Forum
Mac
Internet i mreže
Kako prepoznati autentičnost maila
(1 korsinik/a gleda/ju temu) (1) Gost

Kako prepoznati autentičnost maila


03.06.2012 | 20:52
U jednoj drugoj temi smo načeli pitanje prepoznavanja autentičnosti maila koji smo primili od neke, naizgled, službene instance (npr. apple službene tehničke podrške). Treba dakle, odabrati taj mail, pa (u Mail.app) pod View odabrati Message pa Raw. Dobit ćemo, prije samog teksta maila, hrpu naizgled zbrčkanog teksta koji je upravo vrlo bitan za razaznavanje autentičnosti.

Evo primjera o kojem smo diskutirali u tom drugom threadu:

Delivered-To: moj mail
 Received: by 10.68.24.138 with SMTP id u10csp388922pbf;
 Wed, 23 May 2012 14:12:04 -0700 (PDT)
 Received: by 10.68.228.170 with SMTP id sj10mr13820515pbc.106.1337807523873;
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Return-Path: < sb@apple.com>
 Received: from mail-out.apple.com (bramley.apple.com. [17.151.62.49])
 by mx.google.com with ESMTPS id pb10si4091274pbc.106.2012.05.23.14.12.03


Ovaj dio se čita odozdo prema gore (najgornji reci su kronološki najzadnji) i po tome se vidi lanac primopredaje poruke.

Prvi SMTP server (koji je preuzeo poštu od pošiljatelja) je deklariran kao bramley.apple.com. Korištenjem nslookup komande iz Terminala dobivamo fizičku adresu za taj server i ona je ista kao ova deklarirana u mailu (17.151.62.49). Već to je dovoljno da se prilično čvrsto uvjeriš da je pošiljatelj autentičan, jer većina spoof mailova već na ovom pada (piše ti adresa pošiljatelja neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript , a u relay pathu čitaš da je prva karika u lancu neki masovni anonimni besplatni mail server (tipa yahoo, hotmail, gmail...) s nekim bezveznim return-pathom (npr. Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript ).

Drugi server, koji je poruku primio od applea je mx.google.com. Primatelj jamačno ima adresu tipa neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript . Nakon toga slijede još dva hopa koji su, pretpostavljam interni google serveri jer nemaju simboličku adresu. Ali to nije bitno za određivanje autentičnosti pošiljatelja. 

 (version=TLSv1/SSLv3 cipher=RC4-MD5);
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Received-SPF: pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) client-ip=17.151.62.49;
 Authentication-Results: mx.google.com; spf=pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) smtp.mail= sb@apple.com


Ali čak i da ono gore ne znamo, ovdje imamo rezultat SPF testa (SPF = Sender Probably Forged) kojeg je proveo google server prilikom primitka maila. Google kaže da je SPF test zadovoljavajuć (pass, odnosno negativan) jer je server koji je prihvatio mail zaista iz iste domene koja je deklarirana u adresi pošiljatelja.

 MIME-version: 1.0
 Content-type: multipart/alternative;
 boundary="Boundary_(ID_2+zGULdD03CZE/g8O2tw3Q)"
 Received: from relay13.apple.com ([17.128.113.29])
 by mail-out.apple.com (Oracle Communications Messaging Server 7u4-23.01
 (7.0.4.23.0) 64bit (built Aug 10 2011))
 with ESMTPS id < 0M4H00BBCUW1UJ92@mail-out.apple.com>; Wed,
 23 May 2012 14:12:03 -0700 (PDT)
 X-AuditID: 1180711d-b7f406d000004330-a8-4fbd52a24bae
 Received: from da0304a-dhcp35.apple.com
 (da0304a-dhcp35.apple.com [17.221.46.85])
 (using TLS with cipher AES128-SHA (AES128-SHA/128 bits))
 (Client did not present a certificate) by relay13.apple.com (Apple SCV relay)
 with SMTP id 4E.66.17200.2A25DBF4; Wed, 23 May 2012 14:12:03 -0700 (PDT)


Ovdje vidimo interni put maila prije nego je izašao iz Applea. Ovo je sve kompletno moglo biti falsificirano, ali pošiljatelji lažnih mailova nikad se ne trude toliko detaljno falsificirati mail koji bi slali ovakvoj žrtvi. To bi već ulazilo u domenu vrlo ozbiljne industrijske (ili one prave) špijunaže.


