Startseite Internet Co se můžete naučit z hlavičky e-mailu (metadata)?

Co se můžete naučit z hlavičky e-mailu (metadata)?

  • Mark Lucas
  • 0
  • 2092
  • 269
reklama

Dostali jste někdy e-mail a opravdu jste přemýšleli, odkud pochází? Kdo to poslal? Jak mohli vědět, kdo jste? Překvapivě mnoho těchto informací může být z hlavičky e-mailu nebo pomocí informací z hlavičky e-mailu k provedení detektivní práce.

Záhlaví je součástí e-mailové zprávy, kterou většina lidí nikdy nevidí. Obsahuje mnoho údajů, které se zdají průměrnému uživateli počítače jako gobbledygook, takže když se používání e-mailů stalo každodenním nástrojem v životě každého uživatele, začali e-mailoví klienti tyto informace pro vás pohodlně skrývat. V dnešní době může být dokonce trochu obtížné odhalit záhlaví, a to i pro ty, kdo vědí, že tam je. Existuje tolik různých e-mailových klientů, jak z počítače, tak z webu, že pokrytí toho, jak zobrazit záhlaví e-mailu, může být malá kniha. Dnes se zaměříme jen na to, jak v Gmailu skrýt záhlaví, a pak se podívat na to, co můžeme ze záhlaví získat.

Co je záhlaví e-mailu?

Hlavička e-mailu je soubor informací, které dokumentují cestu, kterou vám e-mail dostal. V záhlaví může být mnoho informací nebo jen základy. Existuje standard pro to, jaké informace by měly být zahrnuty v záhlaví, ale ve skutečnosti není limitem, jaké informace může e-mailový server do záhlaví vložit. Pokud jste zvědaví, jak vypadá standard pro e-mailový protokol, podívejte se na protokol RFC 5321 - Simple Mail Transfer Protocol. Je to trochu těžké na hlavě, zvláště pokud to nemusíte znát.

Gmail - Odkrýt záhlaví e-mailu

Jakmile máte v Gmailu otevřenou e-mailovou zprávu, klikněte na šipku směřující dolů v pravém horním rohu zprávy. Zobrazí se nové menu. Kliknutím na Zobrazit originál zobrazíte nezpracovanou e-mailovou zprávu s úplným obsahem a záhlavím.

Otevře se nové okno nebo karta a uvidíte samozřejmě prostou textovou verzi e-mailu s hlavičkou nahoře. Obsah záhlaví bude vypadat asi takto:

Doručeno na: [email protected]
Přijato: do 10.223.200.70 s ID SMTP ev6csp162209fab;
Po, 29. července 2013 14:15:09 -0700 (PDT)
X-Received: 10.236.227.202 with SMTP id d70mr27737943yhq.86.1375132508769;
Po, 29. července 2013 14:15:08 -0700 (PDT)
Zpáteční cesta:
Přijato: z mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
od mx.google.com s ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
pro
(verze = TLSv1 šifra = RC4-SHA bity = 128/128);
Po, 29. července 2013 14:15:08 -0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 není povolen ani odepřen nejlepším odhadem pro doménu [email protected]) client-ip = 205.206.208.34;
Výsledky ověřování: mx.google.com;
spf = neutrální (google.com: 205.206.208.34 není povoleno ani odepřeno nejlepším odhadem záznamu pro doménu [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIgyB6COMB6COMB6YCYBYCYBEYBEYBEYBEYBEYEYBEYBEYBEYBEYBEYE
X-IronPort-AV: E = Sophos; i =”4,889,772,1367992800 ";
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "
Přijato: od neznámého (HELO mail.exchange.telus.com) ([205.206.210.187])
od mx21.exchange.telus.com s ESMTP / TLS / AES128-SHA; 29. července 2013 15:15:07 -0600
Přijato: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) od
HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Po, 29. července 2013 15:13:48 -0600
Od: Guy McDowell
Na: “[email protected]
Datum: Po, 29. července 2013 15:15:03 -0600
Předmět: Co je záhlaví e-mailu?
Téma tématu: Co je záhlaví e-mailu?
Index vláken: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
ID zprávy:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach: ano
Korektor X-MS-TNEF:
Přijmoutjazyk: en-US
Content-Type: multipart / related;
hranice =”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”multipart / alternativní”
Verze MIME: 1.0

To je hezké. Co to znamená?

Jak se vytváří záhlaví e-mailu?

Tím, že víte, jak je záhlaví vytvořeno podél cesty, kterou e-mail cestuje, rozvineš se vhled do toho, co znamenají data záhlaví. Podívejme se na součásti, jak jsou přidány, a co znamenají nejdůležitější části.

Na počítači odesílatele

Část záhlaví se vytvoří, když odesílatel vytvoří e-mail, který bude odeslán příjemci. To bude zahrnovat takové informace, jako když byl e-mail složen, kdo jej složil, předmět a komu je e-mail odeslán. Toto je část záhlaví, které jste nejznámější viděli jako řádky Datum :, Od :, Do: a Předmět: v horní části vašeho e-mailu.

