Forum
Mac
Internet i mreže
Kako prepoznati autentičnost maila
(1 korsinik/a gleda/ju temu) (1) Gost

Kako prepoznati autentičnost maila


03.06.2012 | 20:52
U jednoj drugoj temi smo načeli pitanje prepoznavanja autentičnosti maila koji smo primili od neke, naizgled, službene instance (npr. apple službene tehničke podrške). Treba dakle, odabrati taj mail, pa (u Mail.app) pod View odabrati Message pa Raw. Dobit ćemo, prije samog teksta maila, hrpu naizgled zbrčkanog teksta koji je upravo vrlo bitan za razaznavanje autentičnosti.

Evo primjera o kojem smo diskutirali u tom drugom threadu:

Delivered-To: moj mail
 Received: by 10.68.24.138 with SMTP id u10csp388922pbf;
 Wed, 23 May 2012 14:12:04 -0700 (PDT)
 Received: by 10.68.228.170 with SMTP id sj10mr13820515pbc.106.1337807523873;
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Return-Path: < sb@apple.com>
 Received: from mail-out.apple.com (bramley.apple.com. [17.151.62.49])
 by mx.google.com with ESMTPS id pb10si4091274pbc.106.2012.05.23.14.12.03


Ovaj dio se čita odozdo prema gore (najgornji reci su kronološki najzadnji) i po tome se vidi lanac primopredaje poruke.

Prvi SMTP server (koji je preuzeo poštu od pošiljatelja) je deklariran kao bramley.apple.com. Korištenjem nslookup komande iz Terminala dobivamo fizičku adresu za taj server i ona je ista kao ova deklarirana u mailu (17.151.62.49). Već to je dovoljno da se prilično čvrsto uvjeriš da je pošiljatelj autentičan, jer većina spoof mailova već na ovom pada (piše ti adresa pošiljatelja neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript , a u relay pathu čitaš da je prva karika u lancu neki masovni anonimni besplatni mail server (tipa yahoo, hotmail, gmail...) s nekim bezveznim return-pathom (npr. Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript ).

Drugi server, koji je poruku primio od applea je mx.google.com. Primatelj jamačno ima adresu tipa neš Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript . Nakon toga slijede još dva hopa koji su, pretpostavljam interni google serveri jer nemaju simboličku adresu. Ali to nije bitno za određivanje autentičnosti pošiljatelja. 

 (version=TLSv1/SSLv3 cipher=RC4-MD5);
 Wed, 23 May 2012 14:12:03 -0700 (PDT)
 Received-SPF: pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) client-ip=17.151.62.49;
 Authentication-Results: mx.google.com; spf=pass (google.com: domain of sb@apple.com designates 17.151.62.49 as permitted sender) smtp.mail= sb@apple.com


Ali čak i da ono gore ne znamo, ovdje imamo rezultat SPF testa (SPF = Sender Probably Forged) kojeg je proveo google server prilikom primitka maila. Google kaže da je SPF test zadovoljavajuć (pass, odnosno negativan) jer je server koji je prihvatio mail zaista iz iste domene koja je deklarirana u adresi pošiljatelja.

 MIME-version: 1.0
 Content-type: multipart/alternative;
 boundary="Boundary_(ID_2+zGULdD03CZE/g8O2tw3Q)"
 Received: from relay13.apple.com ([17.128.113.29])
 by mail-out.apple.com (Oracle Communications Messaging Server 7u4-23.01
 (7.0.4.23.0) 64bit (built Aug 10 2011))
 with ESMTPS id < 0M4H00BBCUW1UJ92@mail-out.apple.com>; Wed,
 23 May 2012 14:12:03 -0700 (PDT)
 X-AuditID: 1180711d-b7f406d000004330-a8-4fbd52a24bae
 Received: from da0304a-dhcp35.apple.com
 (da0304a-dhcp35.apple.com [17.221.46.85])
 (using TLS with cipher AES128-SHA (AES128-SHA/128 bits))
 (Client did not present a certificate) by relay13.apple.com (Apple SCV relay)
 with SMTP id 4E.66.17200.2A25DBF4; Wed, 23 May 2012 14:12:03 -0700 (PDT)


Ovdje vidimo interni put maila prije nego je izašao iz Applea. Ovo je sve kompletno moglo biti falsificirano, ali pošiljatelji lažnih mailova nikad se ne trude toliko detaljno falsificirati mail koji bi slali ovakvoj žrtvi. To bi već ulazilo u domenu vrlo ozbiljne industrijske (ili one prave) špijunaže.


