W sytuacji gdy podejrzewasz, że wiadomość nie pochodzi od osoby widniejącej w polu nadawcy, możesz dokonać w prosty sposób analizy na podstawie źródła wiadomości. Aby wyświetlić źródło wiadomości, zaloguj się na swoją skrzynkę w dpoczta.pl po czym po otwarciu wybranej wiadomości na górnej belce kliknij w „przycisk z ikoną trzech kropek”, po czym z menu, które zostanie rozwinięte wybierz pozycję „Pokaż źródło”.
Po wybraniu opcji wyświetlenia źródła wiadomości, to na co zwrócimy uwagę to jej nagłówek. Ten zawiera ważne informacje oraz wskazówki pozwalające na dokonanie analizy.
Spis treści
Nagłówek wiadomości e-mail
Poniżej znajduje się nagłówek wiadomości będącej komunikacją między skrzynkami nadawca@dpoczta.pl oraz odbiorca@dpoczta.pl.
X-Spam-Checker-Version: SpamAssassin
Return-Path: nadawca@dpoczta.pl
X-Spam-Level:
X-Spam-Status: No, score=0.1 required=6.0 tests=DH_SUBJECT_WEIRD_STRING,
DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,HTML_MESSAGE
autolearn=disabled version=3.4.2
Delivered-To: odbiorca@dpoczta.pl
Received: from mx-2.d ([10.12.105.22])
by ipm-4.dpoczta.pl with LMTP id cILxAmDzb2EOcQAA4pA8cg
for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:57 +0200
Received: from mx-2.d
by mx-2.d (Dovecot) with LMTP id ildIJo2WTWErMQAAA2lZFw
; Wed, 20 Oct 2021 12:45:51 +0200
Received: from smtp-2.dpoczta.pl (smtp-2.dpoczta.pl [195.88.50.152])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
by mx-2.d (dpoczta.pl) with ESMTPS id 4HZ6hr62WzzwPGb
for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:48 +0200 (CEST)
Received: from roundcube (nimbus-office.dhosting.pl [195.88.50.10])
(Authenticated sender: nadawca@dpoczta.pl)
by smtp-2.dpoczta.pl (smtp-2.dpoczta.pl) with ESMTPA id 4HZ6hs10cszLlZZ
for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:49 +0200 (CEST)
MIME-Version: 1.0
Date: Wed, 20 Oct 2021 12:45:49 +0200
From: Jan Elastyczny nadawca@dpoczta.pl
To: Marek Elastyczny odbiorca@dpoczta.pl
Subject: Tytuł wiadomości
User-Agent: dPoczta.pl
Message-ID: 128390198293b8a0f05339990c4dcdda@dpoczta.pl
X-Sender: nadawca@dpoczta.pl
Content-Type: multipart/alternative;
boundary="=_0662e0167a896e7798ab25adc7bd2deb"
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=dpoczta.pl;
s=dhosting; t=1634726749;
bh=3kG1OBknLNvPGQewSgqjAGfr0OyBk2WxfzwqLUb8U+E=;
h=Date:From:To:Subject;
b=oeQ36fwa4F7zE33uzUcsmEeI91yZAoh/JX8jA03VZNyPuf76QT4nxwl7Dsnp4kzNX
K+ulIRXiuehIJ6HxNOMr/4DmcAyTGQi4lzn78GAJJZaVJraOmme8QgWPTd+nc7LFcz
TyE+KfvGQ6WHPoE7/b0skyMHPdpHkOn0ZLJqgYdc=
Authentication-Results: mx-1.dpoczta.pl/4HZ6hr62WzzwPGb;
dkim=pass (1024-bit key) header.d=dpoczta.pl header.i=@dpoczta.pl header.b=oeQ36fwa
X-Virus-Status: Clean
Rozbijmy źródło na poszczególne elementy
Nie będziemy omawiać każdego z elementów, a jedynie te mające znaczenie w przypadku analizy kwestii nadawcy i odbiorcy wiadomości.
Gdzie trafi odpowiedź?
