Site icon Baki ÇUBUK

E-posta Header Analizi: Bir Phishing Saldırısının Gerçek Kimliğini Ortaya Çıkarmak

Merhaba

Bir phishing e-postası kusursuz görünebilir. Gönderen adı tanıdıktır, marka görselleri gerçekçidir, mesaj aciliyet hissi yaratır. Ancak gerçek çoğu zaman tasarımda değil, e-posta header’ında gizlidir.

Çoğu kullanıcı yalnızca konu satırını (Subject) ve mesaj gövdesini görür. Güvenlik analistleri ise mesajın arkasına bakarak şunları anlamaya çalışır:

Phishing incelemelerini çok daha güvenilir hale getiren nokta tam olarak burasıdır.

E-posta Header’ı Nedir ve Neden Önemlidir?

E-posta header’ı, bir mesajın göndericiden alıcıya nasıl ulaştığını kaydeden metadata bilgisidir. Mesaja iliştirilmiş bu veri, mesajın izlediği yolu ve teknik kimliğini barındırır.

Temel kullanım alanları:

Yaygın header alanları: From, To, Subject, Date, Message-ID, Received, SPF, DKIM, DMARC.

1. From, Reply-To ve Return-Path

Bu alanlar bir arada anlamlı olmalıdır. Güvenilir görünen bir From adresinin, alakasız bir Reply-To veya Return-Path ile birleşmesi, daha ileri inceleme yapmak için güçlü bir gerekçedir.

2. “Received” Header’ları E-posta İncelemelerinde Nasıl Yardımcı Olur?

Her mail sunucusu bir e-postayı işlerken bir Received header’ı ekler. Bu header’lar, mesajın mail sunucuları arasında izlediği yolu ortaya koyar.

Analiz adımları:

  1. Aşağıdan yukarıya doğru okuyun.
  2. En alttaki kayıt = başlangıç noktası (origin point).
  3. En üstteki kayıt = teslimattan önceki son mail sunucusu.
  4. Şunları kontrol edin:
    • Kaynak IP adresleri (Source IP)
    • Hostname’ler
    • Zaman damgaları (Timestamps)
    • Olağandışı yönlendirme yolları (unusual routing paths)

Red Flag’ler (Şüphe İşaretleri):

Örnek:

Received: from mail.example.com (192.168.1.1)
by mx.google.com

3. Message-ID Alanı ve Analizi

Message-ID bir e-postayı benzersiz şekilde tanımlar.

Örnek:

Message-ID: <123456@mail.example.com>

Kontrol Edilecekler:

Red Flag’ler:

Örnek Spoofing Göstergesi:

From: support@paypal.com
Message-ID: <abc@randomdomain.ru>

Bu, potansiyel bir spoofing göstergesidir.

4. SPF Bir E-postayı Doğrulamaya Nasıl Yardımcı Olur?

SPF (Sender Policy Framework), gönderen IP’nin bir domain adına e-posta gönderme yetkisine sahip olup olmadığını doğrular.

Header Örneği:

Received-SPF: Pass

Olası sonuçlar: Pass, Fail, SoftFail, Neutral, None.

Analiz:

Örnek:

From: amazon.com
SPF: Fail

Bu, potansiyel bir phishing girişimidir.

5. DKIM Nedir ve Analistler Neyi Kontrol Etmeli?

DKIM (DomainKeys Identified Mail), e-postaları dijital olarak imzalar.

Header Örneği:

DKIM-Signature: v=1; d=example.com;

Doğrulanacaklar:

Sonuçlar: DKIM=Pass veya DKIM=Fail.

Red Flag’ler:

6. DMARC E-posta Kimlik Doğrulamasını Nasıl Güçlendirir?

DMARC, şunlar arasındaki hizalamayı (alignment) doğrular: SPF, DKIM ve From domain.

Header Örneği:

Authentication-Results: dmarc=pass

Olası Sonuçlar: Pass, Fail.

DMARC Politikaları (Policies): none, quarantine, reject.

Güçlü Koruma: p=reject

SPF ve DKIM başarısızlıklarıyla birlikte gelen bir DMARC Fail, önemli bir phishing göstergesidir.

7. Authentication-Results’tan Ne Öğrenilebilir?

Bu header, e-posta kimlik doğrulama kontrollerini özetler.

Örnek:

Authentication-Results:
spf=pass
dkim=pass
dmarc=pass

Yorumlama:

Risk Değerlendirmesi:

Sonuç Risk
Tümü Pass 🟢 Düşük
SPF Fail 🟡 Orta
DKIM Fail 🟡 Orta
DMARC Fail 🔴 Yüksek

Bir E-posta Header’ını Analiz Etmenin Tam Workflow’u

Adım 1: Gönderen Alanlarını İnceleyin

Adım 2: Received Header’larını Analiz Edin

Adım 3: Message-ID’yi Doğrulayın

Adım 4: SPF’yi Kontrol Edin

Adım 5: DKIM’i Kontrol Edin

Adım 6: DMARC’ı Kontrol Edin

Adım 7: Authentication-Results’u Gözden Geçirin

Adım 8: Indicators of Compromise (IOCs) değerlendirin

Nihai Karar (Final Verdict) Kategorileri

Investigator Kuralı: Teknik header’lara (Received, SPF, DKIM, DMARC) her zaman; From veya Display Name gibi görünür alanlardan daha fazla güvenin.

En Önemli Ders: İş Korelasyondadır

Ancak burada kritik bir nokta var: Hiçbir tek header alanı, bir e-postanın güvenli ya da zararlı olduğunu tek başına kanıtlamaz.

Gerçek yetenek korelasyondadır.

Analistler Şunları Bir Araya Getirmelidir:

Sonuç:

En büyük çıkarım şu: E-posta header analizi, tek bir şüpheli değer bulmak değildir. Mesajın kimliğini, rotasını ve güven zincirini (trust chain) yeniden inşa etmektir.

Görsel görünüm kopyalanabilir. Teknik kanıtı tutarlı biçimde sahtelemek ise çok daha zordur.

Bir e-posta şüpheli hissettirdiğinde, mesaj gövdesinde durmayın. Arkasındaki yolu okuyun.

Bir sonraki e-posta incelemeniz için bu yazıyı kaydedin.

Ağınızın phishing’i daha etkili fark etmesine yardımcı olmak için paylaşın.

Başka bir yazımızda görüşmek dileğiyle…

Exit mobile version