Bir e-posta aldığında, gördüğün şey sadece konu ve içerik değildir. Perdenin arkasında, satır satır seni izleyen bir başlık alanı vardır. Bu başlık, yani header, gönderenin kim olduğunu, nereden gönderildiğini, hangi sunuculardan geçtiğini sana fısıldar. Ama bu fısıltıyı dinlerken… bazıları bağırmaya başlar. Çünkü sahte bir göndericinin sesi, gerçeğe benzeyebilir.
Header analizi, siber güvenliğin temel taşlarından biridir. Ama onunla oynamak… başka bir şeydir. Ve bu iki yol, aynı araçlarla farklı sonuçlara gider.
Email Header Nedir ve Ne İşe Yarar?
Bir e-posta gönderildiğinde, onunla birlikte bazı meta veriler de taşınır. Bunlar arasında şunlar yer alır:
- Gönderen IP adresi
- SMTP geçiş noktaları (Received from)
- Gönderim tarihi ve saat bilgileri
- Return-Path ve Reply-To adresleri
- DKIM, SPF, DMARC doğrulama sonuçları
Bu veriler analiz edilerek, sahte gönderimler tespit edilir. Dolandırıcılık, kimlik sahteciliği, oltalama gibi saldırılar bu bilgilerle ortaya çıkarılır. Ama işte bu yüzden, aynı araçlar saldırganlar tarafından da kullanılır.
Bir Şirketin Mailini Taklit Etmek Neden Ciddi Bir Hatadır?
Email header’ı üzerinde çalışırken, bazı kişiler deneysel olarak kendilerine şu adreslerden mail gönderir:
- support@bankax.com
- security@xyzholding.com
- info@devletkurumu.gov.tr
Ama burada bir sorun vardır: Sen bu domainlerin sahibi değilsin. Ve o anda sadece mail göndermemiş olursun. Aynı zamanda dijital olarak sahte bir kimliği canlandırmış olursun. Bu yalnızca etik dışı değil, bazı ülkelerde doğrudan cezai yaptırıma tabidir.
SPF, DKIM ve DMARC Neden Vardır?
Bu teknolojiler, gelen e-postaların kimlik doğrulamasını yapar:
- SPF: Hangi IP adreslerinin o domain adına mail göndermeye yetkili olduğunu belirtir.
- DKIM: Mail içeriğinin değişmediğini dijital imzayla kanıtlar.
- DMARC: SPF ve DKIM başarısız olursa ne yapılması gerektiğini tanımlar.
Eğer bir e-posta bu protokolleri geçemezse, spam olarak işaretlenir ya da tamamen reddedilir. Ama bazı küçük kuruluşlar veya hatalı yapılandırılmış sistemlerde bu kontroller eksik olabilir. Ve işte bu boşluk, kötüye kullanıma açıktır. Ama sen o boşluğu kullandığında artık analiz yapmıyorsun. Sınırı geçmiş oluyorsun.
Header Analizi Eğitim İçin Nasıl Yapılır?
Gerçek örnekleri analiz etmek istiyorsan:
- Kendi mail adresinden sana gelen mailleri incele
- Spam klasöründeki e-postaların header verilerini karşılaştır
- Gmail, Outlook gibi platformların "orijinal mesaj" görünümünü kullan
- Oluşturduğun test domainlerinden gelen e-postaları analiz et
Yani taklit etmek yerine, gözlemle. Sahte göndermek yerine, yapay örnekle çalış. Çünkü eğitim, sınırda durarak öğrenilir. Ama ihlalle birlikte öğrenilen şeyin adı artık eğitim değildir.
Gerçek Hikâye: "Sadece Denedim" Diyen Ama Yine de Yargılananlar
Bir yazılım öğrencisi, header sahteciliğini test etmek için büyük bir bankanın mail adresini From alanına yazdı. Kendi sunucusundan, kendine gönderdi. Ama SPF kontrolü yapılmayan bir aracı sunucu üzerinden iletildiği için, mail alıcıya ulaştı. Bankanın güvenlik sistemi bu sahte adresi tespit etti. IP adresi loglandı. Sunucu kiralama bilgileriyle kullanıcıya ulaşıldı. Ve öğrenci, resmi açıklamaları iletmesine rağmen, kimlik sahteciliğinden ceza aldı. Çünkü gönderdiği adres ona ait değildi. Ve o adres, bir kurumun dijital imzasıydı.
Etik Sınır Basit Değildir: Niyetin Temizse Bile Yöntemin Temiz Olmalı
Analiz etmek, anlamak için yapılır. Ama bir şeyi anlamaya çalışırken onun kılığına girmek, sahneye çıkmaktır. Ve dijital sahne, log tutar. Yani senin kostümün görülür.
Teknik Bilgi Güçtür, Ama Güç Her Yerde Kullanılmaz
Email header analizi bir beceridir. Ama bu beceriyle şirket maili taklit etmek, kendini yakmaktır. Çünkü teknoloji seni suçlu yapmaz, ama ne yaptığını çok net hatırlar.
O yüzden bir header satırına bakarken şunu da sor: Bu bilgi seni büyütüyor mu, yoksa seni tehlikeye mi götürüyor? Çünkü sınırı ihlal edenin adı artık güvenlik uzmanı değil, dijital sahtekârdır.