第一封被归类为垃圾邮件的电子邮件可以追溯到1978 年而且这种现象至今仍然存在。网络钓鱼是一种严重的攻击手段作为防御者你必须对其进行防御。即使组织遵循所有推荐的准则来构建多层防御策略也仍然可能因为企业环境中缺乏经验且毫无戒心的用户点击链接或下载并运行恶意附件而使攻击者有机可乘入侵网络。许多产品有助于抵御垃圾邮件和网络钓鱼但实际上这些邮件仍然有可能漏网。作为安全分析师一旦收到此类邮件您需要知道如何分析它们以确定它们是恶意邮件还是良性邮件。此外您还需要收集有关电子邮件的信息以便更新您的安全产品防止恶意电子邮件再次进入用户的收件箱。在这个房间里我们将了解通过互联网发送电子邮件所涉及的所有组件以及如何分析电子邮件标头。电子邮件地址首先我们不妨提及一下发明电子邮件概念并使 符号广为人知的雷·汤姆林森。 正是他改变了我们如今的沟通方式 。电子邮件的发明可以追溯到上世纪70年代的 ARPANET。没错可能在你出生之前。肯定在我出生之前。那么电子邮件地址由哪些部分组成呢用户邮箱或用户名领域让我们看一下以下电子邮件地址billyjohndoe.com。用户邮箱是 billy谢谢 Ray域名是johndoe.com为了更简化这个问题想想你居住的街道。你可以把你的街道想象成你的领地。在这种情况下收件人的姓名包括姓和名以及门牌号代表用户邮箱。有了这些信息邮递员就知道该把信件投递到哪个邮箱里了。接下来我们来看看从发件人到收件人发送电子邮件所使用的网络协议。请回答以下问题。邮件最早可追溯到哪个时间段1970s电子邮件发送当您在电子邮件客户端中点击“发送”按钮时发生的“神奇”过程涉及多种协议。到现在你应该已经知道某些协议的创建是为了处理特定的网络相关任务例如电子邮件。为了方便收发电子邮件涉及 3 个具体的协议下面简要列出。SMTP简单邮件传输协议——用于处理电子邮件的发送。POP3邮局协议——负责在客户端和邮件服务器之间传输电子邮件。IMAP互联网邮件访问协议—— 负责在客户端和邮件服务器之间传输电子邮件。你应该注意到POP3和IMAP 的定义相同但两者之间存在差异。两者的区别如下POP3电子邮件会被下载并存储在单个设备上。已发送的邮件存储在发送邮件的同一设备上。邮件只能从下载该邮件的单个设备上访问。如果您想将邮件保留在服务器上请确保启用“将电子邮件保留在服务器上”设置否则所有邮件一旦下载到单个设备的应用程序或软件就会从服务器上删除。IMAP邮件存储在服务器上可以下载到多个设备上。已发送的消息存储在服务器上。消息可以同步并在多个设备上访问。现在我们来谈谈电子邮件是如何从发件人发送到收件人的。为了更好地说明这一点请参见下图简化版下面对上图中每个编号点进行解释Alexa 用她最喜欢的邮件客户端给 Billy 写了一封邮件billyjohndoe.com。写完后她点击了发送按钮。SMTP服务器需要确定 Alexa 的电子邮件发送到哪里。它会查询DNS以获取与该****地址相关的信息。johndoe.comDNS服务器获取信息johndoe.com并将该信息发送到SMTP服务器。SMTP服务器通过互联网将 Alexa 的电子邮件发送到 Billy 的邮箱johndoe.com。在这个阶段Alexa 的电子邮件会经过各种SMTP服务器最终转发到目标SMTP服务器。Alexa 的电子邮件终于到达了目标SMTP服务器。Alexa 的电子邮件已转发现在正存储在本地POP3 / IMAP服务器上等待 Billy 的接收。Billy 登录了他的电子邮件客户端该客户端会向本地POP3 / IMAP服务器查询邮箱中的新邮件。Alexa 的电子邮件会被复制IMAP或下载POP3到 Billy 的电子邮件客户端。最后每种协议都有其对应的默认端口和推荐端口。例如SMTP 协议的默认端口是 25。请阅读以下文章了解它们https://help.dreamhost.com/hc/en-us/articles/215612887-Email-client-protocols-and-port-numbers之间的区别 。请回答以下问题。SMTP协议中哪个端口被定义为安全传输STARTTLS587IMAP 安全传输端口指的是哪个993POP3 中哪些端口被归类为安全传输端口995电子邮件标题太好了我们知道电子邮件是如何从 A 点传输到 B 点的以及过程中涉及的所有协议。这项任务是了解电子邮件到达收件箱时由哪些部分组成。如果您想手动分析潜在的恶意电子邮件那么了解这一点是必要的。在开始之前我们需要了解电子邮件由两部分组成电子邮件标头有关电子邮件的信息例如转发电子邮件的电子邮件服务器邮件正文纯文本和/或HTML格式文本电子邮件消息的语法称为互联网消息格式IMF。我们先来看邮件头。分析潜在恶意电子邮件时你会关注哪些方面我们先来看以下电子邮件标头字段发件人- 发件人的电子邮件地址主题- 电子邮件的主题行日期- 电子邮件的发送日期收件人- 收件人的电子邮件地址这通常在任何电子邮件客户端中都清晰可见。让我们来看下图中的一个字段示例。警告这是真实邮件的片段。下图所示的邮件来自一个诱饵雅虎邮箱地址。请勿与本房间中披露的电子邮件地址或 IP 地址进行任何互动。注上图中的数字与上面的电子邮件标题字段列表相对应。获取相同及更多电子邮件标头信息的另一种方法是查看“原始”电子邮件详细信息。仔细查看电子邮件标题一开始可能会让人感到不知所措但如果你知道要查找什么其实并没有那么糟糕。注意根据您使用的电子邮件客户端网页客户端或桌面应用程序查看这些电子邮件标头字段的步骤会有所不同但概念是相同的。下图展示了如何在雅虎中查看此信息。以下是电子邮件示例的原始消息片段。注意上图显示的 是电子邮件标题中的部分信息 而非全部信息。您可以在Email Samples所连接的虚拟机桌面目录中查看此电子邮件。该电子邮件的标题为email1.eml。从上图中可以看出还有其他值得关注的电子邮件标头字段。X-Originating-IP- 电子邮件的发送 IP 地址这被称为X 标头SMTP .mailfrom/header.from- 邮件发送的域名这些标头位于Authentication-Results中回复地址- 这是回复邮件将发送到的电子邮件地址而不是发件人电子邮件地址。澄清一下在上面的示例电子邮件中发件人是newslettersant.anki-tech.com但如果收件人回复该电子邮件回复将发送到replyant.anki-tech.com即回复地址 而不是newslettersant.anki-tech.com。