Kako prepoznati autentičnost maila
(1 korsinik/a gleda/ju temu) (1) Gost

Kako prepoznati autentičnost maila


03.06.2012 | 20:52
U jednoj drugoj temi smo načeli pitanje prepoznavanja autentičnosti maila koji smo primili od neke, naizgled, službene instance (npr. apple službene tehničke podrške). Treba dakle, odabrati taj mail, pa (u Mail.app) pod View odabrati Message pa Raw. Dobit ćemo, prije samog teksta maila, hrpu naizgled zbrčkanog teksta koji je upravo vrlo bitan za razaznavanje autentičnosti.

Evo primjera o kojem smo diskutirali u tom drugom threadu:

Delivered-To: moj mail
 Received: by 10.68.24.138 with SMTP id u10csp388922pbf;
 Wed, 23 May 2012 14:12:04 -0700 (PDT)
 Received: by 10.68.228.170 with SMTP id sj10mr13820515pbc.106.1337807523873;
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Return-Path: < sb@apple.com>
 Received: from mail-out.apple.com (bramley.apple.com. [17.151.62.49])
 by mx.google.com with ESMTPS id pb10si4091274pbc.106.2012.05.23.14.12.03


Ovaj dio se čita odozdo prema gore (najgornji reci su kronološki najzadnji) i po tome se vidi lanac primopredaje poruke.

Prvi SMTP server (koji je preuzeo poštu od pošiljatelja) je deklariran kao bramley.apple.com. Korištenjem nslookup komande iz Terminala dobivamo fizičku adresu za taj server i ona je ista kao ova deklarirana u mailu (17.151.62.49). Već to je dovoljno da se prilično čvrsto uvjeriš da je pošiljatelj autentičan, jer većina spoof mailova već na ovom pada (piše ti adresa pošiljatelja neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript , a u relay pathu čitaš da je prva karika u lancu neki masovni anonimni besplatni mail server (tipa yahoo, hotmail, gmail...) s nekim bezveznim return-pathom (npr. Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript ).

Drugi server, koji je poruku primio od applea je mx.google.com. Primatelj jamačno ima adresu tipa neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript . Nakon toga slijede još dva hopa koji su, pretpostavljam interni google serveri jer nemaju simboličku adresu. Ali to nije bitno za određivanje autentičnosti pošiljatelja.

 (version=TLSv1/SSLv3 cipher=RC4-MD5);
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Received-SPF: pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) client-ip=17.151.62.49;
 Authentication-Results: mx.google.com; spf=pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) smtp.mail= sb@apple.com


Ali čak i da ono gore ne znamo, ovdje imamo rezultat SPF testa (SPF = Sender Probably Forged) kojeg je proveo google server prilikom primitka maila. Google kaže da je SPF test zadovoljavajuć (pass, odnosno negativan) jer je server koji je prihvatio mail zaista iz iste domene koja je deklarirana u adresi pošiljatelja.

 MIME-version: 1.0
 Content-type: multipart/alternative;
 boundary="Boundary_(ID_2+zGULdD03CZE/g8O2tw3Q)"
 Received: from relay13.apple.com ([17.128.113.29])
 by mail-out.apple.com (Oracle Communications Messaging Server 7u4-23.01
 (7.0.4.23.0) 64bit (built Aug 10 2011))
 with ESMTPS id < 0M4H00BBCUW1UJ92@mail-out.apple.com>; Wed,
 23 May 2012 14:12:03 -0700 (PDT)
 X-AuditID: 1180711d-b7f406d000004330-a8-4fbd52a24bae
 Received: from da0304a-dhcp35.apple.com
 (da0304a-dhcp35.apple.com [17.221.46.85])
 (using TLS with cipher AES128-SHA (AES128-SHA/128 bits))
 (Client did not present a certificate) by relay13.apple.com (Apple SCV relay)
 with SMTP id 4E.66.17200.2A25DBF4; Wed, 23 May 2012 14:12:03 -0700 (PDT)


Ovdje vidimo interni put maila prije nego je izašao iz Applea. Ovo je sve kompletno moglo biti falsificirano, ali pošiljatelji lažnih mailova nikad se ne trude toliko detaljno falsificirati mail koji bi slali ovakvoj žrtvi. To bi već ulazilo u domenu vrlo ozbiljne industrijske (ili one prave) špijunaže.


