Co se můžete naučit z hlavičky e-mailu (metadata)?

reklama

Dostali jste někdy e-mail a opravdu jste přemýšleli, odkud pochází? Kdo to poslal? Jak mohli vědět, kdo jste? Překvapivě mnoho těchto informací může být z hlavičky e-mailu nebo pomocí informací z hlavičky e-mailu k provedení detektivní práce.

Záhlaví je součástí e-mailové zprávy, kterou většina lidí nikdy nevidí. Obsahuje mnoho údajů, které se zdají průměrnému uživateli počítače jako gobbledygook, takže se používá e-mail se stal každodenním nástrojem v životě každého, e-mailoví klienti začali tyto informace před pohodlím skrývat pro tebe. V dnešní době může být dokonce trochu obtížné odhalit záhlaví, a to i pro ty, kdo vědí, že tam je. Existuje tolik různých e-mailových klientů, jak z počítače, tak z webu, že pokrytí toho, jak zobrazit záhlaví e-mailu, může být malá kniha. Dnes se zaměříme pouze na to, jak v Gmailu zobrazit záhlaví a poté se podívat, co můžeme z záhlaví získat.

Co je záhlaví e-mailu?

Hlavička e-mailu je soubor informací, které dokumentují cestu, kterou vám e-mail dostal. V záhlaví může být mnoho informací nebo jen základy. Existuje standard pro to, jaké informace by měly být obsaženy v záhlaví, ale ve skutečnosti není limitem, jaké informace by e-mailový server mohl do záhlaví vložit. Pokud jste zvědaví, jak vypadá standard pro e-mailový protokol, podívejte se

RFC 5321 - protokol jednoduchého přenosu pošty. Je to trochu tvrdé na hlavě, zvláště pokud to nemusíte vědět.

Gmail - Odkrýt záhlaví e-mailu

Jakmile máte v Gmailu otevřenou e-mailovou zprávu, klikněte na šipku směřující dolů v pravém horním rohu zprávy. Zobrazí se nové menu. Kliknutím na Zobrazit originál zobrazíte nezpracovanou e-mailovou zprávu s úplným obsahem a hlavičkou.

Otevře se nové okno nebo karta a uvidíte samozřejmě prostou textovou verzi e-mailu s hlavičkou nahoře. Obsah záhlaví bude vypadat asi takto:

Doručeno na: [email protected]. Přijato: do 10.223.200.70 s ID SMTP ev6csp162209fab; Po, 29. července 2013 14:15:09 -0700 (PDT) X-Received: 10.236.227.202 with SMTP id d70mr27737943yhq.86.1375132508769; Po, 29. července 2013 14:15:08 -0700 (PDT) Zpáteční cesta:Přijato: z mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) od mx.google.com s ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. pro(verze = TLSv1 šifra = RC4-SHA bity = 128/128); Po, 29. července 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 není povoleno ani odepřeno nejlepším odhadem pro doménu [email protected]) client-ip = 205.206.208.34; Výsledky ověřování: mx.google.com; spf = neutrální (google.com: 205.206.208.34 není povoleno ani odepřeno nejlepším odhadem pro doménu [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyY6BYJYCOMB6COMB6YBYCYBEYBEYEYEYBEYBEYBEYBEYBEYBEYBEYBEYBEYE X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Přijato: od neznámého (HELO mail.exchange.telus.com) ([205.206.210.187]) od mx21.exchange.telus.com s ESMTP / TLS / AES128-SHA; 29. července 2013 15:15:07 -0600. Přijato: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) uživatelem. HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Po, 29. července 2013 15:13:48 -0600. Od: Guy McDowell
Komu: „[email protected]“ Datum: Po, 29. července 2013 15:15:03 -0600. Předmět: Co je záhlaví e-mailu? Téma tématu: Co je záhlaví e-mailu? Index vláken: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == ID zprávy: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: en-US. Content-Language: en-US. X-MS-Has-Attach: ano. X-MS-TNEF-Correlator: acceptlanguage: en-US. Content-Type: multipart / related; hraniční = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternative" Verze MIME: 1.0

To je hezké. Co to znamená?

Jak se vytvoří záhlaví e-mailu?

Tím, že víte, jak je záhlaví vytvářeno podél cesty, kterou e-mail prochází, si vytvoříte lepší přehled o tom, co znamenají data záhlaví. Podívejme se na součásti, jak jsou přidány, a co znamenají nejdůležitější části.

Na počítači odesílatele

Část hlavičky se vytvoří, když odesílatel vytvoří e-mail, který bude odeslán příjemci. To bude zahrnovat takové informace, jako když byl e-mail složen, kdo jej složil, předmět a komu je e-mail odeslán. Toto je část záhlaví, které jste nejznámější viděli jako řádky Datum:, Od:, Do: a Předmět: v horní části vašeho e-mailu.

