모르는 이메일 주소에서 스팸이나 피싱 메시지를 받은 적이 있습니까? 누군가 무료 여행을 제안했거나, 개인 사진을 교환하는 대가로 비트코인을 보내달라고 요청했거나, 원치 않는 마케팅 이메일을 보냈을 수도 있습니다.
그 이메일이 어디에서 왔는지 궁금하십니까? 스팸 발송자가 귀하의 이메일 주소를 스푸핑하는 것을 보고 어떻게 했는지 궁금하십니까?
이메일 스푸핑 또는 이메일이 다른 주소에서 온 것처럼 보이게 하는 것(예:whitehouse.gov에서 온 것처럼 보이지만 실제로는 사기꾼이 보낸 이메일)은 매우 쉽습니다.
핵심 이메일 프로토콜에는 인증 방법이 없습니다. 즉, '보낸사람' 주소는 기본적으로 공백을 채우는 것입니다.
일반적으로 이메일을 받으면 다음과 같이 표시됩니다.
From: Name <name@gmail.com>
Date: Tuesday, July 16, 2019 at 10:02 AM
To: Me <Me@freecodecamp.com>그 아래에는 제목과 메시지가 있습니다.
그러나 그 이메일이 실제로 어디에서 왔는지 어떻게 알 수 있습니까? 분석할 수 있는 추가 데이터가 없습니까?
우리가 찾고 있는 것은 전체 이메일 헤더입니다. 위에 보이는 것은 부분 헤더일 뿐입니다. 이 데이터는 이메일의 출처와 받은 편지함에 도달한 경로에 대한 몇 가지 추가 정보를 제공합니다.
자신의 이메일 헤더를 보려면 Outlook 및 Gmail에서 액세스하는 방법이 있습니다. 대부분의 메일 프로그램은 비슷한 방식으로 작동하며 간단한 Google 검색을 통해 대체 메일 서비스의 헤더를 보는 방법을 알 수 있습니다.
이 기사에서는 실제 헤더 세트를 살펴볼 것입니다(많은 부분이 수정되었지만 호스트 이름, 타임스탬프 및 IP 주소를 변경했습니다).
헤더를 위에서 아래로 읽을 것이지만 각각의 새 서버는 이메일 본문 상단에 헤더를 추가한다는 점에 유의하십시오. 즉, 최종 MTA(메시지 전송 에이전트)에서 각 헤더를 읽고 메시지를 수락할 첫 번째 MTA까지 작업합니다.
내부 이전
Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000이 첫 번째 홉은 HTTPS 라인을 보여줍니다. 이는 서버가 표준 SMTP를 통해 메시지를 수신하지 않고 대신 웹 애플리케이션에서 수신한 입력에서 메시지를 생성했음을 의미합니다.
Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000
Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)처음 두 헤더 블록은 내부 메일 전송입니다. Office365 서버(outlook.com)에서 수신했으며 내부적으로 올바른 수신자에게 라우팅되었음을 알 수 있습니다.
또한 메시지가 암호화된 SMTP를 통해 전송되고 있음을 알 수 있습니다. 헤더가 "with Microsoft SMTP Server"를 나열한 다음 사용 중인 TLS 버전과 특정 암호를 지정하기 때문에 이를 알 수 있습니다.
세 번째 헤더 블록은 로컬 메일 서버에서 메일 필터링 서비스로의 전환을 표시합니다. Microsoft-Exchange 전용 프로토콜인 "프론트엔드 전송을 통해"(따라서 SMTP가 아니었음) 이를 알 수 있습니다.
이 블록에는 일부 이메일 검사도 포함됩니다. Outlook.com의 헤더는 여기에서 SPF/DKIM/DMARC 결과를 자세히 설명합니다. SPF softfail은 이 IP 주소가 gmail.com을 대신하여 이메일을 보낼 수 있는 권한이 없음을 의미합니다.
"dkim=pass"는 전자 메일이 발신자로 알려진 사람이 보낸 것이며 전송 중에 변경되지 않았음을 의미합니다.
DMARC는 메일 서버에 SPF 및 DKIM 결과를 해석하는 방법을 알려주는 일련의 규칙입니다. 통과 가능성은 이메일이 목적지로 계속 이어짐을 의미합니다.
SPF, DKIM 및 DMARC에 대한 자세한 내용은 이 문서를 확인하세요.
