Ce puteți afla de la un antet de e-mail (metadate)?

Publicitate

Ai primit vreodată un e-mail și te-ai întrebat cu adevărat de unde vine? Cine a trimis-o? Cum ar fi putut să știe cine ești? În mod surprinzător, multe din aceste informații pot provine de la antetul e-mailului sau folosind informațiile din antetul e-mailului pentru a face unele lucrări de detectiv.

Antetul este o parte a mesajului de e-mail pe care majoritatea oamenilor nu îl văd niciodată. Conține o mulțime de date care par a fi gobbledygook pentru un utilizator mediu de computer, la fel ca utilizarea e-mailului a devenit un instrument zilnic în viața tuturor, clienții de e-mail au început să ascundă aceste informații din confort Pentru dumneavoastră. În aceste zile, poate fi chiar un pic deranjant să ascundeți antetul, chiar și pentru cei care știu că este acolo. Există atât de mulți clienți de e-mail diferiți, atât desktop, cât și bazat pe web, încât pentru a acoperi modul de a ascunde antetul de e-mail ar putea ajunge să fie o carte mică. Astăzi, ne vom concentra doar asupra modului de a dezlipi antetul în Gmail și apoi vom analiza ce putem extrage din antet.

Ce este un antet de e-mail?

Un antet de e-mail este o colecție de informații care documentează calea prin care ați primit e-mailul. Pot fi multe informații în antet sau doar elementele de bază. Există un standard pentru ce informații ar trebui incluse într-un antet, dar nu într-adevăr o limită la informațiile pe care le-ar putea introduce un server de e-mail în antet. Dacă sunteți curioși despre cum arată un standard pentru un protocol de e-mail, consultați RFC 5321 - Protocol de transfer prin poștă simplă. Este un pic greu în cap, mai ales dacă nu trebuie să știi aceste lucruri.

Gmail - Deschideți antetul de e-mail

După ce aveți un mesaj de e-mail deschis în Gmail, faceți clic pe săgeata orientată în jos, lângă colțul din dreapta sus al mesajului. Se va afișa un nou meniu. Faceți clic pe Afișare original pentru a vedea mesajul de email brut cu conținutul complet și antetul său.

Se va deschide o fereastră nouă sau o filă și veți vedea, desigur, o versiune text simplu a e-mailului cu antetul. Conținutul antetului va arăta astfel:

Livrat-către: [email protected]. Primit: până la 10.223.200.70 cu id SMTP ev6csp162209fab; Luni, 29 iul 2013 14:15:09 -0700 (PDT) X-Primită: până la 10.236.227.202 cu cod SMTP d70mr27737943yhq.86.1375132508769; Luni, 29 iul 2013 14:15:08 -0700 (PDT) Calea de intoarcere:Primit: de la mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) de mx.google.com cu id-ul ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. pentru(versiune = cifru TLSv1 = biți RC4-SHA = 128/128); Luni, 29 iul 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 nu este permis și negat de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) client-ip = 205.206.208.34; Rezultate autentificare: mx.google.com; spf = neutral (google.com: 205.206.208.34 nu este permis și negat de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Rezultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAJYEHBBJJBBHJBBJB X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "? jpg'145 scan'145,208,217,145" a = "14712973" Primit: de la necunoscut (HELO mail.exchange.telus.com) ([205.206.210.187]) de mx21.exchange.telus.com cu ESMTP / TLS / AES128-SHA; 29 iul 2013 15:15:07 -0600. Primit: de la HEXMBVS12.hostedmsx.local ([10.9.6.115]) de. HEXHUB13.hostedmsx.local ([:: 1]) cu mapi; Luni, 29 iul 2013 15:13:48 -0600. De la: Guy McDowell
Către: "[email protected]" Data: Luni, 29 iul 2013, 15:15:03 -0600. Subiect: Ce este un antet de e-mail? Subiect Thread: Ce este un antet de e-mail? Indice filet: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == ID de mesaj: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: en-SUA. Conținut-Limba: en-SUA. X-MS-Has-Attach: da. X-MS-TNEF-Correlator: acceptlanguage: en-US. Tip de conținut: multipart / legate; limita = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; tip = "multipart / alternative" Versiunea MIME: 1.0

Este frumos. Ce inseamna asta?

Cum este creat antetul de e-mail?

Știind cum este creată antetul de-a lungul căii pe care o parcurge un e-mail, veți dezvolta o informație mai interesantă despre ce înseamnă datele unui antet. Să ne uităm la piese pe măsură ce sunt adăugate și la ce înseamnă cele mai importante părți.

Pe computerul expeditorului

O parte a antetului este creată atunci când expeditorul creează e-mailul pentru a-l trimite destinatarului. Aceasta va include astfel de informații despre momentul în care a fost compus e-mailul, cine l-a compus, subiectul și către cine este trimis e-mailul. Aceasta este partea din antetul pe care îl cunoașteți cel mai cunoscut drept Data:, De la:, la:, și subiect: linii din partea de sus a e-mailului.

