Para investigar casos relacionados a crimes cibernéticos nos quais os e-mails estão sendo usados, os especialistas forenses digitais examinam os e-mails relevantes em busca de evidências. Como os criminosos frequentemente forjam mensagens para evitar a detecção, os especialistas forenses de email precisam analisar os campos do cabeçalho do email para extrair e coletar evidências cruciais.

Campos comuns de cabeçalho de email

Os cabeçalhos de email contêm informações vitais do caminho que a mensagem percorreu antes de chegar ao seu destino final. Essas informações incluem nomes de destinatários e remetentes, hora do envio / recebimento de mensagem de email, cliente de email, provedor de serviços de Internet (ISP), endereço IP do remetente etc. Essas informações e outros campos de cabeçalho de email podem ajudar a determinar a legitimidade de um suspeito. ou email malicioso. Para entender os campos do cabeçalho do email, tomamos como exemplo o cabeçalho de uma mensagem de um remetente na plataforma do Gmail. [Veja imagem 1]

Imagem 1: Campos de cabeçalho de email no Gmail

1. Entregue a

Entregue para: [email protected]

Este campo de cabeçalho de email contém o endereço de email do destinatário pretendido. Pode ser verificado para atividades de phishing. Se o endereço de email nesse campo não for igual ao endereço de email real do destinatário, pode ser um sinal de violação da mensagem que justifique uma investigação. Vale a pena notar que a adulteração e falsificação de cabeçalhos de e-mail é bastante fácil para os cibercriminosos hoje em dia – tudo o que eles precisam é de um servidor SMTP e um software de correspondência para iniciar um ataque de phishing.

2. Recebido por

Recebido: por 10.12.174.216 com identificação SMTP n34csp2326299qvd ;
Quarta-feira, 1 de fevereiro de 2017 00:39:09 -0800 (PST)

Este campo contém os detalhes do último servidor SMTP visitado do email. As seguintes informações são divulgadas:

a) Endereço IP do servidor

b) ID SMTP do servidor visitado

c) Dados e horário em que o email foi recebido pelo servidor SMTP

3. X-Recebido

X-Received: by 10.28.27.14 with SMTP id b14mr1702258wmb.82.1485938349292; Qua, 01 Fev 2017 00:39:09 -0800 (PST)
       

Alguns parâmetros de email não são definidos nos Padrões oficiais de protocolo da Internet e são chamados de cabeçalhos fora do padrão. Eles são criados por agentes de transferência de mensagens, como o servidor SMTP do Google Mail, que pode usar o campo X-Received para compartilhar informações não padrão. O campo compartilha os seguintes detalhes:

a) Endereço IP dos servidores de recebimento de mensagens

b) ID SMTP do servidor

c) Dados e horário em que o email foi recebido

4. Caminho de Retorno

Caminho de retorno:<[email protected]>[email protected]</[email protected]>

Este campo contém o endereço de email para o qual a mensagem é retornada, caso ela não atinja o destinatário pretendido. Isso pode acontecer facilmente se o remetente tiver usado um endereço de email errado para o destinatário. 

5. Recebido de

Recebido: de i2.a01.ms18.atmailsvr.net (i2.a01.ms18.atmailsvr.net. [ 91.199.29.18 ])

        por mx.google.com com o ID 5si23398790wrr.176.2017.02.01.00.39.08         do ESMTPS
para<[email protected]>[email protected] )</[email protected]>
        ( versão = cifra TLS1_2 = bits ECDHE-RSA-AES128-GCM-SHA256 = 128/128 ); Qua, 01 Fev 2017 00:39:09 -0800 (PST )
       

Este campo contém as informações do primeiro servidor SMTP ao qual o email chegou. Os seguintes detalhes podem ser encontrados aqui:

a) Endereço IP relacionado ao servidor

b) Endereço de email do destinatário

c) Informações de criptografia

d) Dados e hora em que a mensagem foi recebida

Recebido de é um dos campos mais importantes em um cabeçalho de email, pois você pode encontrar o endereço IP do remetente, além de outros detalhes, como o nome do host.

