Čo sa môžete naučiť z hlavičky e-mailu (metadáta)?

Reklama

Dostali ste niekedy e-mail a naozaj ste sa pýtali, odkiaľ prišiel? Kto to poslal? Ako mohli vedieť, kto ste? Prekvapivo veľa týchto informácií môže pochádzať z hlavičky e-mailu alebo pomocou informácií z hlavičky e-mailu na vykonanie detektívnej práce.

Hlavička je súčasťou e-mailovej správy, ktorú väčšina ľudí nikdy nevidí. Obsahuje veľa údajov, ktoré sa zdajú priemernému užívateľovi počítača ako gobbledygook, takže sa môžu používať aj e-maily sa stal každodenným nástrojom v živote každého človeka, e-mailoví klienti začali tieto informácie pohodlne skryť pre teba. V týchto dňoch môže byť dokonca trochu nepríjemné odkryť hlavičku, dokonca aj pre tých, ktorí vedia, že tam je. Existuje toľko rôznych e-mailových klientov, či už v počítačoch alebo na webe, takže pokrytie toho, ako odkryť hlavičku e-mailu, by nakoniec mohlo byť malou knihou. Dnes sa zameriame iba na to, ako skryť hlavičku v Gmaile, a potom sa pozrieme na to, čo môžeme zo záhlavia získať.

Čo je hlavička e-mailu?

Hlavička e-mailu je súbor informácií, ktoré dokumentujú cestu, ktorou sa e-mail dostal k vám. V záhlaví môže byť veľa informácií alebo len základy. Existuje norma, ktoré informácie by sa mali zahrnúť do hlavičky, ale v skutočnosti nie je limitom, aké informácie by mohol e-mailový server vložiť do hlavičky. Ak vás zaujíma, ako vyzerá štandard pre e-mailový protokol, pozrite sa

RFC 5321 - protokol jednoduchého prenosu pošty. Je to trochu ťažké na hlave, najmä ak tieto veci nepotrebujete.

Gmail - odkryte hlavičku e-mailu

Po otvorení e-mailovej správy v Gmaile kliknite na šípku smerujúcu nadol v pravom hornom rohu správy. Zobrazí sa nové menu. Kliknutím na Zobraziť originál zobrazíte surovú e-mailovú správu s úplným obsahom a hlavičkou.

Otvorí sa nové okno alebo karta a uvidíte samozrejme aj obyčajnú textovú verziu e-mailu s hlavičkou v hornej časti. Obsah hlavičky bude vyzerať asi takto:

Dodané do: [email protected]. Prijaté: do 10.223.200.70 s identifikátorom SMTP ev6csp162209fab; Pondelok, 29. júla 2013 14:15:09 -0700 (PDT) X-Prijaté: 10.236.227.202 s SMTP id d70mr27737943yhq.86.1375132508769; Pondelok, 29. júla 2013 14:15:08 -0700 (PDT) Return-Path:Prijaté: z mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) od mx.google.com s ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. pre(verzia = TLSv1 šifra = RC4-SHA bity = 128/128); Pondelok, 29. júla 2013 14:15:08 -0700 (PDT) Prijaté-SPF: neutrálne (google.com: 205.206.208.34 nie je povolené ani zamietnuté najlepším odhadom pre doménu [email protected]) client-ip = 205.206.208.34; Výsledky overovania: mx.google.com; spf = neutrálny (google.com: 205.206.208.34 nie je povolený ani zamietnutý najlepším odhadom pre doménu [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyC6JBJYCYBYCYBYCYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYEYBEYEYBEYBEYBEY X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; D = "? Jpg'145 scan'145,208,217,145", a = "14712973" Prijaté: od neznámeho (HELO mail.exchange.telus.com) ([205.206.210.187]) od mx21.exchange.telus.com s ESMTP / TLS / AES128-SHA; 29. júla 2013 15:15:07 -0600. Prijaté: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) od autora. HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Pondelok, 29. júla 2013 15:13:48 -0600. Od: Guy McDowell
Komu: „[email protected]“ Dátum: Po, 29 júl 2013 15:15:03 -0600. Subject: Čo je hlavička e-mailu? Téma témy: Čo je hlavička e-mailu? Index vlákien: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == ID správy: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Jazyk prijatia: en-US. Content-Language: en-US. X-MS-Has-Attach: Áno. X-MS-TNEF-Korelátor: prijateľnéjazyk: en-US. Content-Type: multipart / related; hranica = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternatívne" Verzia MIME: 1.0

