Undersøgelse af en mails ægthed

2019-yahoo-boxDette blogindlæg er skrevet med udgangspunkt i et spørgsmål jeg har fået om hvordan man kan dokumentere at en mail er ægte. Hvis man fx har modtaget en mail med en trussel kan man så dokumentere at den er ægte. Materialet til blog indlægget er leveret af en anden nørd, jeg har mødt i et online forum, fordi jeg ikke selv har en Yahoo Mail.

the_screamSom udgangspunkt kan man aldrig være 100% sikker på at en mail er ægte. Hvis man er op mod en blackhat, så kan der være fiflet så professionelt med mailen at den virke ægte selv om den er falsk. Præcis som der sikkert hænger en del falske malerier rundt omkring i verden, som alle – selv eksperterne – tror er ægte.

Dog kan man vurdere om modtageren af mailen med truslen reelt har midler og kontakter til at betale en blackhat for dette falskneri. En enlig mor på kontant hjælp, som slår på siden af sit TV når det ikke virker, har sikkert ikke disse ressourcer og muligheder.

En test mail (kunne fx være en mail indeholdende en trussel) er afsendt af Peter “Tordenskjold” Hansen fra mail adressen tordenskjold@protonmail.com til mail adressen peterhansen1981dk@yahoo.com:

mail-til-yahoo-mail1

Mailen modtages i Inbox hos Yahoo Mail (peterhansen1981dk@yahoo.com):

mail-til-yahoo-mail2

Åbnes mailen hos Yahoo Mail ser den således ud i den brugervenlige version (uden alle internettets koder):

mail-til-yahoo-mail3

Klikker man på More og dernæst View Raw Message, så åbnes selve den rå mail (med alle internettets koder):

mail-til-yahoo-mail4

Dette er den rå mail som er modtaget hos Yahoo Mail (det er mailen som den ser ud, når den afleveres fra internettet hos “vareindleveringen” hos Yahoo Mail):

mail-til-yahoo-mail5

Dette er den fulde rå mail. De farve belagte dele af teksten er de punkter man fx kan tjekke for om mailen virker ægte:

X-Apparently-To: peterhansen1981dk@yahoo.com; Fri, 25 Nov 2016 00:14:55 +0000
Return-Path: <tordenskjold@protonmail.com>
Received-SPF: pass (domain of protonmail.com designates 185.70.40.27 as permitted sender)
X-YMailISG: F8hzgTMWLDvhzlSE7_rInaH8U4NaLIbYiKoaB_rNS3Vy9xby
8ibpf6woqlrV35NWmfmHB0CVVNqyUVw2vI1nwvZbc5GIztYRDO0uwb54NsPs
lPKVg0.Klhd2HRPWkTyCIHFyVosL6zaX7oDHx1wVpa.QUWyxDVqjdURQxoD9
i6zle8vvlFLsltOzxKUXMB1psuGMQsvIrfQzy_P_r_Raxxf35ML7987Blg.0
KEqsfjjmdP2iz4lrNSOeOo.6.vKHkD5fa3hBkSzpXkOnWaK2qyrBNiLeQOtj
VyAY7PGgKDG9h88OIz7gzePZf7RIH7I0Z4gxaO_.gzAEpVaZRpLCtI1i63Xy
4qo.EY1EkAEgAoQBCcsWhwxUAXPbhH7yEt5sV29HTKmKQS6YTvzNdZfOJGHX
8vIZVMGBPZsfmM6D168u1VBGvGwbCxhpQNO52ER7bmE7lSHujdX_JxPMgt7d
E.2SLprIQqZ60z7JD1KRo_tOU5zYD2AiMnjrRMQgcTwc_0JyObr9StxeEV62
lScit_WXmwhCvsk9DDmBgh3EIGRrl7ERi8s2fDWdHJJUP5jW5t1r2nJEhUbU
vsKAgDZBePLkDZgCKmGw22Rae3p5zT8OtiVrEOTVm2iWBDsp5dbai0bN9dv.
YdNxjaVWaHmRApYqe4grueql_zWYhUpj5LSiOrxyJaz3ViKi31lYwphxGjz3
GD1tzdGdjZl9OP1SL3Q2EeoNVjlA8N1o9xtnvIid69CHfD_LiUri5YhjfdUs
sC.YJyaKvdEqosW7fsKdDA4hYbO._PEFs37HoOm5LeSLke9Q275Rk65X_ipz
yND0boGlrCOM14HWvnPZcqk.hlO1mu6PL6JdwSN9PEn78Ig07TLXYWjmPBd_
if9BM8JK5qxIcumN8DmLLbSSyvfmdseAVukcyI66G3qs_WZxGchL4n6ujQm3
23xUhxlsuzhyBfxts5TL0YC4Ud5qVMxums8beec1tXPSrXLw5zCP14lt3pjU
Qt6FgYUFsPm6QXDFxXye2bDpcWzQxgXMg9nrsjmaJv6GnVAWkKLg_YUbIcly
qfxeliQgoAXJsRQxcOrmxakZPm0WKaDubQj9ngSqMTX6LODMF.299VM9d_AP
EhlepLOmeF75pCgw3A3pvVYS_ufKRokSZmC4UXciKEBusDbY31Pt.Ce.mdoN
bycmvHxXmy1zyENpwCM4ZiSKm0ZcuGAp9fMH7ETHpkGtzOTALzWxFbSl5miZ
v5wbR77ood1Zeb_v.fmueAk8MwW9.BJNDCUjJRRgvKQEs4FKvHUYYw0MmOoZ
5JXioQlBdugcTWkxdL_Xl1m11lm0RbAeEsv0.3rI_CBZBxWWgReB_kbw3ZhW
vF.tKYdZxbR.dSBZBzpbRmo7CEmT9cCmK4QcYlrhFA7wM1Gl8GDXmKR1QsbM
P4P6dTn_nS1VkFEzfXnhYf5R0Izpy3Xr.b7uXcJBjmHjTnt5N2L_0cUcZb61
6fP.vxKoctPQ.hjAMGQosw–
X-Originating-IP: [185.70.40.27]
Authentication-Results: mta1445.mail.bf1.yahoo.com from=protonmail.com; domainkeys=neutral (no sig); from=protonmail.com; dkim=pass (ok)
Received: from 127.0.0.1 (EHLO mail4.protonmail.ch) (185.70.40.27)
by mta1445.mail.bf1.yahoo.com with SMTPS; Fri, 25 Nov 2016 00:14:55 +0000
Received: from mail.protonmail.com (localhost [127.0.0.1])
by mail4.protonmail.ch (Postfix) with ESMTP id EBF58186E
for <peterhansen1981dk@yahoo.com>; Thu, 24 Nov 2016 19:14:52 -0500 (EST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=protonmail.com;
s=default; t=1480032893;
bh=iEYlyfeUOU6v0E1c5MQVBAdkzfDJgloW5KEwut5q0GM=;
h=Date:To:From:Reply-To:Subject:Feedback-ID:From;
b=RWSHOF9telZRqWclET/4YmXuJFZMQzRa8RuLA81sTb4l6SZ9b/FyIhT7LmBuIzGQE
l1uqwSLgYzaTD6rrPb7GEp+p/+z7ZnuzRf0uurvh+W/4NSCrsLCZUv3W/vTRpPPFXE
2PCz29vtPi7iLCMOPRiv2eeEtk6+BdTqJ7PJd8VE=
Date: Thu, 24 Nov 2016 19:14:52 -0500
To: “peterhansen1981dk@yahoo.com” <peterhansen1981dk@yahoo.com>
From: “\”Peter \\\”Tordenskjold\\\” Hansen\”” <tordenskjold@protonmail.com>
Reply-To: “\”Peter \\\”Tordenskjold\\\” Hansen\”” <tordenskjold@protonmail.com>
Subject: Test emne
Message-ID: <Y6vabbZCRO5rFRtjkeohbwpf73O617GhvJSH0GlZOrs5sbDujB7RZCWA59erKb8By4gXTvIt_pF2Sv-etDz8mMzlnAwMeGC1WFOR17JvdfE=@protonmail.com>
Feedback-ID: cESkDRnWqtbfu8SPE2TkOvZVZsdIuY1_ngc3o2h_XHpQEfuQbXdjpQHvHbl5SzyVKNNqUmgHCv4EddQ_fIPOsA==:Ext:ProtonMail
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”b1_d47f7ffaa1eba236158df7e0e39293f4″
X-Spam-Status: No, score=-3.0 required=4.0 tests=ALL_TRUSTED,BAYES_00,
DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM,HTML_MESSAGE,
MIME_BASE64_BLANKS,URIBL_BLOCKED autolearn=ham version=3.3.1
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on mail4.protonmail.ch
Content-Length: 845

