Forum
Mac
Internet i mreže
Kako prepoznati autentičnost maila
(1 korsinik/a gleda/ju temu) (1) Gost

Kako prepoznati autentičnost maila


03.06.2012 | 20:52
U jednoj drugoj temi smo načeli pitanje prepoznavanja autentičnosti maila koji smo primili od neke, naizgled, službene instance (npr. apple službene tehničke podrške). Treba dakle, odabrati taj mail, pa (u Mail.app) pod View odabrati Message pa Raw. Dobit ćemo, prije samog teksta maila, hrpu naizgled zbrčkanog teksta koji je upravo vrlo bitan za razaznavanje autentičnosti.

Evo primjera o kojem smo diskutirali u tom drugom threadu:

Delivered-To: moj mail
 Received: by 10.68.24.138 with SMTP id u10csp388922pbf;
 Wed, 23 May 2012 14:12:04 -0700 (PDT)
 Received: by 10.68.228.170 with SMTP id sj10mr13820515pbc.106.1337807523873;
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Return-Path: < sb@apple.com>
 Received: from mail-out.apple.com (bramley.apple.com. [17.151.62.49])
 by mx.google.com with ESMTPS id pb10si4091274pbc.106.2012.05.23.14.12.03


Ovaj dio se čita odozdo prema gore (najgornji reci su kronološki najzadnji) i po tome se vidi lanac primopredaje poruke.

Prvi SMTP server (koji je preuzeo poštu od pošiljatelja) je deklariran kao bramley.apple.com. Korištenjem nslookup komande iz Terminala dobivamo fizičku adresu za taj server i ona je ista kao ova deklarirana u mailu (17.151.62.49). Već to je dovoljno da se prilično čvrsto uvjeriš da je pošiljatelj autentičan, jer većina spoof mailova već na ovom pada (piše ti adresa pošiljatelja neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript , a u relay pathu čitaš da je prva karika u lancu neki masovni anonimni besplatni mail server (tipa yahoo, hotmail, gmail...) s nekim bezveznim return-pathom (npr. Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript ).

Drugi server, koji je poruku primio od applea je mx.google.com. Primatelj jamačno ima adresu tipa neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript . Nakon toga slijede još dva hopa koji su, pretpostavljam interni google serveri jer nemaju simboličku adresu. Ali to nije bitno za određivanje autentičnosti pošiljatelja. 

 (version=TLSv1/SSLv3 cipher=RC4-MD5);
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Received-SPF: pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) client-ip=17.151.62.49;
 Authentication-Results: mx.google.com; spf=pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) smtp.mail= sb@apple.com


Ali čak i da ono gore ne znamo, ovdje imamo rezultat SPF testa (SPF = Sender Probably Forged) kojeg je proveo google server prilikom primitka maila. Google kaže da je SPF test zadovoljavajuć (pass, odnosno negativan) jer je server koji je prihvatio mail zaista iz iste domene koja je deklarirana u adresi pošiljatelja.

 MIME-version: 1.0
 Content-type: multipart/alternative;
 boundary="Boundary_(ID_2+zGULdD03CZE/g8O2tw3Q)"
 Received: from relay13.apple.com ([17.128.113.29])
 by mail-out.apple.com (Oracle Communications Messaging Server 7u4-23.01
 (7.0.4.23.0) 64bit (built Aug 10 2011))
 with ESMTPS id < 0M4H00BBCUW1UJ92@mail-out.apple.com>; Wed,
 23 May 2012 14:12:03 -0700 (PDT)
 X-AuditID: 1180711d-b7f406d000004330-a8-4fbd52a24bae
 Received: from da0304a-dhcp35.apple.com
 (da0304a-dhcp35.apple.com [17.221.46.85])
 (using TLS with cipher AES128-SHA (AES128-SHA/128 bits))
 (Client did not present a certificate) by relay13.apple.com (Apple SCV relay)
 with SMTP id 4E.66.17200.2A25DBF4; Wed, 23 May 2012 14:12:03 -0700 (PDT)


Ovdje vidimo interni put maila prije nego je izašao iz Applea. Ovo je sve kompletno moglo biti falsificirano, ali pošiljatelji lažnih mailova nikad se ne trude toliko detaljno falsificirati mail koji bi slali ovakvoj žrtvi. To bi već ulazilo u domenu vrlo ozbiljne industrijske (ili one prave) špijunaže.


