ICT보안실무_Mail Protocol

## Mail Protocol ##

 

- Mail Protocol은 크게 ‘ 전송 Protocol(SMTP)’과

 ‘수신 Protocol(POP3, IMAP)’를 구분된다.

 

[1. SMTP(Simple Mail Transfer Protocol)]

-> 메일 전송 Protocol로 Client가 자신의 Mail 서버

     에게 전송하거나, Mail 서버가 다른 조직의 Mail

     서버로 전송하는 경우에 사용된다.

-> TCP 포트 25번(Default) 혹은 587번 사용

-> RFC 821으로 정의되어 있다. (RFC 2821로 개정)

-> 실제 SMTP가 전송할 수 있는 Mail Format(규격)은

     RFC 822으로 표준화되어 있다. (RFC 2822로 개정)

     이유는? 다양한 System, OS 환경에서 Mail 서비스가

     사용되기 때문에 표준화 된 Format이 필요하다.

 

** RFC 822 **

 

1) 실제 이메일이 전송할 수 있는 것은 Mail의 ASCII

  코드만 가능하다.

2) 한줄은 1000자로 제한되어 있고, 모든 줄의 마지막은

    CR LF라는 줄바꿈 문자가 생략되어 있기 때문에 998

    자 제한으로 볼 수 있다.

3) 대부분의 메일 작성 터미널은 한줄에 최대 80자까지

   지원되기 때문에 실제로 CR LF를 제외한 78자가

   지원된다.

4) 때문에 실제 첨부 파일을 전송하기 위해서는 해당

   파일을 7bit의 ASCII형태로 인코딩해야 하고, 수신

   측에서는 다시 디코딩을 수행해야 원본 파일을 확인

   할 수 있다. 이러한 기능을 지원하기 위한 것이

   ‘MIME’ 이다.

 

-> 인코딩된 코드를 디코더를 하고 나서 jpg로 파일을 바꾸어주면

    사진이 원상복귀 된다.

 

디코더 사이트 -> http://www.motobit.com/util/base64-decoder-encoder.asp

google->file signature(디코더 참조표)

 

 

 

 

 

 

 

 

 

## Anne의 파일 복원 ##

->http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim

Here is your evidence file: (이거 다운!)

 

 

 

-> 다운받은 Anne파일을 열고 converstions로 들어가 TCP7을 선택

    [192.168.1.158] 아이피를 찾는다.

 

 

 

 

 

-> 찾은 아이피를 Apply as filter-> Selected-> A<->B

    양방향 필터를 걸어준다.

 

 

-> Anne와이어 샤크를 열어보게 되면 양방향 필터된 상태로

   샤크가 열려지고 [192.168.1.158]의 TCP 패킷을 TCP Stream

   으로 열어 Row-> 저장 한다.

-> [HxD.exe]핵사코드 실행기를 열어 Row로 저장했던 파일을 열면      

   핵사코드가 나온다 이 코드에서 50 4B를 찾아 시그니처 사이트에서

   참조표를 확인해 파일의 종류를 알아낸다.

   -> http://www.garykessler.net/library/file_sigs.html

 

    그 후 참조표에서 확인된 코드만 남겨두고 전부 지워준다음

    저장 할때 ~.docx로 저장하면 다음과 같이 확인이 가능하다.

 

 

 

 

 

 

https://gns3vault.com/network-services/proxy-arp/