Alınan E-posta iletilerinin kaynağını araştırma:
Haberleşme teknolojilerinden e-posta hayatımızın vazgeçilmez bir parçası olmuştur. Herkesin bildiği üzere yakın zamanda ortaya çıkmış bir haberleşme teknolojisidir. İlk olarak kullanımına 1970’ler de başlanan e-posta bildiğimiz manada ilk çalışma prensiplerini yani protokolüne ; 1982’ de yayınlanan RFC821 ve RFC822 ile kavuşmuştur. RFC821 SMTP (simple mail transport protokol, basit mail iletim protokolü) hakkında olup bu kurallar dizisi yeni RFC’lerle yenilenmekte ve gelişmektedir. İlk olarak ortaya çıkış tarihinin 1980lerin başı olduğunu düşündüğümüzde o zamanın ihtiyaçlarını karşıladığını kolayca anlayabiliriz.
E-postanın kısa tarihçesinden sonra kullanımı konusuna odaklanacak olursak kullanıcılar için vazgeçilmez olan e-posta hizmeti ne kadar güvenlidir? Günlük hayatımızda aldığımız kararları ve davranışlarımızı etkileme gücü olan e-postalar konusunda ne biliyoruz? Herhangi bir kullanıcının istediği mail adresini kullanıp size mail atabileceğini veya sizin mail adresinizi kullanıp e-posta gönderebileceğinin farkında mısınız? Protokolün doğası gereği bu engellenememekte ama maillerin kaynakları tespit edilebilmektedir. Her kurumun ve şirketin mail sistemi basit olabildiği gibi karmaşık bir yapıda da olabilir. Dışarıdaki bir kullanıcının iç sistemi bilmesine imkan yoktur. Ama siyah bir kutu olarak düşünürsek mail sistemini, bazı etkilere belli tepkiler vermek zorundadır. Bu yazıda e-posta adresini sorgularken bir sonuç olarak mail sistemini de sorgulayacağız.

E-postalarda kullanıcıların okuduğu body (gövde) haricinde header (başlık) kısmı vardır. E-postayı gönderen kişi ve alan kişi arasında e-postanın takip ettiği yolu bu header kısmından anlayabiliriz. Başlık kısmı normalde gözükmez. Eğer aldığınız e-postayı posta dosyası olarak kaydedip bir yazı editörü ile görüntülerseniz başlık kısmını görebilirsiniz veya işin daha kolayı Outlook Express kullanıyorsanız, maili açıp dosya menusundan özellikler menusuna seçip ayrıntılar sekmesine tıklarsanız mailin başlık kısmını görüntülersiniz. Mesela E-posta gönderen adres fusunx@basbakanlik.gov.tr olsun. Bu mesaj gerçekten başbakanlik.gov.tr’ den mi gelmiştir? İlk olarak hemen mail’in başlık kısmına bakmamız gerekir.

Return-Path:
Delivered-To: halilkeles"güzela"xxxxx.gov.tr
Received: (qmail 4440246 invoked from network); 24 Mar 2006 12:33:05 -0000
Received: from unknown (HELO virusgw.xxxx.gov.tr) ([10.200.200.xxx])
(envelope-sender )
by webmail.xxxx.gov.tr (qmail-ldap-1.0233) with SMTP
for ; 24 Mar 2006 12:33:05 -0000
Received: from (212.15.17.66) by virusgw.xxxx.gov.tr via smtp id 59f4_c3ed70b2_bb34_11da_8c64_0002b3c81b
Fri, 24 Mar 2006 14:50:26 +0200
From: "fusunx"
To:
Subject: Fw: Funny :)

Görüldüğü gibi maili xxxxx Bakanlığının mail sunucusuna gönderen ip numarası 212.15.17.66. Bu ip’nin adres çözümlemesi yapmamız için nslookup komutu kullanacağız. Windows XP kullanıcıları komut satırından bu komutu verebilirler.

debian:/var/log# nslookup
> 212.15.17.66
Server: 10.6.82.2
Address: 10.6.82.2#53

Non-authoritative answer:
66.17.15.212.in-addr.arpa name = host-212-15-17-66.boruxxxtelekom.com.tr

