Деанонимирующие заголовки электронной почты⁠⁠

В продолжение поста: Клац

Вводная информация

У нас группа компаний, которая используем методы налоговой оптимизации, которые не нравятся этой самой налоговой, ругается и говорит что мы «уходим от налогов». (Хотя, наверное, так и есть, но это не точно.)

Связь между компаниями не должна быть раскрыта, или должна быть минимизирована, для усложнения работы соответствующих органов.

Мы рассматриваем вариант с одним или несколькими серверами MS Exchange 2010-2016.

Векторы атаки

1. IP адрес сервера отправителя;

2. Одинаковая, при этом явно уникальная общая информация;

IP адрес сервера отправителя

Если компании никак друг с другом не связаны, а у них:

1. Один IP адрес на все почтовики;

2. Разные IP, но эти IP принадлежат компании ООО «СвойРучнойАрендатор» (так же аффилированной);

3. Компания из Рязани, а у неё почтовый сервер в Туле в офисе, оформленном на ООО «СвойРучнойАрендатор»;

4. и тд. и тп.

   Одинаковая, при этом явно уникальная общая информация

У разных фирм в заголовках прослеживается одна и та же информация, Имена серверов, соединители отправки и прочее;

Анализ деанинимирующих заголовков в служебных заголовках писем на почтовом сервере MS Exchange 2010-2016

Заголовки которые могут содержать критичную информацию:

1. Received: - Может содержать куски внутренней сети

2. Message-ID: <40A8605818F7B941BF349F872D6367402F25DE62@exch2010-03.nashafirma.local> - содержит внутренне имя сервера, если письма рассылаются от разным фирм, а почтовый сервер будет один, то это проблема;

3. References: - Так же как и Message-ID;

4. In-Reply-To: - Так же как и Message-ID;

5. x-originating-ip: [192.168.177.40] — IP адрес внутреннего сервера

6. boundary="_005_40A8605818F7B941BF349F872D6367402F25DE62exch201003nashafirma_" - Основывается на Message-ID, содержит куски внутренней информации, а конкретно содержит название соединителя отправки

Сырые заголовки для примера

Received: from mxfront10j.mail.yandex.net ([127.0.0.1]) by mxfront10j.mail.yandex.net with LMTP id r6OKlASK for <krevedko@yandex.ru>; Fri, 16 Mar 2018 11:33:57 +0300 Received: from mail.nashafirma74.ru (mail.nashafirma74.ru [111.222.333.444]) by mxfront10j.mail.yandex.net (nwsmtp/Yandex) with ESMTPS id l1u0lclLfs-Xnr8LRWw; Fri, 16 Mar 2018 11:33:49 +0300 (using TLSv1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits)) (Client certificate not present) Return-Path: kadrovik@nashafirma74.ru X-Yandex-Front: mxfront10j.mail.yandex.net X-Yandex-TimeMark: 1521189229 Authentication-Results: mxfront10j.mail.yandex.net; spf=pass (mxfront10j.mail.yandex.net: domain of nashafirma74.ru designates 111.222.333.444 as permitted sender, rule=[mx]) smtp.mail=kadrovik@nashafirma74.ru X-Yandex-Spam: 1 From: =?koi8-r?B?0J/RgNC40LLQtdGCINC00L7RgtC+0YjQvdGL0Lw6KQ== <kadrovik@nashafirma74.ru> To: "krevedko@yandex.ru" <krevedko@yandex.ru> Subject: =?koi8-r?B?Rlc6IOTPy9XNxc7U2Q==?= Thread-Topic: =?koi8-r?B?5M/L1c3FztTZ?= Thread-Index: AdO883AL+sQ9G0ZDRnaqgY69bUqFgQAAICWQAAAP1DAAAY1PcAABxZGQ Date: Fri, 16 Mar 2018 08:33:48 +0000 Message-ID: <40A8605818F7B941BF349F872D6367402F25DE62@exch2010-03.nashafirma.local> References: <C827F862A2B9084BBCEFB98C83D54FFF1057E755@exch2010-03.nashafirma.local> <3EDDCEF6E903FD479E01A465D3FDB5832F24F71E@exch2010-03.nashafirma.local> <C827F862A2B9084BBCEFB98C83D54FFF1057E787@exch2010-03.nashafirma.local> <3EDDCEF6E903FD479E01A465D3FDB5832F24F757@exch2010-03.nashafirma.local> In-Reply-To: <3EDDCEF6E903FD479E01A465D3FDB5832F24F757@exch2010-03.nashafirma.local> Accept-Language: ru-RU, en-US Content-Language: ru-RU X-MS-Has-Attach: yes X-MS-TNEF-Correlator: x-originating-ip: [192.168.17.40] Content-Type: multipart/mixed; boundary="_005_40A8605818F7B941BF349F872D6367402F25DE62exch201003nashafirma_" MIME-Version: 1.0 X-Yandex-Forward: 1133a587b81e8dddd3bf106ea3f15c9c --_005_40A8605818F7B941BF349F872D6367402F25DE62exch201003nashafirma_ Content-Type: multipart/alternative; boundary="_000_40A8605818F7B941BF349F872D6367402F25DE62exch201003nashafirma_" --_000_40A8605818F7B941BF349F872D6367402F25DE62exch201003nashafirma_ Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: quoted-printable