Return-Path wskazuje na jaki adres zostanie wysłana informacja zwrotna przede wszystkim ze strony serwera. Przykładowo gdyby skrzynka e-mail była przepełniona lub też gdyby taki adres już nie istniał. Oczywiście są to wyłącznie dwa przykłady, ponieważ powodów wiadomości zwrotnych ze strony serwera odbiorczego może być wiele. Wiadomości spamowe często takiego pola nie zawierają z uwagi na fakt wysyłania tysięcy wiadomości na często losowe adresy e-mail.
Return-Path: nadawca@dpoczta.plGdzie wiadomość została dostarczona?
Delivered-To wskazuje na jaką skrzynkę faktycznie wiadomość została dostarczona
Delivered-To: odbiorca@dpoczta.plJakie serwery otrzymaly wiadomość
i przez jakie serwery wiadomość była podawana?
Poniższe informacje będą wyglądały nieco inaczej w stosunku do każdej wiadomości, niemniej pola Recieved wskazują na to prez jakie serwery wiadomość została otrzymana lub ewentualnie przekazywana nim trafiła do skrzynki odbiorca@dpoczta.pl. Zwróć uwagę, że poszczególne pozycje zawierają zarówno nazwy serwerów pocztowych wraz z adresami IP, przez które wiadomość przechodziła oraz informację o tym kto jest nadawcą, a kto odbiorcą i czy wysyłka wiadomosci była autoryzowana – Authenticated sender: nadawca@dpoczta.pl
Received: from mx-2.d ([10.12.105.22])
by ipm-4.dpoczta.pl with LMTP id cILxAmDzb2EOcQAA4pA8cg
for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:57 +0200
Received: from mx-2.d
by mx-2.d (Dovecot) with LMTP id ildIJo2WTWErMQAAA2lZFw
; Wed, 20 Oct 2021 12:45:51 +0200
Received: from smtp-2.dpoczta.pl (smtp-2.dpoczta.pl [195.88.50.152])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
by mx-2.d (dpoczta.pl) with ESMTPS id 4HZ6hr62WzzwPGb
for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:48 +0200 (CEST)
Received: from roundcube (nimbus-office.dhosting.pl [195.88.50.10])
(Authenticated sender: nadawca@dpoczta.pl)
by smtp-2.dpoczta.pl (smtp-2.dpoczta.pl) with ESMTPA id 4HZ6hs10cszLlZZ
for odbiorca@dpoczta.pl; Wed, 20 Oct 2021 12:45:49 +0200 (CEST)Kiedy wiadomość została wysłana?
Jeśli nie masz pewności kiedy wiadomość została wysłana. Pole Date wskaże Ci tę informację.
Date: Wed, 20 Oct 2021 12:45:49 +0200Jak jest wskazany nadawca oraz odbiorca?
Kolejno pola From oraz To są dla Ciebie informacją kto był nadawcą wiadomości, czyli w naszym przykładzie nadawca@dpoczta.pl, a kto odbiorcą czyli w naszym przykładzie odbiorca@dpoczta.pl.
From: Jan Elastyczny nadawca@dpoczta.pl
To: Marek Elastyczny odbiorca@dpoczta.plIdentyfikator wiadomości
Dość niepozorne i często pomijane pole Message-ID jest bardzo ważną wskazówką w sytuacji gdy wymagana jest dodatkowa analiza. Zawiera ono identyfikator wiadomości, który może ułatwić wyszukanie jej w logach lub na poziomie serwera. Wskazuje też w swoim drugim członie, czy wiadomość, która miała być wysłana z serwera dpoczta.pl faktycznie z takiego serwera pochodzi.
Message-ID: 128390198293b8a0f05339990c4dcdda@dpoczta.pl
Gdy wiadomość miała podanego dodatkowego odbiorcę
(CC – Carbon Copy).
Wysyłane wiadomości poza odbiorcą głównym mogą zawierać informację o tym, że nadawca oznaczył aby kopia wiadomości została przekazana również na inne adresy. Taka informacja znajdzie się w polu z adnotacją Cc.
Cc: Dorota Elastyczna odbiorca-kopii@dpoczta.plJak rozpoznać gdy następuje próba podszycia się pod nadawcę?
Poniżej znajduje się część nagłówka wiadomości gdzie nadawca@podszywam-sie.com wysłał wiadomość podając się za nadawca@dpoczta.pl. Dokonamy razem analizy co świadczy o takim stanie rzeczy.
