Forum
Mac
Internet i mreže
Kako prepoznati autentičnost maila
(1 korsinik/a gleda/ju temu) (1) Gost

Kako prepoznati autentičnost maila


03.06.2012 | 20:52
U jednoj drugoj temi smo načeli pitanje prepoznavanja autentičnosti maila koji smo primili od neke, naizgled, službene instance (npr. apple službene tehničke podrške). Treba dakle, odabrati taj mail, pa (u Mail.app) pod View odabrati Message pa Raw. Dobit ćemo, prije samog teksta maila, hrpu naizgled zbrčkanog teksta koji je upravo vrlo bitan za razaznavanje autentičnosti.

Evo primjera o kojem smo diskutirali u tom drugom threadu:

Delivered-To: moj mail
 Received: by 10.68.24.138 with SMTP id u10csp388922pbf;
 Wed, 23 May 2012 14:12:04 -0700 (PDT)
 Received: by 10.68.228.170 with SMTP id sj10mr13820515pbc.106.1337807523873;
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Return-Path: < sb@apple.com>
 Received: from mail-out.apple.com (bramley.apple.com. [17.151.62.49])
 by mx.google.com with ESMTPS id pb10si4091274pbc.106.2012.05.23.14.12.03


Ovaj dio se čita odozdo prema gore (najgornji reci su kronološki najzadnji) i po tome se vidi lanac primopredaje poruke.

Prvi SMTP server (koji je preuzeo poštu od pošiljatelja) je deklariran kao bramley.apple.com. Korištenjem nslookup komande iz Terminala dobivamo fizičku adresu za taj server i ona je ista kao ova deklarirana u mailu (17.151.62.49). Već to je dovoljno da se prilično čvrsto uvjeriš da je pošiljatelj autentičan, jer većina spoof mailova već na ovom pada (piše ti adresa pošiljatelja neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript , a u relay pathu čitaš da je prva karika u lancu neki masovni anonimni besplatni mail server (tipa yahoo, hotmail, gmail...) s nekim bezveznim return-pathom (npr. Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript ).

Drugi server, koji je poruku primio od applea je mx.google.com. Primatelj jamačno ima adresu tipa neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript . Nakon toga slijede još dva hopa koji su, pretpostavljam interni google serveri jer nemaju simboličku adresu. Ali to nije bitno za određivanje autentičnosti pošiljatelja. 

 (version=TLSv1/SSLv3 cipher=RC4-MD5);
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Received-SPF: pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) client-ip=17.151.62.49;
 Authentication-Results: mx.google.com; spf=pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) smtp.mail= sb@apple.com


Ali čak i da ono gore ne znamo, ovdje imamo rezultat SPF testa (SPF = Sender Probably Forged) kojeg je proveo google server prilikom primitka maila. Google kaže da je SPF test zadovoljavajuć (pass, odnosno negativan) jer je server koji je prihvatio mail zaista iz iste domene koja je deklarirana u adresi pošiljatelja.

 MIME-version: 1.0
 Content-type: multipart/alternative;
 boundary="Boundary_(ID_2+zGULdD03CZE/g8O2tw3Q)"
 Received: from relay13.apple.com ([17.128.113.29])
 by mail-out.apple.com (Oracle Communications Messaging Server 7u4-23.01
 (7.0.4.23.0) 64bit (built Aug 10 2011))
 with ESMTPS id < 0M4H00BBCUW1UJ92@mail-out.apple.com>; Wed,
 23 May 2012 14:12:03 -0700 (PDT)
 X-AuditID: 1180711d-b7f406d000004330-a8-4fbd52a24bae
 Received: from da0304a-dhcp35.apple.com
 (da0304a-dhcp35.apple.com [17.221.46.85])
 (using TLS with cipher AES128-SHA (AES128-SHA/128 bits))
 (Client did not present a certificate) by relay13.apple.com (Apple SCV relay)
 with SMTP id 4E.66.17200.2A25DBF4; Wed, 23 May 2012 14:12:03 -0700 (PDT)


Ovdje vidimo interni put maila prije nego je izašao iz Applea. Ovo je sve kompletno moglo biti falsificirano, ali pošiljatelji lažnih mailova nikad se ne trude toliko detaljno falsificirati mail koji bi slali ovakvoj žrtvi. To bi već ulazilo u domenu vrlo ozbiljne industrijske (ili one prave) špijunaže.