 From: Suresh Balachandran < sb@apple.com>


Ovo je deklarirana adresa pošiljatelja i ista je kao i return-path gore pri vrhu.

 Date: Wed, 23 May 2012 14:12:09 -0700
 Subject: Apple: About the wireless issues reported
 To: suresh balachandran < sb@apple.com>
 Message-id: < EE938125-A951-4473-A020-0C0FD475EC76@apple.com>
 X-Mailer: Apple Mail (2.1278)


X-mailer se isto može falsificirati, ali ni to se ne radi baš često. Mail client pomoću kojeg je napisan mail je Apple Mail, što bi bilo očekivano. Da tu piše bilo što drugo, čak i da je sve drugo super-autentično, ostavio bih zrno sumnje u to da zaposlenik Applea zaista koristi neki drugi mail client umjesto Apple Mail.app, i to u službene svrhe.

Što je također važno - nigdje nema "Reply To" headera koji je tipičan način prevare - vidimo da je mail poslan od nekog (što je falsificirano) pa odgovaramo razmišljajući kako šaljemo mail na tu adresu, ali ona zapravo ode na reply to adresu koja može biti neka sasvim druga.
Odgovori Citiraj
03.06.2012 | 21:22
Hvala Smayoo, ovaj hvalevrijedan tekst ide u "Upute" folder.
S obzirom da nisam stručnjak u terminalu nisam shvatio korištenje nslookup komande.
U terminalu napišem:
nslookup bramley.apple.com.
i onda dobijem adresu servera ili sam nešto krivo shvatio?
Odgovori Citiraj
03.06.2012 | 21:30
Dobro si shvatio:

jabook:~ emil$ nslookup bramley.apple.com
Server:		192.168.1.1
Address:	192.168.1.1#53

Non-authoritative answer:
Name:	bramley.apple.com
Address: 17.151.62.49


Pod "name" je napisano simboličko ime servera (to je ono što si zadao), a pod "address" dobiješ fizičku adresu servera. Ta se fizička adresa mora podudarati s onom iz headera maila koji provjeravaš.
Odgovori Citiraj
03.06.2012 | 21:50
Super, hvala na pojašnjenju.
Odgovori Citiraj
Forum
Mac
Internet i mreže
Moderatori: Bertone
  • Stranica:
  • 1