Od: Guy McDowell
Na: “[email protected]
Datum: Po, 29. července 2013 15:15:03 -0600
Předmět: Co je záhlaví e-mailu?

V e-mailové službě odesílatele

Další informace jsou přidány do záhlaví, jakmile je e-mail skutečně odeslán. Poskytuje to e-mailová služba, kterou odesílatel používá. V tomto případě odesílatel používá hostovanou e-mailovou službu, takže zobrazená IP adresa je interní adresa sítě poskytovatele služeb. Provedení vyhledávání WHOIS na něm neposkytne žádné užitečné informace. Můžeme udělat vyhledávání Google na serveru HEXMBVS12.hostedmsx.local a můžeme zjistit, že poskytovatelem služeb je Telus. Pokud se na webu Telus něco kopáme, zjistíme, že nabízejí hostovanou službu Microsoft Exchange. To naznačuje, že odesílatel pravděpodobně používá buď Microsoft Outlook, Outlook Express nebo Outlook Web Access. Mezi zde přidané informace patří IP adresa odesílatele ([10.9.6.115]), čas zaslaný e-mailovou službou odesílatele (Po, 29. července 2013 15:13:48 -0600) a ID zprávy pro tuto konkrétní zpráva přidaná e-mailovou službou.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Přijato: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) od HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Po, 29. července 2013 15:13:48 -0600
ID zprávy:

Cestou k e-mailové službě příjemce

Odtud může e-mail trvat libovolný počet tras, aby skončil v e-mailové službě příjemce. Toto může být přidáno do záhlaví, aby se zobrazil „chmel“, který e-mail musel udělat, aby se k vám dostal. Tento chmel začíná na serveru, který naposledy zpracoval e-mail, a vrací se zpět na server, který jej původně zpracoval, v obráceném chronologickém pořadí. V tomto příkladu jsou všechny chmele interní v e-mailové službě odesílatele.

Třetí a Final Hop

Přijato: z mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
od mx.google.com s ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
pro
(verze = TLSv1 šifra = RC4-SHA bity = 128/128);
Po, 29. července 2013 14:15:08 -0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 není povolen ani odepřen nejlepším odhadem pro doménu [email protected]) client-ip = 205.206.208.34;
Výsledky ověřování: mx.google.com;
spf = neutrální (google.com: 205.206.208.34 není povoleno ani odepřeno nejlepším odhadem záznamu pro doménu [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIgyB6COMB6COMB6YCYBYCYBEYBEYBEYBEYBEYEYBEYBEYBEYBEYBEYE
X-IronPort-AV: E = Sophos; i =”4,889,772,1367992800 ";
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "

Třetí vysvětlení chmele
Toto je skok, který jej vezme z Telusu na e-mailový server příjemce. Můžeme říct, že byl přijat na mx.google.com, takže příjemce má svou e-mailovou službu se společností Google. Zde je dobré si všimnout řádku Přijatý-SPF: SPF neboli Sender Policy Framework je standard, podle kterého se e-mailový server odesílatele může prohlásit za legitimního odesílatele e-mailu. V tomto případě je kvalifikace neutrální, což znamená, že o platnosti tohoto e-mailu nelze říci nic dobrého nebo špatného. Pokud to bylo zaregistrováno jako selhat, servery Gmail by to odmítly. Pokud ano softfail, Gmail by to přijal, ale označil jej jako pravděpodobně nikoli od toho, od koho tvrdí, že pochází.

Těsně pod tím uvidíte také tři řádky začínající na X-IronPort-Anti-Spam. První, X-IronPort-Anti-Spam-Filtered: true, je řešeno antispamovým zařízením společnosti Telus 'IronPort. IronPort je součástí společnosti Cisco, takže se považuje za docela spolehlivou. Výsledek X-IronPort-Anti-Spam linka je určena výhradně pro zařízení IronPort a nelze ji dekódovat pro lidské oči - pokud nepracujete pro společnost Cisco a nepotřebujete ji dekódovat. Třetí, X-IronPort-AV, ukazuje, že odesílatel má svůj vlastní antispamový přístroj od společnosti Sophos. Mohlo to přečíst McAfee nebo Norton nebo jakýkoli filtr, kterým prochází váš e-mail. Jako příjemce vám to může přinést trochu větší jistoty, že e-mail je platný.

Druhý hop

Přijato: od neznámého (HELO mail.exchange.telus.com) ([205.206.210.187])
od mx21.exchange.telus.com s ESMTP / TLS / AES128-SHA; 29. července 2013 15:15:07 -0600

Vysvětlení druhého hopu
Zde je zřejmé, že Telus je poskytovatelem služeb. Pokud o tom existují pochybnosti, proveďte kontrolu adresy WHOIS na zobrazené adrese IP: 205.206.210.187. Zjistíte, že IP adresa také vede k Telusu. To vám dává trochu větší jistoty, že e-mail je legitimní. Můžeme také říci, že zpráva trvala trochu přes jednu minutu, než se přesunul z prvního hopu do druhého hopu. To nám neříká mnoho, pokud nejste síťový inženýr. Teoreticky byste mohli zhruba spočítat, jak daleko od sebe jsou oba servery.

