Анализирайте заглавията на имейлите: Как бързо и надеждно да откриете източниците на спам

Един заглавие на имейл ви помага да разпознавате фишинг имейли и спам от ботнет още преди да са отворени. Чрез анализ на заглавията можете надеждно да проследите подателя, проверката за автентичност, веригата на доставка и манипулациите.

Централни точки

• Информация за заглавието предоставят технически подробности за произхода и доставката на всяко съобщение.
• SPF, DKIM и стойностите на DMARC показват дали дадена поща е легитимна или е манипулирана.
• IP адреси и Получените редове помагат за намиране на сървъра на произход.
• Инструменти за анализ на заглавия улесняват оценката и визуализацията на ключови характеристики.
• Индикатори за спам като статус на X-Spam и стойности на BCL, показват нежелано или опасно съдържание.

Какво представлява заглавието на имейл?

В допълнение към видимия текст всеки имейл съдържа и невидима част - заглавието на имейла. Тя се състои от техническа информация, съхранявана ред по ред. Наред с други неща, тя показва през кой сървър е изпратено съобщението, кога е изпратено и как го е проверил пощенският сървър на получателя. То съдържа също така резултати от удостоверяването и информация за сигурността.

Пълното заглавие обикновено започва с първия Получени-линия - хронологично документира всеки възел от веригата за доставка. Колкото по-рано се появи, толкова по-близо е до първоначалния източник. Съществуват и контролни данни, като например Път за връщане, Идентификатор на съобщението, Резултати от удостоверяването на автентичността или Статус на X-Spam.

Полета на заглавието със значение за сигурността

Някои полета в заглавието на имейл са особено полезни, ако искате да определите произхода на спам имейл. Те включват пълния Получена веригано също и области като Резултати от удостоверяването на автентичността и X-Headers.

Данните за SPF, DKIM и DMARC също се предават в заглавието - например по следния начин:

Поле	Описание на	Пример:
Резултати от удостоверяването на автентичността	Резултат от удостоверяването на домейна	spf=pass; dkim=pass; dmarc=fail
Получени	История на получаването чрез скокове на SMTP	от mail.example.com (IP) от mx.google.com
Статус на X-Spam	Резултат от проверката на филтъра за спам	ДА, резултат=9.1 изисквано=5.0

Идентифициране на източниците на спам въз основа на получените линии

Сайтът Получени линии предоставят информация за това през кои сървърни станции е било пренесено дадено съобщение. Последният ред Received (Получено) означава оригиналния сървър - т.е. истинския източник. Изпращачите на спам често използват манипулирани заглавия или цикли, за да прикрият пътя.

Първо трябва да разгледате най-стария получен ред и да проверите дали съдържа необичайни IP адреси, имена на сървъри или необичайни отклонения във времето. Като погледнете GeoIP картографирането или DNS резолюцията, можете да разберете къде се намира този сървър и дали той принадлежи на легитимен доставчик - или е регистриран в известни спам мрежи. В критични случаи може да се направи сравнение с бази данни, като напр. Spamhaus.

Разпознаване на манипулирана информация за изпращача

Спамърите често манипулират полето за преглед на адреса ("От:"), полетата за отговор или пътя за връщане. Изпращачът е накаран да повярва, че имейлът идва от надежден партньор или клиент. Заглавията обаче разкриват много за технически отговорния пощенски сървър - тук има противоречия.

Ако "From:" и "Return-Path:" не съвпадат, трябва да сте подозрителни. Полето Reply-To, което води до съвсем различен домейн, също показва опити за измама. Някои фишинг имейли дори съдържат фалшиви DKIM подписи или предполагаемо валидни имена на домейни - но заглавието показва действителния маршрут през мрежата.

Отчитане на проверките за автентичност: SPF, DKIM и DMARC

За да се предпазят от фалшифициране и ботове, повечето пощенски сървъри използват процедури за удостоверяване. Те генерират резултати от проверката, които могат да се четат от машината, например:

• SPF: Оторизиран ли е изпращачът да изпраща чрез този IP адрес?
• DKIM: Съвпада ли криптографският ключ с домейна на изпращане?
• DMARC: Съчетават ли се From адрес и удостоверяване?

