Investigação em e-mails

De Peotta-Wiki
Ir para: navegação, pesquisa

Conteúdo

Funcionamento e-mails

É bastante comum análises de provas de mensagens enviadas por email. Fatos como racismo, pedofilia, invasão de privacidade, apologia a crime são bastante corriqueiros, e exigem conhecimento para se identificar origem de uma mensagem. Tirando o fato de que um criminoso pode usar redes anonimas, pode-se chegar a origem de qualquer mensagem.


Siglas

  • MUA Mail User Agent Outlook, Eudora, Webmail
  • MRA Mail Reader Agent Pop3, Imap4
  • MTA Mail Transfer Agente Sendmail
  • LMTA Local Mail Transfer Agent Procmail


Conexão servidor / cliente

Fonte: wikipedia
  1. Usuário escreve uma mensagem no MUA
  2. Usuário envia a mensagem com o MUA
  3. MUA conecta ao MTA
  4. MTA recebe e armazena na fila de envio
  5. MTA localiza o domínio via DNS
  6. MTA conecta ao MAT do domínio
  7. Os dois MTAs identificam-se
  8. MTA remoto verifica os cabeçalhos da mensagem
  9. MTA remota autoriza ou rejeita a mensagem
  10. MTA remoto recebe e entrega ao LMTA
  11. LMTA processa a mensagem e entrega na Caixa Postal do usuário
  12. MUA do usuário conecta ao MRA e verifica se existem novas mensagens
  13. MRA entrega a nova mensagem para o MUA
  14. MUA apresenta a nova mensagem na pasta de entrada
  15. Usuário pode ler e responder esta mensagem através do MUA dele.


Caso de phishing

Mensagem phishing

Esta imagem a seguir mostra uma mensagem recebida e processada por um web mail.

Toda mensagem de email possui informações que estão escondidas do usuário. Essas informações são utilizadas pelos serviços que processa a mensagem, portanto, não são importantes para um usuário que precisa apenas receber e ler uma mensagem.

Para o especialista a mensagem que segue é muito importante, pois trata-se do código fonte do email recebido.












Return-Path: <vdad_pehh_y_b_t@pop.com.br>
Received: from frontend-5 (frontend-5.pop.com.br [200.175.8.62])
     by backend-3 (POP Mail Server) with LMTP; Thu, 16 Jun 2005 09:46:47 -0300
Received: from relay4.pop.com.br (relay4.pop.com.br [::ffff:200.175.8.54])
     by frontend-5 (POP Mail Server) with LMTP; Thu, 16 Jun 2005 09:46:39 -0300
Received: from relay4.pop.com.br (localhost [127.0.0.1])
     by relay4.pop.com.br (Postfix) with ESMTP
     id 8FB6F670908; Thu, 16 Jun 2005 09:46:39 -0300 (EST)
Received: from localhost (localhost [127.0.0.1])
     by relay4.pop.com.br (Postfix) with SMTP
     id E40C0670C56; Thu, 16 Jun 2005 09:46:32 -0300 (EST)
Received: from fabio (201-2-76-150.gnace701.dsl.brasiltelecom.net.br [201.2.76.150])
     by relay4 (WCVirscan) with SMTP id 0000285d42b174ae ; Thu, 16 Jun 2005 09:46:39 -0300
From: "" <Globo.com@mx.pop.com.br>
To: "lara_e_gevaerd" <lara_e_gevaerd@pop.com.br>
Subject: Videos de Grazielle BBB5!!!
Date: Thu, 16 Jun 05 08:50:22 Hora oficial do Brasil
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary= "----=_NextPart_000_00D2_F36965DC.A24F1F3"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
Message-Id: <20050616124632.E40C0670C56@relay4.pop.com.br>
X-DCC-POPInternet-Metrics: dcc 1259; Body=4 Fuz1=4

Mensagem retorno

# Caminho para o qual o servidor irá retornar mensagens caso ocorra algum problema
Return-Path: <vdad_pehh_y_b_t@pop.com.br>

Hora do envio

#transferência dessa mensagem ocorreu na quarta-feira, 15 de junho de 2005, às 09:46:39 (3 horas atrás da Hora de Greenwich); por isso o "–0300")
Received: from relay4.pop.com.br (relay4.pop.com.br [::ffff:200.175.8.54])
 by frontend-5 (POP Mail Server) with LMTP; Thu, 15 Jun 2005 09:46:39 -0300A

Informações do remetente

Received: from fabio (201-2-76-150.gnace701.dsl.brasiltelecom.net.br [201.2.76.150])

#Essa mensagem foi enviada
From: "" <Globo.com@mx.pop.com.br>

Identificação da mensagem

Analisando logs do servidor que enviou a mensagem é possível identificar informações como IP interno.

#Esse número foi atribuído à mensagem (pelo relay4.pop.com.br) para fins de identificação. Esse número de identificação permite acompanhar a mensagem.
Message-Id: <20050615124632.E40C0670C56@relay4.pop.com.br>

MUA utilizado no envio

# É o software de email (software MIME OLE) usado pelo remetente.
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
X-Mailer: Microsoft Outlook Express 6.00.2462.0000

Informações MIME

# É um cabeçalho MIME adicional. Ele informa aos programas de email compatíveis com MIME o tipo de conteúdo esperado na mensagem.
Content-Type: multipart/mixed;boundary= "----=_NextPart_000_00D2_F36965DC.A24F1F3“

Hora de envio mensagem

#A data e a hora em que o email foi enviado, com base no relógio do computador do remetente.
Date: Thu, 15 Jun 05 08:50:22 Hora oficial do Brasil
Ferramentas pessoais
Espaços nominais

Variantes
Ações
Navegação
Ferramentas