1. 사용자가 직접 입력하는 헤더

- 받는 사람, 제목, 참조, 숨은 참조등은 이메일을 보낼대마다 매번 바뀌는 항목이라서 매번 새롭게 입력해야 한다.

TO : 받는 사람 Cc : 참조 Bcc : 숨은 참조 Subject : 제목

2. 프로그램의 설정메뉴에서 입력해주는 헤더

- 사용하는 이메일 프로그램의 설정 메뉴에서 기록한 정보

- 자신의 이메일 주소와 이름, 소속, 답신 받을 주소

From : 메이주소 From : 이름 Reply-To : 답신 주소

3. 자동으로 붙는 헤더

- 사용하는 이메일 프로그램의 설정 메뉴에서 기록한 정보

- sendmail에서 이메일을 주고 받으며 붙인 헤더나 사용중인 메일 프로그램에서 붙인 헤더이다.

Received : from 보낸호스트 by 수신 호스트 이 부분이 바로  실제로 메일이 전송된 경로를 뜻하는 것이므로 가장 중요한 부분입니다. Received 라인이 여러줄 보일때도 있고 한번 보일때도 있는데 가장 아래쪽에 보이는 라인이 처음 메일을 발송한 곳이며 위로 올라갈수록 거쳐온 메일서버를 보여주게 됩니다. Return-Path : 만약 발송된 메일이 반송될 때 어떤 주소로 반송될 것인지 지정하는 것인데,대개 별도로 지정하지 않으면 발신자의 메일주소가 자동입력됩니다. 그러나 일부 스팸발송자의 경우 전혀 관계없는 메일 주소를 지정하여 선의의 피해자가 발생하는 경우가 있습니다. Reply-To: 수신자가 회신을 했을 때 누구에게 발송될 것인지 지정하는 것입니다. 대부분 별도로 지정하지 않으면 발신자의 메일주소가 자동입력됩니다.      From : 메일에서 볼 때 발신자의 메일 주소가 됩니다.  이 역시 위조하는 경우가 많아 신뢰할 수는 없습니다.  To: 메일의 수신자 메일주소입니다. 그러나 이 역시 충분히 위조가 가능하므로 본인이 수신한 메일에 다른 사람의 주소가 적혀 있어도 받지 말아야 할 메일을 받은 것은 아닙니다. 단지 그렇게만 보일 뿐 실제로는 고객님께 전송된 메일이 맞습니다.  Message-ID : 메일 서버에서 메시지를 외부로 보내며 붙이는 일련번호 Date : 보낸 시간 MIME 헤더 : 메일에 사용된 MIME Type을 표기 해주는 부분 MIME-Version, Content-Type, charset=”euc-kr”, Content-Transfer-Encoding 제 멋대로 붙인 헤더 : ‘X-’라는 문자열로 시작하는 헤더(clamav, spamassassin등)

메일 헤더( 메일헤더 + 메일본문)

From leekh@smileserv.com  Thu Dec 24 14:39:36 2009 Return-Path: <leekh@smileserv.com> Received: from smileserv.com ([115.68.62.104])         by mojily.com (8.14.1/8.13.8) with SMTP id nBO5daRN031541         for <mojily@chonnom.com>; Thu, 24 Dec 2009 14:39:36 +0900 Message-Id: <200912240539.nBO5daRN031541@mojily.com> Received: (qmail 7714 invoked SMILESERV by alias); 24 Dec 2009 14:39:49 +0900 Received: from unknown (HELO webmail.smileserv.com) (115.68.62.104)   by /etc/tcp.smtp.cdb with SMTP; 24 Dec 2009 14:39:49 +0900 Received: from client 218.236.115.201 for SMILE 1.01 (webmail client); Thu, 24 Dec 2009 14:39:49 +0900 Date: Thu, 24 Dec 2009 14:39:49 +0900 From: =?ks_c_5601-1987?B?wMyw5sf2?= <leekh@smileserv.com> To: mojily@chonnom.com Reply-to: Subject: =?ks_c_5601-1987?B?uN7Az8fstPUgutC8riDF1726xq7A1LTPtNkuLi4u?= X-Priority: 3 X-Mailer: SMILE 1.01 X-Original-IP: 218.236.115.201 Content-Type: text/html; charset="ks_c_5601-1987"; Content-Transfer-Encoding: 8bit X-MSMail-Priority: Medium Importance: Medium MIME-Version: 1.0 X-UID: 11504 Status: O <HTML> <BODY style="FONT-SIZE: 10pt; FONT-FAMILY: 굴림"><P>메일헤더 분석 테스트입니다....</P> <P>메일헤더 분석 테스트입니다....</P> <P>메일헤더 분석 테스트입니다....</P> <P>메일헤더 분석 테스트입니다....</P> <P>메일헤더 분석 테스트입니다....</P> <P>&nbsp;</P></BODY> </HTML><br><br><br>=========================================== <br> (주)스마일서브 보안관제팀 이경현<br> 02 - 1688 - 4879<br> ===========================================<br> <img  width=1 height=1 src="http://mailadmin.smileserv.com/mail/client/response/index.htm?mail_host=d2VibWFpbC5zbWlsZXNlcnYuY29t&host=c21pbGVzZXJ2LmNvbQ==&id=bGVla2g=&uid=1261633189_1&tomail=bW9qaWx5QGNob25ub20uY29t">

송수신 정보를 확인할 수 있다.

www.kisarbl.or.kr --> 메일서버를 구축하면 이메일 주소를 등록해야한다.


이메일 헤더는 메일 발송자의 위치에서 부터 시작하여 각 서버를 거쳐 최종적으로 수신자에게 오는 동안의 과정을 기록하고 있습니다. 일반적으로 이메일 헤더를 분석할 때에는 최종 수신자의 위치인 맨 하단에서 거꾸로 하나씩 올라가면서 역추적하는 방식을 사용할 수 있습니다.

마치 악성코드를 정적으로 분석할 때 역순으로 추적하는 방식과 유사하다고 할 수 있습니다.

위메일은...제 메일에서 메일로 보낸 정상적인 메일입니다....

아래는 불특정다수에게 뿌려진...스팸메일입니다.