Strona główna Internet Czego możesz się nauczyć z nagłówka wiadomości e-mail (metadanych)?

Czego możesz się nauczyć z nagłówka wiadomości e-mail (metadanych)?

  • Owen Little
  • 0
  • 3140
  • 543
Reklama

Czy dostałeś kiedyś wiadomość e-mail i naprawdę zastanawiałeś się, skąd pochodzi? Kto to wysłał? Jak mogliby wiedzieć, kim jesteś? Zaskakująco wiele z tych informacji może pochodzić z nagłówka wiadomości e-mail lub przy użyciu informacji z nagłówka wiadomości e-mail.

Nagłówek jest częścią wiadomości e-mail, której większość ludzi nawet nie widzi. Zawiera wiele danych, które dla przeciętnego użytkownika komputera wydają się być pożerane, więc ponieważ korzystanie z poczty e-mail stało się codziennym narzędziem w życiu każdego, klienci poczty e-mail zaczęli ukrywać te informacje dla wygody. W dzisiejszych czasach odkrywanie nagłówka może być trochę kłopotliwe, nawet dla tych, którzy wiedzą, że on tam jest. Istnieje tak wiele różnych klientów poczty e-mail, zarówno stacjonarnych, jak i internetowych, że opisanie sposobu ujawnienia nagłówka e-maila może być małą książką. Dzisiaj skupimy się na tym, jak odkryć nagłówek w Gmailu, a następnie przyjrzeć się temu, co możemy zebrać z nagłówka.

Co to jest nagłówek e-maila?

Nagłówek wiadomości e-mail to zbiór informacji dokumentujących ścieżkę, do której wiadomość e-mail dotarła do Ciebie. W nagłówku może znajdować się wiele informacji lub tylko podstawowe informacje. Istnieje standard określający, jakie informacje powinny zawierać nagłówek, ale tak naprawdę nie ma ograniczenia co do tego, jakie informacje serwer e-mail może umieścić w nagłówku. Jeśli jesteś ciekawy, jak wygląda standard protokołu e-mail, sprawdź RFC 5321 - Simple Mail Transfer Protocol. Jest to trochę trudne dla głowy, szczególnie jeśli nie musisz znać tych rzeczy.

Gmail - Odkryj nagłówek e-maila

Po otwarciu wiadomości e-mail w Gmailu kliknij strzałkę skierowaną w dół w prawym górnym rogu wiadomości. Pojawi się nowe menu. Kliknij opcję Pokaż oryginał, aby wyświetlić nieprzetworzoną wiadomość e-mail z pełną zawartością i nagłówkiem.

Otworzy się nowe okno lub karta, a zobaczysz wersję tekstową wiadomości e-mail z nagłówkiem u góry, oczywiście. Treść nagłówka będzie wyglądać mniej więcej tak:

Dostarczono do: [email protected]
Otrzymano: do 10.223.200.70 z identyfikatorem SMTP ev6csp162209fab;
Pon, 29 lipca 2013 14:15:09 -0700 (PDT)
X-Received: do 10.236.227.202 z SMTP id d70mr27737943yhq.86.1375132508769;
Pon, 29 lipca 2013 14:15:08 -0700 (PDT)
Ścieżka powrotna:
Otrzymano: od mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
autor: mx.google.com z identyfikatorem ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
dla
(wersja = szyfr TLSv1 = bity RC4-SHA = 128/128);
Pon, 29 lipca 2013 14:15:08 -0700 (PDT)
Otrzymano SPF: neutralny (google.com: 205.206.208.34 nie jest ani dozwolony, ani odrzucony przez najlepszy rekord zgadywania dla domeny [email protected]) client-ip = 205.206.208.34;
Wyniki uwierzytelnienia: mx.google.com;
spf = neutralny (google.com: 205.206.208.34 nie jest ani dozwolony, ani odrzucony przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtrowany: prawda
X-IronPort Anti-Spam-Rezultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i =”4,89,772,1367992800 ”;
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "
Otrzymano: od nieznanego (HELO mail.exchange.telus.com) ([205.206.210.187])
autor: mx21.exchange.telus.com z ESMTP / TLS / AES128-SHA; 29 lipca 2013 15:15:07 -0600
Otrzymano: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) przez
HEXHUB13.hostedmsx.local ([:: 1]) z mapi; Pon, 29 lipca 2013 15:13:48 -0600
Od: Guy McDowell
Do: “[email protected]
Data: pon., 29 lipca 2013 15:15:03 -0600
Temat: Co to jest nagłówek wiadomości e-mail?
Temat wątku: Co to jest nagłówek wiadomości e-mail?
Indeks wątku: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
ID wiadomości:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach: tak
Korelator X-MS-TNEF:
acceptlanguage: en-US
Content-Type: multipart / related;
granica =”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
typ =”wieloczęściowy / alternatywny”
Wersja MIME: 1.0

