الوحدة 5

الفحص غير النشط - تحليل عناوين البريد الإلكتروني

آخر تحديث في: 9 يناير 2025

حالة استخدام

هناك أسرار تخفيها رسائل بريد إلكتروني أكثر مما يبدو في الوهلة الأولى، وسيعلمك الموضوع الفرعي كيفية تحليل بيانات التعريف الشاملة التي توثق أصل البريد الإلكتروني والخوادم التي مر عبرها ومعلومات حول عمليات التحقق من البريد العشوائي المحتملة وغير ذلك الكثير. يمكن أن تشكل هذه البيانات الوصفية جزءًا مهمًا من أي تحقيق متعمّق في رسائل البريد الإلكتروني الضارة المحتملة.

استخدم هذه المهارة بعد أو مع الموضوع الفرعي المتعلق بالتصنيف Triage ضمن مسار التعلّم هذا. قد تكون بعض هذه المهارات ضرورية كجزء من عملية الفرز من أجل تحديد ما إذا كانت الرسالة مشبوهة.

نظرًا لأن عناوين البريد الإلكتروني يمكن أن تحتوي على مراجع لمجالات وبنية تحتية أخرى، يجب أن يكون الممارسون على دراية أولًا بالموضوع الفرعي 4، الذي ينظر في تحليل معلومات النطاق والملكية الفكرية قبل معالجة هذا الموضوع.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

استخراج الرؤوس الكاملة من رسالة بريد إلكتروني تلقوها أو يقومون بتحليلها.
تحليل الرؤوس المستخرجة مع إيلاء اهتمام خاص لـِ
هوية الخادم أو الخوادم التي أرسلت البريد الإلكتروني
أي معلومات حول بيانات إطار نهج المرسل أو البريد المعرّف بمفاتيح المجال التي تحتوي عليها هذه الرؤوس
احتمالية وجود تزييف في أي من المعلومات الموجودة في العنوان

تحتوي كل رسالة بريد إلكتروني على رؤوس تشمل بيانات تعريف مهمة حول المرسل والمستلم والبريد الإلكتروني نفسه. سنلقي في هذا القسم نظرة على عناوين البريد الإلكتروني وكيف يمكن تحليلها وكيف يمكن تزييف رسائل البريد الإلكتروني، وهذا أمر يتطلب بعض المعرفة الأساسية.

المعرفة الأساسية

اقرأ الموارد والمستندات أدناه للتعرف قليلًا على (أو مراجعة معرفتك حول) رؤوس البريد الإلكتروني وإطار نهج المرسل والبريد المعرّف بمفاتيح المجال.

فهم ماهية عناوين البريد الإلكتروني وكيف يمكننا عرضها في أنظمة متعددة.
فهم أساسيات تزييف البريد الإلكتروني واستخدام إطار نهج المرسل وبريد معرّف بمفاتيح المجال (DomainKeys Identified Mail أو اختصارًا DKIM) لمكافحته.
- تعرّف على تزييف البريد الإلكتروني / تعلّم كيفية التعرّف على رسائل البريد الإلكتروني المزيفةhttps://docs.sendgrid.com/glossary/spoofing
- تعرّف على إطار نهج المرسل وكيف يهدف إلى منع تزييف عنوان المرسل استخدم dig / doggo للبحث عن سجل إطار نهج مرسل صالح (يمكنك القيام بذلك عن طريق تشغيل أمر dig باستخدام وسيطة txt argument))، وتحليل محتواه (انظر هنا للاطلاع على دليل) والإجابة على الأسئلة التالية.
  - ما هو إصدار إطار نهج المرسل المستخدم؟
  - ما هي النطاقات المرسلة للبريد الإلكتروني المصرح بها للنطاق؟
  - ما الآلية (أو السياسة) التي تم استخدامها لجميع المرسلين “الآخرين”؟
  - هل هناك أي آليات (أو سياسات) أخرى محددة في السجل؟
- استخدم لإجراء بحث واختبار على نطاق إطار نهج مرسل محمي. يمكنك البحث عن سجلات مؤسستك، على سبيل المثال عن طريق التحقق من نطاقها الرئيسي.
  - تعرّف على البريد معرّف بمفاتيح المجال وكيفية استخدامها كمعيار مصادقة لمنع تزييف البريد الإلكترونيhttps://docs.sendgrid.com/ui/account-and-settings/dkim-records. -استخدم https://mxtoolbox.com/dkim.aspx لإجراء بحث على نطاق بريد معرّف بمفاتيح المجال جرت المصادقة عليه. يمكنك البحث عن سجلات مؤسستك، على سبيل المثال عن طريق التحقق من نطاقها الرئيسي.
(متقدم) تعرّف على التقنيات والآليات المختلفة التي تستخدمها فلاتر الرسائل غير المرغوب فيها لتحديد رسائل البريد الإلكتروني غير المرغوب فيها أو المزيفة. انظر إلى قائمة الوحدات المتاحة (والمحددات) التي يدعمها النظام السريع لتصفية الرسائل غير المرغوب فيها https://rspamd.com/doc/modules/