Можете да намерите тази информация в реда "Authentication-Results:". Те изглеждат различно в зависимост от доставчика, но често съдържат SPF=pass, dkim=fail или dmarc=pass. Ако например DMARC се провали, но пощата изглежда коректна, трябва да анализирате допълнително заглавието или да извършите допълнителна DNS проверка. В такива случаи има смисъл да разгледате по-отблизо отчетите за DMARC - поддържани от инструменти като SecureNet за DMARC Отчети.

Оценка на спама от филтри: статус на X-Spam и BCL

Много имейли съдържат допълнителни полета, които са добавени от вътрешен филтър за спам. Тези полета съдържат оценка или статус, който показва колко вероятно е съдържанието да е нежелано. Тези полета са особено често срещани:

Статус на X-Spam: Показва дали съобщението превишава прага на вътрешния филтър (например ДА, резултат=9,3).

X-Spam-Level: Съдържа определен брой звездички ("*"), които представляват прагова стойност.

Стойност на BCL: Служебните писма на Microsoft съдържат ниво на бизнес категория - рисков фактор между 0 и 9.

Ако тези стойности са много високи, трябва да започнете активно проследяване и проучване на изпращачите. Често можете да намерите важна информация за конфигурацията и резултата, като използвате инструменти за анализ или като сравните с други заглавия от същия канал.

Инструменти за анализ за оценка на заглавието

Ръчната проверка на заглавията може да отнеме много време. Ето защо много инструменти предлагат графичен анализ, показват междинните стъпки в цвят или позволяват директни IP проверки. Популярните решения включват

• Microsoft Message Header Analyser (съвместим с Office365)
• Анализатор на хедъра на Google (за Gmail)
• Mailheader.net (кръстосана платформа, отворен код)

Тези инструменти изрично наблягат на оценките на SPF, DKIM или DMARC. Съпоставките на IP-DNS, неправилните конфигурации или непълните вериги също могат да бъдат бързо разпознати с един поглед. Обичам да ги използвам, когато анализирам препращане или входящи масови писма.

Регистрационните данни като допълнителен източник: анализ на пощенския сървър

В допълнение към заглавието на имейла регистрите на пощенския сървър също предоставят допълнителна информация. Тук можете лесно да идентифицирате кореспондиращи потоци от съобщения, неправилни доставки или повтарящи се податели. Подробните дневници са особено полезни в корпоративни среди с Postfix, Exim или Microsoft Exchange.

Комбинацията от заглавия и протоколи дава по-пълна картина. Например, търся подозрителни вериги от идентификатори на съобщения или IP домейни, които многократно предоставят неверни SPF данни. Техническият анализ може да бъде организиран ефективно - например с Анализи на регистрационния файл на Postfix и автоматични откази.

Класификация на законните транспортни маршрути

Не всеки необичайно изглеждащ ред на заглавието е автоматично подозрителен. Възможно е да е замесена услуга на трета страна: Услугите за получаване на бюлетини, CRM системите или вътрешните шлюзове често променят записите в DKIM/SPF. Тук контекстът е от решаващо значение.

Трябва редовно да запазвате заглавия на препратки от легитимни податели. Това ще ви позволи веднага да разпознаете разликата в необичайни случаи. Това увеличава скоростта на диагностика на маршрутизацията или критичните грешки при доставката.

Надеждно откриване на източници на спам чрез анализ на заглавията

Заглавията на имейлите съдържат многобройни технически данни, които ви позволяват да разпознавате злоупотреби и нежелано съдържание по много по-целенасочен начин. Можете да разкриете скрити сървърни вериги, грешки при удостоверяване или целенасочени фалшификации. Това е много по-ефективно от проверката, базирана единствено на съдържанието.

Чрез редовна проверка на подозрителни заглавия и документиране на аномалии можете да подобрите процента на доставка и да защитите маршрутизацията на пощата си. Можете също така да защитите инфраструктурата си от вписвания в списъци и ескалации на злоупотреби.

Усъвършенствани процедури за сложни случаи

Особено в по-големи фирмени среди или при интензивен трафик на електронна поща често се случва в получените линии да се появят няколко препращащи и междинни станции. Например, компаниите изпращат чрез външни доставчици на списъци с имейли или използват централизирани устройства за борба със спама. Това води до появата на допълнителни полета на заглавието Received (Получено) и X, които на пръв поглед могат да изглеждат объркващи. В такива ситуации може да е полезно да се изготвят подробни диаграми или да се генерира автоматичен списък с помощта на инструменти за анализ на заглавия.

