Sobre

Petter anderson lopes

Perito (JudicialAssistente Técnico, Ad Hoc) em Computação Forense.

DPO Data Protection Officer – Consultor LGPD e GDPR.

Juiz Arbitral, Árbitro Ad-Hoc no Direito Arbitral,

Consultor em Segurança da Informação,

Pentest, Auditoria e Análise de Vulnerabilidades.

 

Contatos

(54) 99645-0777 

[email protected]

Facebook: https://www.facebook.com/digitalforense
Linkedin: https://www.linkedin.com/in/petter-anderson-lopes
Skype: petter.lopes

eForensics, Hakin9 e PenTest Magazine, Perfilhttps://eforensicsmag.com/meet-expert-petter-anderson-lopes/

Cadastro ativo

JFRS

(Justiça Federal do Rio Grande do Sul)

TJRS

(Tribunal de Justiça do Rio Grande do Sul)

MPRS/FRBL

(Ministério Público do Rio Grande do Sul no Fundo para Reconstituição de Bens Lesados área de Tecnologia da Informação) 

 

 

 

competências

Especialista em Desenvolvimento de Sistemas.

Graduado em Segurança da Informação, MBA em Gestão de TI.
Certificado pela ACE (ACCESSDATA CERTIFIED EXAMINER).
MCP, Certificado Especialista em Desenvolvimento pela Microsoft (Programming in HTML5 with JavaScript and CSS3 Specialist).
Certificado em Análise Forense Computacional e Advanced Penetration Test.

 DPO Data Protection OfficerLGPD e GDPR.

Privacy & Data Protection Pratictioner

Privacy & Data Protection FOUNDATION

 Caxias do Sul e região, Rio Grande do Sul, Brasil.

 

certificações

Confira minhas certificações e tenha a garantia que será atendido por um especialista com qualificações comprovadas.

publicações recentes

Acesse o blog e assine a newsletter e mantenha-se atualizado com o melhor conteúdo.

Análise forense de cabeçalho de e-mail

Análise forense de cabeçalho de e-mail

Análise forense de cabeçalho de e-mail

Os cabeçalhos de e-mail contêm informações importantes sobre a origem e o caminho percorrido por um e-mail antes de chegar ao seu destino final, incluindo o endereço IP do remetente, o provedor de serviços de Internet, o cliente de e-mail e até o local. As informações podem ser usadas para bloquear futuros e-mails do remetente (no caso de spam) ou para determinar a legitimidade de um e-mail suspeito. Uma revisão dos cabeçalhos também pode ajudar a identificar a “falsificação de cabeçalho”, uma forte indicação de que o e-mail foi enviado com intenção maliciosa.

A análise forense do cabeçalho do e-mail basicamente indica o exame realizado no corpo da mensagem de e-mail e a origem e o caminho seguidos por ele. Isso também inclui a identificação de remetente, horário ou destinatário genuíno dos e-mails. A análise forense do cabeçalho do e-mail pode trazer evidências francas de vários componentes incluídos na parte do cabeçalho. Vamos ver quais componentes são úteis para forense de cabeçalho;

Como é composto o e-mail?
Os e-mails são basicamente compostos pela junção de dois padrões, a RFC822/RFC2822 e MIME, sendo a RFC2822 o padrão para o formato de mensagens de texto na Internet ARPA, que especifica um conjunto padrão de cabeçalhos de mensagens que são seguidos pelo conteúdo da mensagem. O problema com o RFC2822 é que ele permite o conteúdo da mensagem que consiste apenas em texto ASCII. As “Multipurpose Internet Mail Extensions” ou MIME superam essa limitação e permitem que as mensagens contenham conjuntos de caracteres diferentes de ASCII, dados não textuais (anexos), mensagens com várias partes etc.

Neste artigo iremos considerar as duas RFCs, tanto a RFC822 quanto a RFC2822, visto que muitos autores ainda mantém a referência à RFC822 e não à mais atual que é a RFC2822, a qual atualiza a RFC anterior. Sendo assim, toda vez que falarmos de RFC neste contexto, estaremos abordando o mesmo assunto.