 From: Suresh Balachandran < sb@apple.com>


Ovo je deklarirana adresa pošiljatelja i ista je kao i return-path gore pri vrhu.

 Date: Wed, 23 May 2012 14:12:09 -0700
 Subject: Apple: About the wireless issues reported
 To: suresh balachandran < sb@apple.com>
 Message-id: < EE938125-A951-4473-A020-0C0FD475EC76@apple.com>
 X-Mailer: Apple Mail (2.1278)


X-mailer se isto može falsificirati, ali ni to se ne radi baš često. Mail client pomoću kojeg je napisan mail je Apple Mail, što bi bilo očekivano. Da tu piše bilo što drugo, čak i da je sve drugo super-autentično, ostavio bih zrno sumnje u to da zaposlenik Applea zaista koristi neki drugi mail client umjesto Apple Mail.app, i to u službene svrhe.

Što je također važno - nigdje nema "Reply To" headera koji je tipičan način prevare - vidimo da je mail poslan od nekog (što je falsificirano) pa odgovaramo razmišljajući kako šaljemo mail na tu adresu, ali ona zapravo ode na reply to adresu koja može biti neka sasvim druga.
03.06.2012 | 21:22
Hvala Smayoo, ovaj hvalevrijedan tekst ide u "Upute" folder.
S obzirom da nisam stručnjak u terminalu nisam shvatio korištenje nslookup komande.
U terminalu napišem:
nslookup bramley.apple.com.
i onda dobijem adresu servera ili sam nešto krivo shvatio?
03.06.2012 | 21:30
Dobro si shvatio:

jabook:~ emil$ nslookup bramley.apple.com
Server:		192.168.1.1
Address:	192.168.1.1#53

Non-authoritative answer:
Name:	bramley.apple.com
Address: 17.151.62.49


Pod "name" je napisano simboličko ime servera (to je ono što si zadao), a pod "address" dobiješ fizičku adresu servera. Ta se fizička adresa mora podudarati s onom iz headera maila koji provjeravaš.
03.06.2012 | 21:50
Super, hvala na pojašnjenju.
Moderatori: Bertone
  • Stranica:
  • 1

