رؤوس البريد الإلكتروني: دليلك لكشف أسرار الرسائل وحمايتك من التهديدات السيبرانية
Aldawsari 
هل سبق لك أن تلقيت رسالة بريد إلكتروني مزعجة (spam) أو تصيدية (phishing) من عنوان لا تعرفه؟ ربما عُرضت عليك رحلة مجانية، أو طُلب منك إرسال عملات بيتكوين مقابل صور شخصية، أو وصلت إليك رسالة تسويقية غير مرغوبة؟ هل تساءلت يومًا من أين أتت هذه الرسائل؟ أو رأيت مرسلًا مزعجًا ينتحل عنوان بريدك الإلكتروني وتساءلت كيف فعل ذلك؟
إن انتحال البريد الإلكتروني (Email Spoofing)، أو جعل الرسالة تبدو وكأنها قادمة من عنوان مختلف عن مصدرها الحقيقي (على سبيل المثال، رسالة تبدو وكأنها من whitehouse.gov لكنها في الواقع من محتال)، أمر سهل بشكل ملحوظ. لا تحتوي بروتوكولات البريد الإلكتروني الأساسية على أي طريقة للمصادقة، مما يعني أن حقل “من” (From) هو مجرد خانة يمكن ملؤها بأي شيء. عادةً، عندما تتلقى بريدًا إلكترونيًا، يظهر لك شيء كهذا:
From: Name <name@gmail.com>
Date : Tuesday, July 16 , 2019 at 10 : 02 AM
To : Me <Me@freecodecamp.com>أسفل ذلك، تجد الموضوع والرسالة. ولكن كيف تعرف من أين أتت هذه الرسالة حقًا؟ ألا توجد بيانات إضافية يمكن تحليلها؟
ما نبحث عنه هو رؤوس البريد الإلكتروني الكاملة (full email headers) – ما تراه أعلاه هو مجرد رأس جزئي. ستوفر لنا هذه البيانات معلومات إضافية حول مصدر الرسالة وكيف وصلت إلى صندوق بريدك الوارد.
كيفية الوصول إلى رؤوس البريد الإلكتروني الكاملة؟
إذا كنت ترغب في الاطلاع على رؤوس بريدك الإلكتروني الخاص بك، فإليك كيفية الوصول إليها في Outlook و Gmail. تعمل معظم برامج البريد بطريقة مماثلة، وبحث بسيط على Google سيخبرك بكيفية عرض الرؤوس على خدمات البريد البديلة.
فهم رؤوس البريد الإلكتروني: رحلة الرسالة من المرسل إلى المستلم
في هذا المقال، سننظر إلى مجموعة من رؤوس البريد الإلكتروني الحقيقية (على الرغم من أنها منقحة بشدة – لقد قمت بتغيير أسماء المضيفين والطوابع الزمنية وعناوين IP). سنقرأ الرؤوس من الأعلى إلى الأسفل، ولكن يجب أن تدرك أن كل خادم جديد يضيف رأسه إلى أعلى نص الرسالة. هذا يعني أننا سنقرأ كل رأس بدءًا من وكيل نقل الرسائل النهائي (MTA) وننتقل نزولًا إلى أول MTA قبل الرسالة.
1. عمليات النقل الداخلية (Internal Transfers)
تُظهر هذه الكتل الأولى من الرؤوس عمليات نقل البريد الداخلية. يمكننا أن نرى أنها استُقبلت بواسطة خوادم Office365 (outlook.com)، وتم توجيهها داخليًا إلى المستلم الصحيح. يمكننا أيضًا أن نلاحظ أن الرسالة تُرسل عبر بروتوكول SMTP مشفر.
Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20 : 16 : 39 + 0000تُظهر هذه الخطوة الأولى سطر HTTPS، مما يعني أن الخادم لم يستقبل الرسالة عبر بروتوكول SMTP القياسي، بل قام بإنشاء الرسالة من مدخلات تلقاها على تطبيق ويب.
Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1 .1358 .20 ; Fri, 25 Oct 2019 20 : 16 : 38 + 0000
Received : from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20 .2385 .20 via Frontend Transport; Fri, 25 Oct 2019 20 : 16 : 37 + 0000نعرف أن الرسالة تُرسل مشفرة لأن الرأس يسرد “with Microsoft SMTP Server” ثم يحدد إصدار TLS الذي يستخدمه، بالإضافة إلى التشفير المحدد (cipher).
