Análise forense de cabeçalho de e-mail

Os cabeçalhos de e-mail contêm informações importantes sobre a origem e o caminho percorrido por um e-mail antes de chegar ao seu destino final, incluindo o endereço IP do remetente, o provedor de serviços de Internet, o cliente de e-mail e até o local. As informações podem ser usadas para bloquear futuros e-mails do remetente (no caso de spam) ou para determinar a legitimidade de um e-mail suspeito. Uma revisão dos cabeçalhos também pode ajudar a identificar a “falsificação de cabeçalho”, uma forte indicação de que o e-mail foi enviado com intenção maliciosa.

A análise forense do cabeçalho do e-mail basicamente indica o exame realizado no corpo da mensagem de e-mail e a origem e o caminho seguidos por ele. Isso também inclui a identificação de remetente, horário ou destinatário genuíno dos e-mails. A análise forense do cabeçalho do e-mail pode trazer evidências francas de vários componentes incluídos na parte do cabeçalho. Vamos ver quais componentes são úteis para forense de cabeçalho;

Como é composto o e-mail?
Os e-mails são basicamente compostos pela junção de dois padrões, a RFC822/RFC2822 e MIME, sendo a RFC2822 o padrão para o formato de mensagens de texto na Internet ARPA, que especifica um conjunto padrão de cabeçalhos de mensagens que são seguidos pelo conteúdo da mensagem. O problema com o RFC2822 é que ele permite o conteúdo da mensagem que consiste apenas em texto ASCII. As “Multipurpose Internet Mail Extensions” ou MIME superam essa limitação e permitem que as mensagens contenham conjuntos de caracteres diferentes de ASCII, dados não textuais (anexos), mensagens com várias partes etc.

Neste artigo iremos considerar as duas RFCs, tanto a RFC822 quanto a RFC2822, visto que muitos autores ainda mantém a referência à RFC822 e não à mais atual que é a RFC2822, a qual atualiza a RFC anterior. Sendo assim, toda vez que falarmos de RFC neste contexto, estaremos abordando o mesmo assunto.

Compreendendo os campos do cabeçalho
Para a correta interpretação dos cabeçalhos de e-mails, o analista deverá ler a sua estrutura cronologicamente de baixo para cima. Estruturalmente, os cabeçalhos de e-mail podem ser divididos em três categorias principais:

Informações da mensagem
Cabeçalhos X e
Informações de retransmissão do servidor.
Existe uma ferramenta excelente para analisar cabeçalhos disponíveis on-line em http://mxtoolbox.com/E-mailHeaders.aspx, como obter cabeçalhos de e-mails dos clientes mais comuns https://mxtoolbox.com/Public/Content/EmailHeaders/.

RFC822 e RFC2822- Padrão para o formato de mensagens de texto da Internet ARPA

O padrão RFC2822 substitui o especificado na RFC 822 , “Padrão para o formato do texto da Internet ARPA Mensagens”[RFC822], atualizando-o para refletir as práticas atuais e incorporando alterações incrementais que foram especificadas em outras RFCs [ DST3 ].

Uma mensagem consiste em campos de cabeçalho e, opcionalmente, um corpo. O corpo é basicamente uma sequência de linhas contendo caracteres ASCII, sendo separado dos cabeçalhos por uma linha nula. Cada campo de cabeçalho pode ser visualizado como uma única linha lógica de caracteres ASCII, compreendendo um nome de campo seguido de dois pontos (“:”), seguido de um corpo de campo. Dependendo do nome do campo, o corpo do campo pode ser Estruturado ou Não Estruturado.

Estruturado – Para campos de endereço, como “To”, uma estrutura é predefinida. O corpo do campo deve estar em conformidade com a especificação.
Não estruturado – Para alguns campos, como “Subject” e “Comments”, nenhuma estrutura é assumida e eles são tratados simplesmente como texto.
Nem todos os campos de cabeçalho recebidos pelo destinatário podem ter sido especificados pelo remetente. Há uma distinção entre os cabeçalhos “mensagem” e “envelope”. Resumidamente, os cabeçalhos do “envelope” são realmente gerados pela máquina que recebe uma mensagem, e não pelo remetente. Os cabeçalhos do envelope são adicionados no início dos dados do correio. Os servidores de retransmissão SMTP que manipulam a mensagem no caminho para o destinatário final inserem alguns campos de cabeçalho no cabeçalho da mensagem. Por exemplo:

Quando o receptor-SMTP aceita uma mensagem para retransmissão ou entrega final, ele insere no início dos dados do correio uma linha de carimbo de data/hora (Received: cabeçalho). A linha do carimbo de data/hora indica a identidade do host que enviou a mensagem e a identidade do host que recebeu a mensagem (e está inserindo esse carimbo de hora) e a data e hora em que a mensagem foi recebida. As mensagens retransmitidas terão várias linhas de carimbo de data/hora. Quando o receptor-SMTP faz a “entrega final” de uma mensagem, ele insere no início dos dados do correio uma linha de caminho de retorno.
Alguns sistemas permitem que os destinatários de e-mail encaminhem uma mensagem. Este padrão suporta esse serviço, através do prefixo “Resent-” para nomes de campos. Sempre que a string ” Resent-” inicia um nome de campo, o campo tem a mesma semântica que um campo cujo nome não tem o prefixo. No entanto, supõe-se que a mensagem tenha sido encaminhada por um destinatário original que anexou o campo “Reenviar-“. Este novo campo é tratado como sendo mais recente que o campo equivalente, campo original.
Além do campo de cabeçalho predefinido, os usuários podem definir e usar seus próprios campos de cabeçalho. Esses campos podem ser usados ​​para transferir informações específicas do aplicativo. Esses campos devem ter nomes que ainda não estão sendo usados ​​na especificação atual. Os nomes dos campos definidos pelo usuário geralmente começam com “X-” porque é garantido que os campos predefinidos nunca terão nomes começando com essa sequência.