Što možete naučiti od zaglavlja e-pošte (metapodaci)?

Oglas

Jeste li ikad dobili e-poštu i stvarno se pitali odakle dolazi? Tko ga je poslao? Kako su mogli znati tko ste? Začudo, puno tih podataka može biti iz zaglavlja e-pošte ili korištenjem informacija iz zaglavlja e-pošte za obavljanje nekih detektivskih poslova.

Zaglavlje je dio poruke e-pošte koju većina ljudi nikad ne vidi. Sadrži puno podataka koji prosječnom korisniku računala izgledaju poput gobbledygook-a, kao i upotreba e-pošte postao svakodnevni alat u životu svih, klijenti e-pošte počeli su skrivati ​​te podatke zbog praktičnosti za tebe. Ovih je dana čak i malo problematično otkriti zaglavlje, čak i onima koji znaju da je tamo. Postoji toliko mnogo različitih klijenata e-pošte, i na radnoj i na web stranici da bi se otkrilo kako se može sakriti zaglavlje e-pošte kao mala knjiga. Danas ćemo se samo fokusirati na to kako otkriti zaglavlje u Gmailu, a zatim pogledati što sve možemo vidjeti iz zaglavlja.

Što je zaglavlje e-pošte?

Zaglavlje e-pošte skup je informacija koje dokumentiraju put kojim je e-pošta stigla do vas. U zaglavlju se može naći mnogo informacija ili samo osnova. Postoji standard za informacije koje bi trebale biti uključene u zaglavlje, ali zapravo nije ograničenje za one podatke koje e-poslužitelj može staviti u zaglavlje. Ako vas zanima kako izgleda standard za protokol e-pošte, pogledajte

RFC 5321 - Protokol jednostavnog prijenosa pošte. Malo je teško na glavi, posebno ako ne morate znati ove stvari.

Gmail - Otkrivanje zaglavlja e-pošte

Nakon što otvorite poruku e-pošte u Gmailu, kliknite strelicu okrenutu prema dolje u gornjem desnom kutu poruke. Prikazat će se novi izbornik. Kliknite Prikaži original da biste vidjeli neobrađenu poruku e-pošte s cijelim sadržajem i zaglavljem.

Otvorit će se novi prozor ili kartica i vidjet ćete običnu tekstualnu verziju e-pošte s zaglavljem na vrhu, naravno. Sadržaj zaglavlja izgledat će otprilike ovako:

Isporučeno do: [email protected]. Primljeno: do 10.223.200.70 sa SMTP id ev6csp162209fab; Pon, 29. srpnja 2013. 14:15:09 -0700 (PDT) X-Primljeno: do 10.236.227.202 sa SMTP id d70mr27737943yhq.86.1375132508769; Pon, 29. srpnja 2013. 14:15:08 -0700 (PDT) Povratni put:Primljeno: s mx21.exchange.telus.com (MX21.exchange.telus.com). [205.206.208.34]) autor mx.google.com s ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. za(verzija = TLSv1 šifra = RC4-SHA bitovi = 128/128); Pon, 29. srpnja 2013. 14:15:08 -0700 (PDT) Primljeno-SPF: neutralno (google.com: 205.206.208.34 nije dopušteno niti demantirano zapisom najboljeg pretpostavki za domenu [email protected]) client-ip = 205.206.208.34; Rezultati provjere autentičnosti: mx.google.com; spf = neutralno (google.com: 205.206.208.34 nije dopušteno niti zanijekati zapis o najboljim pretpostavkama za domenu [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtrirano: istina. X-IronPort-Anti-Spam-rezultata: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; D = "? jpg'145 scan'145,208,217,145", a = "14.712.973" Primljeno: od nepoznatog (HELO mail.exchange.telus.com) ([205.206.210.187]) putem mx21.exchange.telus.com s ESMTP / TLS / AES128-SHA; 29. srpnja 2013. 15:15:07 -0600. Primljeno: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) od. HEXHUB13.hostedmsx.local ([:: 1]) s mapama; Pon, 29. srpnja 2013. 15:13:48 -0600. Od: Guy McDowell
Za: "[email protected]" Datum: pon, 29. srpnja 2013. 15:15:03 -0600. Predmet: Što je zaglavlje e-pošte? Tema teme: Što je zaglavlje e-pošte? Indeks navoja: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == ID poruke: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Jezik prihvaćanja: hr-US. Jezik sadržaja: hr-US. X-MS-ima u prilogu: da. X-MS-TNEF-Korelator: prihvatni jezik: hr-US. Vrsta sadržaja: višeslojna / povezana; Granica = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternative" MIME-verzija: 1.0

To je lijepo. Što to znači?

Kako se stvara zaglavlje e-pošte?

Znajući kako se zaglavlje stvara na putu kojim e-pošta putuje, razvit ćete važniji uvid u to što znače podaci zaglavlja. Pogledajmo dijelove kako se dodaju i što najvažniji dijelovi znače.