To miłe. Co to znaczy?

Jak powstaje nagłówek e-maila?

Wiedząc, jak nagłówek jest tworzony wzdłuż ścieżki, którą podróżuje wiadomość e-mail, uzyskasz lepszy wgląd w to, co oznaczają dane nagłówka. Spójrzmy na części w miarę ich dodawania i co oznaczają najważniejsze części.

Na komputerze nadawcy

Część nagłówka jest tworzona, gdy nadawca tworzy wiadomość e-mail do wysłania do odbiorcy. Obejmuje to takie informacje, jak data utworzenia e-maila, kto go skomponował, temat i do kogo jest wysyłany e-mail. Jest to część nagłówka, którą najlepiej znasz jako linie Data :, Od :, Do: i Temat: u góry wiadomości e-mail.

Od: Guy McDowell
Do: “[email protected]
Data: pon., 29 lipca 2013 15:15:03 -0600
Temat: Co to jest nagłówek wiadomości e-mail?

W serwisie e-mail nadawcy

Więcej informacji jest dodawanych do nagłówka po wysłaniu wiadomości e-mail. Zapewnia to usługa e-mail, z której korzysta nadawca. W takim przypadku nadawca korzysta z hostowanej usługi e-mail, więc pokazany adres IP jest adresem wewnętrznym sieci usługodawcy. Przeprowadzenie na nim wyszukiwania WHOIS nie dostarczy żadnych użytecznych informacji. Możemy przeprowadzić wyszukiwanie w Google na serwerze o nazwie HEXMBVS12.hostedmsx.local i możemy stwierdzić, że usługodawcą jest Telus. Jeśli pogrzebimy w witrynie Telus, przekonamy się, że oferują one hostowaną usługę Microsoft Exchange. Sugeruje to, że nadawca prawdopodobnie używa Microsoft Outlook, Outlook Express lub Outlook Web Access. Dodane tutaj informacje obejmują adres IP nadawcy ([10.9.6.115]), czas wysłany przez usługę e-mail nadawcy (pon., 29 lipca 2013 15:13:48 -0600) oraz identyfikator wiadomości dla tego konkretnego wiadomość dodana przez usługę e-mail.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Otrzymano: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) przez HEXHUB13.hostedmsx.local ([:: 1]) z mapi; Pon, 29 lipca 2013 15:13:48 -0600
ID wiadomości:

Po drodze do usługi e-mail odbiorcy

Stamtąd wiadomość e-mail może zająć dowolną liczbę tras, aby dotrzeć do usługi e-mail odbiorcy. Można to dodać do nagłówka, aby pokazać „przeskoki”, które e-mail musiał wykonać, aby do Ciebie dotrzeć. Te przeskoki zaczynają się na serwerze, który ostatnio obsługiwał wiadomość e-mail, i wracają do serwera, który pierwotnie ją obsługiwał, w odwrotnej kolejności chronologicznej. W tym przykładzie wszystkie przeskoki są wewnętrzne w usłudze e-mail nadawcy.

