Czego można się nauczyć z nagłówka wiadomości e-mail (metadanych)?

Reklama

Czy dostałeś kiedyś wiadomość e-mail i naprawdę zastanawiałeś się, skąd pochodzi? Kto to wysłał? Jak mogliby wiedzieć, kim jesteś? Zaskakujące jest to, że wiele z tych informacji może pochodzić z nagłówka wiadomości e-mail lub przy użyciu informacji z nagłówka wiadomości e-mail w celu wykonania pracy detektywistycznej.

Nagłówek jest częścią wiadomości e-mail, której większość ludzi nawet nie widzi. Zawiera wiele danych, które dla przeciętnego użytkownika komputera wydają się być pożerane, tak jak w przypadku korzystania z poczty e-mail stały się codziennym narzędziem w życiu każdego, klienci poczty e-mail zaczęli ukrywać te informacje poza wygodą dla Was. W dzisiejszych czasach odkrywanie nagłówka może być trochę kłopotliwe, nawet dla tych, którzy wiedzą, że on tam jest. Istnieje tak wiele różnych klientów poczty e-mail, zarówno stacjonarnych, jak i internetowych, że opisanie, jak odkryć nagłówek wiadomości e-mail, może być małą książką. Dzisiaj skupimy się na tym, jak odkryć nagłówek w Gmailu, a następnie przyjrzymy się temu, co możemy zebrać z nagłówka.

Co to jest nagłówek e-maila?

Nagłówek wiadomości e-mail to zbiór informacji dokumentujących ścieżkę, do której wiadomość e-mail dotarła do Ciebie. W nagłówku może znajdować się wiele informacji lub tylko podstawowe informacje. Istnieje standard określający, jakie informacje powinny zawierać nagłówek, ale tak naprawdę nie ma ograniczenia co do tego, jakie informacje serwer e-mail może umieścić w nagłówku. Jeśli jesteś ciekawy, jak wygląda standard protokołu e-mail, sprawdź RFC 5321 - Prosty protokół przesyłania poczty. To trochę trudne dla głowy, szczególnie jeśli nie musisz tego wiedzieć.

Gmail - Odkryj nagłówek e-maila

Po otwarciu wiadomości e-mail w Gmailu kliknij strzałkę skierowaną w dół w prawym górnym rogu wiadomości. Pojawi się nowe menu. Kliknij opcję Pokaż oryginał, aby wyświetlić nieprzetworzoną wiadomość e-mail z pełną zawartością i nagłówkiem.

Otworzy się nowe okno lub karta, a zobaczysz wersję tekstową wiadomości e-mail z nagłówkiem u góry, oczywiście. Treść nagłówka będzie wyglądać mniej więcej tak:

Dostarczono do: [email protected]. Otrzymano: do 10.223.200.70 z identyfikatorem SMTP ev6csp162209fab; Pon, 29 lipca 2013 14:15:09 -0700 (PDT) X-Received: do 10.236.227.202 z SMTP id d70mr27737943yhq.86.1375132508769; Pon, 29 lipca 2013 14:15:08 -0700 (PDT) Ścieżka powrotna:Otrzymano: od mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) autor: mx.google.com z identyfikatorem ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. dla(wersja = szyfr TLSv1 = bity RC4-SHA = 128/128); Pon, 29 lipca 2013 14:15:08 -0700 (PDT) Odebrano-SPF: neutralny (google.com: 205.206.208.34 nie jest ani dozwolony, ani odrzucony przez najlepszy rekord zgadywania dla domeny [email protected]) client-ip = 205.206.208.34; Wyniki uwierzytelnienia: mx.google.com; spf = neutralny (google.com: 205.206.208.34 nie jest ani dozwolony, ani odrzucony przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtrowany: prawda. X-IronPort Anti-Spam-wynikowe: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = „4,89,772,1367992800”; d = "jpg'145? skanowanie'145,208,217,145"; a = "14712973" Otrzymano: od nieznanego (HELO mail.exchange.telus.com) ([205.206.210.187]) autor: mx21.exchange.telus.com z ESMTP / TLS / AES128-SHA; 29 lipca 2013 15:15:07 -0600. Otrzymano: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) przez. HEXHUB13.hostedmsx.local ([:: 1]) z mapi; Pon, 29 lipca 2013 15:13:48 -0600. Od: Guy McDowell
Do: „[email protected]” Data: pon., 29 lipca 2013 15:15:03 -0600. Temat: Co to jest nagłówek wiadomości e-mail? Temat wątku: Co to jest nagłówek wiadomości e-mail? Indeks wątku: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Identyfikator wiadomości: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: en-US. Content-Language: en-US. X-MS-Has-Attach: tak. X-MS-TNEF-Korelator: acceptlanguage: en-US. Content-Type: multipart / related; granica = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; typ = „wieloczęściowy / alternatywny” Wersja MIME: 1.0

