Elektronička pošta je jedna od najčešće korištenih internetskih aplikacija za komunikaciju. Iako se koristi preko 50 godina, sigurnosni propusti postoje i danas što omogućuje kibernetičkim kriminalcima da zlorabe elektroničku poštu krivotvoreći, među ostalim, i njihova zaglavlja.

Poruke e-pošte uključuju omotnicu za rukovanje tranzitom i informacije o tragovima u obliku strukturiranih polja koja se ne uklanjaju nakon isporuke poruke primatelju, ostavljajući detaljan trag svih transakcija elektroničke pošte. Kao i svaka elektronička pošta, zaglavlje Gmail poruke sadrži mnoštvo informacija koje se mogu koristiti u forenzičkim istragama kao što su: identifikacija pošiljatelja i primatelja, provjera autentičnosti i otkrivanje neželjene pošte ili phishing e-pošte. Detaljna analiza zaglavlja može se koristiti za mapiranje mreža kroz koje prolazi poruka što može biti korisno za određivanje općenite lokacije pošiljatelja ili primatelja, provjeru je li poruku doista poslao navodni pošiljatelj…

Dodatna, skrivena polja koja se ne prikazuju u klasičnom prikazu elektroniče pošte moguće je dohvatiti kod svakog korisničkog agenta. Slika prikazuje izdvajanje zaglavlja u Gmail poslužitelju (slika 1) Slika 1: Prikaz zaglavlja u Gmail poslužitelju

Zaglavlja Gmail poruke sadrže adresu primatelja i pošiljatelja, što može biti korisno za identifikaciju strana uključenih u istragu. Moramo imati na umu da se ti podatci mogu lako mogu izmijeniti i da ne moraju biti originalni.

Delivered-To: ivan.gusic1@gmail.com

From: "rPI" <raspberrypiemailme@gmail.com> 

To: ivan.gusic1@gmail.com

Zaglavlja Gmail poruke uključuju informacije o poslužiteljima kroz koje je poruka prošla na putu od pošiljatelja do primatelja. Kako svaki poslužitelj u zaglavlje upisuje vrijeme i adresu preusmjeravanja poruke, lako je pratiti put kojom se poruka kretala. Ove informacije mogu se koristiti za određivanje lokacije pošiljatelja ili primatelja. Na primjer, ako je poruka poslana s IP adrese za koju se zna da je povezana s određenom lokacijom, istražitelj može zaključiti da se pošiljatelj vjerojatno nalazio na toj lokaciji.

Received: by 10.107.23.197 with SMTP id 188csp1542030iox; Mon, 12 Sep 2016 08:48:50 -0700 (PDT)
Received: from mail-wm0-x232.google.com (mail-wm0-x232.google.com. [2a00:1450:400c:c09::232]) by mx.google.com with ESMTPS id t4si145513wjy.228.2016.09.12.08.48.50 for <ivan.gusic1@gmail.com (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Mon, 12 Sep 2016 08:48:50 -0700 (PDT)
Received: by mail-wm0-x232.google.com with SMTP id 1so1594338wmz.1 for <ivan.gusic1@gmail.com>; Mon, 12 Sep 2016 08:48:50 -0700 (PDT) by 10.194.240.39 with SMTP id vx7mr16132556wjc.38.1473695329567; Mon, 12 Sep 2016 08:48:49 -0700 (PDT) MIME-Version: 1.0
Received: by 10.28.222.4 with HTTP; Mon, 12 Sep 2016 08:48:48 -0700 (PDT)

Zaglavlja Gmail poruke uključuju različite oznake i parametre koji se mogu koristiti za provjeru autentičnosti poruke. Na primjer, neki sustavi elektroničke pošte, pa tako i Gmail, koriste digitalne potpise kako bi osigurali da poruka nije neovlašteno mijenjana tijekom prijenosa. Ako je autentifikacija poruke izvršena pomoću SPF-a ili DKIM-a, z zaglavlju će se zapisati “spf=pass” ili “dkim=pass”. Analizirajući zaglavlja poruke, istražitelj može potvrditi da je poruku doista poslao navodni pošiljatelj i da nije modificirana u prijenosu.

Received-SPF: pass (google.com: domain of raspberrypiemailme@gmail.com designates 209.85.220.41 as permitted sender) client-ip=209.85.220.41;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@gmail.com header.s=20210112 header.b=Hi4qoJW3;
       spf=pass (google.com: domain of raspberrypiemailme@gmail.com designates 209.85.220.41 as permitted sender) smtp.mailfrom=raspberrypiemailme@gmail.com;
       dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com

Googleova standardna metoda enkripcije Gmail-a je nešto što se zove TLS (slika 2) ili Transport Layer Security. Sve dok osoba s kojom dopisujete također koristi uslugu elektroničke pošte koja također podržava TLS (što većina velikih pružatelja usluga e-pošte podržava) sve poruke koje šaljete putem Gmail-a bit će šifrirane na ovaj način.