Trzeci i ostatni skok

Otrzymano: od mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
autor: mx.google.com z identyfikatorem ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
dla
(wersja = szyfr TLSv1 = bity RC4-SHA = 128/128);
Pon, 29 lipca 2013 14:15:08 -0700 (PDT)
Otrzymano SPF: neutralny (google.com: 205.206.208.34 nie jest ani dozwolony, ani odrzucony przez najlepszy rekord zgadywania dla domeny [email protected]) client-ip = 205.206.208.34;
Wyniki uwierzytelnienia: mx.google.com;
spf = neutralny (google.com: 205.206.208.34 nie jest ani dozwolony, ani odrzucony przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtrowany: prawda
X-IronPort Anti-Spam-Rezultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i =”4,89,772,1367992800 ”;
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "

Wyjaśnienie trzeciego chmielu
Jest to przeskok, który przenosi go z Telus na serwer e-mail odbiorców. Możemy stwierdzić, że został odebrany przez mx.google.com, więc odbiorca ma swoją usługę e-mail w Google. Tutaj dobrze jest zanotować linię Otrzymano SPF: SPF, czyli Sender Policy Framework, to standard, za pomocą którego serwer e-mail nadawcy może zadeklarować się jako legalny nadawca wiadomości e-mail. W tym przypadku kwalifikatorem jest neutralny, co oznacza, że ​​nic nie można powiedzieć o ważności tego e-maila, dobrego czy złego. Czy został zarejestrowany jako zawieść, zostałby odrzucony przez serwery Gmaila. Gdyby tak było softfail, Gmail zaakceptowałby to, ale oznaczył ją jako prawdopodobnie nie pochodzącą od tego, od kogo pochodzi.

Tuż poniżej zobaczysz trzy linie zaczynające się od X-IronPort-Anti-Spam. Pierwszy, X-IronPort-Anti-Spam-Filtrowany: prawda, jest wykorzystywany przez urządzenie antyspamowe Telus IronPort. IronPort jest częścią Cisco, więc jest uważany za dość niezawodny. The X-IronPort-Anti-Spam-Result linia jest przeznaczona wyłącznie dla urządzeń IronPort i nie może być dekodowana dla ludzkich oczu - chyba że pracujesz dla Cisco i nie musisz jej dekodować. Trzeci, X-IronPort-AV, pokazuje, że nadawca ma własne urządzenie antyspamowe od Sophos. Może czytać McAfee lub Norton lub inny filtr, przez który przechodzi Twój e-mail. Jako odbiorca może to dać ci większą pewność, że e-mail jest prawidłowy.

Drugi skok

Otrzymano: od nieznanego (HELO mail.exchange.telus.com) ([205.206.210.187])
autor: mx21.exchange.telus.com z ESMTP / TLS / AES128-SHA; 29 lipca 2013 15:15:07 -0600

Wyjaśnienie drugiego skoku
Staje się tutaj oczywiste, że Telus jest usługodawcą. W razie wątpliwości należy sprawdzić WHOIS pod adresem IP: 205.206.210.187. Przekonasz się, że adres IP prowadzi również do Telus. To daje ci nieco większą pewność, że e-mail jest zgodny z prawem. Możemy także powiedzieć, że przejście z pierwszego przeskoku na drugi przeskok zajęło nieco ponad minutę. To niewiele nam mówi, chyba że jesteś inżynierem sieci. Teoretycznie można obliczyć przybliżone odległości między dwoma serwerami.

First Hop

Otrzymano: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) przez
HEXHUB13.hostedmsx.local ([:: 1]) z mapi; Pon, 29 lipca 2013 15:13:48 -0600

Wyjaśnienie pierwszego skoku
Pierwszy przeskok to serwer e-mail nadawcy, który odbiera wiadomość e-mail. W tym momencie wiadomość e-mail wciąż przesuwa się wewnętrznie w sieci serwera poczty e-mail nadawcy. Możesz stwierdzić, że adres IP zaczyna się od 10. Adres IP zaczynający się od 10 jest zarezerwowany wyłącznie do użytku wewnętrznego.