 From: Suresh Balachandran < sb@apple.com>


Ovo je deklarirana adresa pošiljatelja i ista je kao i return-path gore pri vrhu.

 Date: Wed, 23 May 2012 14:12:09 -0700
 Subject: Apple: About the wireless issues reported
 To: suresh balachandran < sb@apple.com>
 Message-id: < EE938125-A951-4473-A020-0C0FD475EC76@apple.com>
 X-Mailer: Apple Mail (2.1278)


X-mailer se isto može falsificirati, ali ni to se ne radi baš često. Mail client pomoću kojeg je napisan mail je Apple Mail, što bi bilo očekivano. Da tu piše bilo što drugo, čak i da je sve drugo super-autentično, ostavio bih zrno sumnje u to da zaposlenik Applea zaista koristi neki drugi mail client umjesto Apple Mail.app, i to u službene svrhe.

Što je također važno - nigdje nema "Reply To" headera koji je tipičan način prevare - vidimo da je mail poslan od nekog (što je falsificirano) pa odgovaramo razmišljajući kako šaljemo mail na tu adresu, ali ona zapravo ode na reply to adresu koja može biti neka sasvim druga.
546 Odgovori Citiraj
03.06.2012 | 21:22
Hvala Smayoo, ovaj hvalevrijedan tekst ide u "Upute" folder.
S obzirom da nisam stručnjak u terminalu nisam shvatio korištenje nslookup komande.
U terminalu napišem:
nslookup bramley.apple.com.
i onda dobijem adresu servera ili sam nešto krivo shvatio?
24 Odgovori Citiraj
03.06.2012 | 21:30
Dobro si shvatio:

jabook:~ emil$ nslookup bramley.apple.com
Server:		192.168.1.1
Address:	192.168.1.1#53

Non-authoritative answer:
Name:	bramley.apple.com
Address: 17.151.62.49


Pod "name" je napisano simboličko ime servera (to je ono što si zadao), a pod "address" dobiješ fizičku adresu servera. Ta se fizička adresa mora podudarati s onom iz headera maila koji provjeravaš.
546 Odgovori Citiraj
03.06.2012 | 21:50
Super, hvala na pojašnjenju.
24 Odgovori Citiraj
Forum
Mac
Internet i mreže
Moderatori: Bertone
  • Stranica:
  • 1