To je milé. Čo to znamená?

Ako sa vytvára hlavička e-mailu?

Vedením toho, ako sa záhlavie vytvára pozdĺž cesty, po ktorej prejde e-mail, získate prehľadnejší prehľad o tom, čo znamenajú údaje záhlavia. Pozrime sa na časti, ktoré sa pridajú, a čo znamenajú najdôležitejšie časti.

Na počítači odosielateľa

Časť hlavičky sa vytvorí, keď odosielateľ vytvorí e-mail, ktorý sa pošle príjemcovi. To bude zahŕňať také informácie, ako keď bol e-mail zložený, kto ho zložil, predmet správy a komu sa e-mail posiela. Toto je časť hlavičky, ktorú ste najznámejšie videli ako riadky Dátum:, Od:, Do: a Predmet: v hornej časti e-mailu.

Od: Guy McDowell
Komu: „[email protected]“
Dátum: Po, 29 júl 2013 15:15:03 -0600
Subject: Čo je hlavička e-mailu?

V e-mailovej službe odosielateľa

Po skutočnom odoslaní e-mailu sa do hlavičky pridajú ďalšie informácie. Poskytuje to e-mailová služba, ktorú odosielateľ používa. V takom prípade odosielateľ používa hosťovanú e-mailovú službu, takže uvedená IP adresa je interná adresa siete poskytovateľa služieb. Pri vyhľadávaní na WHOIS sa neposkytnú užitočné informácie. Čo môžeme urobiť, je vykonať vyhľadávanie Google na názve servera HEXMBVS12.hostedmsx.local a zistíme, že poskytovateľom služieb je Telus. Ak sa na webe Telus nejakým spôsobom vyhrabáme, zistíme, že ponúkajú hosťovanú službu Microsoft Exchange. To naznačuje, že odosielateľ pravdepodobne používa program Microsoft Outlook, Outlook Express alebo Outlook Web Access. Informácie tu uvedené zahŕňajú IP adresu odosielateľa ([10.9.6.115]), čas odoslaný e-mailom odosielateľa (pondelok, 29. júl 2013 15:13:48 -0600) a ID správy pre túto konkrétnu správu tak, ako boli pridané e-mailom service.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Prijaté: z HEXMBVS12.hostedmsx.local ([10.9.6.115]) od HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Pondelok, 29. júla 2013 15:13:48 -0600. ID správy: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Pozdĺž cesty k e-mailovej službe príjemcu

Odtiaľ môže e-mail trvať ľubovoľným počtom trás, aby sa dostal do e-mailovej služby príjemcu. Toto je možné pridať do hlavičky a zobraziť tak „chmeľ“, ktorý musel e-mail dostať, aby sa k vám dostal. Tento chmeľ sa začína na serveri, ktorý e-mail naposledy spracoval, a vracia sa naspäť na server, ktorý ho pôvodne spracoval, v obrátenom chronologickom poradí. V tomto príklade sú všetky chmele interné v e-mailovej službe odosielateľa.

