Phenquestions
Se você quiser se tornar mais profissional, pode verificar algumas das ferramentas descritas em Ferramentas de perícia ao vivo.
Ler e entender um cabeçalho de e-mail (Gmail):
O seguinte texto estranho é um cabeçalho de e-mail enviado da conta editor [at ~] linuxhint.com para ivan [at ~] linux.lat. Algumas partes irrelevantes foram removidas, mas é totalmente fiel ao cabeçalho original.
Abaixo de cada parte do cabeçalho do e-mail será explicado:
O primeiro segmento isolado abaixo é muito intuitivo e revela que o e-mail foi entregue a ivan [at ~] smartlation.com e recebido por um servidor identificado por seu endereço IP (IPv6) e um id de SMTP, detalhando a data e hora da entrega:
Delivered-To: ivana [at ~] smartlation.com recebido: em 2002: a05: 620a: 1461: 0: 0: 0: 0 com SMTP id j1csp966363qkl; Quarta, 3 de abril de 2019 19:50:15 -0700 (PDT)
O fragmento a seguir mostra que o e-mail está sendo processado por meio do SMTP do gmail.
X-Google-Smtp-Source: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
O X-Recebido cabeçalho é aplicado por alguns provedores de e-mail, neste caso é adicionado pelo SMTP do Gmail.
Recebido por X: em 2002: a62: 52c3 :: com id SMTP g186mr3128011pfb.173.1554346215815; Quarta, 03 de abril de 2019 19:50:15 -0700 (PDT)
O próximo segmento mostra o ARC (Cadeia de Autenticação Recebida). Este protocolo garante a validade da autenticação ao passar por diferentes dispositivos de intermediação. Neste caso, o e-mail é enviado do editor [~ at] linuxhint.com para ivan [~ at] linux.lat que encaminha o e-mail para ivan [~ at] smartlation.com.
Selo ARC: i = 1; a = rsa-sha256; t = 1554346215; cv = nenhum; d = google.com; s = arc-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==
E aqui está a primeira aparição do DKIM (DomainKeys Identified Mail), um método de autenticação que evita a falsificação de correio, validando o nome de domínio do remetente. O protocolo ARC previamente detalhado ajuda o DKIM e o SPF (que será mostrado abaixo) a permanecerem válidos, apesar da rota. Este extrato mostra as credenciais fornecidas.
ARC-Mensagem-Assinatura: i = 1; a = rsa-sha256; c = relaxado / relaxado; d = google.com; s = arc-20160816; h = para: assunto: id-mensagem: data: de: versão-mime: assinatura-dkim: assinatura-dkim: filtro-dkim; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==
Aqui você pode ver o resultado da autenticação, como você vê que foi bem-sucedida, além do DKIM você pode ver SPF (Sender Policy Framework), outro método de autenticação para permitir que o destinatário saiba que o remetente está autorizado a usar o nome de domínio mostrado na seção “DE”.
Neste caso, DKIM e SPF passaram na fase de autenticação.
Resultados de autenticação ARC: i = 1; mx.Google.com;
cabeçalho dkim = pass [email protected].s = cabeçalho padrão.b = oY3SGJai; cabeçalho dkim = pass [email protected].s = 20150623 cabeçalho.b = udLEKRXT; spf = pass (google.com: domínio de servidores [protegidos por e-mail].com designa 162.255.118.246 como remetente permitido) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = editor @ eforward1e.registrar-servidores.com "
Abaixo, há uma seção chamada “Caminho de retorno” e aqui é definido o endereço de e-mail devolvido, que é diferente da seção “De” para mensagens devolvidas a serem processadas pelo administrador do servidor de e-mail.
Caminho de retorno: <[email protected]om>
Finalmente, abaixo, as informações sobre o servidor de e-mail (Postfix), a versão DKIM e a força da criptografia são exibidas,
Recebido: de se17.registrar-servidores.com (se17.registrar-servidores.com [198.54.122.197]) por eforward1e.registrar-servidores.com (Postfix) com ESMTP id 9060A4207A2 para <[email protected]>; Quarta, 3 de abril de 2019 22:50:14 -0400 (EDT) Filtro DKIM: Filtro OpenDKIM v2.11.0 eforward1e.registrar-servidores.com 9060A4207A2 Assinatura DKIM: v = 1; a = rsa-sha256; c = relaxado / relaxado; d = registrar-servidores.com; s = padrão; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = De: Data: Assunto: Para; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+
Assinatura X-Google-DKIM: v = 1; a = rsa-sha256; c = relaxado / relaxado; d = 1e100.internet; s = 20161025; h = x-gm-message-state: mime-version: from: date: message-id: subject: to; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a
A seção X-Gm-Message-State mostra uma string única para dois estados possíveis: recuperou e enviei.
X-Gm-Message-State: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
O valor X-Received pertence especificamente ao gmail.
Recebido por X: em 2002: a50: 89fb :: com id SMTP h56mr1932247edh.176.1554346208456; Quarta, 03 de abril de 2019 19:50:08 -0700 (PDT)
Abaixo, você pode encontrar a versão MIME (Multipurpose Internet Mail Extensions) e as informações regulares exibidas aos usuários:
Versão MIME: 1.0 De: Editor LinuxHint <[email protected]> Data: Quarta, 3 de abril de 2019 19:50:27 -0700 ID da mensagem: <[email protected]om> Assunto: pagamento enviado $ 150 para: Ivan <[email protected]> Tipo de conteúdo: multiparte / alternativa; limite = "0000000000009d08b80585ab6de6" Resultados da autenticação: registrar-servidores.com; dkim = pass header.i = linuxhint-com.20150623.gappssmtp.com Classe X-SpamExperts: inseguro X-SpamExperts-Evidence: Combinado (0.50) X-Recomendado-Ação: aceitar X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
Espero que você tenha achado este tutorial sobre análise de cabeçalhos de e-mail útil. Continue seguindo LinuxHint para obter mais dicas e tutoriais sobre Linux e redes.