 From: Suresh Balachandran < sb@apple.com>


Ovo je deklarirana adresa pošiljatelja i ista je kao i return-path gore pri vrhu.

 Date: Wed, 23 May 2012 14:12:09 -0700
 Subject: Apple: About the wireless issues reported
 To: suresh balachandran < sb@apple.com>
 Message-id: < EE938125-A951-4473-A020-0C0FD475EC76@apple.com>
 X-Mailer: Apple Mail (2.1278)


X-mailer se isto može falsificirati, ali ni to se ne radi baš često. Mail client pomoću kojeg je napisan mail je Apple Mail, što bi bilo očekivano. Da tu piše bilo što drugo, čak i da je sve drugo super-autentično, ostavio bih zrno sumnje u to da zaposlenik Applea zaista koristi neki drugi mail client umjesto Apple Mail.app, i to u službene svrhe.

Što je također važno - nigdje nema "Reply To" headera koji je tipičan način prevare - vidimo da je mail poslan od nekog (što je falsificirano) pa odgovaramo razmišljajući kako šaljemo mail na tu adresu, ali ona zapravo ode na reply to adresu koja može biti neka sasvim druga.
Odgovori Citiraj
03.06.2012 | 21:22
Hvala Smayoo, ovaj hvalevrijedan tekst ide u "Upute" folder.
S obzirom da nisam stručnjak u terminalu nisam shvatio korištenje nslookup komande.
U terminalu napišem:
nslookup bramley.apple.com.
i onda dobijem adresu servera ili sam nešto krivo shvatio?
Odgovori Citiraj
03.06.2012 | 21:30
Dobro si shvatio:

jabook:~ emil$ nslookup bramley.apple.com
Server:		192.168.1.1
Address:	192.168.1.1#53

Non-authoritative answer:
Name:	bramley.apple.com
Address: 17.151.62.49


Pod "name" je napisano simboličko ime servera (to je ono što si zadao), a pod "address" dobiješ fizičku adresu servera. Ta se fizička adresa mora podudarati s onom iz headera maila koji provjeravaš.
Odgovori Citiraj
03.06.2012 | 21:50
Super, hvala na pojašnjenju.
Odgovori Citiraj
Forum
Mac
Internet i mreže
Moderatori: Bertone
  • Stranica:
  • 1