6. SPF recebido

SPF recebido: passe (google.com: domínio de [email protected] designa 91.199.29.18 como remetente permitido) client-ip = 91.199.29.18;

O Sender Policy Framework (SPF) é um protocolo de segurança de email usado para verificar o remetente. O sistema encaminha a mensagem somente depois que a identidade do remetente é autenticada. A técnica usa o endereço de domínio para autenticação e adiciona o status de verificação no campo do cabeçalho. Os seguintes códigos são usados:

a) Aprovação: a fonte de email é válida

b) Softfail: fonte falsa possível

c) Falha: a fonte é inválida

d) Neutro: validade da fonte difícil de determinar

e) Nenhum: registro SPF não encontrado

f) Desconhecido: a verificação do SPF não pode ser executada

g) Erro: um erro que ocorre durante a verificação do SPF

7. Resultados da autenticação

Resultados da autenticação: mx.google.com; dkim = passa cabeç[email protected]; spf = pass (google.com: domínio de [email protected] designa 91.199.29.18 como remetente permitido) [email protected]; dmarc = falha (p = NENHUM sp = NENHUM dis = NENHUM) header.from = gingersoftware.com
       
       
       

Os Agentes de Transferência de Correio (MTAs) aplicam várias técnicas de autenticação nas mensagens de email antes de processá-las. Os resultados dessas técnicas são adicionados ao campo de cabeçalho das mensagens e separados por ponto e vírgula. 

O campo Resultados da autenticação é de grande importância na investigação de email, pois compartilha o ID do servidor que executa a autenticação. Ele também compartilha as técnicas de autenticação, juntamente com seus resultados. 

8. Assinatura DKIM

Assinatura DKIM: v = 1; a = rsa-sha256; c = relaxado / relaxado; q = dns / txt; d = activetrail.com; s = em; h = X-BBounce: X-IADB-URL: Remetente: X-Feedback-ID: De: Para: Data: Assunto: MIME-Version: Content-type: Content-Transfer-Encoding; bh = GytDyTyaDleCfGk0d7bL4F2bXbTuWsb / xtpIVyVaCRw =; b = sgh6nUFjt5FC7rBC2BwXFulNuG + k14R7bBsstb4erjtZfTn4z / NPHNhVb4Ax1yXoOgX + Il6n5SCcXTCkwQdmaxpxt / BzPjWVziBdzU1WichHhPabVFeKctyp6pCjv4 + d2FVIiEuxqi v5dBTcJjXBVpOwU0mqgRceh3pqcvd5Rj4 =

O campo de cabeçalho da assinatura DKIM é inserido em uma mensagem de email para compartilhar detalhes do remetente, da mensagem e da chave pública necessária para executar a autenticação da mensagem. Muitas plataformas de email, como o Gmail e o Outlook.com, oferecem suporte a este campo para confirmar a autenticidade do email.  

A seguir, vários atributos DKIM e seus significados:

  • v : versão do aplicativo. Somente a versão 1 existe hoje, portanto esse campo deve sempre ser definido como 1.
  • a : algoritmos usados ​​para criptografia. Deve ser rsa-sha256 na maioria dos casos. Alguns remetentes podem usar rsa-sha1, mas isso não é recomendado devido a riscos de segurança. 
  • c : algoritmos usados ​​para canonização  
  • s : nome do registro do seletor usado com o domínio  
  • h : campos de cabeçalho assinado que são usados ​​no algoritmo de assinatura para criar o hash na tag b =
  • bh : hash do corpo da mensagem
  • b : dados de hash dos cabeçalhos listados na tag h =. Também é chamado de assinatura DKIM 
  • d : domínio usado com o registro seletor

Nota : Todas as tags acima são necessárias para o mecanismo DKIM funcionar. Se alguma tag estiver faltando, a verificação poderá encontrar um erro. Embora existam outras tags opcionais que podem ou não ser usadas como t = (que é o carimbo de data / hora do DKIM) ec = (que é o algoritmo de canonização usado). 

Outros cabeçalhos importantes de email 

X-BBounce: 227254537|1486804|[email protected]|47|0|3605|4
URL da JID-X: http://www.isipp.com/iadb.php
Remetente: Ginger
Submitter: reply @ activetrail .com
X-Feedback-ID: 3605: 3605.1346802.0: G1: atgfbl
Desinscrição da lista:,
Responder para : [email protected]
De : Ginger
Para : “[email protected]
ID da mensagem : ([email protected])
Data : quarta-feira, 01 fev 2017 10:39:06 +200
assunto : Obrigado por se registrar no Ginger!
Versão MIME : 1.0
Tipo de conteúdo: multipart / alternativo; limite = “—- 7308DF8A8DBB43098928C652849D6409”