Vikalica™

Zadnja poruka: pred 2 dana, 3 sati
  • Junuz: Yonkis, riješeno.Ubio sam icloud/face time na svim uređajima.Iako se problem manifestovao na 16e.Svakako nekoristim face/imesage.Hvala
  • Yonkis: @Junuz - ti si u USA? Na čijoj si mreži? Vidiš li ti te poruke koje su poslane? Da nemaš USA Apple account? Ne znam, puno informacija nedostaje za ikakvo pojašnjenje. Ili otvori remu/post.
  • cariblanco: Kakav dobar finale tenisa, inače navijam za Noleta, ali on je svoje dao...danas se "griješnik" nije dao u Alcatraz ;9
  • Junuz: Nije baš tako, za par sati su mi naplatili oko 1euro na pozadinsko slanje sms ova u ameriku sa ciljem aktiviranja face time.Iphone koristim od 6 naovamo
  • drpongrac23: @Junuz - pa aktiviraj Facetime i iMessage, ništa te ne košta.
  • Junuz: A naravno nisam siguran kako
  • Junuz: trebao bih pomoć oko pozadinskog slanja sms ova u usa na iphonu.16e model sa novom pretplatom i esim karticom.Trošak raste svako malo a od telekom operatora sam dobio odgovor:U slučaju ako koristite iPhone, Vaš uređaj u pozadini šalje SMS prema svom uslužnom servisu u SAD-u s ciljem aktivacije usluge Facetime i iMessage. Molimo deaktivirajte u postavkama mobilnog uređaja navedene usluge k
  • ping: naravno nije bitno koji smartphone dok god je iphone :)
  • ping: @drlovric koliko se sjećam nije radila ako se spajaš na wifi ali ako koristiš iphone sa hr linijom onda je radilo.
  • drlovric: Koristi li netko MaxTV aplikaciju van HR?
  • Ender: verovatno je to, jer je on sa ekranom od 12", mada je bilo i MB Air-ova 11" pa su imali 2 standarnda USB porta. dobro mozda je on bio malo veci od tog MacBook-a jer je imao onaj siri screen bezel.
  • smayoo: Imao je samo jedan port jer je cijela matična ploča bila toliko malena da nije bilo mjesta za dva. To je bitna ušteda (veličina matične ploče), a ne broj portova
  • Ender: verovatno ce cena biti povoljna uz kompromis da se ukine neke stvari koje postoje kod MB Air-a. recimo MacBook model iz 2015-2016 je cak imao samo jedan USB-C port. neka usteda od par $, al dovoljno da se ustedi taman za bonus nekog menadzera.
  • Ender: Slazem se, masa korisnika nema neke prevelike zahteve, niti koristi zahtevne programe, ali sam sistem postaje s vremenom gladan resursa, i to bude cesto ogranicavajuci faktor. Ali u upravi drage nam firme sede neki ljudi koji vrlo precizno odmere svaki korak, tako da s druge strane mislim da ima smisla, koliko god meni logika govori drukcije.
  • Bertone: Sve ovisi koliko €/$ će tražiti,... masa ljudi još koristi Intel MBA/MBP i ne daje im se 1k€ za osnovni MBA, a potrebe im nisu veće od tu i tamo kojeg dopisa, e-maila ili pogledati kakav video.
  • Ender: malo je bzvz imati MacBook sa procesorom od iPhone-a, a imas iPad sa M1 procesorom. ne vidim segment trzista za taj MacBook.
  • Ender: izgleda ce tako i ovog puta biti. ti MacBook-ovi su imali core-M seriju procesora (M, M3, M5 i M7), a poslednja serija je imala core-i procesore 2017. god.
  • smayoo: Imali su već i prije takav neki proizvod. Onaj "zlatni" macbook 12", zar ne. Pa se nije baš "primio".
  • drpongrac23: [link]
  • drpongrac23: Izgledno je da izlazi low-end MacBook, tj. povratak stare MacBook serije, oviga puta sa iPhone čipom unutra. Ako se ostvari, biti će zanimljivo
  • drpongrac23: @cariblanco - slažem se, no zbog zdravstvenih razloga se bisam usudio ići. Produkcija na svjetskom nivou.
  • cariblanco: Koncert na hipodromu, je neponovljiv po mnogim stvarima...dok sam živ neće ga nitko prestići po mnogim detaljima....ma što god mislili o Marku
  • smayoo: RIP Renato Baretić :(
  • dpasaric: Cijene su ti iste kao u Švicarskoj, kada to prihvatiš, sve bude jednostavnije! :)
  • ping: @drlovric Geneva?
  • ping: A
  • drlovric: Jucer sam stigao a vec sam blago sokiran hrvatskim cijenama. Neke stvari vrijedjaju inteligenciju, ali valjda se brzo naviknem :)
  • smayoo: O, brate, kakav pacijent.. :)
  • dpasaric: Joj on je inače lud tip, ali ovo je skroz fora! :)
  • drlovric: Kakva bolest od videa :) [link]
  • dpasaric: Novi mega-članak na naslovnici! Nije za svakoga, ali za one koji to vole bit će poslastica! :)
  • zoranowsky: Također!
  • vicko: Pridružujem se čestitkama!
  • smayoo: Čestitam svima Dan antifašističke borbe!
  • roPeD: Pokrenuo temu u Softver forumu
  • smayoo: Piši u forum i probaj biti jasniji
  • roPeD: Lijepo molim
  • roPeD: Jel bi netko znao prebaciti onaj nas stari Mini Rijecnik da ga mozemo koristiti sa novim operativnim sustavima i M chipovima
  • roPeD: Pozdrav svima
  • drlovric: Zasto instalirate bete na aktivne uredjaje koje koristite svaki dan :/ Mozda je bolje da ti je bankarstvo prestalo raditi, nego da radi nesto sto ne znas :)
  • ZeljkoB: iOS18 dev beta kad je izasao nije polomio nista, ali 17ica je ubila ZABA app...
  • dpasaric: Meni to zvuči kao logična prva stvar koja će se polomiti.
  • ZeljkoB: Je li tko probao iOS26, a da mu ZABA app i dalje radi OK?
  • hal9000: Sretan rođendan i dobrodošao u klub!
  • drpongrac23: Hvala svima!
  • ping: Sretan rođendan
  • dpasaric: Sretan ti! :)
  • zoranowsky: Sretan ročkas!
  • Yonkis: Sretno ti rođendanovo!
  • smayoo: Sretan ti rođendan! :)

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

Ender, jmirakul, Riba, Anonimci (533)

Novo na Jabučnjaku

Teme

Poruke

Oglasi

Anketa

Koji Mac koristite?

Page Speed 0.70 Seconds

Provided by iJoomla SEO