Na računalu pošiljatelja

Dio zaglavlja stvara se kada pošiljatelj stvori e-poštu koju će poslati primatelju. To će uključivati ​​takve podatke o tome kada je sastavljen e-mail, tko ga je sastavio, naslov i kome se e-poruka šalje. Ovo je dio zaglavlja koje vam je najviše poznato kao retke Datum:, Od:,:: i Predmet: na vrhu e-pošte.

Od: Guy McDowell
Za: „[email protected]“
Datum: pon, 29. srpnja 2013. 15:15:03 -0600
Predmet: Što je zaglavlje e-pošte?

Na pošiljateljevu uslugu e-pošte

Više informacija dodaje se zaglavlju nakon što je e-pošta zapravo poslana. To pruža usluga e-pošte koju pošiljalac koristi. U tom se slučaju pošiljatelj koristi uslugom e-pošte s hostom, pa je prikazana IP adresa adresa koja je interna mreža pružatelja usluga. Izvođenje WHOIS pretraživanja na njemu neće pružiti nikakve korisne informacije. Ono što možemo učiniti je izvršiti Google pretraživanje na imenu poslužitelja HEXMBVS12.hostedmsx.local i možemo utvrditi da je pružatelj usluga Telus. Ako neko kopamo po web mjestu Telus, ustanovit ćemo da nude uslugu Microsoft Exchange s hostom. To upućuje na to da pošiljatelj vjerojatno koristi Microsoft Outlook, Outlook Express ili Outlook Web Access. Ovdje dodane informacije uključuju, IP adresu pošiljatelja ([10.9.6.115]), vrijeme koje je poslao pošiljateljev e-mail usluga (pon, 29. srpnja 2013. 15:13:48 –0600.) i ID poruke za tu određenu poruku kako je dodan u e-poruci servis.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Primljeno: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) od HEXHUB13.hostedmsx.local ([:: 1]) s mapom; Pon, 29. srpnja 2013. 15:13:48 -0600. ID poruke: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Na putu do usluge primatelja e-pošte

Odatle e-pošta može potrajati bilo koji broj ruta do krajnje adrese primatelja e-pošte. To se može dodati u zaglavlje kako bi se prikazali "hopovi" koje je e-mail morao napraviti da bi došao do vas. Ovi hopovi započinju na poslužitelju koji je nedavno slao e-poštu i vraćaju se na server koji ga je izvorno obradio, obrnutim kronološkim redoslijedom. U ovom su primjeru svi hmeljevi interni u pošiljateljevoj usluzi e-pošte.

Treći i završni skok

Primljeno: s mx21.exchange.telus.com (MX21.exchange.telus.com). [205.206.208.34]) autor mx.google.com s ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. za(verzija = TLSv1 šifra = RC4-SHA bitovi = 128/128); Pon, 29. srpnja 2013. 14:15:08 -0700 (PDT) Primljeno-SPF: neutralno (google.com: 205.206.208.34 nije dopušteno niti demantirano zapisom najboljeg pretpostavki za domenu [email protected]) client-ip = 205.206.208.34; Rezultati provjere autentičnosti: mx.google.com; spf = neutralno (google.com: 205.206.208.34 nije dopušteno niti zanijekati zapis o najboljim pretpostavkama za domenu [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtrirano: istina. X-IronPort-Anti-Spam-rezultata: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; D = "? jpg'145 scan'145,208,217,145", a = "14.712.973"

Objašnjenje trećeg skoka
Ovo je hmelj koji ga preuzima od Telusa do poslužitelja e-pošte primatelja. Možemo reći da ju je primio mx.google.com, pa primatelj ima svoju uslugu e-pošte s Googleom. Ovdje je dobro primijetiti liniju Primljeno SPF: SPF ili Sender Policy Framework standard je po kojem se pošiljateljev e-poslužitelj može izjasniti kao legitimni pošiljatelj e-pošte. U ovom slučaju kvalifikator je neutralan, što znači da se o valjanosti ove e-pošte ne može reći ništa dobro ili loše. Da je upisan kao iznevjeriti, to bi odbacilo Gmail poslužitelje. Kad bi bilo softfail, Gmail bi je prihvatio, ali označio je kao da nije od onoga za koga kažu da je.

Ispod toga, vidjet ćete i tri retka X-IronPort-Anti-Spam. Prvi, X-IronPort-Anti-Spam-Filtrirano: istina, na njega je uključen Telusov IronPort uređaj protiv neželjene pošte. IronPort je dio Ciscopa se smatra prilično pouzdanima. X-IronPort-Anti-Spam-Result linija je namijenjena isključivo uređajima IronPort i ne može se dekodirati ljudskim očima - osim ako ne radite za Cisco i nema potrebe za dešifriranjem. Treći, X-IronPort-AV, pokazuje da pošiljatelj ima vlastiti uređaj protiv neželjene pošte od Sophosa. Mogao je pročitati McAfee ili Norton ili bilo koji drugi filtar kroz koji prolazi vaša e-pošta. Kao primatelj, to vam može dati malo više sigurnosti da je poruka e-pošte valjana.