Received: from mx-2.d ([10.12.105.22])
by ipm-4.dpoczta.pl with LMTP id KA6DCqIuaWGqIAAAFe+v2g
for odbiorca@dpoczta.pl; Fri, 15 Oct 2021 09:32:50 +0200
Received: from mx-2.d
by mx-2.d (Dovecot) with LMTP id nx4aFouWTWEyMQAAA2lZFw
; Fri, 15 Oct 2021 09:32:50 +0200
Received: from p3plwbeout13-01.prod.phx3.secureserver.net (p3plsmtp13-01-2.prod.phx3.secureserver.net [173.201.192.162])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by mx-2.d (dpoczta.pl) with ESMTPS id 4HVyfT60skzwPFD
for odbiorca@dpoczta.pl; Fri, 15 Oct 2021 09:32:49 +0200 (CEST)
Received-SPF: none (podszywam-sie.com: No applicable sender policy available)
receiver=mx3.dpoczta.pl;
identity=mailfrom;
envelope-from="nadawca@podszywam-sie.com";
helo=p3plwbeout13-01.prod.phx3.secureserver.net;
client-ip=173.201.192.162
Received: from p3plgemwbe13-04.prod.phx3.secureserver.net ([173.201.192.138])
by :WBEOUT: with SMTP
id bHhqmxRlKh62wbHhqmEU0T; Fri, 15 Oct 2021 00:32:42 -0700
X-CMAE-Analysis: v=2.4 cv=e6vD9Yl/ c=1 sm=1 tr=0 ts=61692e9a
a=7pclQsdl3t+UmZRjLKsDUQ==:117 a=gF-W1-T0RT0A:10 a=dmSCSAQeg4EA:10
a=IkcTkHD0fZMA:10 a=8gfv0ekSlNoA:10 a=5KLPUuaC_9wA:10 a=M51BFTxLslgA:10
a=jKLqcQWW5-E_atD3-hgA:9 a=aGuDArVsee2xSMsZ:21 a=_W_S_7VecoQA:10
a=QEXdDO2ut3YA:10
X-SECURESERVER-ACCT: nadawca@podszywam-sie.com
X-SID: bHhqmxRlKh62w
Received: (qmail 23066 invoked by uid 99); 15 Oct 2021 07:32:42 -0000
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="utf-8"
X-Originating-IP: 138.199.59.217
User-Agent: Workspace Webmail 6.12.9
Message-Id: 20211015003240.75234ab67224cea2030dee962839da49.b8fec8091c.wbe@email13.godaddy.com
From: "Marek Elastyczny" nadawca@dpoczta.pl
X-Sender: nadawca@podszywam-sie.com
Reply-To: "Marek Elastyczny" nadawca@podszywam-sie.com
To: "odbiorca@dpoczta.pl" odbiorca@dpoczta.plPonownie rozbijmy źródło na to co w tej sytuacji ważne
Wybierzmy i przeanalizujmy elementy świadczące o tym, że wiadomość należy do grupy podejrzanych.
Wiadomość w aplikacji klienta e-mail podaje, że nadawcą jest ktoś inny
Pole Received-SPF wskazuje nam, że ochrona w postaci SPF (Sender Policy Framework), a więc potwierdzenie, że na serwerze i w domenie nadawcy znajdują się rekordy potwierdzające i uprawniające wysyłanie w danej domenie nie są obecne (none). Następnie co najważniejsze mamy tutaj element envelope-from co można przetłumaczyc jako kopertę, na której jest zapisany jest lub może być inny nadawca. Mamy tutaj również adres hosta serwera nadawczego oraz jego adres IP.
Received-SPF: none (podszywam-sie.com: No applicable sender policy available)
receiver=mx3.dpoczta.pl; identity=mailfrom;
envelope-from="nadawca@podszywam-sie.com";
helo=p3plwbeout13-01.prod.phx3.secureserver.net;
client-ip=173.201.192.162
Po odpytaniu adresu IP komendą whois mamy informację, że należy on w naszym przykładzie do GoDaddy, a nie do dhosting.pl na co pozornie wskazuje wiadomość.