To miłe. Co to znaczy?

Jak tworzony jest nagłówek e-maila?

Wiedząc, jak nagłówek jest tworzony wzdłuż ścieżki, którą podróżuje wiadomość e-mail, zyskasz głębszy wgląd w to, co oznaczają dane nagłówka. Przyjrzyjmy się dodanym częściom i ich najważniejszym znaczeniom.

Na komputerze nadawcy

Część nagłówka jest tworzona, gdy nadawca tworzy wiadomość e-mail do wysłania do odbiorcy. Obejmuje to takie informacje, jak data utworzenia wiadomości e-mail, kto ją skomponował, temat i do kogo wiadomość e-mail jest wysyłana. Jest to część nagłówka, którą najlepiej znasz jako linie Data:, Od:, Do: i Temat: u góry wiadomości e-mail.

Od: Guy McDowell
Do: „[email protected]”
Data: pon., 29 lipca 2013 15:15:03 -0600
Temat: Co to jest nagłówek e-maila?

W usłudze e-mail nadawcy

Więcej informacji jest dodawanych do nagłówka po faktycznym wysłaniu wiadomości e-mail. Zapewnia to usługa e-mail, z której korzysta nadawca. W takim przypadku nadawca korzysta z hostowanej usługi e-mail, więc pokazany adres IP jest adresem wewnętrznym dla sieci usługodawcy. Przeprowadzenie na nim wyszukiwania WHOIS nie dostarczy żadnych użytecznych informacji. Co możemy zrobić, to wyszukać w Google nazwę serwera HEXMBVS12.hostedmsx.local i możemy stwierdzić, że usługodawcą jest Telus. Jeśli trochę przekopiemy się na stronie Telus, przekonamy się, że oferują one hostowaną usługę Microsoft Exchange. Sugeruje to, że nadawca prawdopodobnie korzysta z Microsoft Outlook, Outlook Express lub Outlook Web Access. Dodane tutaj informacje obejmują adres IP nadawcy ([10.9.6.115]), czas wysłany e-mailem nadawcy usługa (pon., 29 lipca 2013 15:13:48 -0600) oraz identyfikator wiadomości dla tej konkretnej wiadomości dodany przez e-mail usługa.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Otrzymano: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) przez HEXHUB13.hostedmsx.local ([:: 1]) z mapi; Pon, 29 lipca 2013 15:13:48 -0600. Identyfikator wiadomości: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Po drodze do usługi e-mail odbiorcy

Stamtąd e-mail może zająć dowolną liczbę tras, aby dotrzeć do usługi e-mail odbiorcy. Można go dodać do nagłówka, aby pokazać „przeskok”, jaki musiał wykonać e-mail, aby do Ciebie dotrzeć. Te przeskoki zaczynają się na serwerze, który ostatnio obsługiwał wiadomość e-mail, i wracają do serwera, który pierwotnie ją obsługiwał, w odwrotnej kolejności chronologicznej. W tym przykładzie wszystkie przeskoki są wewnętrzne w usłudze e-mail nadawcy.