Vikalica™

Zadnja poruka: pred 5 dana, 11 sati
  • jura22: Navlakusa za novi macOS.
  • imenso: Nije free, ima pretplatu, neke aplikacije i posebnu za iPad
  • Yonkis: Apple Creator Studio - free - [link]
  • drlovric: Bas tako Mario. Ja sam bio u USA i kupio MBP M1 Pro 16" i najmanju potrebu nemam da ga mijenjam. Pogrijesio sam jedino sto nisam uzeo 14" :)
  • marioart: uredjaji su predobri i predugo traju :)
  • Riba: Zalosno je vidjeti kako mac prodaja stagnira.
  • Yonkis: Ili ovako nešto? [link]
  • Yonkis: Gdje staviti ovakve vijestice? [link]
  • gladhr2: [link] ima li netko pametan da mi malo pomogne sa ovim problemom..?
  • dpasaric: Nema indoor mapa kod nas AFAIK.
  • Yonkis: Jeste li znali za bolji anti-reflective sloj na 17ici? [link]
  • Yonkis: Ima li u Rijeci ili igdje u HR ovo implemetirano? [link]
  • Yonkis: Novi AirTag: [link]
  • Yonkis: Bijah u Smart Doctoru, zamjenska je 100€ a originalna je 170€
  • smayoo: @Yonkis, pitao si kome vjerujemo :)
  • marioart: @Yonkis ovisno o aparatu koji imas, nije ti zgorega ni provjeriti cijene u sluzbenom servisu... ja sam u mediamarktu u njemackoj platio zamjenu za 13pro 88eura ... spojis ugodno sa korisnim i u Graz u shoping i servis
  • Yonkis: A ovi u Rijeci, Smart Doctor? Evo linka:[link]
  • Yonkis: Novi firmware ako nekome treba: [link]
  • Yonkis: Nevjerovatno da je cijena skočila na 150€ a znam da je prije 2 godine bila cca 70€. Prestrašno!
  • smayoo: @Yonkis - nažalost, u Rijeci više nikom. :( U Zagrebu je Davor više puta spomenuo da ima dobra iskustva s Agramservisom
  • VanjusOS: pa ti vratim
  • VanjusOS: ako imaš kabl kojeg trebaš isprobati možeš poslati meni da isprobam spojiti Mac pro
  • VanjusOS: i ja tražim već thunderbolt 2 kabel, iz Osijeka sam
  • zoranowsky: Jel ima netko u ZG za posuditi thunderbolt 2 kabel? Imam issue sa minijem M4 i thunderbolt 27 displayem pa trebam testirati neke kombinacije...
  • Yonkis: Kome vi u Rijeci vjerujete za zamjenu baterije na iPhonu jer u iStyleu je 150 € i čeka se par tjedana
  • Yonkis: :(
  • smayoo: [link]
  • smayoo: RIP Scott Adams :(
  • Gjuroo: Za sad to može zvučati i kao Affinity priča. Not great but not that bad.
  • Soffoklo: Za to vrijeme Apple se lagano pretvara u Adobe - [link]
  • drlovric: Sve je bolje od ove blamaze sa Apple AI i cekanja pametnije Siri koja nikako da dodje :)
  • IkoIko: Apple i Google sklopili ugovor o korištenju Gemini AI... Zanimljiv razvoj situacije
  • ZeljkoB: Spigen - [link]
  • Riba: Moza zato da mozes koristiti BT tipkovnicu i mouse i dok je zaklopljen?
  • user: glupo: zatvorim laptop, BT i dalje upaljen, što ne bi trebalo ovo **** se ugasit kad ga poklopim
  • rusty: date hack je samo na par sekundi. vratiš datum, startaš app čisto da se digne i vratiš datum opet. To je to. Čisto da loada profile i postavke
  • smayoo: Date hack nisam htio raditi jer potrga druge stvari. Krenuo sam instalirati staru verziju LogiOptions preko homebrewa, ali riješili su problem prije nego sam dospio to napraviti
  • rusty: Osobno mislim da je 12h predugo za cert problem I nisam mogao doć na sebe kakav su problem napravili. Ono što je još gore, ovo im nije prvi put za taj isti slučaj. Dakle kako ne naučiš nešto iz ovoga. Dodano, date hack rješava problem da se ne mora drugi put čekati 12h
  • Bertone: A jučer nisam koristio MBP nego T14s pa nisam iskusio veselje sa certifikatima :D
  • Bertone: Imam MXMastera već godinama [link] i jedina dobra stavr kod njega je što ga mogu koristiti sa MBP, Tnink Padom i desktop računalom bez pretjeranog petljanja, no da je (pre)skup za ono što nudi, je.
  • smayoo: I, na kraju, ako za neki komad hardvera koji sam u životu kupio mogu reći da NIJE preskupo plaćen, to je sigurno Logitech MX Master 3. Jučer ujutro jesam bio spreman popi... na njih, ali činjenica je da su problem riješili unutar cca 12h otkad se pojavio.
  • smayoo: Osim toga, hardver radi s bazičnim postavkama, ali svi tweakovi i custom podešenja - ne.
  • smayoo: Radi se o softveru koji mora dobiti dozvolu korisnika da zakopa dosta duboko pod haubu radi komunikacije s periferijom.
  • smayoo: Ne mora biti spojeno na internet. Sigurnosni certifikat aplikacije je bio istekao i Apple ga je blokirao, a Logitech nije pazio na datum isteka certifikata i nije izdao update s novim certifikatom na vrijeme
  • Bertone: Ček malo, preskupo plaćeni hardver ne dela na Apple računalu ako računalo nije spojeno na internet (na stranu sad istekli certifikat) ili sam propustio nešto
  • smayoo: Da, jučer sam imao natezanje oko toga. Ali moram im priznati da su brzo riješili.
  • Yonkis: [link]
  • smayoo: @mrobert, forum, tema "eOI - opet diskriminacija"
  • stefanjos: SRETNA NOVA!
  • drlovric: [link]

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

Air, BigMac, big_mac, Damirst, dpasaric, drlovric, Ender, Gjuroo, jura22, moragd, ping, Riba, rusty, smayoo, tino1, Yonkis, ZeljkoB, zoranowsky, Anonimci (12964)

Novo na Jabučnjaku

Teme

Poruke

Članci

Oglasi

Komentari

Anketa

Koji Mac koristite?

Page Speed 0.56 Seconds

Provided by iJoomla SEO