Od: Guy McDowell
Komu: „[email protected]“
Datum: Po, 29. července 2013 15:15:03 -0600
Předmět: Co je záhlaví e-mailu?

V e-mailové službě odesílatele

Další informace jsou přidány do záhlaví, jakmile je e-mail skutečně odeslán. Poskytuje to e-mailová služba, kterou odesílatel používá. V tomto případě odesílatel používá hostovanou e-mailovou službu, takže uvedená IP adresa je interní adresa sítě poskytovatele služeb. Provedení WHOIS vyhledávání neposkytne žádné užitečné informace. Můžeme udělat hledání Google na názvu serveru HEXMBVS12.hostedmsx.local a můžeme zjistit, že poskytovatelem služeb je Telus. Pokud se na webu Telus něco kopáme, zjistíme, že nabízejí hostovanou službu Microsoft Exchange. To naznačuje, že odesílatel pravděpodobně používá buď Microsoft Outlook, Outlook Express nebo Outlook Web Access. Mezi zde přidané informace patří IP adresa odesílatele ([10.9.6.115]), čas zaslaný e-mailem odesílatele služba (Po, 29. července 2013 15:13:48 -0600) a ID zprávy pro tuto konkrétní zprávu přidanou e-mailem služba.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Přijato: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) od HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Po, 29. července 2013 15:13:48 -0600. ID zprávy: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Na cestě k e-mailové službě příjemce

Odtud může e-mail trvat libovolný počet tras až do e-mailové služby příjemce. To lze přidat do záhlaví a zobrazit tak „chmel“, který e-mail musel udělat, aby se k vám dostal. Tento chmel začíná na serveru, který naposledy zpracoval e-mail, a vrací se zpět na server, který jej původně zpracoval, v obráceném chronologickém pořadí. V tomto příkladu jsou všechny chmele interní v e-mailové službě odesílatele.

Třetí a Final Hop

Přijato: z mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) od mx.google.com s ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. pro(verze = TLSv1 šifra = RC4-SHA bity = 128/128); Po, 29. července 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 není povoleno ani odepřeno nejlepším odhadem pro doménu [email protected]) client-ip = 205.206.208.34; Výsledky ověřování: mx.google.com; spf = neutrální (google.com: 205.206.208.34 není povoleno ani odepřeno nejlepším odhadem pro doménu [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyY6BYJYCOMB6COMB6YBYCYBEYBEYEYEYBEYBEYBEYBEYBEYBEYBEYBEYBEYE X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"

Třetí vysvětlení chmele
Toto je skok, který jej vezme z Telusu na e-mailový server příjemce. Můžeme říct, že byl obdržen na mx.google.com, takže příjemce má svou e-mailovou službu se společností Google. Zde je dobré si všimnout řádku Přijaté SPF: SPF neboli Sender Policy Framework je standard, podle kterého se e-mailový server odesílatele může prohlásit za legitimního odesílatele e-mailu. V tomto případě je kvalifikace neutrální, což znamená, že o platnosti tohoto e-mailu nelze říci nic dobrého ani špatného. Pokud to bylo zaregistrováno jako selhat, servery Gmailu by to odmítly. Pokud ano softfail, Gmail by to přijal, ale označil jej jako pravděpodobně nikoli od toho, od koho tvrdí, že pochází.

Těsně pod tím uvidíte také tři řádky začínající na X-IronPort-Anti-Spam. První, X-IronPort-Anti-Spam-Filtered: true, je řešeno antispamovým zařízením IronPort společnosti Telus. IronPort je součástí Cisco, takže se považuje za docela spolehlivé. Výsledek X-IronPort-Anti-Spam linka je určena výhradně pro zařízení IronPort a nelze ji dekódovat pro lidské oči - pokud nepracujete pro společnost Cisco a nepotřebujete ji dekódovat. Třetí, X-IronPort-AV, ukazuje, že odesílatel má vlastní antispamové zařízení od společnosti Sophos. Mohlo to přečíst McAfee nebo Norton nebo jakýkoli filtr, kterým prochází váš e-mail. Jako příjemce vám to může přinést trochu větší jistoty, že e-mail je platný.