—— 7308DF8A8DBB43098928C902849D6409
Tipo de conteúdo: texto / sem formatação; charset = utf-8
Codificação de transferência de conteúdo: quoted-printable

a) Responder para: O endereço de e-mail no qual a resposta à mensagem é recebida. Geralmente, é o endereço de e-mail do remetente, mas também pode ser alterado manualmente.

b) De : endereço de email do remetente.

c) Para : Endereço de e-mail do destinatário.

d) ID da mensagem: ID exclusivo do e-mail que o diferencia. Dois emails não podem compartilhar o mesmo ID de mensagem.

e) Data : data e hora em que o email foi recebido no destino.

f) Assunto : seção de assunto do e-mail que contém o objetivo principal da mensagem.

g) Versão MIME: Mostra que a mensagem está no formato MIME (Multipurpose Internet Mail Extension) e pode suportar formatos como arquivos de texto sem formatação, vídeo, áudio etc.

Significado dos parâmetros do cabeçalho do email

Analisando os parâmetros principais em um cabeçalho de email, você pode ter uma idéia de como a mensagem viajou da origem ao destino. Por exemplo, você pode usar o IP de origem para encontrar o remetente original. Para isso, é necessário examinar o primeiro parâmetro Recebido no cabeçalho do email. O primeiro endereço IP aqui é o IP de origem, que também é apresentado às vezes nos campos X-Originating-IP ou Original-IP. Emprestando o mesmo exemplo de cabeçalho:

Recebido: por 10.12.174.216 com identificação SMTP n34csp2326299qvd;
        Quarta-feira, 1 de fevereiro de 2017 00:39:09 -0800 (PST)

A parte destacada é o remetente original da mensagem. Você pode usar um serviço de reputação gratuito como o SenderBase da Cisco para obter a classificação de reputação do IP. Isso pode ajudar a verificar se o email é um spam ou um ataque de phishing. Embora, lembre-se de que, se o endereço IP for particular, ele não poderá obter nenhum resultado. 

O ID da mensagem é outro campo importante que pode ser verificado quanto à falsificação. Você pode vê-lo abaixo na região destacada.

Responder para: [email protected]
De: Ginger
Para: “[email protected]
ID da mensagem: ([email protected])
Data: quarta-feira, 01 fev 2017 10:39:06 +200
assunto: Obrigado por se registrar no Ginger!
Versão MIME: 1.0

Como o ID da mensagem é adicionado pelo servidor de email que processa o email, ele não pode ser alterado com tanta facilidade. Além disso, os sistemas de mensagens geralmente usam um carimbo de data / hora junto com o nome de domínio do remetente. Portanto, se o nome do domínio no ID da mensagem não corresponder ao nome do domínio mencionado no campo De:, poderá sugerir uma possibilidade de falsificação. No exemplo acima, o campo De: mostra o nome de domínio gingersoftware.com que é igual ao ID da mensagem. Portanto, é seguro assumir que nenhuma falsificação ocorreu aqui. 

Cabeçalhos de email são úteis, mas raramente são suficientes

Os cabeçalhos de email estão repletos de detalhes úteis, como endereço IP de origem e ID da mensagem, que podem ser fundamentais para investigar e rastrear o email suspeito. No entanto, para identificar detalhes críticos que possam indicar a direção certa, você deve ter um bom entendimento da arquitetura do email. Na maioria dos casos, mesmo se você tiver o conhecimento necessário, use ferramentas forenses de email especializadas para reunir e preservar evidências na forma de relatórios e arquivos de email. Ferramentas como o Stellar Email Forensic fornecem recursos avançados, como filtros de pesquisa personalizados, várias visualizações de mensagens, recuperação de emails excluídos etc. que contribuem para uma investigação rápida e precisa. 

Você pode começar com a avaliação do software Stellar Email Forensic, atualmente disponível para avaliação gratuita de 60 dias . Oferece facilidade de gerenciamento de casos e permite realizar uma pesquisa granular por e-mails.

 

Referências

Traduzido e adaptado livremente de: https://www.stellarinfo.com/article/email-header-structure-forensic-analysis.php

 

 

Aprenda mais no curso CFID

Gostou do artigo? Conheça o curso Computação Forense e Investigação Digital.

Este curso tem como objetivo apresentar os conceitos da Computação Forense e métodos de Investigação Digital, sendo baseado no conteúdo apresentado nas certificações mais conhecidas do mercado.

Hospedagem de site

digitalocean, excelente custo benefício.

Clique abaixo e aproveite!