 From: Suresh Balachandran < sb@apple.com>


Ovo je deklarirana adresa pošiljatelja i ista je kao i return-path gore pri vrhu.

 Date: Wed, 23 May 2012 14:12:09 -0700
 Subject: Apple: About the wireless issues reported
 To: suresh balachandran < sb@apple.com>
 Message-id: < EE938125-A951-4473-A020-0C0FD475EC76@apple.com>
 X-Mailer: Apple Mail (2.1278)


X-mailer se isto može falsificirati, ali ni to se ne radi baš često. Mail client pomoću kojeg je napisan mail je Apple Mail, što bi bilo očekivano. Da tu piše bilo što drugo, čak i da je sve drugo super-autentično, ostavio bih zrno sumnje u to da zaposlenik Applea zaista koristi neki drugi mail client umjesto Apple Mail.app, i to u službene svrhe.

Što je također važno - nigdje nema "Reply To" headera koji je tipičan način prevare - vidimo da je mail poslan od nekog (što je falsificirano) pa odgovaramo razmišljajući kako šaljemo mail na tu adresu, ali ona zapravo ode na reply to adresu koja može biti neka sasvim druga.
Odgovori Citiraj
03.06.2012 | 21:22
Hvala Smayoo, ovaj hvalevrijedan tekst ide u "Upute" folder.
S obzirom da nisam stručnjak u terminalu nisam shvatio korištenje nslookup komande.
U terminalu napišem:
nslookup bramley.apple.com.
i onda dobijem adresu servera ili sam nešto krivo shvatio?
Odgovori Citiraj
03.06.2012 | 21:30
Dobro si shvatio:

jabook:~ emil$ nslookup bramley.apple.com
Server:		192.168.1.1
Address:	192.168.1.1#53

Non-authoritative answer:
Name:	bramley.apple.com
Address: 17.151.62.49


Pod "name" je napisano simboličko ime servera (to je ono što si zadao), a pod "address" dobiješ fizičku adresu servera. Ta se fizička adresa mora podudarati s onom iz headera maila koji provjeravaš.
Odgovori Citiraj
03.06.2012 | 21:50
Super, hvala na pojašnjenju.
Odgovori Citiraj
Forum
Mac
Internet i mreže
Moderatori: Bertone
  • Stranica:
  • 1