Trzeci i ostatni skok

Otrzymano: od mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) autor: mx.google.com z identyfikatorem ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. dla(wersja = szyfr TLSv1 = bity RC4-SHA = 128/128); Pon, 29 lipca 2013 14:15:08 -0700 (PDT) Odebrano-SPF: neutralny (google.com: 205.206.208.34 nie jest ani dozwolony, ani odrzucony przez najlepszy rekord zgadywania dla domeny [email protected]) client-ip = 205.206.208.34; Wyniki uwierzytelnienia: mx.google.com; spf = neutralny (google.com: 205.206.208.34 nie jest ani dozwolony, ani odrzucony przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtrowany: prawda. X-IronPort Anti-Spam-wynikowe: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = „4,89,772,1367992800”; d = "jpg'145? skanowanie'145,208,217,145"; a = "14712973"

Wyjaśnienie trzeciego chmielu
Jest to przeskok, który przenosi go z Telus na serwer e-mail odbiorców. Możemy stwierdzić, że została odebrana przez mx.google.com, więc odbiorca ma swoją usługę e-mail w Google. Tutaj dobrze jest zanotować linię Otrzymano SPF: SPF lub Sender Policy Framework to standard, według którego serwer e-mail nadawcy może ogłosić się jako legalny nadawca wiadomości e-mail. W tym przypadku kwalifikatorem jest neutralny, co oznacza, że ​​nic nie można powiedzieć o ważności tego e-maila, dobrego lub złego. Czy został zarejestrowany jako zawieść, zostałby odrzucony przez serwery Gmaila. Gdyby tak było softfailGmail zaakceptowałby go, ale oznaczył go jako prawdopodobnie nie pochodzący od tego, z którego pochodzi.

Tuż poniżej zobaczysz trzy linie zaczynające się od X-IronPort-Anti-Spam. Pierwszy, X-IronPort-Anti-Spam-Filtrowany: prawdajest obsługiwany przez urządzenie antyspamowe Telus IronPort. IronPort jest częścią Cisco, więc jest uważany za dość niezawodny. The X-IronPort-Anti-Spam-Result linia jest przeznaczona wyłącznie dla urządzeń IronPort i nie może być dekodowana dla ludzkich oczu - chyba że pracujesz dla Cisco i nie musisz jej dekodować. Trzeci, X-IronPort-AV, pokazuje, że nadawca ma własne urządzenie antyspamowe od Sophos. Może czytać McAfee lub Norton lub inny filtr, przez który przechodzi Twój e-mail. Jako odbiorca może to dać ci większą pewność, że e-mail jest prawidłowy.

Drugi skok

Otrzymano: od nieznanego (HELO mail.exchange.telus.com) ([205.206.210.187])
autor: mx21.exchange.telus.com z ESMTP / TLS / AES128-SHA; 29 lipca 2013 15:15:07 -0600

Wyjaśnienie drugiego skoku
Staje się tutaj oczywiste, że Telus jest usługodawcą. W razie wątpliwości należy wykonać kontrolę WHOIS na podanym adresie IP: 205.206.210.187. Przekonasz się, że adres IP prowadzi również do Telus. To daje ci nieco większą pewność, że e-mail jest zgodny z prawem. Możemy także powiedzieć, że przejście z pierwszego przeskoku do drugiego przeskoku zajęło nieco ponad minutę. To niewiele nam mówi, chyba że jesteś inżynierem sieci. Teoretycznie można obliczyć przybliżone odległości między dwoma serwerami.

First Hop

Otrzymano: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) przez
HEXHUB13.hostedmsx.local ([:: 1]) z mapi; Pon, 29 lipca 2013 15:13:48 -0600

Wyjaśnienie pierwszego skoku
Pierwszy przeskok to serwer e-mail nadawcy, który otrzymuje jego wiadomość e-mail. W tym momencie wiadomość e-mail wciąż przesuwa się wewnętrznie w sieci serwera poczty e-mail nadawcy. Możesz stwierdzić po tym, że adres IP zaczyna się od 10. Adres IP zaczynający się od 10 jest zarezerwowany wyłącznie do użytku wewnętrznego.