العرض

تحليل الرؤوس

أنشأ فريق نيبراسكا جين سايبر (Nebraska GenCyber) دورة تدريبية سريعة وشاملة نسبيًا حول رؤوس البريد الإلكتروني ونوصي بها لجميع من يرغب في التعرف على الموضوع.

أثناء تحليل الرؤوس ستتعلّم القليل عن المجالات المختلفة التي ينطوي عليها إعداد البريد الإلكتروني، وبمجرد حصولك على قائمة بهذه النطاقات، يمكنك استخدام الأدوات ذاتها التي استخدمناها في القسم السابق (dig وهو إز وجيو آي بي وغيرها) للتعرف على المزيد عنها.

غالبًا ما يتمكن مسؤولو الأنظمة الذين يستخدمون نطاقات مكان العمل مثل غوغل ورك سبيس (Google Workspace) ومايكروسوفت 365 (Microsoft 365) من الوصول إلى أدوات قوية للتسجيل والبحث في السجلات ويمكنهم استخدامها للبحث في أنظمتهم عن المعرفات التي تم العثور عليها في رؤوس البريد الإلكتروني (مثل النطاقات المشبوهة) والتي يمكن أن تساعدهم في معرفة من تم استهدافه في مؤسستهم، إن وجد. انظر وثائق غوغلGoogle’s ومايكروسوفتMicrosoft’s حول البحث من خلال السجلات، ولاحظ أن ميزات البحث هذه عادة ما تقتصر على حسابات الأعمال أو المؤسسات.

الممارسة

بعد قراءة جميع المواد في دورة تحليل رأس البريد الإلكتروني في نيبراسكا جين سايبر استكمال التمارين المرتبطة فيها. يحتوي الموقع على مشكلة في الروابط وغالبًا ما تكون التمارين غير متاحة مباشرة عليه ولكن يمكن أيضًا تنزيلها من هنا.

اختبار مهارة

اعثر على بريد إلكتروني في صندوق الوارد أو مجلد الرسائل غير المرغوب فيها وبدلًا من ذلك اطلب من نظير أو مُرشِد أن يرسل لك عناوين البريد الإلكتروني التي تلقاها مؤخرًا. حلل عناوين البريد الإلكتروني باستخدام نفس التقنيات الموضحة في التمرين بما في ذلك عن طريق تحميلها في أداة رؤوس رسالة مجموعة أدوات المشرفين من غوغل Google Admin Toolbox Message Header tool. أجب بعدها عن الأسئلة 1 و2 و3 و5 الموضحة في قسم التحقيق لدورة تحليل رأس البريد الإلكتروني لنيبراسكا جين سايبرthe investigation section وهذه المرة باستخدام الرؤوس من البريد الإلكتروني التي وجدتها بدلًا من البريد الإلكتروني المرفق بالدورة

موارد التعلّم

ما هي رؤوس البريد الإلكتروني؟

مجانًا

مقدمة جيدة حول رؤوس البريد الإلكتروني تسلط الضوء على ثلاث مجموعات مهمة من رؤوس البريد الإلكتروني، وتتضمن قائمة بأدلة خطوة بخطوة لمختلف وكلاء مستخدمي البريد

اللغات: الإنجليزية