De la: Guy McDowell
Pentru: „[email protected]”
Data: Luni, 29 iul 2013, 15:15:03 -0600
Subiect: Ce este un antet de e-mail?

Pe Serviciul de e-mail al expeditorului

Mai multe informații sunt adăugate la antet odată ce e-mailul este efectiv trimis Acest lucru este furnizat de serviciul de e-mail pe care îl utilizează expeditorul. În acest caz, expeditorul utilizează un serviciu de e-mail găzduit, deci adresa IP indicată este o adresă internă în rețeaua furnizorului de servicii. Efectuarea unei căutări WHOIS pe aceasta nu va furniza informații utile. Ce putem face este să efectuăm o căutare Google pe numele serverului HEXMBVS12.hostedmsx.local și putem constata că furnizorul de servicii este Telus. Dacă facem ceva săpături pe site-ul Telus, vom afla că acestea oferă un serviciu Microsoft Exchange găzduit. Aceasta sugerează că expeditorul utilizează probabil Microsoft Outlook, Outlook Express sau Outlook Web Access. Informațiile adăugate aici includ, adresa IP a expeditorului ([10.9.6.115]), timpul trimis de e-mailul expeditorului service (Luni, 29 iul 2013, 15:13:48 -0600) și mesajul-ID pentru mesajul respectiv, adăugat prin e-mail serviciu.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Primit: de la HEXMBVS12.hostedmsx.local ([10.9.6.115]) de HEXHUB13.hostedmsx.local ([:: 1]) cu mapi; Luni, 29 iul 2013 15:13:48 -0600. ID de mesaj: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

De-a lungul serviciului de e-mail al destinatarului

De acolo, e-mailul poate lua orice număr de rute pentru a ajunge la serviciul de e-mail al destinatarului. Acest lucru poate fi adăugat la antet pentru a arăta „hameia” pe care trebuia să o facă e-mailul pentru a vă adresa. Aceste hamei pornesc de la serverul care a gestionat cel mai recent e-mailul și revin la serverul care l-a gestionat inițial, în ordine cronologică inversă. În acest exemplu, toate hameiul sunt interne la serviciul de e-mail al expeditorului.

În al treilea rând, și Hop Final

Primit: de la mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) de mx.google.com cu id-ul ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. pentru(versiune = cifru TLSv1 = biți RC4-SHA = 128/128); Luni, 29 iul 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 nu este permis și negat de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) client-ip = 205.206.208.34; Rezultate autentificare: mx.google.com; spf = neutral (google.com: 205.206.208.34 nu este permis și negat de cea mai bună înregistrare de ghicire pentru domeniul [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Rezultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAJYEHBBJJBBHJBBJB X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "? jpg'145 scan'145,208,217,145" a = "14712973"

Explicația a treia hamei
Acesta este hop-ul care îl duce de la Telus la serverul de e-mail destinatari. Putem spune că a fost primit de mx.google.com, astfel că destinatarul are serviciul de e-mail cu Google. Aici este bine să notăm linia Primit-SPF: SPF, sau Sender Policy Framework, este un standard prin care serverul de e-mail al expeditorului se poate declara că este expeditorul legitim al e-mailului. În acest caz, calificativul este neutru, ceea ce înseamnă că nu se poate spune nimic despre validitatea acestui e-mail, bun sau rău. Dacă s-ar fi înregistrat ca Fail, ar fi fost respins de serverele Gmail. Dacă ar fi softfail, Gmail ar fi acceptat-o, dar a semnalat-o ca fiind posibil să nu fie de la cine spune că provine.

Chiar sub aceasta, veți vedea și trei rânduri începând cu X-IronPort-Anti-Spam. Primul, X-IronPort-Anti-Spam-Filtered: true, este abordat de dispozitivul anti-spam IronPort de Telus. IronPort este o parte din Cisco, deci este considerat a fi destul de fiabil. X-IronPort-Anti-Spam-Rezultat linia este destinată exclusiv aparatelor IronPort și nu poate fi decodificată pentru ochii umani - decât dacă lucrați pentru Cisco și nu trebuie să o decodați. Al treilea, X-IronPort-AV, arată că expeditorul are propriul dispozitiv anti-spam de la Sophos. S-ar putea să citească McAfee sau Norton sau orice filtru prin care trece e-mailul. Ca destinatar, acest lucru vă poate oferi un pic mai multă încredere că e-mailul este valid.

Al doilea hop

Primit: de la necunoscut (HELO mail.exchange.telus.com) ([205.206.210.187])
de mx21.exchange.telus.com cu ESMTP / TLS / AES128-SHA; 29 iul 2013 15:15:07 -0600

A doua explicație de hamei
Aici devine evident că Telus este furnizorul de servicii. Dacă există vreo îndoială în acest sens, efectuați o verificare WHOIS pe adresa IP indicată: 205.206.210.187. Veți găsi că adresa IP duce și la Telus. Acest lucru vă oferă un pic mai multă încredere că e-mailul este legitim. De asemenea, putem spune că mesajul a durat puțin peste un minut pentru a trece de la primul hop la al doilea hop. Asta nu ne spune multe, decât dacă sunteți inginer de rețea. Teoretic, puteți calcula aproximativ cât de distante sunt cele două servere.