내부/외부 전환
Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000
Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain ofsender@gmail.com) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="sender@gmail.com";x-sender="sender@gmail.com"; x-conformance=sidf_compatible
Received-SPF: Pass (Redacted.localdomain.com: domain ofsender@gmail.com designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="sender@gmail.com";x-sender="sender@gmail.com"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"이것은 Google의 SPF 레코드입니다. 수신 서버에 gmail.com에서 보낸다는 이메일이 Google 승인 서버에서 온 것임을 알려줍니다.
Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain ofpostmaster@redatedgoogle.com) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="sender@gmail.com";x-sender="postmaster@.google.com";x-conformance=sidf_compatibleAuthentication-Results-Original: Redacted@localdomain.com; spf=Nonesmtp.pra=sender@gmail.com; spf=Pass smtp.mailfrom=sender@gmail.com;spf=None smtp.helo=postmaster@redacted.google.com; dkim=pass (signatureverified) header.i=@gmail.com; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False여기에는 몇 가지 추가 SPF/DKIM/DMARC 검사와 IronPort 스캔의 결과가 표시됩니다.
Ironport는 많은 기업에서 스팸, 바이러스 및 기타 악성 이메일을 찾는 데 사용하는 널리 사용되는 이메일 필터입니다. 이메일의 링크와 첨부 파일을 스캔하고 이메일이 악성인지(삭제해야 하는지), 합법적일 가능성이 있고 전달되어야 하는지 또는 의심스러운 경우 본문에 헤더를 첨부할 수 있는지 확인합니다. 사용자에게 이메일을 주의하라고 알려줍니다.
Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400
Received: by redacted.google.com with SMTP idfor recipient@localdomain.com; Fri, 25 Oct 2019 13:16:35 -0700 (PDT)
X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: sender@gmail.com
Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)
Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)이 섹션은 이메일이 보낸 사람의 초기 장치에서 Gmail의 라우팅 시스템을 통해 받는 사람의 Outlook 환경으로 이동한 내부 홉을 보여줍니다. 이것에서 우리는 초기 발신자가 NYC의 Verizon Fios와 함께 홈 라우터를 사용하는 Macbook에서 온 것임을 알 수 있습니다.
이것은 이메일이 보낸 사람에서 받는 사람까지 이동한 경로를 보여주는 홉의 끝입니다. 이를 지나면 미디어 유형 및 이메일 클라이언트(예:MIME 버전, 콘텐츠 유형, 경계 등). 또한 어떤 유형의 장치가 메시지를 보냈는지에 대한 세부 정보인 일부 사용자 에이전트 정보를 포함할 수 있습니다.
이 경우 Apple의 명명 규칙으로 인해 보내는 장치가 Macbook이라는 것을 이미 알고 있지만 CPU 유형, 버전, 장치에 설치된 브라우저 및 버전에 대한 세부 정보도 포함될 수 있습니다.
경우에 따라 전송 장치의 IP 주소도 포함할 수 있지만 전부는 아닙니다(많은 공급자가 소환장 없이 해당 정보를 숨길 수 있음).
이메일 헤더로 무엇을 알 수 있나요?
이메일 헤더는 발신자로 알려진 사람이 보낸 이메일이 전송되지 않을 때를 식별하는 데 도움이 될 수 있습니다. 그들은 보낸 사람에 대한 몇 가지 정보를 제공할 수 있지만 일반적으로 실제 보낸 사람을 식별하는 데 충분하지 않습니다.
법 집행 기관은 종종 이 데이터를 사용하여 올바른 ISP의 정보를 소환할 수 있지만 나머지 사람들은 일반적으로 피싱에 대한 조사 정보를 제공하는 데 주로 사용할 수 있습니다.
헤더가 악의적인 서버나 해커에 의해 위조될 수 있다는 사실로 인해 이 프로세스가 더 어려워집니다. 각 서버의 소유자에게 연락하고 이메일의 헤더가 SMTP 로그와 일치하는지 개별적으로 확인하지 않고는 힘들고 시간이 많이 소요되는, 헤더가 정확한지 확신할 수 없습니다(자신의 메일 서버에서 첨부한 헤더 제외).
각 서버의 소유자에게 연락하고 이메일의 헤더가 해당 SMTP 로그와 일치하는지 개별적으로 확인하지 않고는 힘들고 시간이 많이 소요됩니다. 헤더가 모두 정확한지 확신할 수 없습니다.
DKIM, DMARC, SPF는 모두 이 과정에 도움이 될 수 있지만 완벽하지 않으며, 이들 없이는 검증이 전혀 불가능합니다.
자신의 헤더를 분석하고 싶지 않습니까? 이 사이트에서 해결해 드립니다.