Vikalica™

Zadnja poruka: pred 3 dana, 4 sati
  • VanjusOS: neki mi javi se privatno, barem ako može kratko posuditi na probu
  • VanjusOS: ljudi, ima li možda netko viška Thunderbolt 2 to Thunderbolt 2 Cable
  • drpongrac23: Davno sam vozio "kockicu"
  • drpongrac23: @Yonkis - Kakav BMW - Uskoro kupujem za sebe Citrć Berlingo, jbg, godine...
  • drpongrac23: A zamjena ekrana preko 500 EUR!
  • drpongrac23: WTF?!? Ušle mi neke "bubice" u ekran na MBA M1. Totalni hit!!! 3 kom. BUBA ŠVABE!!!
  • Yonkis: Drpongrac23: a M5? Ne mislim na BMW.
  • drpongrac23: Preko 30 god. vjerni Apple korisnik - sada je vrijeme da zahvalim svima, ali Apple u mojim očima više nije što je nekad bio.
  • drpongrac23: Ovaj novi MacOS - bye, bye Apple!!! Ćesme od svega!
  • drpongrac23: PC za 400 EUR iz Pevexa žvače taj prastari MacPro za gablec :)
  • drpongrac23: U PC svijetu je DDR5 RAM polako standard - o čemu vi pričate?!?
  • BigMac: i ja kažem, prvo bolja pasta, nego zadnji put, i nižaa temperatura, očito prvi put nisam dobro stegao hladnjake, pa su procesori radili na nižem taktu :(
  • dpasaric: Odlično! :)
  • BigMac: Promjenio pastu na starom mac pro, osvježenje ....
  • smayoo: plus je sigurno problematičan, ali nije jedini
  • dpasaric: Više sam zaboravio koji su sve znakovi u pitanju, ali u tome je stvar.
  • dpasaric: I meni se često dogodi na nešto napišem i samo PUF!
  • dpasaric: Jura, na Vikalici se "progutaju" neki komentari jer postoje neki karakteri koje modul Vikalice ne podnosi i onda to sve samo ode u crnu rupu!
  • jura22: Mozda nezasitan?
  • VanjusOS: evo ja sam isprobao i radi! na A1 je moguće sa fizičke SIM prebaciti se na e-SIM na samom telefonu..
  • Borisone: Jer je gladan!
  • jura22: Zasto Jabucnjak guta komentare?
  • smayoo: :D
  • Borisone: Kako prebacuješ eSIM između moba za koji žena smije i za koji ne smije znat?
  • VanjusOS: ali bravo drlovric, nekad su najjednostavnija rješenje i najbolja!
  • VanjusOS: hahaha, problem je što imam službenu SIM karticu, pa ako mi se sjebe moram tražiti od firme da mi šalju novu...
  • drlovric: Pa probas i samo ce ti se kazati jbt. Sta je najgore sto se moze dogoditi? :)
  • VanjusOS: pitam da li je to itko isprobao?
  • VanjusOS: u iphoneu sa fizičkom sim karticom se pojavila opcija da se prebaci ta fizička sim u e-sim
  • VanjusOS: niste me shvatili, očito
  • miomika: na A1 ti samo pošalju na mail/sms ili putem aplikacije Moj A1 i to je to
  • rusty: Prije jedno 3 godine na Tmobile. u 22h navečer putem supporta jer se u protivnom trebalo ići u poslovnicu
  • VanjusOS: da li je netko isprobao funkciju konvertiranja SIM u e-SIM, i na kojoj mreži?
  • ZoPaj: ha ha, nisu li usbC isforsirali upravo radi štednji na punjačima:)
  • dpasaric: I bez punjača... :(
  • Borisone: Danas najavljeni novi iPad Pro, Vision Pro i MacBook Pro 14-inch. Sve s M5 procesorima (bez Pro i Max varijanti).
  • Air: Veliko priznanje Fedora našem Filipoviću - pozvao ga je na boksački meč.
  • Air: Taj pc laptop je imao cijenu cca 800 eura što nije malo
  • Air: Mislio sam da su se malo pomakli u tom smjeru, ali jok
  • Air: trackpad je... hm...
  • Bertone: Rekao sam ti da je kvaliteta izrade loša, ali sam CPU je brži od CPU-a iz MBP 2014/2015,... stavi na njega LinuxMint pa ćeš vidjeti da nije spor ;)
  • Air: Moj MBP 2014 je ferari / Bentley za usporedbu...
  • Air: Moj utisaK da sam ga platio 100-150 eura plakao bi što nisam dao još 150 za MBP 2014 - 2016 godište.
  • Air: Samo da javim, na kraju sam dobio laptop od frenda. Nije htio čuti za nikakve pare. Skro smo se posvađali ali eto pametniji popušta ;)
  • hal9000: Steve Jobs, vrati se! Sve ti je oprošteno! [link]
  • hal9000: Kakva pizdarija: [link]
  • drpongrac23: Meni onaj sa uzorkom krzna leoparda
  • hal9000: @Bertone: Da, jedan od najdražih Wallpapera ikad.
  • Bertone: 5k [link] i 6k [link]
  • Bertone: ... kojeg rado koristim

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

Air, cariblanco, Ender, Gjuroo, Jedro, marioart, matijazx, Riba, tino1, ^SuperUnknown^, Anonimci (2237)

Novo na Jabučnjaku

Teme

Poruke

Članci

Oglasi

Komentari

Anketa

Koji Mac koristite?

Page Speed 1.04 Seconds

Provided by iJoomla SEO