První hop

Přijato: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) od
HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Po, 29. července 2013 15:13:48 -0600

Vysvětlení prvního hopu
První hop je e-mailový server odesílatele, který obdrží jeho e-mailovou zprávu. V tomto okamžiku se e-mail stále interně pohybuje uvnitř sítě e-mailového serveru odesílatele. Můžete říct, že IP adresa začíná 10. IP adresa začínající 10 je vyhrazena pouze pro interní použití.

Na e-mailovém serveru příjemce

Doručeno na: [email protected]
Přijato: do 10.223.200.70 s ID SMTP ev6csp162209fab;
Po, 29. července 2013 14:15:09 -0700 (PDT)
X-Received: 10.236.227.202 with SMTP id d70mr27737943yhq.86.1375132508769;
Po, 29. července 2013 14:15:08 -0700 (PDT)
Zpáteční cesta:

Jakmile se dostane k e-mailové službě příjemce, je do záhlaví přidáno více informací - z kterých serverů e-mailových služeb příjemce byla přijata a kdy, z jakého e-mailového serveru byla zpráva přijata, e-mailové adresy zamýšleného příjemce a „odpovědi odesílatele“ na e-mailovou adresu. zpět ve třetím hopu jsme viděli, že e-mailová služba příjemce byla u společnosti Google. Můžeme říct, že tento e-mail byl přijat jedním interním serverem a předán jinému - 10.236.227.202 na 10.223.200.70. A co je nejdůležitější, můžeme to říct Zpáteční cesta: e-mail, na který chcete odpovědět, a e-mail odesílatele je stejný. To nám také říká, že existuje dobrá šance, že tento e-mail je legitimní.

Další věci od ostatních záhlaví

Tato konkrétní záhlaví e-mailu je ve svých informacích omezená, protože se používá hostovaná e-mailová služba. Pokud odesílatel používal svůj vlastní e-mailový server, mohli bychom získat trochu více informací. Můžeme být schopni přesně určit, jaký poštovní klient používají. Nebo bychom mohli provést WHOIS na IP adrese odesílatele a získat přibližnou polohu odesílatele. Mohli bychom také provést jednoduché vyhledávání na webu v doméně odesílatele a zjistit, zda pro ně existuje web. Na základě těchto webových stránek můžeme zjistit další informace o odesílateli. Můžete provést webové vyhledávání na samotné e-mailové adrese a začít doxing osoby. Pokud nejste obeznámeni s pojmem „doxing“, seznamte se s Joel Lee's Co je Doxing a jak to ovlivňuje vaše soukromí? Co je Doxing a jak to ovlivňuje vaše soukromí? [MakeUseOf vysvětluje] Co je doxing a jak to ovlivňuje vaše soukromí? [MakeUseOf vysvětluje] Ochrana soukromí na internetu je obrovský problém. Jedním z uvedených výhod internetu je, že můžete zůstat anonymní za vaším monitorem, když procházíte, chatujete a děláte cokoli, co děláte ... Také si přečtěte článek Ryana Dubee, 15 webových stránek k nalezení lidí na internetu 13 Webové stránky k nalezení lidí na internetu 13 Webové stránky k nalezení lidí na internetu Hledáte ztracené přátele? Dnes je snadnější než kdykoli předtím najít lidi na internetu pomocí těchto vyhledávačů. .

Take Away

Veškerá elektronická komunikace zanechává stopy. Některé jsou větší a snáze sledovatelné. Některé jsou zakryté webovými filtry a proxy servery. To, co zbylo, nám říká něco o osobě, která je vytvořila. Z těchto metadat bychom mohli provést další vyšetřování, abychom se dozvěděli více o zúčastněných lidech. Skryjí něco pomocí VPN? Jsou to opravdu z legitimního podnikání s legitimní přítomností na webu? Je to někdo, s kým chci opravdu chodit na rande? Co se o mně mohou obyčejní lidé dozvědět, natož NSA?

Podívejte se na záhlaví svých e-mailů a podívejte se, co o vás říkají. Pokud najdete některé řádky záhlaví, které nedávají velký smysl, vložte je do komentářů a pokusíme se je dekódovat. Museli jste zkoumat nějakou hlavičku e-mailu? Řekněte nám o tom! Takto se všichni učíme.

Image Credit: Server Room by torkildr prostřednictvím Flickr.




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

4 Nástroje vizualizace dat pro uchování žurnalistiky dat
Produktivita
Jak vložit video YouTube a jiná média do prezentace PowerPoint
Produktivita
Vytvářejte prezentace založené na cloudu pomocí aplikace Microsoft Destroyer Sway
Produktivita
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.