Na serwerze e-mail odbiorcy

Dostarczono do: [email protected]
Otrzymano: do 10.223.200.70 z identyfikatorem SMTP ev6csp162209fab;
Pon, 29 lipca 2013 14:15:09 -0700 (PDT)
X-Received: do 10.236.227.202 z SMTP id d70mr27737943yhq.86.1375132508769;
Pon, 29 lipca 2013 14:15:08 -0700 (PDT)
Ścieżka powrotna:

Gdy dotrze do usługi e-mail odbiorcy, do nagłówka dodawane są dodatkowe informacje - który z serwerów usług e-mail odbiorcy ją otrzymał i kiedy, z jakiego serwera e-mail otrzymano wiadomość, adres e-mail zamierzonego odbiorcy i odpowiedź nadawcy na adres e-mail. w trzecim skoku widzieliśmy, że usługa e-mail odbiorcy była w Google. Możemy stwierdzić, że ten e-mail został odebrany przez jeden serwer wewnętrzny i przekazany na inny - od 10.236.227.202 do 10.223.200.70. Co najważniejsze, możemy powiedzieć Ścieżka powrotna: e-mail, na który należy odpowiedzieć, i e-mail nadawcy są takie same. To także mówi nam, że istnieje duża szansa, że ​​ten e-mail jest legalny.

Inne rzeczy z innych nagłówków

Ten konkretny nagłówek e-maila ma ograniczone informacje, ponieważ używana jest hostowana usługa e-mail. Gdyby nadawca korzystał z własnego serwera e-mail, moglibyśmy uzyskać nieco więcej informacji. Możemy być w stanie dokładnie określić, jakiego klienta pocztowego używają. Lub możemy wykonać WHOIS na adresie IP nadawcy i uzyskać przybliżoną lokalizację nadawcy. Możemy również przeprowadzić proste wyszukiwanie w domenie nadawcy i sprawdzić, czy jest dla nich strona internetowa. Na podstawie tej witryny możemy być w stanie uzyskać jeszcze więcej informacji o nadawcy. Możesz przeprowadzić wyszukiwanie w sieci na samym adresie e-mail i rozpocząć wysyłanie wiadomości do osoby. Jeśli nie znasz pojęcia „doxowania”, zapoznaj się z treścią Co to jest Doxing i jak wpływa to na twoją prywatność? Co to jest Doxing i jak wpływa na twoją prywatność? [MakeUseOf wyjaśnia] Co to jest Doxing i jak wpływa na twoją prywatność? [MakeUseOf wyjaśnia] Prywatność w Internecie to ogromna sprawa. Jednym z wymienionych atutów Internetu jest to, że możesz pozostać anonimowy za monitorem podczas przeglądania, czatowania i robienia czegokolwiek, co robisz… Przeczytaj także artykuł Ryana Dube'a, 15 stron internetowych, aby znaleźć ludzi w Internecie 13 Strony internetowe do wyszukiwania osób w Internecie 13 Strony internetowe do wyszukiwania osób w Internecie Szukasz zagubionych przyjaciół? Obecnie wyszukiwanie osób w Internecie jest łatwiejsze niż kiedykolwiek wcześniej. .

Odejdź

Cała komunikacja elektroniczna pozostawia ślady. Niektóre są większe i łatwiejsze do naśladowania. Niektóre są zaciemnione przez filtry sieciowe i serwery proxy. Tak czy inaczej, to, co pozostaje, mówi nam coś o osobie, która je stworzyła. Na podstawie tych metadanych możemy przeprowadzić dalsze dochodzenia, aby dowiedzieć się więcej na temat zaangażowanych osób. Czy coś ukrywają za pomocą VPN? Czy naprawdę pochodzą z legalnej firmy z legalną obecnością w sieci? Czy to ktoś, z kim naprawdę chcę iść na randkę? Czego zwykli ludzie mogą się o mnie dowiedzieć, nie mówiąc już o NSA?

Spójrz na nagłówki e-maili i zobacz, co mówią o tobie. Jeśli znajdziesz jakieś wiersze nagłówka, które nie mają większego sensu, umieść je w komentarzach, a my spróbujemy je odkodować. Czy musiałeś sprawdzić nagłówek wiadomości e-mail? Opowiedz nam o tym! Tak wszyscy się uczymy.

Źródło zdjęcia: Serwerownia przez torkildr przez Flickr.




Jeszcze bez komentarzy

Fitbit nie będzie ładować ani synchronizować? Jak naprawić problemy Fitbit
Technologia wyjaśniona
Czy już czas zacząć kupować dyski SSD i dyski flash?
Technologia wyjaśniona
5 sposobów przesyłania plików z jednego komputera na inny
Technologia wyjaśniona
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.