Na serwerze e-mail odbiorcy

Dostarczono do: [email protected]
Otrzymano: do 10.223.200.70 z identyfikatorem SMTP ev6csp162209fab;
Pon, 29 lipca 2013 14:15:09 -0700 (PDT)
X-Received: do 10.236.227.202 z SMTP id d70mr27737943yhq.86.1375132508769;
Pon, 29 lipca 2013 14:15:08 -0700 (PDT)
Ścieżka powrotna:

Gdy dotrze do usługi e-mail odbiorcy, do nagłówka dodawane są dodatkowe informacje - które serwery usług e-mail odbiorcy otrzymały i kiedy, z jakiego serwera e-mailowego otrzymano wiadomość, adres e-mail zamierzonego odbiorcy oraz e-mail nadawcy adres. w trzecim przeskoku zauważyliśmy, że usługa e-mail odbiorcy była obsługiwana przez Google. Możemy stwierdzić, że ten e-mail został odebrany przez jeden serwer wewnętrzny i przekazany na inny - od 10.236.227.202 do 10.223.200.70. Co najważniejsze, możemy powiedzieć Ścieżka powrotna: e-mail, na który należy odpowiedzieć, i e-mail nadawcy są takie same. To także mówi nam, że istnieje duża szansa, że ​​ten e-mail jest legalny.

Inne rzeczy z innych nagłówków

Ten konkretny nagłówek e-maila ma ograniczone informacje, ponieważ używana jest hostowana usługa e-mail. Jeśli nadawca używałby własnego serwera e-mail, moglibyśmy uzyskać nieco więcej informacji. Możemy być w stanie dokładnie określić, jakiego klienta pocztowego używają. Lub możemy wykonać WHOIS na adresie IP nadawcy i uzyskać przybliżoną lokalizację nadawcy. Możemy również przeprowadzić proste wyszukiwanie w domenie nadawcy i sprawdzić, czy jest dla nich strona internetowa. Na podstawie tej witryny możemy być w stanie uzyskać jeszcze więcej informacji o nadawcy. Możesz przeprowadzić wyszukiwanie w sieci na samym adresie e-mail i rozpocząć wysyłanie wiadomości do osoby. Jeśli nie znasz pojęcia „doxowania”, zapoznaj się z Joelem Lee Co to jest Doxing i jak wpływa na twoją prywatność? Co to jest Doxing i jak wpływa na twoją prywatność? [MakeUseOf wyjaśnia]Prywatność w Internecie to wielka sprawa. Jednym z wymienionych atutów Internetu jest to, że możesz pozostać anonimowy za monitorem podczas przeglądania, czatowania i robienia czegokolwiek, co robisz ... Czytaj więcej Przeczytaj również artykuł Ryana Dube'a, 15 stron internetowych do wyszukiwania osób w Internecie 13 stron internetowych do wyszukiwania osób w InternecieSzukasz zagubionych przyjaciół? Dziś wyszukiwanie osób w Internecie jest łatwiejsze niż kiedykolwiek wcześniej. Czytaj więcej .

Odejdź

Cała komunikacja elektroniczna pozostawia ślady. Niektóre są większe i łatwiejsze do naśladowania. Niektóre są zaciemnione przez filtry sieciowe i serwery proxy. Tak czy inaczej, to, co pozostaje, mówi nam coś o osobie, która je stworzyła. Na podstawie tych metadanych możemy przeprowadzić dalsze dochodzenia, aby dowiedzieć się więcej na temat zaangażowanych osób. Czy coś ukrywają za pomocą VPN? Czy naprawdę pochodzą z legalnej firmy z legalną obecnością w sieci? Czy to ktoś, z kim naprawdę chcę iść na randkę? Czego zwykli ludzie mogą się o mnie dowiedzieć, a co dopiero NSA?

Spójrz na nagłówki e-maili i zobacz, co mówią o tobie. Jeśli znajdziesz jakieś wiersze nagłówka, które nie mają większego sensu, umieść je w komentarzach, a my postaramy się je odkodować. Czy musiałeś sprawdzić nagłówek wiadomości e-mail? Opowiedz nam o tym! Tak wszyscy się uczymy.

Źródło zdjęcia: Serwerownia od torkildr przez Flickr.