月光愛靑狼

해킹 메일, 스팸 메일, 악성 메일, 피싱 메일 등 위·변조된 이메일을 분석하기 위해 이메일 헤더를 살펴보았습니다.

◎ 주요 분석 항목

> Received

• 이메일이 어떤 경로(서버)를 통해 전달되었는지를 기록합니다.
• 가장 상단의 Received는 마지막 경유지, 가장 하단은 최초 발신지입니다.
• 형식:
  Received: from [A] by [B] for [C]
  → A 서버에서 B 서버로 메일이 전달되었고, 수신자는 C입니다.
• 헤더에 Received:가 여러 개 있다면, 메일이 여러 서버를 거쳐 전달되었음을 의미합니다.
• 각 from 필드에는 호스트명 또는 IP 주소가 포함되며, 이를 통해 발신지 추적이 가능합니다.

 * 예시:

• us2.outbound.mailhostbox.com는 무료 메일 발송 서버이며,
• From 주소는 kaiwei.yeo@sheleqals.com으로 보이지만, 실제로는 다른 서버를 통해 전송되었습니다.
• 이는 수신자가 sheleqals.com 도메인을 신뢰하도록 유도하려는 위장 수법일 수 있습니다.

> Authentication-Results

• 이메일 인증 결과를 보여줍니다.
• SPF, DKIM, DMARC 등의 인증 상태가 이 필드에 표시됩니다.

 * 예시:

• DKIM이 없다는 것은 발신자가 도메인 소유 인증을 하지 않았다는 의미입니다.
• 기업 메일에서는 일반적으로 DKIM 서명이 필수이며, 없을 경우 위조 가능성이 있습니다.

> SPF (Sender Policy Framework)

• 보낸 사람의 IP가 도메인의 DNS에 등록된 발송 가능 IP인지 확인하는 기술입니다.
• SPF 결과는 Authentication-Results에 함께 표시됩니다.
   * 예: 

> DMARC

• SPF와 DKIM 결과를 종합하여, 정책에 따라 차단/허용/보고할지를 판단합니다.
• 없거나 fail 상태일 경우 위조 가능성이 매우 높습니다.

> Date

• 이메일이 전송된 시점(작성된 시간)을 나타냅니다.
• 일부 악성 메일은 이 시간을 조작해 수신자에게 혼란을 줄 수 있습니다.

> From

• 송신자의 이름과 이메일 주소를 나타냅니다.
• 위조가 가장 쉬운 필드이며, Received나 Return-Path와 함께 비교하여 분석해야 합니다.

> To

• 수신자의 이메일 주소입니다.

> Subject

• 이메일 제목입니다.
• 악성 메일은 보통 클릭을 유도하는 자극적인 제목을 사용합니다. 예: 연말정산 자료, 거래명세서(Invoice)  등

> User-Agent

• 메일을 작성한 클라이언트 정보입니다.

 * 예시:

• Roundcube는 오픈소스 웹메일 클라이언트로, 기업에서 자체 호스팅하는 경우는 드뭅니다.
• 낮은 버전이나 생소한 클라이언트가 사용된 경우 의심 요인이 될 수 있습니다.

> Message-ID

• 메일 서버에서 자동으로 생성한 고유 식별자입니다.
• 중복되거나 비정상적인 형식일 경우, 위조 가능성이 있습니다.

> Return-Path

• 메일이 반송될 경우 도달하는 주소입니다.
• 일반적으로 MTA(메일 전송 에이전트)에서 설정합니다.
• From 주소와 불일치할 경우 의심할 요소가 됩니다.

> 헤더 위조 여부 예시

• 악성 메일은 추적을 어렵게 하기 위해 허위 Received 헤더를 삽입하는 경우가 있습니다.

 * 예시:

• 실제 존재하지 않는 서버명이거나 비표준 메시지가 포함되어 있는 경우, 위조 가능성이 매우 높습니다.