Bu ip’nin DNS kaydı gördüğünüz gibi başbakanlık.gov.tr ile alakası yok. Bundan emin olmak için basbakanlik.gov.tr’nin e-posta sunucusunun adres çözümlemesini yapalım.

debian:/var/log# nslookup
> basbakanlik.gov.tr (ip çözümlemesini yapıyoruz ama bizim ulaşmamız gereken mail sunucu adresleri)
Server: 10.6.82.2
Address: 10.6.82.2#53

Non-authoritative answer:
Name: basbakanlik.gov.tr
Address: 172.16.1.5
Name: basbakanlik.gov.tr
Address: 172.16.1.10
> set q=mx (Mail sunucuların çözümlemesini yapmamız için MX sorgusu yapılmalı bu yüzden sorgu tipimizi değiştiriyoruz.)
> basbakanlik.gov.tr
Server: 10.6.82.2
Address: 10.6.82.2#53

Non-authoritative answer:
basbakanlik.gov.tr mail exchanger = 10 erdek.basbakanlik.gov.tr. (başbakanlık.gov.tr uzantılı maillerin çıkacağı mail sunucusu)

E-postanın başlığında hiçbir şekilde erdek.basbakalik.gov.tr geçmemektedir.
Peki doğrulama yapmamız için bu yeterli midir? Çoğu zaman yeterli olmasına rağmen yeterli olmayabilir. Belki kullanıcılar dışarı mail atarken başka bir sunucu kullanıyorlardır veya aynı sunucunun bir başka ismi var olabilir. Şimdi bunu anlamak için kullanımda olamayacak bir mail adresine mail atalım. Örnek olarak asasasdsds@basbakanlik.gov.tr adresine boş bir mail atalim. Gelen cevabın başlığına bakıp inceleyelim. Bu şekilde mail atmamızın sebebi e-posta sunucusundan mail almak ve o sistemden alınacak e-postalarda başlığa girecek sistem bileşenlerini bulmaktır.

Delivered-To: halilkeles"güzela"xxxx.gov.tr
Received: (qmail 6176988 invoked from network); 27 Mar 2006 09:48:02 -0000
Received: from unknown (HELO virusgw.xxxx.gov.tr) ([10.200.200.100])
(envelope-sender <>)
by webmail.xxxx.gov.tr (qmail-ldap-1.03) with SMTP
for ; 27 Mar 2006 09:48:02 -0000
Received: from (195.140.196.2) by virusgw.xxxx.gov.tr (xxxx Bakalığına ait server) via smtp
id 5060_42781de2_bd79_11da_92bc_0002b3c81b42;
Mon, 27 Mar 2006 13:05:48 +0300
Received: from ([172.16.1.5]) by pamukkale; Mon, 27 Mar 2006 12:54:35 +0300 (EEST)
From: postmaster@basbakanlik.gov.tr
To: halilkeles"güzela"xxxx.gov.tr
Message-ID: 011tbPCwl00000aca@erdek.basbakanlik.gov.tr (fusunx@basbakanlik.gov.tr ‘de göremediğimiz erdek.basbakanlik.gov.tr sunucusu headere girmiş.)
Subject: Delivery Status Notification (Failure)
Kalın harfle yazılmış ip bizim çıkış noktamız olacaktır. Bu ip’i kime aittir? Başbakanlık’tan çıkarken mailin başlığına düşen son ip budur. Bu ip’den sonra xxxx Bakanlığı’nın sistemine girmiştir bu mail.
http://www.ripe.net/whois sitesinden bu ip’yi sorgulayabiliriz. basbakanlik.gov.tr den gelen maillerin çıkış ip’si bu ip olmalıdır. Sorgu sonucunda kısaca şu karşılıkları alıyoruz.

inetnum: 195.140.196.0 - 195.140.199.255
netname: TC-BBA-NET
descr: T.C.BASBAKANLIK NET - TURKISH PRIME MINISTRY IT NETWORK
descr: This network is serving as the communications media among
descr: the Prime Ministry,State Ministries and some state
descr: institutions and as a means for accessing to Internet.
descr: Ankara-Turkey.
country: TR