Tretí a Final Hop

Prijaté: z mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) od mx.google.com s ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. pre(verzia = TLSv1 šifra = RC4-SHA bity = 128/128); Pondelok, 29. júla 2013 14:15:08 -0700 (PDT) Prijaté-SPF: neutrálne (google.com: 205.206.208.34 nie je povolené ani zamietnuté najlepším odhadom pre doménu [email protected]) client-ip = 205.206.208.34; Výsledky overovania: mx.google.com; spf = neutrálny (google.com: 205.206.208.34 nie je povolený ani zamietnutý najlepším odhadom pre doménu [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyC6JBJYCYBYCYBYCYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYBEYEYBEYEYBEYBEYBEY X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; D = "? Jpg'145 scan'145,208,217,145", a = "14712973"

Vysvetlenie tretieho hopu
Toto je skok, ktorý ju vedie z Telusu na e-mailový server príjemcov. Môžeme povedať, že bol prijatý na stránke mx.google.com, takže príjemca má svoju e-mailovú službu so spoločnosťou Google. Tu je dobré si všimnúť riadok Prijatého SPF: SPF alebo Sender Policy Framework je štandard, podľa ktorého sa e-mailový server odosielateľa môže vyhlásiť za legitímneho odosielateľa e-mailu. V tomto prípade je kvalifikácia neutrálne, čo znamená, že o platnosti tohto e-mailu nemožno povedať nič dobré ani zlé. Ak bola zaregistrovaná ako zlyhanie, servery Gmailu by to odmietli. Keby to tak bolo softfail, Gmail by to prijal, ale označil ho za pravdepodobne nie od toho, od koho sa uvádza.

Hneď pod tým sa zobrazia tri riadky začínajúce na X-IronPort-Anti-Spam. Prvý, X-IronPort-Anti-Spam-Filtered: true, je riešená antispamovým zariadením spoločnosti Telus IronPort. IronPort je súčasťou Cisco, preto sa považuje za dosť spoľahlivú. X-IronPort-Anti-Spam-Result linka je určená výlučne pre zariadenia IronPort a nemôže byť dekódovaná pre ľudské oči - pokiaľ nepracujete pre spoločnosť Cisco a nepotrebujete ju dekódovať. Tretia, X-IronPort-AV, ukazuje, že odosielateľ má svoj vlastný antispamový prístroj od spoločnosti Sophos. Mohlo to prečítať McAfee alebo Norton alebo čokoľvek, čo filtruje váš e-mail. Ako príjemca vám to dá trochu väčšiu istotu, že e-mail je platný.

Druhý hop

Prijaté: od neznámeho (HELO mail.exchange.telus.com) ([205.206.210.187])
od mx21.exchange.telus.com s ESMTP / TLS / AES128-SHA; 29. júla 2013 15:15:07 -0600

Vysvetlenie druhého hopu
Tu je zrejmé, že Telus je poskytovateľom služieb. Ak máte o tom pochybnosti, vykonajte kontrolu WHOIS na zobrazenej adrese IP: 205.206.210.187. Zistíte, že IP adresa vedie aj na Telus. To vám dáva trochu viac dôvery, že e-mail je legitímny. Môžeme tiež povedať, že správa trvala trochu viac ako jednu minútu, kým prešla z prvého hopu do druhého hopu. To nám nehovorí veľa, pokiaľ nie ste sieťový inžinier. Teoreticky by ste mohli vypočítať zhruba, ako ďaleko sú tieto dva servery od seba vzdialené.

Prvý hop

Prijaté: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) od
HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Pondelok, 29. júla 2013 15:13:48 -0600

Vysvetlenie prvého hopu
Prvým krokom je e-mailový server odosielateľa, ktorý prijíma jeho e-mailovú správu. V tomto bode sa e-mail stále interne pohybuje v sieti e-mailového servera odosielateľa. Môžete povedať, že IP adresa začína na 10. IP adresa začínajúca na 10 je vyhradená len na interné použitie.