Druhý hop

Přijato: od neznámého (HELO mail.exchange.telus.com) ([205.206.210.187])
od mx21.exchange.telus.com s ESMTP / TLS / AES128-SHA; 29. července 2013 15:15:07 -0600

Vysvětlení druhého hopu
Zde je zřejmé, že Telus je poskytovatelem služeb. Pokud máte o tom pochybnosti, proveďte na zobrazené adrese IP kontrolu WHOIS: 205.206.210.187. Zjistíte, že IP adresa také vede k Telusu. To vám dává trochu větší jistoty, že e-mail je legitimní. Můžeme také říci, že zpráva trvala trochu přes jednu minutu, než prošla z prvního hopu do druhého hopu. To nám neřekne mnoho, pokud nejste síťový inženýr. Teoreticky byste mohli zhruba spočítat, jak daleko jsou tyto dva servery od sebe.

První hop

Přijato: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) od
HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Po, 29. července 2013 15:13:48 -0600

Vysvětlení prvního hopu
První hop je e-mailový server odesílatele, který přijímá jeho e-mailovou zprávu. V tomto okamžiku se e-mail stále interně pohybuje v síti e-mailového serveru odesílatele. Můžete říct, že IP adresa začíná 10. IP adresa začínající 10 je vyhrazena pouze pro interní použití.

Na e-mailovém serveru příjemce

Doručeno na: [email protected]
Přijato: do 10.223.200.70 s ID SMTP ev6csp162209fab;
Po, 29. července 2013 14:15:09 -0700 (PDT)
X-Received: 10.236.227.202 with SMTP id d70mr27737943yhq.86.1375132508769;
Po, 29. července 2013 14:15:08 -0700 (PDT)
Zpáteční cesta:

Jakmile se dostane k e-mailové službě příjemce, přidá se do záhlaví další informace - které z doručených serverů e-mailových služeb příjemce a kdy, z jakého e-mailového serveru byla zpráva přijata, e-mailovou adresu zamýšleného příjemce a e-mailovou odpověď „odpověď na“ odesílatele adresa. zpět ve třetím hopu jsme viděli, že e-mailová služba příjemce byla u společnosti Google. Můžeme říct, že tento e-mail byl přijat jedním interním serverem a předán jinému - 10.236.227.202 na 10.223.200.70. A co je nejdůležitější, můžeme říct pomocí Zpáteční cesta: e-mail, na který chcete odpovědět, a e-mail odesílatele je stejný. To nám také říká, že existuje dobrá šance, že tento e-mail je oprávněný.

Další věci od ostatních záhlaví

Tato konkrétní záhlaví e-mailu je ve svých informacích omezená, protože se používá hostovaná e-mailová služba. Pokud odesílatel používal svůj vlastní e-mailový server, mohli bychom získat trochu více informací. Můžeme být schopni přesně určit, jaký poštovní klient používají. Nebo bychom mohli provést WHOIS na IP adrese odesílatele a získat přibližnou polohu odesílatele. Mohli bychom také provést jednoduché vyhledávání na webu v doméně odesílatele a zjistit, zda pro ně existuje web. Na základě těchto webových stránek můžeme zjistit další informace o odesílateli. Můžete provést webové vyhledávání na samotné e-mailové adrese a začít doxing osoby. Pokud neznáte pojem „doxing“, seznamte se s Joel Lee Co je Doxing a jak to ovlivňuje vaše soukromí? Co je Doxing a jak to ovlivňuje vaše soukromí? [MakeUseOf vysvětluje]Soukromí na internetu je obrovský problém. Jedním z uvedených výhod internetu je, že můžete zůstat anonymní za vaším monitorem při procházení, chatování a dělat cokoli, co děláte ... Přečtěte si více Přečtěte si také článek Ryana Dubee, 15 webových stránek k nalezení lidí na internetu 13 webových stránek k nalezení lidí na internetuHledáte ztracené přátele? Dnes je snadnější než kdykoli předtím najít lidi na internetu pomocí těchto vyhledávačů. Přečtěte si více .

Take Away

Veškerá elektronická komunikace zanechává stopy. Některé z nich jsou větší a snadnější je sledovat. Některé jsou zakryté webovými filtry a proxy servery. To, co zbylo, nám říká něco o osobě, která je vytvořila. Z těchto metadat bychom mohli provést další vyšetřování, abychom se dozvěděli více o zúčastněných lidech. Skryjí něco pomocí VPN? Jsou to opravdu z legitimního podnikání s legitimní přítomností na webu? Je to někdo, s kým chci opravdu chodit na rande? Co se o mně mohou obyčejní lidé dozvědět, natož NSA?

Podívejte se na záhlaví svých e-mailů a podívejte se, co o vás říkají. Pokud najdete některé řádky záhlaví, které vám nedávají velký smysl, vložte je do komentářů a pokusíme se je dekódovat. Museli jste udělat nějaké vyšetřování záhlaví e-mailu? Řekněte nám o tom! Takto se všichni učíme.

Obrázek Kredit: Serverová místnost od dětí přes Flickr.