E-posta Header Analizi: Bir Phishing Saldırısının Gerçek Kimliğini Ortaya Çıkarmak

Merhaba

Bir phishing e-postası kusursuz görünebilir. Gönderen adı tanıdıktır, marka görselleri gerçekçidir, mesaj aciliyet hissi yaratır. Ancak gerçek çoğu zaman tasarımda değil, e-posta header’ında gizlidir.

Çoğu kullanıcı yalnızca konu satırını (Subject) ve mesaj gövdesini görür. Güvenlik analistleri ise mesajın arkasına bakarak şunları anlamaya çalışır:

  • E-postayı gerçekte kimin gönderdiğini.
  • Mesajın nereden kaynaklandığını.
  • Nasıl bir yol izlediğini (routing).
  • Kimlik doğrulama (authentication) kontrollerinden geçip geçmediğini.
  • Görünen kimliğin teknik kanıtlarla eşleşip eşleşmediğini.

Phishing incelemelerini çok daha güvenilir hale getiren nokta tam olarak burasıdır.

E-posta Header’ı Nedir ve Neden Önemlidir?

E-posta header’ı, bir mesajın göndericiden alıcıya nasıl ulaştığını kaydeden metadata bilgisidir. Mesaja iliştirilmiş bu veri, mesajın izlediği yolu ve teknik kimliğini barındırır.

Temel kullanım alanları:

  • Gerçek göndericiyi tespit etmek.
  • Phishing ve spoofing saldırılarını yakalamak.
  • E-postanın izlediği rotayı (route) sürmek.
  • Kimlik doğrulamayı (authentication) doğrulamak.
  • Güvenlik olaylarını (security incidents) incelemek.

Yaygın header alanları: From, To, Subject, Date, Message-ID, Received, SPF, DKIM, DMARC.

1. From, Reply-To ve Return-Path

Bu alanlar bir arada anlamlı olmalıdır. Güvenilir görünen bir From adresinin, alakasız bir Reply-To veya Return-Path ile birleşmesi, daha ileri inceleme yapmak için güçlü bir gerekçedir.

2. “Received” Header’ları E-posta İncelemelerinde Nasıl Yardımcı Olur?

Her mail sunucusu bir e-postayı işlerken bir Received header’ı ekler. Bu header’lar, mesajın mail sunucuları arasında izlediği yolu ortaya koyar.

Analiz adımları:

  1. Aşağıdan yukarıya doğru okuyun.
  2. En alttaki kayıt = başlangıç noktası (origin point).
  3. En üstteki kayıt = teslimattan önceki son mail sunucusu.
  4. Şunları kontrol edin:
    • Kaynak IP adresleri (Source IP)
    • Hostname’ler
    • Zaman damgaları (Timestamps)
    • Olağandışı yönlendirme yolları (unusual routing paths)

Red Flag’ler (Şüphe İşaretleri):

  • Dışarıda görünen private IP adresleri
  • Bilinmeyen sunucular
  • Coğrafi tutarsızlıklar (geographic inconsistencies)
  • Zaman damgası anomalileri

Örnek:

Received: from mail.example.com (192.168.1.1)
by mx.google.com

3. Message-ID Alanı ve Analizi

Message-ID bir e-postayı benzersiz şekilde tanımlar.

Örnek:

Message-ID: <[email protected]>

Kontrol Edilecekler:

  • Domain tutarlılığı (domain consistency)
  • Format geçerliliği
  • Gönderen kurumla eşleşme
  • Benzersizlik (uniqueness)

Red Flag’ler:

  • Eksik Message-ID
  • Rastgele, şüpheli domain’ler
  • Gönderen domain’iyle uyuşmazlık (mismatch)

Örnek Spoofing Göstergesi:

From: [email protected]
Message-ID: <[email protected]>

Bu, potansiyel bir spoofing göstergesidir.

4. SPF Bir E-postayı Doğrulamaya Nasıl Yardımcı Olur?

SPF (Sender Policy Framework), gönderen IP’nin bir domain adına e-posta gönderme yetkisine sahip olup olmadığını doğrular.

Header Örneği:

Received-SPF: Pass

Olası sonuçlar: Pass, Fail, SoftFail, Neutral, None.

Analiz:

  • Gönderen IP’yi, domain’in SPF kaydıyla karşılaştırın.
  • Başarısız (Fail) bir SPF, spoofing işareti olabilir.

Örnek:

From: amazon.com
SPF: Fail

Bu, potansiyel bir phishing girişimidir.

5. DKIM Nedir ve Analistler Neyi Kontrol Etmeli?

DKIM (DomainKeys Identified Mail), e-postaları dijital olarak imzalar.

