Análise Forense de Cabeçalho de E-mail: Um Guia resumido

23 de novembro de 2023

Os cabeçalhos de e-mail são fontes ricas de informações que podem revelar a origem e o percurso de um e-mail antes de chegar ao seu destino final. Eles contêm dados como o endereço IP do remetente, o provedor de serviços de Internet, informações sobre o cliente de e-mail utilizado e até mesmo a localização. Esses detalhes são cruciais para bloquear spam, verificar a legitimidade de e-mails suspeitos e identificar possíveis tentativas de falsificação de cabeçalho, o que pode indicar motivações maliciosas.

A análise forense de cabeçalhos de e-mail envolve o exame minucioso do corpo da mensagem de e-mail, bem como a identificação do remetente, destinatário genuíno e informações relevantes contidas nos cabeçalhos. Neste artigo, exploraremos os componentes-chave de cabeçalhos de e-mail, utilizando um cenário fictício de um domínio chamado “The Tech Sentinel.”

Composição do E-mail

Os e-mails são compostos por uma combinação de dois padrões principais: o RFC2822 e o MIME. O RFC2822 define o formato padrão para mensagens de texto na internet, especificando cabeçalhos de mensagem padrão, enquanto o MIME estende esse formato, permitindo que os e-mails contenham caracteres não ASCII, anexos e mensagens com várias partes.

Componentes dos Cabeçalhos

Para uma análise adequada dos cabeçalhos de e-mail, é importante que o analista os leia de forma cronológica, de baixo para cima. Os cabeçalhos podem ser divididos em três categorias principais:

  1. Informações da Mensagem: Incluem campos como “To:”, “From:”, “Subject:”, “Date:”, “Message-ID:”, “Return-Path:”, “Reply-To:” e outros. Esses campos podem ser facilmente falsificados, pois são definidos pelo cliente de e-mail do remetente.

Exemplo de cabeçalho fictício:


From: editor@techsentinel.com
To: subscriber@example.com
Subject: Edição Semanal - The Tech Sentinel
Date: Tue, 15 Nov 2023 10:00:00 -0500
Message-ID: <12345@example.com>
Return-Path: bounce@techsentinel.com
Reply-To: contact@techsentinel.com

  1. Cabeçalhos X (X-Headers): Esses campos são adicionados ao e-mail por dispositivos de segurança, como scanners antivírus de e-mail, durante a sua passagem pela internet. Eles podem estar em desordem nos cabeçalhos e não estão presentes em todos os casos.

 

Exemplo de cabeçalho fictício:

X-Spam-Status: No, score=-2.3
X-Spam-Score: -23
X-Spam-Bar: —
X-Ham-Report: Spam detection software, …

  1. Informações de Retransmissão do Servidor: Cada servidor de e-mail que retransmite uma mensagem SMTP adiciona uma nova linha “Received:” ao cabeçalho. Isso cria uma trilha cronológica, permitindo rastrear de onde a mensagem foi transmitida.

Exemplo de cabeçalho fictício:

vbnet
Received: from mail.example.com ([192.168.1.2]) by mail.techsentinel.com
Received: from user-pc.local ([203.0.113.5]) by mail.example.com
Received: from gateway.isp.net ([198.51.100.10]) by user-pc.local

Analisando os Cabeçalhos

Ao analisar as informações de retransmissão do servidor, você pode obter uma imagem da trajetória da mensagem. Cada servidor de recebimento adiciona seu nome e endereço IP ao cabeçalho. O nome do servidor pode revelar o domínio de origem e uma pesquisa WHOIS no IP pode fornecer informações de geolocalização. Em alguns casos, um campo X-Originating-IP pode indicar o provedor de serviços do remetente.

Exemplo de análise fictícia com resultados WHOIS e geolocalização:

– Nome do Servidor: gateway.isp.net
– Endereço IP: 198.51.100.10
– Localização Geográfica: Cidade, País

Identificar o IP de origem, adicionado pelo seu próprio dispositivo/servidor de segurança, é fundamental para identificar possíveis spam ou ameaças. É possível bloquear IPs com má reputação ou suspeitos nos firewalls externos.

Detectando Falsificações

Os cabeçalhos de e-mail também podem revelar tentativas de falsificação. O campo “From:” é frequentemente falsificado, utilizando o nome e o endereço de e-mail do destinatário para enganar o receptor. O campo “Message-ID” é um bom indicador de autenticidade, uma vez que é adicionado pelo servidor de e-mail.”.