This is a multi-part message in MIME format.

–b1_d47f7ffaa1eba236158df7e0e39293f4
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: base64

VGVzdCB0ZWtzdCBpIGJlc2tlZGZlbHQuCgoKU2VudCB3aXRoIFtQcm90b25NYWlsXShodHRwczov
L3Byb3Rvbm1haWwuY29tKSBTZWN1cmUgRW1haWwu
–b1_d47f7ffaa1eba236158df7e0e39293f4
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: base64

PGRpdj48YnI+PC9kaXY+PGRpdj5UZXN0IHRla3N0IGkgYmVza2VkZmVsdC48YnI+PC9kaXY+PGRp
diBjbGFzcz0icHJvdG9ubWFpbF9zaWduYXR1cmVfYmxvY2sgIj48ZGl2IGNsYXNzPSJwcm90b25t
YWlsX3NpZ25hdHVyZV9ibG9jay11c2VyICI+PGJyPjwvZGl2PjxkaXYgY2xhc3M9InByb3Rvbm1h
aWxfc2lnbmF0dXJlX2Jsb2NrLXByb3RvbiAiPlNlbnQgd2l0aCA8YSBocmVmPSJodHRwczovL3By
b3Rvbm1haWwuY29tIj5Qcm90b25NYWlsPC9hPiBTZWN1cmUgRW1haWwuPGJyPjwvZGl2PjwvZGl2
PjxkaXY+PGJyPjwvZGl2Pg==

–b1_d47f7ffaa1eba236158df7e0e39293f4–

taendstikkerTak til Peter “Tordenskjold” Hansen for det leverede materiale til dette blogindlæg. Det har været en stor hjælp i denne sag, hvor det specifikt drejer sig om en mail modtaget til en Yahoo Mail adresse.

gmail-logo-4Opdatering: Hvis du har brug for at undersøge ægtheden af mails modtaget gennem andre mailservice, så Google “e-mail raw message [mailservice navn]”. Jeg gjorde det med GMail og fandt denne guide her.

GMail: Åben mail > Klik på sort ned-pil øverst til højre > Show original …

Leave a Reply