Investigação passiva - Análise de cabeçalhos de e-mail

Caso de uso

E-mails são muito mais do que parecem ser. Este módulo te ensinará a analisar extensos metadados contendo a origem de um e-mail, os servidores pelos quais ele passou, informações sobre possíveis checagens de spam, e muito mais. Os metadados podem integrar uma parte fundamental de qualquer investigação aprofundada sobre e-mails potencialmente mal-intencionados.

Use esta habilidade após ou junto do módulo de Triagem nesta trilha de aprendizagem. Algumas dessas competências podem ser exigidas no processo de triagem para decidir se uma mensagem é, de fato, suspeita.

Uma vez que cabeçalhos de e-mails podem conter referências a outros domínios e infraestruturas, profissionais devem ter passado pelo subtópico 4, que envolve a análise de informações de domínio/IP.

Objetivos

Após completar este módulo, profissionais serão capazes de:

• Extrair cabeçalhos completos de um e-mail que tenham recebido ou estejam analisando;
• Analisar os cabeçados extraídos, prestando atenção:
  • à identidade do servidor ou servidores que enviaram o e-mail;
  • a qualquer informação acerca de dados de SPF ou DKIM contidos nestes cabeçalhos;
  • à possibilidade de qualquer informação do cabeçalho ter sido forjado

Todo e-mail possui cabeçalho, com metadados essenciais sobre remetente, destinatário e o e-mail em si. Nesta seção, trabalharemos com os cabeçalhos de e-mails, entendendo como podemos analisá-los, e de que maneira eles podem ser falsificados. Isso requer conhecimento prévio.

Conhecimento fundamental

Leia os recursos e documentos a seguir para se familiarizar um pouco (ou revisar o conhecimento) acerca de cabeçalhos de e-mails, e protocolos SPF e DKIM.

• Entenda o que são cabeçalhos de e-mails e como podemos analisá-los em múltiplos sistemas.
• Entenda o básico sobre falsificação de e-mails e o uso de SPF e DKIM para combatê-la.
  • Aprenda sobre falsificação de e-mails e como identificá-la (em inglês).
  • Aprenda sobre o Sender Policy Framework (“Framework de Política de Remetente”, em tradução livre) e seu objetivo de prevenir que o endereço de remetente seja forjado.

    • Use dig/doggo para buscar registros válidos de SPF (é possível fazê-lo rodando o comando dig com o argumento txt (em inglês)), analise seu conteúdo (acesse um guia aqui, em inglês) e responda as seguintes questões:

      • Qual a versão utilizada de SPF?
      • Que domínios de remetentes estão autorizados para o domínio do e-mail?
      • Que mecanismo (ou política) se aplica a todes es “outres” remetentes?
      • Há outros mecanismos (ou políticas) definidos no registro?

    • Use https://mxtoolbox.com/spf.aspx (em inglês) para conduzir uma busca, e teste o registro SPF de um domínio protegido. Você pode procurar pelos registros de sua própria organização, por exemplo, através da pesquisa pelo domínio principal.

  • Aprenda sobre DomainKeys Identified Mail (DKIM), em inglês e, sendo um padrão de autenticação, de que forma ele é usado para prevenir falsificação de e-mails.
    • Use https://mxtoolbox.com/dkim.aspx (em inglês) para buscar um domínio autenticado por DKIM. Você pode procurar pelos registros de sua própria organização, por exemplo, através da busca pelo domínio principal.
• (Avançado) Familiarize-se com várias técnicas e mecanismos de filtros de spam para identificá-los, bem como e-mails suspeitos.
  • Consulte a lista de módulos (e seletores) disponíveis com apoio de RSPAMD (em inglês)

Seção principal

Análise de cabeçalhos

O time da Nebraska GenCyber criou um guia rápido e abrangente sobre cabeçalhos de e-mails (em inglês), recomendado para todo mundo que queira aprender sobre o assunto.

Conforme for analisando cabeçalhos, você aprenderá bastante sobre diferentes domínios envolvidos na configuração de um e-mail. Uma vez de posse de uma lista de tais domínios, é possível usar as mesmas ferramentas da seção anterior (dig, WHOIS, GeoIP, e outras) para aprofundar o aprendizado.

Administradores de sistemas que usam domínios de ambiente de trabalho como Google Workspace e Microsoft 365 frequentemente possuem acesso a ferramentas de busca de logs e registros, possíveis de serem utilizados para varrer sistemas em busca de identificadores encontrados em cabeçalhos de e-mail (como no caso de domínios suspeitos), que podem ajudá-les a descobrir quem, se este for o caso, tornou-se alvo em sua organização. Veja as documentações do Google e da Microsoft em relação a buscas por logs. Note que tais funcionalidades de busca são usualmente restritas a contas empresariais ou corporativas.

Atividade prática

Após a leitura de todos os materiais da análise de cabeçalho de e-mail da Nebraska GenCyber (em inglês), faça os exercícios ali propostos. O site possui problemas com links, muitas vezes inviabilizando acesso direto às atividades, porém, elas podem ser baixadas por este link.

Checagem de habilidades

Encontre um e-mail na sua caixa de entrada, ou pasta de spam. Ou então peça para que uma pessoa par ou mentora te envie cabeçalhos de e-mail recebidos recentemente. Analise-os usando as mesmas técnicas descritas na parte “Atividade prática”, incluindo o carregamento deles na ferramenta Google Admin Toolbox Message Header. Em seguida, responda às questões 1, 2, 3 e 5 descritas na seção de investigação (em inglês) do guia de análise de cabeçalhos de e-mails da Nebraska GenCyber, dessa vez usando os cabeçalhos dos e-mails encontrados, não dos exemplos do guia.

Recursos de aprendizagem