Exemplo de Message-ID fictício:

swift
Message-ID: <CAF4Ths+hsd84G9sedaD@mail.gmail.com>

Além disso, o campo “X-Mailer” pode indicar software de e-mail usado, sendo útil para identificar padrões de spam.

Exemplo fictício:

makefile
X-Mailer: SuperMailer v2.0

Ferramentas e Recursos Online

Existem ferramentas online úteis para a análise de cabeçalhos, como MX Toolbox e Google Admin Toolbox Messageheader, com a posse desse ferramental é possível automatizar analise para obter cabeçalhos dos clientes de e-mail mais comuns, simplesmente ao copiar o conteúdo de um cabeçalho a ferramenta já transcreve de forma automática para o analista, abaixo demonstrarei um breve exemplo utilizando as ferramentas citadas acima.


Resultado da análise de cabeçalho utilizando a ferramenta Google Admin Toolbox Messageheader.

 

 

 

Conclusão:

A análise forense de cabeçalhos de e-mail é uma ferramenta poderosa para investigações de segurança e autenticidade no quesito de rota de destino e origem, entretanto através dessa técnica não é possível analisar o conteúdo da mensagem eletrônica de modo que faz necessário o emprego de outras técnicas para validação. Ao compreender a estrutura dos cabeçalhos e analisar os campos relevantes, é possível obter insights valiosos sobre a origem e o percurso dos e-mails, bem como detectar possíveis fraudes. O uso de ferramentas como WHOIS e geolocalização de IPs complementa essa análise, permitindo uma investigação mais aprofundada.

 

Sobre o autor: Tiago Antonio da Silva.

Perito especialista em tecnologia da informação, telecomunicação propriedade intelectual com experiência de mais de 30 anos na área de tecnologia.

Pós-graduado em – Especialização Em Computação Forense – Universidade Presbiteriana Mackenzie.

Pós-graduado em  – Direito Digital Escola Paulista da Magistratura com Ensino superior em Processamento de Dados  – Universidade  Bandeirantes (Uniban), Profissional com mais de 30 anos de experiências na área de T.I, atuando como Perito por mais de 13 anos , auxiliando a justiça do Estado de São Paulo na apuração de crimes de desvio de conduta, apropriação indébita, gestão fraudulenta, invasão de privacidade, espionagem industrial, Fraudes Corporativas, Investigação de Sistemas, Legislação Aplicada a Perícia Forense Computacional, Segurança em Sistemas Computacionais.

 

 

Compartilhe:

Mais Artigos

Informativo sobre distribuição de ação e acompanhamento processual

Resumo para consulta processual no TJSP

MITIGANDO RISCOS CONTRATUAIS: O PAPEL DA CLÁUSULA DE LIMITAÇÃO DE RESPONSABILIDADE

Nas relações contratuais, os riscos derivados da transação são uma ameaça constante, podendo comprometer a estabilidade de um negócio. Diante desse desafio, as empresas buscam estratégias para mitigar esses riscos, …

Guia orientativo: Hipóteses legais de tratamento de dados pessoais com base no legítimo interesse – Você sabe como usar essa base legal dentro da sua organização?

No dia 02/02/2024 a ANPD publicou o seu mais novo guia orientativo denominado “Hipóteses legais de tratamento de dados pessoais – legítimo interesse”, com o objetivo de esclarecer pontos relevantes …

RESPONSABILIDADE LEGAL NAS MÍDIAS SOCIAIS E MARKETING DIGITAL: DIRETRIZES PARA EVITAR QUESTÕES LEGAIS E LITÍGIOS

Nos últimos anos, o crescimento das mídias sociais e do marketing digital transformou o cenário da publicidade, tanto a nível nacional, quanto a nível mundial, oferecendo oportunidades para marcas e …

Maximizando a Proteção Patrimonial: O Papel Estratégico da Holding no Planejamento Sucessório

Quando nos aproximamos da fase da vida em que começamos a refletir sobre a transferência de nosso patrimônio para as próximas gerações, a preocupação com a segurança e a integridade …

O uso do Scraping e Web Crawler pode prejudicar a mim ou minha empresa?

O uso incorreto das ferramentas de raspagem da web pode trazer consequências desastrosas para sua empresa. Entenda como utilizá-las

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.