Vikalica™

Zadnja poruka: pred 1 dan, 5 sati
  • jmustac: poslano
  • Riba: Javi se meni s detaljima.
  • jmustac: kako obrisati profil na ovom forumu?
  • rusty: @marioart - ovisi o hipervizoru, ali ukratko da. Moguće je dobiti emulaciju x86 na ARM bare metal stroju. UTM hypervisor kojeg osobno koristim nudi u mogućnost. Jasno, to zovu emulacijom, ne virtualizacijom ali eto
  • marioart: @rusty .. moze li se ikako dobiti x86 win kroz virtualizaciju?
  • stefanjos: drlovric. pa odgovaranje poruka na aplikacijama koje namu mac app i ako se puni da ne secem po mob, rijesim preko maca i to je to
  • rusty: Virtualizacija bi bio moj odabir, e sada da li je besplatno ili ne, ovisi o tome kako ćeš tu kopiju licencirati
  • VanjusOS: ima li nekakav besplatni način za imati Windows na Macbook sa M čipovima?
  • drlovric: Za sta ti konkretno mirroring sluzi? Ja mu nisam nasao primjenu :/
  • stefanjos: affinty na popustu 50%. ja sam si uzeo novu licensu. do sada sam bio na v1
  • stefanjos: tako da, meni je to top feature
  • stefanjos: ja imam australski app store i iphone mirroring koristim svaki dan
  • drlovric: To ces probati jednom i nikad vise. Nema razloga za biti razocaran :)
  • Zdravac: - NIJE :/
  • Zdravac: Jel proradio iPhone Mirroring? :)
  • Yonkis: iOS 18.1.1 / macOS Sequoia 15.1.1 [link]
  • kupus: pretpostavljam da to ide meni, znaci fino radi.
  • kupus: hahaha
  • drlovric: Znas kako lijepo klepece. Mozes i mijenjati zvuk. Merak pravi ????????
  • kupus: svejedno hvala smayoo
  • smayoo: Ma nemoj me zajebavat... :D
  • drlovric: Prekrasna aplikacija ako zelite zvuk fancy mehanicke tipkovnice :) [link]
  • drlovric: I ja to ocekujem. Na proljece cu u USA i iskreno se nadam da ce izaci do tada. Da donesem makar dva komada :)
  • Borisone: Osim ako nisi na ti s Tim Cookom, najbliže nagađanju kada je: [link]
  • VanjusOS: zna li netko, hoće li izaći uskoro Air sa M4 čipom?
  • smayoo: Pokušao sam, ali sam odustao kad me zavrtio u krug s registracijom i sign-inom na Epic games. Najprije kaže da može iskoristiti moj AppleID, kad napravi login preko AppleID i kažem da ne želim pokazati svoj AppleID onda me opet svejedno traži login. Tako da... sorry, ne bih.
  • kupus: hvala
  • kupus: moze li netko probat ovaj besplatan virtualan masterpiece na m macovima? [link]
  • ping: @drlovric imaš besplatne konvertere na netu pdf to excel ili konvertiraj u jpeg pa potrazi online free konverter ocr to excel
  • drlovric: nemam Acrobat....smo PDF Exprt i Wondershare.... Raspadne se na oba
  • drlovric: Daj mi mail na poruku pls, pa da ti posaljem....a kakav Pentagon, prosla su ta vremena, glupost neka :)
  • Zdravac: negdje ju uploadaj, pošalji mi link pa ak hoćeš, da vidimo kak će ispasti (osim ako nisu neke secret Pentagon pi*darije :)
  • Zdravac: @drlovric - "export to excel" ?! Adobe acrobat
  • drlovric: Imam fakturu u PDF, htio bih od nje napraviti Excel file. Sta da radim? :)
  • mariolino1971: Pozdrav. Pokušavam poslati oglas no stalno dobivam poruku 413 Request Entity Too Large. U čemu je problem?
  • kupus: UK korisnici vs Apple [link]
  • Yonkis: Jeste li znali da se iPhone sam reboota ako nije otključan u 72 sata? [link]
  • Yonkis: jeste čitali komentare na [link]
  • Ender: takodje zainteresovan za neki IPTV, predlog moze u PM.
  • cariblanco: Ako hočeš ja ti svog "provajdera" kojeg koristim 4-5 godina, pošaljem na pp ?
  • cariblanco: Kako veli Zdravac dobar iptv za 10 E i imaš sve i gdjedaš od kud hočeš. Meni je to jako važno pošto puno putujem, trebam samo dobar net i mirna bosna
  • drlovric: Moj Telemach nema Arene vec Sport Klubove....ali postoji kabelska u zgradi koja ima Arene, preko koaksijalnog kabela.... Pa sam se tehnloski vratio deteljece unatrag. Ali radi evo :)
  • Zdravac: Ali to je paket ex yu kanala, nema samo sport vec sve
  • Zdravac: Kvalitetni, koji mogu preporučiti 10 eur/mj
  • Zdravac: Ima, iptv
  • kupus: hometv to go ili kako već
  • kupus: znači ide i eronet aplikacija
  • kupus: u bih prava ima arenasport ako se ne varam
  • drlovric: Jel ima neki nacin da se HNL Supersport liga gleda online? Neki app? Streaming? Iptv?
  • cariblanco: Prošlo iz petog pokušaja...bit će da je Riba na suhom ;)

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

Air, Ender, m@xym, Riba, rusty, VanjusOS, Anonimci (479)

Novo na Jabučnjaku

Teme

Poruke

Članci

Oglasi

Komentari

Anketa

Koji Mac koristite?

Page Speed 1.18 Seconds

Provided by iJoomla SEO