Ако често ви се налага да се справяте със сложни заглавия, можете да създадете и контролен списък. Той съдържа типичните елементи и тяхното очаквано съдържание. В списъка посочете кои IP адреси се съхраняват като оторизирани сървъри на източници във вашата SPF зона и кои DKIM селектори трябва да се появяват в имейлите. Щом откриете отклонения, това е добър индикатор за възможна манипулация на заглавието.

• Сравнение с референтни заглавия: Подгответе примери за легитимни имейли от вашия домейн.
• Редовна поддръжка на вашите DNS записи: Променените IP структури винаги трябва да се отразяват своевременно в SPF и DMARC.
• Разглеждане на спедитори: Проверете дали ARC (Authenticated Received Chain) се използва за предаване на информация за удостоверяване.

Идентификатор на съобщението и неговото значение

Полето също така разкрива Идентификатор на съобщението. На всеки изпратен имейл се присвоява уникален идентификатор при създаването или транспортирането му. При някои спам кампании обаче се използват общи или напълно случайни идентификатори на съобщенията, които не могат да се свържат с подателя или съдържанието. Дублиращите се идентификатори на съобщенията или видимо простите идентификатори също могат да показват автоматизирани инструменти за спам.

В някои случаи можете да използвате регистрационни файлове или архивни системи, за да откриете подобни идентификатори на съобщения и по този начин да разпознаете модели. Това ви позволява по-бързо да откривате серийни фишинг кампании. Ако идентификаторът на съобщението не съответства и на домейна в полето "От:", това увеличава вероятността информацията за подателя да е била фалшифицирана тук.

Допълнителни стандарти за безопасност: ARC и BIMI

Удостоверената получена верига (ARC) може да се използва за сложни пощенски потоци, по-специално с препращане или пощенски списъци. Тя дава възможност за предаване на резултатите от удостоверяването през междинните станции, така че пощенските сървъри на получателя да могат по-добре да преценят дали дадена поща е легитимна. Можете да разпознаете това в заглавието по редове като ARC-Seal или ARC-Authentication-Results. Ако тези заглавия се управляват правилно, оригиналният DKIM подпис остава валиден дори след препращане.

Съществуват и по-нови инициативи, като например BIMI (Brand Indicators for Message Identification), които могат да показват логото на изпращача, ако DMARC е приложен правилно. Въпреки че BIMI не е пряк компонент на заглавието на електронната поща по отношение на веригата на доставка, той работи надеждно само ако данните от заглавието, като DKIM и DMARC, могат да бъдат анализирани правилно. По този начин BIMI предоставя визуална индикация дали дадено електронно писмо действително идва от собственика на марката или е фалшификат.

Типични неправилни конфигурации и как да ги откриете

Не всички забележими заглавия са резултат от злонамерени намерения. Често зад тях се крият обикновени грешки в конфигурацията. Например собственият ви пощенски сървър може по невнимание да достави неправилни SPF или DKIM записи, ако не сте настроили правилно DNS при смяна на хостовете. Записите с "softfail" (мек отказ) вместо "pass" (преминаване) също понякога показват, че IP адресът на подателя не е включен в SPF записа.

• Липсва подпис DKIM: Услугите за подписване случайно не са активирани или са неправилно конфигурирани.
• Неподходящи IP адреси в SPF записа: Нови или изтрити IP адреси не се актуализират.
• Забравени поддомейни: Поддомейните лесно се пренебрегват, особено в по-големите организации, така че в тях не се въвежда правилен SPF запис.

Ако по време на проверката на заглавието се натъкнете на една и съща грешна конфигурация, трябва да проверите DNS записа на изпращача и да коригирате всички грешки. Това ще намали процента на фалшивите положителни резултати за легитимни имейли и същевременно ще осигури ефективна защита от спам.

Мониторинг и време за реакция

Ефективната стратегия за борба със спама изисква да можете бързо да разпознавате забележими имейли и да реагирате по подходящ начин. В зависимост от това колко голяма е мрежата ви или колко имейли получавате всеки ден, автоматизацията може да се окаже полезна. Много компании създават SIEM или системи за управление на логове, които автоматично сканират заглавията на имейлите и проверяват за заплахи. Определят се определени прагови стойности, над които се докладва за инцидент.

