Os cabeçalhos de e-mail são fontes ricas de informações que podem revelar a origem e o percurso de um e-mail antes de chegar ao seu destino final. Eles contêm dados como o endereço IP do remetente, o provedor de serviços de Internet, informações sobre o cliente de e-mail utilizado e até mesmo a localização. Esses detalhes são cruciais para bloquear spam, verificar a legitimidade de e-mails suspeitos e identificar possíveis tentativas de falsificação de cabeçalho, o que pode indicar motivações maliciosas.
A análise forense de cabeçalhos de e-mail envolve o exame minucioso do corpo da mensagem de e-mail, bem como a identificação do remetente, destinatário genuíno e informações relevantes contidas nos cabeçalhos. Neste artigo, exploraremos os componentes-chave de cabeçalhos de e-mail, utilizando um cenário fictício de um domínio chamado “The Tech Sentinel.”
Composição do E-mail
Os e-mails são compostos por uma combinação de dois padrões principais: o RFC2822 e o MIME. O RFC2822 define o formato padrão para mensagens de texto na internet, especificando cabeçalhos de mensagem padrão, enquanto o MIME estende esse formato, permitindo que os e-mails contenham caracteres não ASCII, anexos e mensagens com várias partes.
Componentes dos Cabeçalhos
Para uma análise adequada dos cabeçalhos de e-mail, é importante que o analista os leia de forma cronológica, de baixo para cima. Os cabeçalhos podem ser divididos em três categorias principais:
- Informações da Mensagem: Incluem campos como “To:”, “From:”, “Subject:”, “Date:”, “Message-ID:”, “Return-Path:”, “Reply-To:” e outros. Esses campos podem ser facilmente falsificados, pois são definidos pelo cliente de e-mail do remetente.
Exemplo de cabeçalho fictício:
From: editor@techsentinel.com
To: subscriber@example.com
Subject: Edição Semanal - The Tech Sentinel
Date: Tue, 15 Nov 2023 10:00:00 -0500
Message-ID: <12345@example.com>
Return-Path: bounce@techsentinel.com
Reply-To: contact@techsentinel.com
- Cabeçalhos X (X-Headers): Esses campos são adicionados ao e-mail por dispositivos de segurança, como scanners antivírus de e-mail, durante a sua passagem pela internet. Eles podem estar em desordem nos cabeçalhos e não estão presentes em todos os casos.
Exemplo de cabeçalho fictício:
X-Spam-Status: No, score=-2.3
X-Spam-Score: -23
X-Spam-Bar: —
X-Ham-Report: Spam detection software, …
- Informações de Retransmissão do Servidor: Cada servidor de e-mail que retransmite uma mensagem SMTP adiciona uma nova linha “Received:” ao cabeçalho. Isso cria uma trilha cronológica, permitindo rastrear de onde a mensagem foi transmitida.
Exemplo de cabeçalho fictício:
vbnet
Received: from mail.example.com ([192.168.1.2]) by mail.techsentinel.com
Received: from user-pc.local ([203.0.113.5]) by mail.example.com
Received: from gateway.isp.net ([198.51.100.10]) by user-pc.local
Analisando os Cabeçalhos
Ao analisar as informações de retransmissão do servidor, você pode obter uma imagem da trajetória da mensagem. Cada servidor de recebimento adiciona seu nome e endereço IP ao cabeçalho. O nome do servidor pode revelar o domínio de origem e uma pesquisa WHOIS no IP pode fornecer informações de geolocalização. Em alguns casos, um campo X-Originating-IP pode indicar o provedor de serviços do remetente.
Exemplo de análise fictícia com resultados WHOIS e geolocalização:
– Nome do Servidor: gateway.isp.net
– Endereço IP: 198.51.100.10
– Localização Geográfica: Cidade, País
Identificar o IP de origem, adicionado pelo seu próprio dispositivo/servidor de segurança, é fundamental para identificar possíveis spam ou ameaças. É possível bloquear IPs com má reputação ou suspeitos nos firewalls externos.
Detectando Falsificações
Os cabeçalhos de e-mail também podem revelar tentativas de falsificação. O campo “From:” é frequentemente falsificado, utilizando o nome e o endereço de e-mail do destinatário para enganar o receptor. O campo “Message-ID” é um bom indicador de autenticidade, uma vez que é adicionado pelo servidor de e-mail.”.
Exemplo de Message-ID fictício:
swift
Message-ID: <CAF4Ths+hsd84G9sedaD@mail.gmail.com>
Além disso, o campo “X-Mailer” pode indicar software de e-mail usado, sendo útil para identificar padrões de spam.
Exemplo fictício:
makefile
X-Mailer: SuperMailer v2.0
Ferramentas e Recursos Online
Existem ferramentas online úteis para a análise de cabeçalhos, como MX Toolbox e Google Admin Toolbox Messageheader, com a posse desse ferramental é possível automatizar analise para obter cabeçalhos dos clientes de e-mail mais comuns, simplesmente ao copiar o conteúdo de um cabeçalho a ferramenta já transcreve de forma automática para o analista, abaixo demonstrarei um breve exemplo utilizando as ferramentas citadas acima.
Resultado da análise de cabeçalho utilizando a ferramenta Google Admin Toolbox Messageheader.
Conclusão:
A análise forense de cabeçalhos de e-mail é uma ferramenta poderosa para investigações de segurança e autenticidade no quesito de rota de destino e origem, entretanto através dessa técnica não é possível analisar o conteúdo da mensagem eletrônica de modo que faz necessário o emprego de outras técnicas para validação. Ao compreender a estrutura dos cabeçalhos e analisar os campos relevantes, é possível obter insights valiosos sobre a origem e o percurso dos e-mails, bem como detectar possíveis fraudes. O uso de ferramentas como WHOIS e geolocalização de IPs complementa essa análise, permitindo uma investigação mais aprofundada.
Sobre o autor: Tiago Antonio da Silva.
Perito especialista em tecnologia da informação, telecomunicação propriedade intelectual com experiência de mais de 30 anos na área de tecnologia.
Pós-graduado em – Especialização Em Computação Forense – Universidade Presbiteriana Mackenzie.
Pós-graduado em – Direito Digital Escola Paulista da Magistratura com Ensino superior em Processamento de Dados – Universidade Bandeirantes (Uniban), Profissional com mais de 30 anos de experiências na área de T.I, atuando como Perito por mais de 13 anos , auxiliando a justiça do Estado de São Paulo na apuração de crimes de desvio de conduta, apropriação indébita, gestão fraudulenta, invasão de privacidade, espionagem industrial, Fraudes Corporativas, Investigação de Sistemas, Legislação Aplicada a Perícia Forense Computacional, Segurança em Sistemas Computacionais.
