[스피어피싱] 4강 스피어피싱 이메일 분석

1. 스피어피싱 이메일 분석 

1.1 이메일 포맷

• EML
  • 이메일 클라이언트 간 주고받는 메일의 포맷 중 하나이며 마이크로소프트에서 개발

 

1.2 Envelope "Mail From" VS Message Header "From"

• Message Envelope에 적혀 있는 정보는 그 이름대로 "편지봉투"의 정보
• Message Header에 적혀있는 정보는 "편지지"의 정보
• 편지봉투의 To, From 상관없이 편지지 본문에 있는 "To", "From" 메시지는 다를 수 있음
• 우리가 사용하는 메일 클라이언트는(Outlook 등) Message Envelope의 "From"을 보여주는 것이 아닌 Header 부분의 "From"을 보여줌
• 공격자는 스푸핑을 이용해 Message Envelope의 정보를 위조 가능

 

1.3 의심스러운 이메일 식별 방법\

• 메일함에서 디스플레이 되는 이름과 Message Header에 있는 "From"의 정보가 다른가?
• Message Header "From"값과 Message Envelope "Return-Path"값과 다른가?
• 발송된 메일 서버의 위치와 도메일 정보에 표시된 국가 정보가 일치한가?