이메일은 대부분의 이메일 클라이언트에 표시되는 내용보다 훨씬 더 많은 정보가 포함되어 있다. 특히 이메일 헤더에는 발신자에 대한 많은 정보가 포함되어 있으며, 이메일 헤더 정보는 이메일의 발송지에 대한 추적에 사용할 수 있는 정보이다. 이메일 주소를 추적하는 이유는 이 시대에는 악성 이메일이 너무 자주 발생합니다. 사기, 스팸, 맬웨어 및 피싱 이메일은 받은 편지함에서 흔히 볼 수 있다. 이메일의 출처를 추적하면 이메일이 누가 또는 어디에서 왔는지 약간 확인할 수 있다. 또한 이메일의 출처를 추적하여 스팸, 악성 콘텐츠의 출처를 지속적으로 차단하여 받은 편지함에서 영구적으로 제거할 수 있다.
대부분의 이메일 클라이언트는 전체 이메일 헤더를 표시하지 않다. 그 이유는 이메일 헤더는 기술 데이터로 가득 차 있고 일반 사람에게는 다소 쓸모가 없기 때문이다. 그러나 대부분의 이메일 클라이언트는 전체 이메일 헤더를 확인하는 방법을 제공한다.
1. 이메일 헤더의 데이터 이해
이메일 헤더를 살펴보면 정보가 너무 많이 있는것을 확인 할 수 있다. 그러나 하나만은 반드시 기억하면 된다. 이메일 헤더는 시간순으로 아래에서 위로 읽고(즉, 가장 오래된 정보가 맨 아래에 있음) 이메일이 이동하는 각각의 서버는 헤더에 Received를 추가한다. 아래는 Gmail의 이메일 헤더 샘플이다. 여기서는 Gmail을 예를 들어 각 헤더가 어떤 의미인지 확인한다.
1-1 Gmail 이메일 헤더 정보 이해
헤더에는 많은 정보가 존재한다. 먼저 각 행이 어떤 의미를 하는지 살펴보자.
이메일을 추적하기 위해서는 이러한 정보들을 모두 알고 있을 필요는 없으나, 그래도 이메일 헤더를 삺폎보는 방법을 익혀두면 이베일 발신자를 빠르게 추적할 수 있다.
2. 이메일 최초 발신자 추적
최초 발신자의 IP 주소를 추적하려면 전체 이메일 헤더에서 첫번째 Received로 이동한다. 첫번째 Received를 살펴 보면 이메일을 보낸 서버의 IP 주소가 있다. (도메인으로 표시될 수 있음) 때때로 이것은 X-Originating-IP 또는 Original-IP로 나타낸다.
IP주소를 찾았다면, IP를 추적 서비스로 이동한다. 필자는 MX Toolbox를 이용하였다. 검색란에 IP를 입력 한 다음 Reverse Lookup으로 변경 후 검색을 진행하면 검색 결과에 보내는 서버와 관련된 다양한 정보가 표시된다.
3. 이메일 및 IP 주소를 추적하는 무료 도구 3가지
전체 이메일 헤더와 그 내용에 대해 배우는 것은 편리하지만 때로는 빠르게 정보를 확인 할 필요하다. 위와 같은 프로세스를 자동화하는 몇 가지 편리한 도구가 있습니다.
- MX Toolbox Email Header Analyzer
- GSuite Toolbox Messageheader
- IP-Address Email Header Trace (이메일 헤더 분석 + IP 추적)
여기서 주의해야 할점은 IP 주소 추적 결과가 항상 일치하는 것이 아니라는 점이다. 예를 들어 아래와 IP주소를 검색한 결과 저수지 한가운데 있는 것으로 확인되기 때문이다.
따라서 이메일 추적의 성공 여부는 발신자의 이메일 제공업체에 따라 다르다. 예를 들어 Gmail계정에서 보낸 이메일을 추적하려는 경우 원래 보낸 사람의 IP주소가 아니라 이메일을 처리한 마지막 Google 서버의 위치만 찾는다.
이메일 헤더를 통해 IP 주소를 추적하는 것이 유용한 경우가 있다. 스패머가 발송한 메일이거나 피싱 메일의 출처등을 추적할 때 용이하다. 특정 이메일은 특정 위치에서만 수신된다. 예를 들어 스팸이나 피싱 메일로 자주 사용되는 PayPal 이메일의 경우 절때 중국에서 발송되지 않는다.
'Security Incident Analysis' 카테고리의 다른 글
[Windows] OpenSaveMRU 분석 (0) | 2022.11.21 |
---|---|
Windows RDP 이벤트 IDCheatsheet (0) | 2022.02.18 |
[Linux] Linux 로그 디렉터리 및 파일 목록 (0) | 2022.01.13 |
[Windows] Windows 주요 프로세스 분석 (0) | 2022.01.12 |