Compreendendo os campos do cabeçalho
Para a correta interpretação dos cabeçalhos de e-mails, o analista deverá ler a sua estrutura cronologicamente de baixo para cima. Estruturalmente, os cabeçalhos de e-mail podem ser divididos em três categorias principais:

Informações da mensagem
Cabeçalhos X e
Informações de retransmissão do servidor.
Existe uma ferramenta excelente para analisar cabeçalhos disponíveis on-line em http://mxtoolbox.com/E-mailHeaders.aspx, como obter cabeçalhos de e-mails dos clientes mais comuns https://mxtoolbox.com/Public/Content/EmailHeaders/.

RFC822 e RFC2822- Padrão para o formato de mensagens de texto da Internet ARPA

O padrão RFC2822 substitui o especificado na RFC 822 , “Padrão para o formato do texto da Internet ARPA Mensagens”[RFC822], atualizando-o para refletir as práticas atuais e incorporando alterações incrementais que foram especificadas em outras RFCs [ DST3 ].

Uma mensagem consiste em campos de cabeçalho e, opcionalmente, um corpo. O corpo é basicamente uma sequência de linhas contendo caracteres ASCII, sendo separado dos cabeçalhos por uma linha nula. Cada campo de cabeçalho pode ser visualizado como uma única linha lógica de caracteres ASCII, compreendendo um nome de campo seguido de dois pontos (“:”), seguido de um corpo de campo. Dependendo do nome do campo, o corpo do campo pode ser Estruturado ou Não Estruturado.

Estruturado – Para campos de endereço, como “To”, uma estrutura é predefinida. O corpo do campo deve estar em conformidade com a especificação.
Não estruturado – Para alguns campos, como “Subject” e “Comments”, nenhuma estrutura é assumida e eles são tratados simplesmente como texto.
Nem todos os campos de cabeçalho recebidos pelo destinatário podem ter sido especificados pelo remetente. Há uma distinção entre os cabeçalhos “mensagem” e “envelope”. Resumidamente, os cabeçalhos do “envelope” são realmente gerados pela máquina que recebe uma mensagem, e não pelo remetente. Os cabeçalhos do envelope são adicionados no início dos dados do correio. Os servidores de retransmissão SMTP que manipulam a mensagem no caminho para o destinatário final inserem alguns campos de cabeçalho no cabeçalho da mensagem. Por exemplo:

Quando o receptor-SMTP aceita uma mensagem para retransmissão ou entrega final, ele insere no início dos dados do correio uma linha de carimbo de data/hora (Received: cabeçalho). A linha do carimbo de data/hora indica a identidade do host que enviou a mensagem e a identidade do host que recebeu a mensagem (e está inserindo esse carimbo de hora) e a data e hora em que a mensagem foi recebida. As mensagens retransmitidas terão várias linhas de carimbo de data/hora. Quando o receptor-SMTP faz a “entrega final” de uma mensagem, ele insere no início dos dados do correio uma linha de caminho de retorno.
Alguns sistemas permitem que os destinatários de e-mail encaminhem uma mensagem. Este padrão suporta esse serviço, através do prefixo “Resent-” para nomes de campos. Sempre que a string ” Resent-” inicia um nome de campo, o campo tem a mesma semântica que um campo cujo nome não tem o prefixo. No entanto, supõe-se que a mensagem tenha sido encaminhada por um destinatário original que anexou o campo “Reenviar-“. Este novo campo é tratado como sendo mais recente que o campo equivalente, campo original.
Além do campo de cabeçalho predefinido, os usuários podem definir e usar seus próprios campos de cabeçalho. Esses campos podem ser usados ​​para transferir informações específicas do aplicativo. Esses campos devem ter nomes que ainda não estão sendo usados ​​na especificação atual. Os nomes dos campos definidos pelo usuário geralmente começam com “X-” porque é garantido que os campos predefinidos nunca terão nomes começando com essa sequência.

Precisa de ajuda?

+55 54 99645-0777

Petter Anderson Lopes. Todos os direitos reservados. 2019

× Como posso te ajudar?