To zapravo znači da će bilo kome biti vrlo teško pogledati poruku dok je na putu od točke A do točke B. Međutim, to ne jamči da će poruka ostati privatna ili dostupna samo onima kojima je poslana. Sam Google, na primjer, ima mogućnost vidjeti poruke povezane s vašim računom, što mu omogućuje da skenira vašu e-poštu u potrazi za mogućim napadima neželjene pošte i krađe identiteta kako bi vas zaštitio. Također nudi napredne značajke poput pametnog odgovora, koji predlaže odgovore na temelju sadržaja elektroničke pošte na koju želite odgovoriti.

Ako osoba s kojom se dopisujete koristi poslužitelj elektroničke pošte koji ne podržava TLS, poslane poruke prema tim poslužiteljima neće biti uopće šifrirane. Slika 2: TLS kao standardna ekripcija gmail poruka

Osim tog osnovnog oblika enkripcije, Gmail podržava poboljšani standard poznat kao S/MIME (Secure/Multipurpose Internet Mail Extensions). Dostupan je samo za poslovne Google Workspace Suite račune, tako da ako koristite uobičajeni besplatni Gmail račun, ne odnosi se na vas. Međutim, za korisnike s plaćenim Google Workspace Suite računom, S/MIME omogućuje šifriranje elektroničkih poruka sa specifičnim ključevima vezanim uz račun tako da poruke ostanu zaštićene tijekom isporuke i mogu ih samo dešifrirati primatelji (slika 3). Kao i TLS, S/MIME radi samo ako i pošiljatelj i primatelj koriste uslugu koja ga podržava, i to samo ako su obje strane unaprijed razmijenile ključeve kako bi se enkripcija i dekripcija mogla ispravno izvršiti. Poput TLS-a, S/MIME također ne čini ništa kako bi očuvao poruku sigurnom nakon što je stigla na odredišni poslužitelj. Tako će, unutar Gmaila, Google moći skenirati i takve poruke. Slika 3: S/MIME kao sigurnija enkripcija elektroničke pošte koju Gmail podržava

Poruke i privitke moguće je poslati u Gmailovom povjerljivom načinu da biste onemogućili pristup osjetljivim podacima. Povjerljivi način omogućuje vam da postavite datum isteka vidljivosti poruke ili onemogućite pristup u bilo kojem trenutku. Također možete stvoriti lozinku koja je potrebna za otvaranje poruke, isporučenu putem druge elektroničke pošte ili pomoću tekstualne poruke (slika 4). Sve to naizgled zvuči sigurno, ali problem je u tome što zapravo ne čini mnogo kada je stvarna sigurnost u pitanju. Poruke još uvijek nisu šifrirane end-to-end enkripcijom, što znači da ih Google još uvijek može vidjeti i pohraniti. Slika 4: Gmail-ov povjerljiv način primanja/slanja poruke

Zaglavlja Gmail poruke mogu pružiti mnoštvo informacija koje se mogu koristiti u forenzičkim istragama. Zaglavlja sadrže podatke o pošiljatelju i primatelju, rutu kojom je poruka išla te razne oznake i parametre koje koristi sustav elektroničke pošte. Analizom tih informacija istražitelji mogu dobiti uvid u podatke poput tko je primio poruku, tko je poslao poruku, lokaciju pošiljatelja ili primatelja te autentičnost poruke. Ponekad mogu vidjeti i tekst poruke. Međutim, forenzička analiza Gmail zaglavlja nije bez izazova. To može biti posebno teško ako je poruka potpuno kriptirana, kada fali dio poruke ili je potpuno izbrisana. Osim toga, tumačenje informacija u zaglavlju može biti složeno i zahtijeva vještog analitičara koji je upoznat sa zamršenostima sustava elektroničke pošte i različitim vrstama podataka koji se mogu pronaći u zaglavljima. Općenito, forenzička analiza zaglavlja Gmail-a može biti od koristi, ali zahtijeva specijalizirano znanje, vještinu i alate da bi se izvršila učinkovito. Stoga je važno da istražitelji i analitičari budu pravilno obučeni i opremljeni za rukovanje ovom vrstom analize kako bi dobili najkorisnije i najtočnije rezultate.

[1] https://www.hostinger.com/tutorials/email-headers/

[2] https://support.google.com/mail/answer/29436?hl=en&ref_topic=3394218#zippy=%2Cgmail

[3]https:%%//%%support.google.com/mail/answer/180707?hl=hr&ref_topic=3394218#zippy=%2Cprovjera-gmailovih-poruka%2Cprovjera-poruka-u-drugom-klijentu-e-po%C5%A1te-na-primjer-outlooku-ili-apple-mailu%2Csaznajte-vi%C5%A1e-o-funkcioniranju-provjere-autenti%C4%8Dnosti-spf-i-dkim

[4] https://support.google.com/a/answer/174124

[5] https://support.google.com/a/answer/33786

[6] https://support.google.com/mail/answer/7674059?hl=hr#zippy=%2Csaznajte-kako-funkcioniraju-povjerljive-e-poruke

[7] https://wursta.com/wp-content/uploads/2021/04/verified-email.png