Na e-mailový server príjemcu

Dodané do: [email protected]
Prijaté: do 10.223.200.70 s identifikátorom SMTP ev6csp162209fab;
Pondelok, 29. júla 2013 14:15:09 -0700 (PDT)
X-Prijaté: 10.236.227.202 s SMTP id d70mr27737943yhq.86.1375132508769;
Pondelok, 29. júla 2013 14:15:08 -0700 (PDT)
Return-Path:

Keď sa dostane k e-mailovej službe príjemcu, do hlavičky sa pridá ďalšie informácie - ktoré z doručených serverov e-mailových služieb príjemcu a kedy, z akého e-mailového servera bola správa prijatá, e-mailovú adresu zamýšľaného príjemcu a e-mailovú adresu odosielateľa označenú ako „odpoveď na“ adresa. späť v treťom skoku sme videli, že e-mailová služba príjemcu bola so spoločnosťou Google. Môžeme povedať, že tento e-mail bol prijatý jedným interným serverom a odoslaný na iný - 10 236 227 022 na 10 233 200.70. Najdôležitejšie je, že vieme povedať Return-Path: že e-mail, na ktorý chcete odpovedať, a e-mail odosielateľa sú rovnaké. To nám tiež hovorí, že existuje veľká šanca, že tento e-mail je legitímny.

Ďalšie veci od ostatných hlavičiek

Táto konkrétna hlavička e-mailu je vo svojich informáciách obmedzená, pretože sa používa hosťovaná e-mailová služba. Ak odosielateľ používal vlastný e-mailový server, mohli by sme získať trochu viac informácií. Možno budeme schopní presne určiť, aký poštový klient používajú. Alebo by sme mohli vykonať WHOIS na IP adrese odosielateľa a získať približnú polohu odosielateľa. Mohli by sme tiež vykonať jednoduché vyhľadávanie na webe v doméne odosielateľa a zistiť, či pre nich existuje webová stránka. Na základe tejto webovej stránky môžeme nájsť ďalšie informácie o odosielateľovi. Môžete vykonať webové vyhľadávanie na samotnej e-mailovej adrese a začať doxovať osobu. Ak nepoznáte pojem doxing, zoznámte sa s Joel Lee Čo je to Doxing a ako to ovplyvňuje vaše súkromie? Čo je to Doxing a ako to ovplyvňuje vaše súkromie? [MakeUseOf vysvetľuje]Súkromie na internete je obrovský problém. Jedným z uvedených výhod internetu je, že môžete zostať v anonymite za svojím monitorom pri prehliadaní, chatovaní a robiť čokoľvek, čo robíte ... Čítaj viac Prečítajte si tiež článok Ryana Dubea, 15 webových stránok na nájdenie ľudí na internete 13 webových stránok na nájdenie ľudí na interneteHľadáte stratených priateľov? Dnes je ľahšie ako kedykoľvek predtým nájsť ľudí na internete pomocou týchto vyhľadávacích nástrojov. Čítaj viac .

Take Away

Všetky elektronické komunikácie zanechávajú stopy. Niektoré z nich sú väčšie a ľahšie sledovateľné. Niektoré sú zakryté webovými filtrami a proxy servermi. To, čo zostane, nám povie niečo o osobe, ktorá ich vytvorila. Na základe týchto metaúdajov by sme mohli vykonať ďalšie vyšetrovania, aby sme sa dozvedeli viac o zúčastnených ľuďoch. Skrývajú niečo pomocou VPN? Skutočne ide o legitímne podnikanie s legitímnou prítomnosťou na webe? Je to niekto, s kým naozaj chcem chodiť na rande? Čo sa o mne môžu obyčajní ľudia dozvedieť, nehovoriac o NSA?

Prezrite si hlavičky e-mailov a pozrite sa, čo hovoria o vás. Ak nájdete niektoré riadky záhlavia, ktoré vám nedávajú zmysel, vložte ich do komentárov a pokúsime sa ich dekódovať. Museli ste urobiť nejaké vyšetrovanie záhlavia e-mailu? Povedzte nám o tom! Takto sa všetci učíme.

Obrázok Kredit: Serverová miestnosť pre deti cez Flickr.