NetRange: 173.201.0.0 - 173.201.255.255
CIDR: 173.201.0.0/16
NetName: GO-DADDY-COM-LLC
NetHandle: NET-173-201-0-0-1
Parent: NET173 (NET-173-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS26496
Organization: GoDaddy.com, LLC (GODAD)
RegDate: 2009-09-18
Updated: 2012-02-24
Comment: Please send abuse complaints to abuse@godaddy.com
Ref: https://rdap.arin.net/registry/ip/173.201.0.0Z jakiej skrzynki pochodzi wiadomość?
X-SECURESERVER-ACCT jest polem gdzie znajdziesz prawdziwy adres nadawcy wiadomości. Jak widać, w naszym przykładzie jest to skrzynka nadawca@podszywam-sie.com.
X-SECURESERVER-ACCT: nadawca@podszywam-sie.com
Prawdziwy nadawca wiadomości
Pole X-Originating-IP wskazuje adres IP nadawcy wiadomości. Przy czym nie jest to IP serwera, a dostawcy usług internetowych, z których korzysta osoba wysyłająca wiadomość.
X-Originating-IP: 138.199.59.217
Odpytując adres IP komendą whois dowiadujemy się, że w naszym przykładzie dostawcą usług internetowych lub niekiedy siecią CDN / VPN, z której skorzystał nadawca należy do DataCamp Limited z siedzibą w Londynie. Tak więc możesz zweryfikować czy nadawca wiadomości faktycznie obecnie znajduje się na terenie Anglii. Jeśli jest to Twój współpracownik siedzący kilka biurek dalej lub z innego miasta w Polsce, masz pewność, że ta wiadomosć nie pochodzi od niego.
inetnum: 138.199.59.0 - 138.199.59.255
netname: CDN77-WAR
country: PL
admin-c: DLTS1-RIPE
tech-c: DLTS1-RIPE
status: ASSIGNED PA
mnt-by: DATACAMP-MNT
created: 2021-01-26T09:39:09Z
last-modified: 2021-01-26T09:39:09Z
source: RIPE
role: Datacamp Ltd. technical staff
address: DataCamp Limited
address: 207 Regent Street
address: London
address: United Kingdom
nic-hdl: DLTS1-RIPE
abuse-mailbox: abuse@datacamp.co.uk
mnt-by: DATACAMP-MNT
tech-c: JP4750-RIPE
admin-c: JP4750-RIPE
created: 2014-06-23T09:09:30Z
last-modified: 2021-03-19T13:12:55Z
source: RIPE # Filtered
Identyfikator wiadomości
Pole Message-ID o czym wspomnieliśmy wcześniej, zawiera unikalny identyfikator wiadomości. Gdyby ta została nadana faktycznie z serwerów dhosting.pl, a konkretniej dpoczta.pl na co pozornie wskazuje wiadomość, nie mielibyśmy w drugim członie informacji o
email13.godaddy.com.
Message-Id: 20211015003240.75234ab67224cea2030dee962839da49.b8fec8091c.wbe@email13.godaddy.com
Od kogo naprawdę i dla kogo jest skierowana wiadomość?
Ostatnim elementem są trzy pola gdzie jak widzisz From wskazuje informację, że nadawcą jest pozornie nadawca@dpoczta.pl przy czym jest to wyłącznie pole tekstowe odczytywane przez aplikację e-mail. Nie mówi ono o prawdziwym nadawcy. Prawdziwym nadawcą jest adres wskazany w polu X-Sender, a więc w naszym przykładzie nadawca@podszywam-sie.com i wreszcie pole Reply-To, czyli adres na który trafi wiadomość gdy odbiorca zdecyduje się na nią udzielić odpowiedzi. Jak widzisz nie jest to wcale nadawca@dpoczta.pl.
From: "Marek Elastyczny" nadawca@dpoczta.pl
X-Sender: nadawca@podszywam-sie.com
Reply-To: "Marek Elastyczny" nadawca@podszywam-sie.com
Podsumowując
W sytuacji gdy wiadomość wydaje Ci się podejrzana, dobrą praktyką jest spojrzenie na źródło wiadomości. Wyżej zawarte informacje pozwolą Ci w formie podstawowej dokonać weryfikacji czy wiadomość pochodzi faktycznie od osoby, która widnieje pozornie jako jej nadawca.