Drugi skok

Primljeno: od nepoznatog (HELO mail.exchange.telus.com) ([205.206.210.187])
putem mx21.exchange.telus.com s ESMTP / TLS / AES128-SHA; 29. srpnja 2013. 15:15:07 -0600

Drugo objašnjenje skoka
Ovdje postaje očito da je Telus pružatelj usluga. Ako postoji dvojba u vezi s tim, izvršite WHOIS provjeru na prikazanoj IP adresi: 205.206.210.187. Otkrićete da IP adresa vodi i do Telusa. To vam daje malo više sigurnosti da je poruka e-pošte legitimna. Također možemo reći da je poruci trebalo nešto više od jedne minute da pređe s prvog skoka na drugi. To nam ne govori puno, osim ako niste mrežni inženjer. Teoretski, možete približno izračunati koliko su udaljena dva poslužitelja.

Prvo hop

Primljeno: od HEXMBVS12.hostedmsx.local ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) s mapama; Pon, 29. srpnja 2013. 15:13:48 -0600

Prvo objašnjenje skoka
Prvi skok je pošiljateljev poslužitelj e-pošte koji prima njegovu poruku e-pošte. U ovom se trenutku e-poruka još uvijek interno kreće unutar mreže poslužitelja e-pošte. Možete to shvatiti činjenicom da IP adresa počinje s 10. IP adresa koja počinju sa 10 rezervirana je samo za internu upotrebu.

Na poslužitelju e-pošte primatelja

Isporučeno do: [email protected]
Primljeno: do 10.223.200.70 sa SMTP id ev6csp162209fab;
Pon, 29. srpnja 2013. 14:15:09 -0700 (PDT)
X-Primljeno: do 10.236.227.202 sa SMTP id d70mr27737943yhq.86.1375132508769;
Pon, 29. srpnja 2013. 14:15:08 -0700 (PDT)
Povratni put:

Nakon što dođe do usluge primatelja e-pošte, u zaglavlje se dodaje više informacija - koji je primaočev poslužitelj e-usluga primio i kada, s kojeg poslužitelja e-pošte je poruka primljena, e-adresa namjeravanog primatelja i e-adresa pošiljatelja navedena je "odgovor na" adresa. još u Trećem skoku, vidjeli smo da je primateljeva usluga e-pošte bila s Googleom. Možemo reći da je ovaj e-mail primio jedan interni poslužitelj i proslijedio drugom - 10.236.227.202 do 10.223.200.70. Ono što je najvažnije možemo reći Povratni put: da je e-pošta za odgovor i e-adresa pošiljatelja ista. To nam također govori da postoji velika vjerojatnost da je ova e-pošta legitimna.

Ostale stvari iz drugih zaglavlja

To je posebno zaglavlje e-pošte u svojim informacijama ograničeno jer se koristi usluga e-pošte s hostom. Ako pošiljatelj koristi vlastiti poslužitelj e-pošte, možda bismo mogli dobiti malo više informacija. Možda bismo mogli točno odrediti koji klijent klijent e-pošte koristi. Ili bismo mogli izvršiti WHOIS na pošiljateljevoj IP adresi i dobiti približno mjesto pošiljatelja. Također bismo mogli izvršiti jednostavnu internetsku pretragu na domeni pošiljatelja i vidjeti postoji li web lokacija za njih. Na temelju te web stranice možda ćemo moći saznati još više informacija o pošiljatelju. Možete izvršiti internetsko pretraživanje na samoj adresi e-pošte i započeti doksiranje osobe. Ako niste upoznati s konceptom "doxinga", upoznajte se s Joelom Leejem Što je doxing i kako utječe na vašu privatnost? Što je doxing i kako utječe na vašu privatnost? [MakeUseOf objašnjava]Privatnost interneta je ogroman posao. Jedan od navedenih poteškoća na Internetu je da možete ostati anonimni iza svog monitora dok pregledavate, razgovarate i radite sve što radite ... Čitaj više Također pročitajte članak Ryana Dubea, 15 web stranica za pronalaženje ljudi na Internetu 13 web stranica za pronalaženje ljudi na InternetuTražite izgubljene prijatelje? Danas je lakše nego ikad prije naći ljude na internetu s tim tražilicama. Čitaj više .

Oduzmi se

Sve elektroničke komunikacije ostavljaju tragove. Neke su veće i lakše ih je pratiti. Neki su zasjenjeni web filtrima i proxy poslužiteljima. Bilo kako bilo, ono što ostaje iza nas govori nešto o osobi koja ih je stvorila. Iz tih metapodataka mogli bismo provesti dodatne istrage da bismo saznali više o ljudima koji su uključeni u to. Skrivaju li nešto pomoću VPN-a? Jesu li zaista iz zakonitog posla s legitimnom prisutnošću na webu? Je li to netko s kime stvarno želim ići na sastanak? Što mogu obični ljudi naučiti o meni, a kamoli o NSA?

Pogledajte zaglavlja svojih e-pošte i pogledajte što kažu o vama. Ako pronađete neke retke zaglavlja koji nemaju puno smisla, stavite ih u komentare i pokušat ćemo ih dekodirati. Jeste li morali istražiti zaglavlje e-pošte? Recite nam o tome! Tako svi učimo

Kreditna slika: Soba poslužitelja od torkildr putem Flickr-a.