2. نتائج المصادقة: SPF, DKIM, DMARC
تُشير كتلة الرأس الثالثة إلى الانتقال من خادم بريد محلي إلى خدمة تصفية البريد. نعرف ذلك لأنها ذهبت “via Frontend Transport” وهو بروتوكول خاص بـ Microsoft Exchange (وبالتالي لم يكن SMTP بالمعنى الدقيق). تتضمن هذه الكتلة أيضًا بعض فحوصات البريد الإلكتروني. يُفصل رأس Outlook.com نتائج SPF و DKIM و DMARC هنا:
-
Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason= 100 -
Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)
يشير SPF softfail إلى أن عنوان IP هذا غير مصرح له بإرسال رسائل بريد إلكتروني نيابة عن gmail.com. بينما يعني “dkim=pass” أن البريد الإلكتروني قادم من مرسله المزعوم ولم يتم تعديله (على الأرجح) أثناء النقل. أما DMARC فهي مجموعة من القواعد التي تخبر خادم البريد بكيفية تفسير نتائج SPF و DKIM. يشير “Pass” على الأرجح إلى أن البريد الإلكتروني يستمر في وجهته.
لفهم أعمق لـ SPF و DKIM و DMARC، يمكنك الرجوع إلى هذا المقال الشامل (مثال على رابط خارجي مفيد).
3. الانتقال الداخلي/الخارجي وتدقيق SPF
تُظهر هذه الكتل الانتقال من خادم محلي إلى خادم خارجي، وتُقدم المزيد من فحوصات SPF.
Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15 .20 .2305 .15 via Frontend Transport; Fri, 25 Oct 2019 20 : 16 : 37 + 0000
Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain ofsender@gmail.com) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope- from = "sender@gmail.com" ;x-sender= "sender@gmail.com" ; x-conformance=sidf_compatible
Received-SPF: Pass (Redacted.localdomain.com: domain ofsender@gmail.com designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope- from = "sender@gmail.com" ;x-sender= "sender@gmail.com" ; x-conformance=sidf_compatible;x-record-type= "v=spf1" ; x-record-text= "v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"هذا هو سجل SPF الخاص بـ Google، والذي يخبر الخادم المستلم أن البريد الإلكتروني الذي يدعي أنه قادم من gmail.com، يأتي من خادم معتمد من Google.
4. خدمات تصفية البريد الإلكتروني المتقدمة (IronPort)
تُظهر هذه الكتل فحوصات إضافية لـ SPF و DKIM و DMARC، بالإضافة إلى نتائج فحص IronPort. يُعد IronPort مرشحًا شائعًا للبريد الإلكتروني تستخدمه العديد من الشركات للبحث عن الرسائل المزعجة والفيروسات ورسائل البريد الإلكتروني الضارة الأخرى.
Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain ofpostmaster@redatedgoogle.com) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope- from = "sender@gmail.com" ;x-sender= "postmaster@.google.com" ;x-conformance=sidf_compatible
Authentication-Results-Original: Redacted@localdomain.com; spf=Nonesmtp.pra=sender@gmail.com; spf=Pass smtp.mailfrom=sender@gmail.com;spf=None smtp.helo=postmaster@redacted.google.com; dkim=pass (signatureverified) header.i=@gmail.com; dmarc=pass (p=none dis=none) d=gmail.com
IronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: =
X-IronPort-AV: ;d= "scan"
X-Amp-Result: SKIPPED(no attachment in message)
X-Amp-File-Uploaded: Falseيقوم IronPort بفحص الروابط والمرفقات في البريد الإلكتروني ويحدد ما إذا كانت الرسالة ضارة (ويجب إسقاطها)، أو إذا كانت مشروعة على الأرجح ويجب تسليمها، أو إذا كانت مشبوهة، وفي هذه الحالة يمكنه إرفاق رأس بنص الرسالة يخبر المستخدمين بتوخي الحذر من البريد الإلكتروني.
5. مسار الرسالة من جهاز المرسل إلى المستلم
يُظهر هذا القسم القفزات الداخلية التي اتخذتها الرسالة من الجهاز الأولي للمرسل عبر نظام توجيه Gmail إلى بيئة Outlook الخاصة بالمستلم.
Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16 : 16 : 36 -0400
Received : by redacted.google.com with SMTP idfor recipient@localdomain.com; Fri, 25 Oct 2019 13 : 16 : 35 -0700 (PDT)
X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13 : 16 : 35 -0700 (PDT)
Return-Path: sender@gmail.com
Received : from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits= 128 / 128 );Fri, 25 Oct 2019 13 : 16 : 34 -0700 (PDT)
Received : from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits= 128 / 128 );Fri, 25 Oct 2019 13 : 16 : 34 -0700 (PDT)من هذا، يمكننا أن نرى أن المرسل الأولي كان من جهاز Macbook، باستخدام جهاز توجيه منزلي (home router)، مع خدمة Verizon Fios في مدينة نيويورك (NYC). هذه هي نهاية القفزات التي تُظهر المسار الذي سلكه البريد الإلكتروني من المرسل إلى المستلم.
بعد هذا، سترى نص الرسالة (والرؤوس التي تراها عادةً مثل “from:” و “to:” وما إلى ذلك)، وربما بعض التنسيقات بناءً على نوع الوسائط وعميل البريد الإلكتروني (على سبيل المثال، MIME Version، Content-Type، boundary، إلخ). قد تحتوي أيضًا على بعض معلومات وكيل المستخدم (user-agent information)، وهي تفاصيل حول نوع الجهاز الذي أرسل الرسالة. في هذه الحالة، عرفنا بالفعل أن الجهاز المرسل كان Macbook بسبب اتفاقية تسمية Apple، ولكن قد تحتوي أيضًا على تفاصيل حول نوع وحدة المعالجة المركزية (CPU type)، والإصدار، وحتى المتصفح والإصدار المثبتين على الجهاز. في بعض الحالات، وليس كلها، قد تحتوي أيضًا على عنوان IP الخاص بالجهاز المرسل (على الرغم من أن العديد من المزودين سيخفون هذه المعلومات بدون أمر قضائي).
ماذا يمكن أن تخبرك رؤوس البريد الإلكتروني؟
تساعد رؤوس البريد الإلكتروني في تحديد متى لا تُرسل الرسائل من مرسليها المزعومين. يمكنها توفير بعض المعلومات عن المرسل – على الرغم من أنها عادةً ما تكون غير كافية لتحديد المرسل الحقيقي. غالبًا ما تستطيع جهات إنفاذ القانون استخدام هذه البيانات لاستصدار أمر قضائي للحصول على المعلومات من مزود خدمة الإنترنت (ISP) الصحيح، لكننا نحن، عامة المستخدمين، يمكننا استخدامها بشكل أساسي للمساعدة في التحقيقات، خاصةً في قضايا التصيد الاحتيالي (phishing).
التحديات والقيود في تحليل رؤوس البريد الإلكتروني
تُصبح هذه العملية أكثر صعوبة بسبب حقيقة أن الرؤوس يمكن تزييفها بواسطة الخوادم الضارة أو المتسللين. بدون الاتصال بمالك كل خادم والتحقق بشكل فردي من أن الرؤوس في بريدك الإلكتروني تتطابق مع سجلات SMTP الخاصة بهم، وهو أمر شاق ويستغرق وقتًا طويلاً، لن تكون متأكدًا من دقة الرؤوس (بخلاف الرؤوس المرفقة بواسطة خوادم البريد الخاصة بك).
يمكن أن تساعد تقنيات DKIM و DMARC و SPF جميعها في هذه العملية، لكنها ليست مثالية، وبدونها، لا يوجد تحقق على الإطلاق. إذا كنت لا ترغب في تحليل رؤوسك بنفسك، فإن هناك مواقع إلكترونية ستقوم بذلك نيابة عنك.
الخلاصة التقنية
تُعد رؤوس البريد الإلكتروني بمثابة بصمة رقمية لكل رسالة، تحمل في طياتها مسارها الكامل وتفاصيل هامة عن هويتها. على الرغم من أن تحليلها قد يبدو معقدًا، إلا أنه يوفر للمستخدمين والخبراء الأمنيين أداة قوية لكشف رسائل الانتحال والتصيد، وفهم كيفية عمل أنظمة البريد. إن فهم آليات مثل SPF و DKIM و DMARC يعزز قدرتنا على التمييز بين الرسائل المشروعة والتهديدات المحتملة، مما يجعلنا أكثر أمانًا في بيئة رقمية متزايدة التعقيد. ومع ذلك، يجب دائمًا توخي الحذر، حيث أن الرؤوس قابلة للتزييف، وتظل اليقظة البشرية خط الدفاع الأول.