Primul Hop

Primit: de la HEXMBVS12.hostedmsx.local ([10.9.6.115]) de
HEXHUB13.hostedmsx.local ([:: 1]) cu mapi; Luni, 29 iul 2013 15:13:48 -0600

Explicația primului salt
Primul salt este serverul de e-mail al expeditorului care primește mesajul său de e-mail. În acest moment, e-mailul se mișcă în continuare în interiorul rețelei serverului de e-mail al expeditorului. Puteți spune prin faptul că adresa IP începe cu 10. Adresa IP care începe cu 10 sunt rezervate numai pentru uz intern.

La serverul de e-mail al destinatarului

Livrat-către: [email protected]
Primit: până la 10.223.200.70 cu id SMTP ev6csp162209fab;
Luni, 29 iul 2013 14:15:09 -0700 (PDT)
X-Primită: până la 10.236.227.202 cu cod SMTP d70mr27737943yhq.86.1375132508769;
Luni, 29 iul 2013 14:15:08 -0700 (PDT)
Calea de intoarcere:

Odată ce ajunge la serviciul de e-mail al destinatarului, se adaugă mai multe informații în antet - care dintre serverele de servicii de e-mail ale destinatarului primite acesta și când, de la ce server de e-mail a fost primit mesajul, adresa de e-mail a destinatarului destinat și adresa expeditorului a declarat „răspuns la e-mail” abordare. În al treilea salt, am văzut că serviciul de e-mail al destinatarului era cu Google. Putem spune că acest e-mail a fost primit de un server intern și transmis unui altul - 10.236.227.202 la 10.223.200.70. Cel mai important este să le spunem prin Calea de intoarcere: că e-mailul pentru a răspunde și e-mailul expeditorului este același. Acest lucru ne spune, de asemenea, că există șanse mari ca acest e-mail să fie legitim.

Alte lucruri din alte anteturi

Acest antet de e-mail special este limitat în informațiile sale, deoarece se folosește un serviciu de e-mail găzduit. Dacă expeditorul folosea propriul server de e-mail, am putea fi capabili să obținem puțin mai multe informații. S-ar putea să putem determina exact ce client de mail utilizează. Sau am putea efectua un WHOIS pe adresa IP a expeditorului și să obținem o locație aproximativă a expeditorului. De asemenea, am putea efectua o simplă căutare web pe domeniul expeditorului și pentru a vedea dacă există un site web pentru ei. Pe baza acelui site web, este posibil să putem afla și mai multe informații despre expeditor. S-ar putea să efectuați o căutare web pe adresa de e-mail în sine și să începeți să faceți fațete persoanei. Dacă nu cunoașteți conceptul de „doxing”, familiarizați-vă cu Joel Lee Ce este doxing-ul și cum vă afectează confidențialitatea? Ce este doxing-ul și cum vă afectează confidențialitatea? [FaceUseOf Explică]Confidențialitatea pe internet este o afacere uriașă. Una dintre avantajele declarate ale Internetului este că puteți rămâne anonim în spatele monitorului în timp ce navigați, discutați și faceți orice este ceea ce faceți ... Citeste mai mult Citiți și articolul despre Ryan Dube, 15 site-uri web pentru a găsi oameni pe Internet 13 site-uri web pentru a găsi oameni pe InternetCăutați prieteni pierduți? Astăzi, este mai ușor ca niciodată să găsești oameni pe internet cu aceste motoare de căutare. Citeste mai mult .

The Take Away

Toate comunicațiile electronice lasă amprente. Unele sunt mai mari și mai ușor de urmărit. Unele sunt închise de filtrele web și serverele proxy. În orice caz, ceea ce ne rămâne în urmă ne spune ceva despre persoana care le-a creat. Din aceste metadate, am putea efectua investigații suplimentare pentru a afla mai multe despre persoanele implicate. Ascund ceva folosind un VPN? Sunt într-adevăr dintr-o afacere legitimă, cu o prezență legitimă pe web? Este cineva cu care vreau să merg la o întâlnire? Ce pot învăța oamenii obișnuiți despre mine, cu atât mai puțin ANS?

Aruncați o privire la anteturile dvs. de e-mail și vedeți ce spun despre dvs. Dacă găsiți câteva linii de antet care nu au prea mult sens, puneți-le în comentarii și vom încerca să le decodăm. Ați fost nevoit să faceți niște anteturi de e-mail pentru investigarea? Povestește-ne despre asta! Așa învățăm cu toții.

Credit imagine: Cameră server de torkildr prin Flickr.