E-Posta'nın Nereden Gönderildiğini Açık Adres Olarak Öğrenme

Edros Detretus

Kıdemli Üye
25 Haz 2009
2,426
0
/var/named
CdPSa8.png


Merhabalar TurkHackTeam mensupları;

Bu konumda sizler ile size ulaşan e-postaların hangi sağlayacılar üzerinden gönderildiğini ve bu sağlayıcıların açık adreslerine ve Google Maps üzerinden konum bilgilerine nasıl ulaşacağımızı elimden geldiğince anlatmaya çalışacağım. Öncelikle e-posta gönderiminin mantığından biraz bahsedersek konu daha anlaşılır olacaktır.


GeB2yR.png

E-POSTA İLETİŞİMİNİN MANTIĞI

CdocSQ.png


E-postaların çok büyük çoğunluğu bir sağlayıcının sistemi üzerinden oluşturulduktan sonra tekrardan başka bir sağlayıcıya iletilir. Bu iletim sırasında Gmail, Yahoo gibi büyük server ağlarına sahip iletişim ağları çok sık olarak kullanılmaktadır. Mantık oldukça basittir; e-postayı göndermek isteyen taraf gönderici olarak bu işlemi başlatır, -bazı kurumlarda, kuruluşlarda veya işletmelerde bu e-postalar bir yedek alınması ve toplanması açısından önce bir depo kaynağa yönlendirilir- işlem alıcıya ulaşmadan önce alıcının kullandığı e-posta ağı(Gmail, Yahoo, Hotmail vs.) tarafından iletimin sağlıklı olması açısından bir kontrol işlemine tabi tutulur ve sonrasında da e-posta alıcıya ulaştırılır. E-postaların da tasarımlar, içerikleri ve faaliyetleri bir kodlama ürünüdür yani bir kod kaynakları bulunur. İşte bu konuda biz bu kod kaynağından bilgileri topladıktan sonra elimizdeki verilerin analizini yapmaya çalışacağız.


GeB2yR.png


E-POSTA KAYNAK KODUNA ULAŞMA VE VERİ ANALİZİ

Bize ulaşan e-posta kaynak kodlarına ulaşmak için öncelikle e-postamızı açıyoruz ve sağ köşede bulununa üç nokta tıklıyoruz.

CdEjkM.png


"Orjinalini Göster" seçeneği ile e-postanın kaynak kodlarına ulaşalım.

CdRZtH.png


Buradaki kaynak kodu sayfanın en aşağısından yukarıya doğru incelenmelidir. En aşağıda e-postanın tasarım kodları açık bir şekilde veya base64 ile şifrelenmiş olarak gösterilmektedir. Yukarıya doğru ilerlendiğinde iletici ve alıcıyla ilgili çeşitli bilgiler, kullanılan toplu e-posta uygulamalarına ait bilgiler ile dolu bir sayfa karşımıza çıkmaya devam edecektir. Detaylı incelemeleriniz ile buralardan çeşitli bilgiler elde edilebilir. Şimdi biz Ctrl+F ile arama işlemimizi başlatalım "Received" aramamızı yapalım. Buradan bize e-postayı gönderen sistemin ip adresine ve kullanıyor ise çoklu dağıtım sisteminin domain bilgisine ulaşabiliriz. Yalnız burada unutulmamalıdır ki sayfanın en aşağısından yaptığımız taramada ilk çıkan sonuçlar bize göndereni işaret etmektedir. Yukarıda bahsettiğim gibi daha ileri gönderimle alıcının kullandığı posta ağlarının kontrolü açısından farklı yerlere yönlendirmeleri içerebilmektedir. Şimdi bulduğumuz kod satırlarını biraz daha inceleyelim;

CdVqBs.png


Görüldüğü üzere from kısmından bize e-postayı ulaştıran sistemin bilgisi ve parantez içerisinde de ait olan IP numarası gösterilmektedir.
"by mx.google.com" ile Google tarafından bir ID ile kayıt altına alınıp iletimin yapıldığından bahsedilmektedir.
"for" bölümünde e-posta'nın iletileceği adres belirtilmektedir. (Ayrıca iletim için kullanılan sistemin versiyon özellikleri de belirtilir.)
Son olarak da e-postanın iletim tarihi gün/ay/yıl saat/dakika/saniye şeklinde kayıt edilmiştir.


GeB2yR.png

KONUM BELİRLEME

Belirtmek isterim ki bu işlemi KaliLinux 2020.2 aracılığı ile gerçekleştirmekteyim.

Kullanacağımız aracı ediniyoruz ki ben sizler için konunun altında bir upload sitesine daha yükleyip paylaşacağım.


-

- Masaüstüne geçiş yapıyoruz.
Kod:
cd /Masaüstü
CdJfdy.png


- Aracı .rar dosyasından çıkarıyoruz.
Kod:
unzip IPGeoLoc4tion-master.zip
(4'ü silip a yapınız, formumuzda bahsi geçen kelime sansürleniyor.)
CdQPC8.png


- Dosyamızın içerisine geçişi sağlıyoruz.
Kod:
cd IPGeoLoc4tion-master/
CdJ7vh.png


- Aracımıza gerekli yetkiyi veriyoruz.
Kod:
chmod +x ipgeloc4tion.py
CdJ0TM.png


- Gerekli malzemeleri yüklemesi adına sisteme komut veriyoruz. Bende önceden yüklü olduğu için aşağıdaki gibi bu durumu belirtti fakat sizde yüklenmesi birkaç dakika sürebilir, bekleyiniz.
Kod:
pip install -r requirements.txt

Eğer ki bu basamakta hata alırsanız büyük ihtimalle pip sizlerde mevcut değildir. Hemen onun yüklemesini yapalım.
Kod:
apt-get install python3-setuptools
CdQksj.png


- Yaptığımız e-posta kaynak kodu incelemesi sonucu elde ettiğimiz IP adresini araca tanıtarak aracımızın işleme başlamasını sağlıyoruz.
Kod:
./ipgeloc4tion.py -t ELDE EDİLEN IP ADRESİ
CdQRVU.png


- Görüldüğü üzere konum bilgileri ayrıntılı bir şekilde ekrana yazdırıldı. :)
CdQoFo.png


GeB2yR.png


!! ÖNEMLİ !!

CdyDmM.png


Kelimesi forumumuz tarafından sansürlenmektedir. İşlemin ilk basamağında belirtmeme rağmen tekrardan açıklamakta fayda gördüm. Bu sansürleme nedeniyle kodlarda kelime içerisinde bulunan bir a harfi 4 rakamı ile değiştirilmiştir. Kodları çalıştırmadan önce 4 rakamını a harfi ile değiştirmeyi unutmayınız.

GeB2yR.png


GEREKLİ DOSYALAR

İndirme Linki : TIKLA

Alternatif İndirme Linki : TIKLA

VirüsTotal : TIKLA

Umarım yararlı olmuştur; herkese sağlıklı ve mutlu günler diliyorum. :)


TurkHackTeam.Net/Org
CwX2sp.png

Saygılarımla...:Smiley1007:
 
Son düzenleme:

RicoDiaZ

Uzman üye
8 Eyl 2016
1,003
0
eline emeğine sağlık, forumlarda böyle kaliteli konular göreli uzun zaman olmuştu.
 
Son düzenleme:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.