Друга полезна мярка е редовното обучение на служителите, които работят в отдела за обслужване на клиенти или в ИТ екипа. Те трябва да знаят как незабавно да разпознават най-лошите индикатори за спам в заглавието. По този начин можете да предотвратите критично електронно писмо да остане в системата твърде дълго, преди да бъде идентифицирано като заплаха. След като инцидентът бъде разпознат, ясна процедура за реакция при инцидент подпомага по-нататъшното разследване. Тук отново влизат в действие инструментите и техниките, описани в статията.

Интегриране на анализа на заглавията в цялостния процес на сигурност

Задълбоченият анализ на заглавието никога не трябва да се извършва изолирано. Можете да го комбинирате с други мерки за сигурност, за да създадете цялостна защитна верига. Например, след като откриете подозрителен IP адрес, не само проверявате SPF статуса, но и извършвате антивирусен анализ и анализ на връзките в тялото на съобщението. Истинските спам вълни на ботнет често се основават на множество ъгли на атака, включително манипулирани прикачени файлове, подправени връзки или троянски коне.

Ако използвате стандартизиран пакет за сигурност, можете също така да комбинирате резултатите от анализа на заглавията с информация от защитни стени, защита на крайни точки или логове на уеб сървъри. IP адрес, който в момента причинява неуспешни влизания или DDoS атаки за няколко услуги, е особено подозрителен, ако се появява в редовете на получените електронни съобщения по едно и също време. Това ви позволява да постигнете значително по-бързо време за реакция и цялостна оценка на сигурността.

Най-добри практики за ефективно оценяване на заглавията

За да постигнете успех в дългосрочен план, е препоръчително да се придържате към няколко основни принципа при анализа на заглавията. Те включват

• Действайте систематично: Работете в определена последователност, например първо получените редове, след това резултатите от удостоверяването, а след това заглавията X.
• Актуализирайте редовно: Поддържайте в актуално състояние базите знания и справочните заглавия за най-важните си партньори за комуникация.
• Използвайте автоматизирани инструменти: Някои неща могат да бъдат направени по-бързо и по-сигурно с помощта на специализирани инструменти за анализ - особено в среди с голям обем.
• Устойчива документация: Всяка аномалия в заглавието може да е част от по-голям модел. Използвайте вътрешни билети или дневници, за да управлявате инцидентите по проследим начин.

Особено в екипите е добре да се поддържа база данни с познания и да се събират конкретни примери за имейли - включително заглавия, резултати от удостоверяването и кратко резюме на анализа. По този начин дори новите колеги могат бързо да научат какво е важно при анализа на подозрителен имейл.

Споделени ползи за изпращача и получателя

Чистата и проследима имейл инфраструктура е важна не само за получателите, но и за вас като изпращач. Всеки, който изпраща професионални бюлетини или транзакционни имейли, трябва да гарантира, че всички механизми за удостоверяване са конфигурирани правилно. В противен случай имейлите могат да се окажат в папката за спам неволно. Правилният SPF запис, валидните DKIM подписи и подходящата политика DMARC гарантират, че авторитетните изпращачи са незабавно разпознаваеми и е по-малко вероятно да попаднат в съмнителни филтри.

Получателите на свой ред се възползват от ясно видимите маршрути и резултати от удостоверяването, тъй като могат да откриват много по-бързо потенциални атаки или опити за фалшифициране. Това води до прозрачен обмен на имейли и от двете страни, което създава доверие и свежда до минимум повърхностите за атаки.

Резюме

Анализът на заглавията е една от най-важните техники за проверка на имейл трафика и разпознаване на спам или фишинг атаки, преди да са причинили щети. Чрез разглеждане на получените вериги, проверките за автентичност (SPF, DKIM, DMARC) и специално вмъкнатите полета като X-Spam-Status или стойностите на BCL можете да разкриете скрити трикове и целенасочени опити за измама. В сложни среди е полезно да се действа систематично, да се поддържат референтни заглавия и да се документират точно отклоненията. В същото време си струва да се комбинират инструменти и анализи на логове, за да се получат надеждни резултати.

Тези, които редовно анализират заглавията на имейлите и се справят с откритите модели, не само се възползват от по-голяма сигурност и по-нисък процент спам, но и подобряват собствения си процент на доставка. Структурираният подход, правилните инструменти и солидната основа от знания за DNS записите, поведението на пощенските сървъри и конфигурациите, предразполагащи към фиаско, са ключът към безопасен и надежден пощенски трафик.