Vikalica™

Zadnja poruka: pred 4 dana, 11 sati
  • Yonkis: Sretan Božić svima!
  • vjeko1: Sretan Božić svima!
  • jura22: Sretan Božić i blagoslovljeni mi bili svi bez obzira na sve!
  • Gjuroo: Sretan Božić, ekipa!
  • zoranowsky: Sretan Božić svima! :)
  • Djuro genijalac: Sretan Žićbo!
  • Bertone: Sretan Božić!
  • dpasaric: Sretan Božić! :)
  • smayoo: Sretan Božić! :)
  • drpongrac23: Svima koji slave, čestit i blagoslovljen Božić!!!
  • drpongrac23: U peći na drva, naravno, legendarnom Smederevcu!
  • drpongrac23: Da li su svi pripremili purice, janjetinu, odojke, mlince za sutra?!?! Moja je purica nasoljena i čeka jutarnje pečenje!!!
  • imenso: Evo molio bih ako imate 2-3 minute vremena i volju proslijediti dalje za riješiti jednu anketu: [link] Potpuno je anonimno
  • Bertone: Aaaa tooo,... baš sam tutlek :) ... vidi se OK, evo pikčr: [link] ... i sorry na lošoj kvaliteti slike, jbg, nemam sad pri ruci bolju :)
  • smayoo: Mislim da je @iAntu zanimalo kako se vide gravirana slova kad je isključeno osvijetljenje od ispod, dok je dnevno svjetlo
  • Bertone: Nema razlike u količini/vidljivosti svijetla koje dolazi ispod/kroz tipke u odnosu na originalna slova, jedina razlika je mrvicu manji font uz napomenu da sam do sada radio samo lasersko graviranje na ThinkPadima T serije. Planirao sam jednom odnijeti i jedan MBP ali nisam nikad stigao.
  • iAnte: @bertone jesu li gravirana znakovi vidljivi i u dobro osvijetljenim prostorima?
  • dpasaric: Legenda.
  • smayoo: RIP Chris Rea... :(
  • VanjusOS: ovo lasersko graviranje izgleda odlično, nikakve naljepnice!
  • Bertone: ... i da, mislim da je sad graviranje oko 20€
  • Bertone: Lasersko graviranje, baci oko na [link] , ovako izgleda na T14s koji sam nosio kod njih s time da nisam htio baš sve znakove nego samo par osnovnih, tipkovnica je isto bila DE [link]
  • jura22: Radije kupi naljepnice. Ima ih na oglasniku: [link]
  • Riba: Puno, jer ako se ne varam mora se mijenjati kuciste.
  • CoffeePod: Kupio MBP16" M4, al tipkovnica je njemacka. Zna li se koliko bubvrega dode zamjena tipki da mi bude HR?
  • Soffoklo: Misliš bravo retardirana EU birokracija
  • drpongrac23: Bravooo Apple, super!!!
  • m@xym: a evo i pojašnjenja: [link]
  • Yonkis: In iOS 26.2, Wi-Fi network synchronization between iPhone and Apple Watch will no longer be available in the EU.
  • hal9000: HAHAHAHAHAHA: [link]
  • dpasaric: Iskreno, i meni Liquid Glass ide na živce i nije im to trebalo. Srećom barem se na iPhoneu lako ugasi u onim opcijama za invalidne osobe.
  • Borisone: Ne znam što su se svi uspuhali oko Liquid Glass, a tragediju od prikaza UI-a na ne-retina ekranima se tolerira više od desetljeća.
  • CoffeePod: Dyeovog odlazak je mozda najbolja stvar. Racunam da ce implementirat malo nazad Mavericks draži i da će utišat Liquid Glass gimmick. Apple se stvarno mora sjetiti da ljudi vole Apple upravo radi blenda vrhunskog hardware i software koji je funkcionalna koliko i lijepo izgleda. Liquid Glass je form over function 101.
  • Yonkis: Sa novim WApp updateom funkcionalan WhatsApp app na Apple Watchu.
  • IgorD: Zašto ne bi bilo istina? O tom se govori danima, neki ljudi slave što je Dye otišao. Trebao si otvoriti temu
  • Djuro genijalac: Sve mi se čini da je ovo istina..?
  • Djuro genijalac: [link]
  • IgorD: ovo je bilo na 17
  • IgorD: [link]
  • IgorD: Meni radi paste, iPhone Max 15, nije zadnji ios
  • smayoo: Ne možeš s iphonea
  • Djuro genijalac: Jbm, kak se pastea link u vikalicu?
  • Djuro genijalac: Ne znam jel ovo istina, ali....
  • Air: Ja sam u Zg, reci što i kada trebaš?
  • drlovric: Ima li neka dobra dusa iz Zagreba da mi preuzme hedan mali paket i preusmjeri ga na paketomat ili kakogod u Zupanju? :)
  • smayoo: [link]
  • ydrea: @Vanjuška - imamo! Poslao sam ti pp ;)
  • drlovric: Akom znate nekoga da prodaje SteamDeck, ja bih to kupio...
  • Piko: Zašto WP ? .... ima .... samo ja radim u Laravelu, no WP mi nije stran.. što konkretno treba ?
  • dpasaric: Svi otišli u keramičare. Naš ex-voditelj weba radi s mramorom sada. :)

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

Air, dpasaric, IgorD, ipetri68, jura22, Riba, smayoo, tino1, ^SuperUnknown^, Anonimci (590)

Novo na Jabučnjaku

Teme

Poruke

Članci

Oglasi

Komentari

Anketa

Koji Mac koristite?

Page Speed 0.70 Seconds

Provided by iJoomla SEO