Analiza zaglavlja

Analiza zaglavlja

Ključni korak u forenzičkoj analizi mejlova je ispitivanje zaglavlja mejla. Ono sadrži informacije o poruci koje nisu neposredno istaknute u glavnom delu, kao što su detalji pošiljaoca i primaoca, vremensku oznaku i rutu koju je poruka prešla pre nego što je stigla na krajnju destinaciju.

U Gmail, Outlook, Yahoo i sličnim veb interfejsima, zaglavlje može da se vidi tako što se odabere “Pokaži original" (Show original), "Vidi izvor poruke" (View message source) ili slična opcija. Ovo uglavnom otvara novu karticu koja prikazuje zaglavlje mejla i tekst. Iako nisu sva zaglavlja prisutna u svakom mejlu, uobičajeni podaci koji se u zaglavljima mogu naći uključuju:

  • Od: Ukazuje na ime i adresu pošiljaoca. U nekim slučajevima, adresa može biti lažna ili izmenjena da bi se prikrio identitet pošiljaoca, što ovo polje čini obaveznim delom analize.
  • Za: Precizira ime i adresu primaoca, ključno polje za forenzičku analizu da ukaže kome je poruka namenjena.
  • CC i BCC: Ova polja izlistavaju druge primaoce poruke. CC (Carbon Copy) ukazuje na javno polje, dok je BCC (Blind Carbon Copy) skriveno polje koje nije vidljivo drugim primaocima (stoga je ono prisutno samo u kopiji poruke koju je dobio taj primalac).
  • Datum i vreme: Sadrži trenutak kada je poruka poslata, što je važno u slučajevima kada vremenske oznake služe kao dokaz u istrazi.
  • X-Mailer: Otkriva programe ili platforme koje su korišćene da bi se poslala poruka i može da pruži informacije o tipu uređaja koji je korišćen za slanje.
  • Primljeno: Nabraja sve servere kroz koje je poruka prošla na svom putu od pošiljaoca do primaoca. Ova informacija može da bude od značaja za forenzičku analizu, pomažući u identifikaciji lokacija pošiljaoca i primaoca, kao i identifikaciji servera uključenih u slanje ili primanje poruke - polje koje je neophodno za analizu.
  • DKIM-potpis zaglavlje: Domain Keys Identified Mail (DKIM) je značajan bezbednosni standard koji koristi asimetričnu enkripciju da bi osigurao da je mejl legitiman. Koristi dva seta ključeva: javni ključ dostupan bilo kome ko prima mejl i privatni ključ na mejl serveru pošiljaoca. Privatni ključ se koristi za enkripciju, a javni za dekripciju.
  • ID poruke: Ovo polje sadrži jedinstvene identifikatore za poruku, koji su korisni kada treba identifikovati poruku u bilo kojoj fazi istrage.