আপনি চিনতে পারেননি এমন একটি ইমেল ঠিকানা থেকে কখনও একটি স্প্যাম বা ফিশিং বার্তা পেয়েছেন? হয়তো কেউ আপনাকে একটি বিনামূল্যে ভ্রমণের প্রস্তাব দিয়েছে, আপনাকে ব্যক্তিগত ফটোর বিনিময়ে বিটকয়েন পাঠাতে বলেছে, বা আপনাকে একটি অবাঞ্ছিত বিপণন ইমেল পাঠিয়েছে?
আপনি কি ভাবছেন যে এই ইমেলগুলি কোথা থেকে এসেছে? একটি স্প্যামার আপনার ইমেল ঠিকানা স্পুফ দেখেছেন এবং ভাবছেন কিভাবে তারা এটা করেছে?
ইমেল স্পুফিং, বা একটি ইমেল তৈরি করা মনে হচ্ছে যেন ইমেলটি এটির চেয়ে ভিন্ন ঠিকানা থেকে এসেছে (উদাহরণস্বরূপ একটি ইমেল যা whitehouse.gov থেকে এসেছে বলে মনে হচ্ছে, কিন্তু আসলে একজন স্ক্যামার থেকে এসেছে) অসাধারণভাবে সহজ।
মূল ইমেল প্রোটোকলের প্রমাণীকরণের জন্য কোনো পদ্ধতি নেই, যার অর্থ হল 'থেকে' ঠিকানাটি মূলত শুধু একটি খালি পূরণ করা।
সাধারণত আপনি যখন একটি ইমেল পান, এটি এইরকম কিছু দেখায়:
From: Name <[email protected]>
Date: Tuesday, July 16, 2019 at 10:02 AM
To: Me <[email protected]>এর নীচে বিষয় এবং বার্তা রয়েছে৷
৷কিন্তু আপনি কিভাবে জানেন যে ইমেলটি আসলে কোথা থেকে এসেছে? বিশ্লেষণ করা যেতে পারে এমন কোন অতিরিক্ত তথ্য নেই?
আমরা যা খুঁজছি তা হল সম্পূর্ণ ইমেল শিরোনাম — আপনি উপরে যা দেখছেন তা একটি আংশিক শিরোনাম। ইমেলটি কোথা থেকে এসেছে এবং কীভাবে এটি আপনার ইনবক্সে পৌঁছেছে সে সম্পর্কে এই ডেটা আমাদের কিছু অতিরিক্ত তথ্য দেবে৷
আপনি যদি আপনার নিজের ইমেল শিরোনামগুলি দেখতে চান, তাহলে আউটলুক এবং Gmail এ কীভাবে সেগুলি অ্যাক্সেস করবেন তা এখানে। বেশিরভাগ মেল প্রোগ্রাম একই পদ্ধতিতে কাজ করে, এবং একটি সাধারণ Google অনুসন্ধান আপনাকে বলবে কিভাবে বিকল্প মেল পরিষেবাগুলিতে শিরোনামগুলি দেখতে হয়।
এই নিবন্ধে আমরা বাস্তব শিরোনামগুলির একটি সেট দেখব (যদিও সেগুলি খুব বেশি সংশোধিত হয়েছে — আমি হোস্টনাম, টাইমস্ট্যাম্প এবং আইপি ঠিকানাগুলি পরিবর্তন করেছি)।
আমরা উপরে থেকে নীচের শিরোনামগুলি পড়ব, তবে সচেতন থাকুন যে প্রতিটি নতুন সার্ভার তাদের শিরোনামটি ইমেলের বডির শীর্ষে যুক্ত করে। এর মানে আমরা চূড়ান্ত বার্তা স্থানান্তর এজেন্ট (MTA) থেকে প্রতিটি শিরোনাম পড়ব এবং বার্তাটি গ্রহণ করার জন্য প্রথম MTA-তে কাজ করব৷
অভ্যন্তরীণ স্থানান্তর
Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000এই প্রথম হপটি একটি HTTPS লাইন দেখায়, যার মানে সার্ভারটি স্ট্যান্ডার্ড SMTP এর মাধ্যমে বার্তাটি গ্রহণ করেনি এবং পরিবর্তে এটি একটি ওয়েব অ্যাপ্লিকেশনে প্রাপ্ত ইনপুট থেকে বার্তাটি তৈরি করে৷
Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000
Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)এই প্রথম দুটি হেডার ব্লক অভ্যন্তরীণ মেল স্থানান্তর হয়. আপনি বলতে পারেন যে এগুলি Office365 সার্ভার (outlook.com) দ্বারা গৃহীত হয়েছে এবং সঠিক প্রাপকের কাছে অভ্যন্তরীণভাবে রুট করা হয়েছে৷
আপনি এটিও বলতে পারেন যে বার্তাটি এনক্রিপ্ট করা SMTP-এর মাধ্যমে পাঠানো হচ্ছে৷ আপনি এটি জানেন কারণ শিরোনামটি "Microsoft SMTP সার্ভারের সাথে" তালিকাভুক্ত করে এবং তারপরে এটি যে TLS সংস্করণটি ব্যবহার করছে সেটি নির্দিষ্ট করে, সেইসাথে নির্দিষ্ট সাইফারও।
তৃতীয় হেডার ব্লক স্থানীয় মেল সার্ভার থেকে একটি মেল ফিল্টারিং পরিষেবাতে রূপান্তরকে চিহ্নিত করে। আপনি এটি জানেন কারণ এটি "ফ্রন্টেন্ড ট্রান্সপোর্টের মাধ্যমে" যা একটি মাইক্রোসফ্ট-এক্সচেঞ্জ নির্দিষ্ট প্রোটোকল (এবং তাই এটি কঠোরভাবে SMTP ছিল না)।
এই ব্লকে কিছু ইমেল চেকও রয়েছে। Outlook.com-এর হেডার এখানে তাদের SPF/DKIM/DMARC ফলাফলের বিশদ বিবরণ দিচ্ছে। একটি SPF সফ্টফেল মানে এই IP ঠিকানাটি gmail.com এর পক্ষ থেকে ইমেল পাঠানোর জন্য অনুমোদিত নয়৷
"dkim=pass" এর অর্থ হল ইমেলটি তার প্রেরিত প্রেরকের কাছ থেকে এসেছে এবং (সম্ভবত) ট্রানজিটে পরিবর্তন করা হয়নি।
DMARC হল নিয়মের একটি সেট যা মেল সার্ভারকে বলে যে কিভাবে SPF এবং DKIM ফলাফল ব্যাখ্যা করতে হয়। পাস হওয়ার সম্ভাবনা মানে ইমেলটি তার গন্তব্যে চলতে থাকে।
এসপিএফ, ডিকেআইএম এবং ডিএমএআরসি সম্পর্কে আরও জানতে, এই নিবন্ধটি দেখুন।
অভ্যন্তরীণ/বাহ্যিক রূপান্তর
Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000
Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible
Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"এটি হল Google-এর SPF রেকর্ড - গ্রহীতা সার্ভারকে বলছে যে ইমেলটি gmail.com থেকে আসছে, এটি একটি Google অনুমোদিত সার্ভার থেকে আসছে৷
Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: Falseএটি কিছু অতিরিক্ত SPF/DKIM/DMARC চেক, সেইসাথে একটি IronPort স্ক্যানের ফলাফল দেখায়।
Ironport হল একটি জনপ্রিয় ইমেল ফিল্টার যা অনেক কর্পোরেশন দ্বারা স্প্যাম, ভাইরাস এবং অন্যান্য দূষিত ইমেল খোঁজার জন্য ব্যবহৃত হয়। এটি ইমেলের লিঙ্ক এবং সংযুক্তিগুলি স্ক্যান করে এবং নির্ধারণ করে যে ইমেলটি দূষিত কিনা (এবং বাদ দেওয়া উচিত), যদি এটি সম্ভবত বৈধ এবং বিতরণ করা উচিত, বা যদি এটি সন্দেহজনক হয় যে ক্ষেত্রে এটি শরীরের সাথে একটি শিরোনাম সংযুক্ত করতে পারে যা ব্যবহারকারীদের ইমেল থেকে সতর্ক থাকতে বলে।
Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400
Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT)
X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected]
Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)
Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)এই বিভাগটি জিমেইলের রাউটিং সিস্টেমের মাধ্যমে প্রেরকের প্রাথমিক ডিভাইস থেকে এবং প্রাপকের দৃষ্টিভঙ্গি পরিবেশে ইমেলটি নেওয়া অভ্যন্তরীণ হপগুলি দেখায়৷ এটি থেকে আমরা দেখতে পাচ্ছি যে প্রাথমিক প্রেরকটি একটি Macbook থেকে ছিল, একটি হোম রাউটার ব্যবহার করে, NYC-তে Verizon Fios-এর সাথে৷
প্রেরক থেকে প্রাপকের কাছে ইমেলটি যে রুটটি নিয়েছে তা দেখানো হপসের শেষ এটি। এর পরে, আপনি ইমেলের মূল অংশটি দেখতে পাবেন (এবং আপনি সাধারণত "থেকে:", "থেকে:", ইত্যাদির মতো হেডারগুলি দেখতে পাবেন), সম্ভবত মিডিয়া প্রকার এবং ইমেল ক্লায়েন্টের উপর ভিত্তি করে কিছু বিন্যাস সহ (উদাহরণস্বরূপ MIME সংস্করণ, বিষয়বস্তুর প্রকার, সীমানা, ইত্যাদি)। এতে কিছু ব্যবহারকারী-এজেন্টের তথ্যও থাকতে পারে, যা কোন ধরনের ডিভাইস মেসেজ পাঠিয়েছে তার বিশদ বিবরণ।
এই ক্ষেত্রে আমরা ইতিমধ্যেই জানি যে অ্যাপলের নামকরণের কারণে পাঠানো ডিভাইসটি একটি ম্যাকবুক ছিল, তবে এতে CPU প্রকার, সংস্করণ, এমনকি ডিভাইসে ইনস্টল করা ব্রাউজার এবং সংস্করণের বিবরণও থাকতে পারে।
কিছু ক্ষেত্রে, কিন্তু সব নয়, এতে পাঠানোর ডিভাইসের IP ঠিকানাও থাকতে পারে (যদিও অনেক প্রদানকারী সাবপোনা ছাড়াই সেই তথ্য লুকিয়ে রাখবে)।
ইমেল হেডার আপনাকে কী বলতে পারে?
ইমেল শিরোনামগুলি সনাক্ত করতে সাহায্য করতে পারে কখন ইমেলগুলি তাদের প্রেরকদের কাছ থেকে পাঠানো হচ্ছে না। তারা প্রেরক সম্পর্কে কিছু তথ্য প্রদান করতে পারে - যদিও এটি সাধারণত প্রকৃত প্রেরককে সনাক্ত করার জন্য যথেষ্ট নয়।
আইন প্রয়োগকারীরা প্রায়শই সঠিক ISP থেকে তথ্য জমা দেওয়ার জন্য এই ডেটা ব্যবহার করতে পারে, কিন্তু আমাদের বাকিরা বেশিরভাগই এটিকে শুধুমাত্র তদন্তে সাহায্য করার জন্য ব্যবহার করতে পারে, সাধারণত ফিশিংয়ে।
এই প্রক্রিয়াটিকে আরও কঠিন করা হয়েছে যে হেডারগুলি দূষিত সার্ভার বা হ্যাকারদের দ্বারা জাল করা যেতে পারে৷ প্রতিটি সার্ভারের মালিকের সাথে যোগাযোগ না করে এবং স্বতন্ত্রভাবে যাচাই না করে যে আপনার ইমেলের শিরোনামগুলি তাদের SMTP লগের সাথে মেলে, যা শ্রমসাধ্য এবং সময়সাপেক্ষ, আপনি নিশ্চিত হতে পারবেন না যে হেডারগুলি সঠিক (আপনার নিজস্ব মেল সার্ভার দ্বারা সংযুক্ত হেডারগুলি ছাড়া)৷
প্রতিটি সার্ভারের মালিকের সাথে যোগাযোগ না করে এবং স্বতন্ত্রভাবে যাচাই না করে যে আপনার ইমেলের শিরোনামগুলি তাদের SMTP লগগুলির সাথে মেলে, যা শ্রমসাধ্য এবং সময়সাপেক্ষ, আপনি নিশ্চিত হতে পারবেন না যে শিরোনামগুলি সবই সঠিক।.
DKIM, DMARC এবং SPF সবাই এই প্রক্রিয়ায় সাহায্য করতে পারে, কিন্তু নিখুঁত নয়, এবং এগুলি ছাড়া, কোনও যাচাইকরণ নেই৷
আপনার নিজের শিরোনাম বিশ্লেষণ করতে চান না? এই সাইটটি আপনার জন্য এটি করবে৷
৷