Header Örneği:

DKIM-Signature: v=1; d=example.com;

Doğrulanacaklar:

  • İmza mevcut mu (signature exists)
  • İmza doğrulamadan geçiyor mu (passes validation)
  • İmzalayan domain, gönderenle eşleşiyor mu

Sonuçlar: DKIM=Pass veya DKIM=Fail.

Red Flag’ler:

  • Eksik DKIM
  • Geçersiz imza (invalid signature)
  • Farklı imzalama domain’i

6. DMARC E-posta Kimlik Doğrulamasını Nasıl Güçlendirir?

DMARC, şunlar arasındaki hizalamayı (alignment) doğrular: SPF, DKIM ve From domain.

Header Örneği:

Authentication-Results: dmarc=pass

Olası Sonuçlar: Pass, Fail.

DMARC Politikaları (Policies): none, quarantine, reject.

Güçlü Koruma: p=reject

SPF ve DKIM başarısızlıklarıyla birlikte gelen bir DMARC Fail, önemli bir phishing göstergesidir.

7. Authentication-Results’tan Ne Öğrenilebilir?

Bu header, e-posta kimlik doğrulama kontrollerini özetler.

Örnek:

Authentication-Results:
spf=pass
dkim=pass
dmarc=pass

Yorumlama:

  • SPF, gönderen IP’yi doğrular.
  • DKIM, mesaj bütünlüğünü (message integrity) doğrular.
  • DMARC, domain hizalamasını (domain alignment) doğrular.

Risk Değerlendirmesi:

Sonuç Risk
Tümü Pass 🟢 Düşük
SPF Fail 🟡 Orta
DKIM Fail 🟡 Orta
DMARC Fail 🔴 Yüksek

Bir E-posta Header’ını Analiz Etmenin Tam Workflow’u

Adım 1: Gönderen Alanlarını İnceleyin

  • From
  • Reply-To
  • Return-Path

Adım 2: Received Header’larını Analiz Edin

  • Rotayı sürün (trace route)
  • Origin IP’yi belirleyin

Adım 3: Message-ID’yi Doğrulayın

  • Domain tutarlılığı
  • Doğru format

Adım 4: SPF’yi Kontrol Edin

  • Pass veya Fail

Adım 5: DKIM’i Kontrol Edin

  • İmza doğrulaması (signature validation)

Adım 6: DMARC’ı Kontrol Edin

  • Domain hizalaması (domain alignment)

Adım 7: Authentication-Results’u Gözden Geçirin

  • Genel karar (overall verdict)

Adım 8: Indicators of Compromise (IOCs) değerlendirin

  • Şüpheli IP’ler
  • Domain uyuşmazlıkları
  • Spoofing kanıtları
  • Başarısız kimlik doğrulama

Nihai Karar (Final Verdict) Kategorileri

  • Legitimate (Meşru)
  • Suspicious (Şüpheli)
  • Phishing
  • Spoofed
  • Malicious (Zararlı)

Investigator Kuralı: Teknik header’lara (Received, SPF, DKIM, DMARC) her zaman; From veya Display Name gibi görünür alanlardan daha fazla güvenin.

En Önemli Ders: İş Korelasyondadır

Ancak burada kritik bir nokta var: Hiçbir tek header alanı, bir e-postanın güvenli ya da zararlı olduğunu tek başına kanıtlamaz.

  • Meşru bir mesaj, forwarding (yönlendirme) veya hatalı yapılandırma (misconfiguration) nedeniyle kimlik doğrulamadan başarısız çıkabilir.
  • Zararlı bir mesaj ise, saldırganlar ele geçirilmiş bir hesap (compromised account) ya da kendi kontrollerindeki bir domain kullandığında kimlik doğrulamadan geçebilir.

Gerçek yetenek korelasyondadır.

Analistler Şunları Bir Araya Getirmelidir:

  • Header hizalaması (alignment)
  • Kimlik doğrulama sonuçları (authentication results)
  • Kaynak altyapı (source infrastructure)
  • URL ve ek (attachment) analizi
  • Gönderen davranışı (sender behaviour)
  • Tehdit istihbaratı (threat intelligence)
  • İş bağlamı (business context)

Sonuç:

En büyük çıkarım şu: E-posta header analizi, tek bir şüpheli değer bulmak değildir. Mesajın kimliğini, rotasını ve güven zincirini (trust chain) yeniden inşa etmektir.

Görsel görünüm kopyalanabilir. Teknik kanıtı tutarlı biçimde sahtelemek ise çok daha zordur.

Bir e-posta şüpheli hissettirdiğinde, mesaj gövdesinde durmayın. Arkasındaki yolu okuyun.

Bir sonraki e-posta incelemeniz için bu yazıyı kaydedin.

Ağınızın phishing’i daha etkili fark etmesine yardımcı olmak için paylaşın.

Başka bir yazımızda görüşmek dileğiyle…

Bir yanıt yazın

Başa Dön