본문 바로가기

벌새::Security

이메일 헤더(Header)를 이용한 스팸메일 추적하기

반응형

인터넷이 발달하면서 과거의 느린 우편이 이메일이라는 편리한 수단으로 매우 빠른 시간에 다수의 사용자에게 정보를 제공할 수 있는 방법을 제공해 주고 있습니다.

언제나 그렇듯이 이러한 편리함의 다른 면에는 스팸 이메일이라는 악의적 또는 금전적 목적을 취하는 이메일로 수많은 사람들에게 고통을 줍니다.

그러면 이러한 스팸메일의 발송처를 추적하는 방법에 대해 살펴보겠습니다.

해당 내용은 부정확한 정보를 담고 있을 수 있으므로 흥미 차원에서 봐주시기 바랍니다.


1. 이메일 헤더 알아보기

사용자 삽입 이미지

어느 스팸메일의 본문 모습입니다. 해당 이메일은 해외에서 작성되어 전세계 불특정 다수에게 보내진 것으로 추정됩니다.

보낸 사람의 이메일로 허위일 가능성이 높고, 받는 사람의 이메일 주소 역시 실제 제가 수신을 하였지만, 저의 이메일 주소는 아닙니다.

이런 이메일의 구성은 크게 2가지로 나눌 수 있습니다. 

사용자 삽입 이미지

빨간선 안의 이메일 헤더 부분과 파란선 안의 이메일 본문입니다.

이메일 헤더는 메일 발송자의 위치에서 부터 시작하여 각 서버를 거쳐 최종적으로 수신자에게 오는 동안의 과정을 기록하고 있습니다. 일반적으로 이메일 헤더를 분석할 때에는 최종 수신자의 위치인 맨 하단에서 거꾸로 하나씩 올라가면서 역추적하는 방식을 사용할 수 있습니다.

마치 악성코드를 정적으로 분석할 때 역순으로 추적하는 방식과 유사하다고 할 수 있습니다.

2. 이메일 헤더 정보를 통한 이메일 추적하기

E-mail Trace 웹사이트 : http://www.ip-adress.com/trace_email/


해당 이메일 추적 사이트는 IP 정보를 제공해 주는 해외 사이트입니다.

해당 사이트에서 이번에 새롭게 서비스하는 기능을 통해 이메일을 추적해 보도록 하겠습니다.

[방법]
자신이 받은 이메일의 소스에서 헤더 부분을 복사합니다. 복사한 정보를 웹사이트의 [Copy and Paste the email header in this field:] 항목의 빈칸에 붙여넣기를 합니다.

사용자 삽입 이미지

이메일 헤더 정보를 넣은 후 [Trace Email Sender]를 클릭합니다.

사용자 삽입 이미지

스크린샷과 같이 최초 이메일을 발송한 지역의 정보가 제공됩니다.

해당 스팸메일의 경우에는 124.105.212.67 아이피를 가진 필리핀의 특정 주소가 나오는 것을 확인할 수 있습니다.

구글에서 제공하는 지도 정보는 흥미롭게 더 자세하게 해당 지역의 모습도 보여주고 있습니다. 즉, 메시지의 [Click here for a big satellite image.]를 클릭하시면 해당 지역을 더 자세하게 볼 수도 있습니다.

물론 이와 같은 이메일 추적이 정확하다고 보장할 수는 없지만, 개인이 각종 스팸메일이나 악의적인 이메일을 추적할 수 있는 기본적인 정보 제공은 해 줄 수 있습니다.

728x90
반응형
  • 재미있는 글입니다.

    저의 경우에는 실제로 메일 서버 제품의 기술 지원 엔지니어로

    근무하고 있기 때문에 스팸 메일이라든지 릴레이 공격시 대응

    방법에 대해 익히 알고 있지만 일반인이 추적하기에는 실제로

    어렵지 않나 생각됩니다.

    특히, 요즘과 같은 좀비 공격 스타일에서는 요.. ㅎㅎ.

  • 비밀댓글입니다

    • 네이버 메일에서는 해당 이메일을 연 상태에서, 상단의 PC저장 버튼쪽을 보시면 원문보기 항목이 있습니다.

      그걸 선택하시면 헤더가 보이십니다.

  • 비밀댓글입니다

  • 궁금이 2017.05.04 17:12 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.
    친절한 설명과 내용 잘 보았습니다.

    그렇다면 벌새님의 이메일 주소가 아닌데 어떻게 다른 이메일 주소를 헤더에 담은 채로
    벌새님께 메일이 전달되는 걸까요?

    그게 궁금해지네요. 설명해 주실 수 있으신지요?

    pentasix@gmail.com