Mail Message-Id Fingerprinting - Identifikation von Mailclients

Mail Message-Id Fingerprinting

Identifikation von Mailclients

Marc Ruef
von Marc Ruef
Lesezeit: 4 Minuten

Mit dem browserrecon project wurde eine der ersten umfassenden Implementierungen entwickelt, die mittels Application Fingerprinting eine eingesetzte Client-Applikation – in diesem Fall Webbrowser – erkennen können soll. Wir sind um eine Weiterführung dieses Ansatzes bezüglich anderen Clients bemüht.

Zum Beispiel können SMTP-Header, jedenfalls einige davon, um den Mailclient des Absenders zu identifizieren. Im Rahmen dieses SMTP Client Fingerprinting haben wir mitunter statistische Analysen zur Charakterisierung der Message-Id eingesetzt. Diese Zeile wurde erstmals in RFC 724 – Proposed Official Standard for the Format of ARPA Network Messages erwähnt (Seite 24):

This field contains a unique identifier (the <phrase>) to refer to this version of this message. The uniqueness of the message identifier is guaranteed by each host. This identifier is intended to be machine readable, and not necessarily meaningful to humans. A message-id pertains to exactly one instantiation of a particular message; subsequent revisions to the message should receive new message-id’s.

Wie eine solche eindeutige Message-Id generiert wird, ist dem Client überlassen. Sodann verwundert es nicht, dass sich hier je nach Implementierung unterschiedliche Charakteristiken ausmachen lassen. Unsere Untersuchungen haben wir mit einem Skript realisiert, welches die lokalen Folder einer Thunderbird-Installation durchgeht und aus den Headern der jeweiligen Mails die Zeile “Message-Id” (und zur Querprüfung die Zeile “X-Mailer”) ausliest. Ein Auszug dieser Resultate mit Beispiel der jeweiligen Message-Id wird nachfolgend abgedruckt:

X-Mailer Message-Id Beispiel
Apple Mail (2.930.3) C3F438C6-4933-4278-BCD7-F312B0B61495@scip.ch
Envios v2 0760052487de1c642fc698de0b275cc6@localhost.localdomain
Evolution 2.26.1 7090211755.3455.3.camel@debian
Microsoft CDO for Exchange 2000 C62DB2D385DE4B188B6132B9E532E4E9@win2k
Microsoft Office Outlook 12.0 20090305195411.bpppyprqvpf@mx2.scip.ch
Microsoft Outlook Express 4.71.2173.0 01c9a3d3$d4c6e000$c0eba3cb@win2k
Microsoft Outlook Express 6.00.3790.2962 001901c9c330$f1ba1340$00867a04@winxp
Microsoft Outlook, Build 10.0.3416 01c9e16b$f4b4a700$e34136bc@winxp
StrongMail Enterprise 4.1.1.3(4.1.1.3-45945) 1223558430.67700@scip.ch
Sylpheed 2.5.0 (GTK+ 2.14.4; x86_64-pc-linux-gnu) 20090524132106.15f3597d.nospam@scip.ch
The Bat! (v2.00.3) Educational 544462874.86341121621327@scip.ch
The Bat! (v2.10.03) Personal 323791215.49725457349450@scip.ch
The Bat! (v3.5.25) Home 119264497.44041934669134@scip.ch
The Bat! (v3.99.3) UNREG 264252088.200903161213@scip.ch

Wir werden die kommenden Tage und Wochen um die strukturelle Analyse der Message-Ids bemüht sein, um die Grundlage für das effektive Application Fingerprinting schaffen zu können.

Update 18. Juli 2009: Das Vorstellen einer funktionalen Implementierung ist für Mitte September 2009 geplant.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Hochschulen, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

3D Printing

3D Printing

Marc Ruef

Contact Tracing App DP3T

Contact Tracing App DP3T

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv