낮음)

◎ 이메일 본문

> Message Body
보낸 사람이 작성한 실제 이메일 내용입니다. 헤더와 분리되어 있으며, 악성 코드, 스크립트, 피싱 링크 등이 포함될 수 있으므로 정밀 분석이 필요합니다.