Görüldüğü üzere 195.140.196.2 ip’si e-postada geçmiyor. Artık kesin bir şekilde bu mailin basbakanlik.gov.tr’ den gelmediğini söyleyebiliriz.
Eğer elimizde başlığına bakabileceğimiz güvenilir, basbakanlik.gov.tr’den gönderilmiş olan e-posta varsa analizimiz çok kısalacaktır.
basbakanlik.gov.tr uzantılı e-posta adresi olan gerçek bir kullanıcının gönderdiği e-posta başlığını inceleyelim.
Return-Path:
Delivered-To: xxx@xxxx.gov.tr
Received: (qmail 5914680 invoked from network); 24 Mar 2006 13:13:18 -0000
Received: from unknown (HELO virusgw.xxxx.gov.tr) ([10.200.200.100])
(envelope-sender )
by webmail.xxxx.gov.tr (qmail-ldap-1.xxx) with SMTP
for ; 24 Mar 2006 13:13:18 -0000
Received: from (195.140.196.2) by virusgw.xxxx.gov.tr via smtp
id 1faf_2c1a06b4_bb3a_11da_8e85_0002b3c81b42;
Fri, 24 Mar 2006 15:29:08 +0200
Received: from ([172.16.1.5]) by pamukkale; Fri, 24 Mar 2006 15:18:58 +0200 (EET)
Received: from dtopcuoglu ([10.1.6x.xxx]) by erdek.basbakanlik.gov.tr with Microsoft SMTPSVC(5.0.2195.6713);
Fri, 24 Mar 2006 15:14:26 +0200
Message-ID: <004a01c64f45$972993e0$ca45010a@xxx>
From: =?iso-8859-1?Q?xxxxxx?=

Bu e-postanın yolunu takip edelim.
10.1.6x.xxx ipli bilgisayardan Erdek.basbakalık.gov.tr e-posta sunucusuna bağlanılmış, e-posta 172.16.1.5 ipli bir ağ bileşeninden pamukkale sunucusuna ulaştırılmıştır. Sonra çıkış ip’si olarak 195.140.196.2 kullanıp xxxx Bakanlığı’na ulaşmıştır. fusunx@basbakanlik.gov.tr e-postasının başlığında bu şekilde bir yol yoktu. Görüldüğü gibi elimizdeki e-posta başlıklarını kullanıp komutlar kullanmadan e-postanın sahte bir e-posta olduğunu anladık.

Bizim burada yaptığımız aslında iki türlü analizdir. Birinci yöntem elimizde Başbakanliktan gelmiş bir e-posta olmadan göndereni meçhul e-postanın nerden geldiğini anlamak, ikincisi ise elimizde başbakanlıktan gönderilmiş e-posta vardır ve biz bu e-postanın başlığı ile elimizdeki e-postayı karşılaştırıyoruz. Sonuçta toparlayacak olursak varacağımız sonuç araştırdığımız e-postanın başbakanlığın e-posta sunucusundan gelmediğidir. Peki bu e-posta niye gönderilmiştir? Günümüzde yaygın olarak görülen ve geniş bant teknolojisinin yaygınlaşmasıyla daha kolay ve hızlı yayılan solucanlardan bir tanesi yol açmıştır. Bu tip programlar yerleştikleri bilgisayardan elde ettikleri adreslere e-posta göndermekte ve bu sayede daha çok bilgisayara bulaşmaya çalışmaktadır. Ülkemizde kişisel bilgisayar güvenliği tam olarak anlaşılmadığı için bu tip virüsler çokça görülmektedir. Bir olasılık da fusunx@basbakanlik.gov.tr adresinden insanlara sanki gerçek fusunx kullanıcısı gibi ulaşıp onları kandırmaktır. Bu yüzden bilinçli kullanıcıların aldıkları e-postalara göre davranışlarını ve düşüncelerini şekillendireceklerse e-postaların kaynaklarını sorgulamalarında fayda vardır ve e-postaların illaki görünen adresten gönderilmiş olmayacağının bilincinde olunmalıdır.



Investigation of the source of the received e-mail:
This paper is about the insecure nature of the e-mails. With using some basic commands, trying to show the people how they can understand the senders of the e-mails and from which servers they were originated.

Halil KELEŞ