Mit lehet megtanulni egy e-mail fejlécből (metaadatok)?

Hirdetés

Kapott valaha e-mailt, és igazán kíváncsi volt, honnan származik? Ki küldte? Honnan tudhatták, hogy ki vagy? Meglepő módon sok ilyen információ származhat az e-mail fejlécéből, vagy az e-mail fejlécéből származó információ felhasználásával detektív munkát végezhet.

A fejléc az e-mail része, amelyet a legtöbb ember soha nem is lát. Nagyon sok olyan adatot tartalmaz, amely az átlagos számítógép-felhasználó számára gobbledygooknak tűnik, tehát e-mailként is napi eszközévé vált mindenki életében, az e-mailes ügyfelek ezt az információt a kényelme érdekében elrejtették neked. Manapság kicsit nehézkes lehet a fejléc elrejtése, még azoknak is, akik tudják, hogy ott van. Olyan sok különböző e-mail kliens létezik odakinn, mind asztali, mind internetes alapú, hogy az e-mail fejlécének elrejtése érdekében egy kis könyv lehet. Ma csak arra összpontosítunk, hogy miként lehet kibontani a fejlécet a Gmailben, majd megnézzük, hogy mit tudunk megfejteni a fejlécből.

Mi az e-mail fejléc?

Az e-mail fejléc információgyűjtemény, amely dokumentálja azt az utat, amelyen keresztül az e-mail eljutott hozzád. Lehet, hogy sok információ található a fejlécben, vagy csak az alapok. Van egy szabvány arra vonatkozóan, hogy milyen információkat kell beilleszteni a fejlécbe, de nem igazán korlátozza, hogy az e-mail szerver milyen információkat helyezhessen a fejlécbe. Ha kíváncsi, hogy néz ki egy e-mail protokoll szabványa, nézd meg

RFC 5321 - Egyszerű levéltovábbítási protokoll. Kicsit nehéz a fején, különösen, ha nem kell tudnia ezeket a dolgokat.

Gmail - az e-mail fejléc elrejtése

Miután megnyitotta az e-mail üzenetet a Gmailben, kattintson az üzenet jobb felső sarkában lévő lefelé mutató nyílra. Megjelenik egy új menü. Kattintson az Eredeti megjelenítése elemre, hogy megjelenítse a nyers e-mailt, annak teljes tartalmával és fejlécével.

Megnyílik egy új ablak vagy fül, és természetesen látni fogja e-mail szövegének szöveget, a fejléccel a tetején. A fejléc tartalma így néz ki:

Kézbesítés: [email protected]. Fogadott: 2002.2.10-ig, SMTP azonosítóval ev6csp162209fab; 2013. július 29., hétfő, 14:15:09 -0700 (PDT) X-fogadott: 10.236.227.202-ig, SMTP azonosítóval d70mr27737943yhq.86.1375132508769; 2013. július 29., hétfő, 14:15:08 -0700 (PDT) Visszatérési útvonal:Fogadott: az mx21.exchange.telus.com webhelyről (MX21.exchange.telus.com. [205.206.208.34]) mx.google.com által, az ESMTPS azonosítóval y27si28720489yhc.101.2013.07.29.14.15.08. mert(verzió = TLSv1 rejtjel = RC4-SHA bit = 128/128); 2013. július 29., hétfő, 14:15:08 -0700 (PDT) Fogadott-SPF: semleges (google.com: 205.206.208.34 nem engedélyezett, és azt sem tagadja meg a [email protected] domain legjobb kitalálási rekordja) client-ip = 205.206.208.34; Hitelesítési eredmények: mx.google.com; spf = semleges (google.com: 205.206.208.34 nem engedélyezett, és nem tagadja meg a [email protected] domain legjobb kitalálási rekordja) [email protected]. X-IronPort-Spam-szűrő: igaz. X-IronPort-Anti-Spam-Eredmény: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Fogadva: ismeretlentől (HELO mail.exchange.telus.com) ([205.206.210.187]) az mx21.exchange.telus.com webhelyen az ESMTP / TLS / AES128-SHA-val; 2013. július 29. 15:15:07 -0600. Fogadás: a HEXMBVS12.hostedmsx.local-tól ([10.9.6.115]), átvételtől. HEXHUB13.hostedmsx.local ([:: 1]) mapi-val; Hétfő, 2013. július 29. 15:13:48 -0600. Feladó: Guy McDowell
Címzett: "[email protected]" Dátum: 2013. július 29., hétfő, 15:15:03 -0600. Tárgy: Mi az e-mail fejléc? Téma: Mi az e-mail fejléc? Menet-index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Üzenet-azonosító: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: en-US. Tartalom-nyelv: en-US. X-MS-Has-Attach: igen. X-MS-TNEF-korrelátor: elfogadó nyelv: en-US. Tartalomtípus: többrészes / kapcsolódó; boundary = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternatív" MIME-verzió: 1.0

Ez szép. Az mit jelent?

Hogyan készül az e-mail fejléc?

Ha megismeri, hogy a fejléc hogyan jön létre az e-mail útja mentén, akkor alaposabb betekintést nyerhet a fejléc adataiba. Nézzük meg az alkatrészeket azok hozzáadásakor, és mit jelentenek a legfontosabb részek.

A feladó számítógépén

A fejléc egy része akkor jön létre, amikor a feladó létrehozza a címzettnek küldött e-mailt. Ez magában foglalja az olyan információkat, mint például az e-mail elkészítésének ideje, ki az, aki összeállította, a tárgysor és az e-mail címzettje. Ez a fejléc azon része, amelyet a legjobban ismer a Dátum:, Feladó:, Címzett: és Tárgy: sor az e-mail tetején.

Feladó: Guy McDowell
Címzett: “[email protected]”
Dátum: 2013. július 29., hétfő, 15:15:03 -0600
Tárgy: Mi az e-mail fejléc?

A feladó e-mail szolgáltatásán

Az e-mail tényleges elküldése után több információ kerül a fejlécbe. Ezt a feladó által használt e-mail szolgáltatás biztosítja. Ebben az esetben a feladó hosztolt e-mail szolgáltatást használ, tehát a megjelenített IP-cím a szolgáltató hálózatának belső címe. A WHOIS-keresés elvégzése nem nyújt hasznos információt. Mit tehetünk, ha Google keresést hajtunk végre a szerver nevére HEXMBVS12.hostedmsx.local és azt találhatjuk, hogy a szolgáltató a Telus. Ha valamilyen ásatást végzünk a Telus webhelyén, akkor azt találjuk, hogy Hosted Microsoft Exchange szolgáltatást kínálnak. Ez arra utal, hogy a feladó valószínűleg a Microsoft Outlookot, az Outlook Expresset vagy az Outlook Web Access szolgáltatást használja. Az itt megadott információk tartalmazzák a feladó IP-címét ([10.9.6.115]), a feladó e-mailjében elküldött időt szolgáltatás (2013. július 29., hétfő, 15:13:48 -0600), és az adott üzenethez tartozó üzenet-azonosító, amelyet az e-mail ad hozzá szolgáltatás.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Fogadva: a HEXMBVS12.hostedmsx.local-tól ([10.9.6.115]), a HEXHUB13.hostedmsx.local ([:: 1]) -től mapi-val; Hétfő, 2013. július 29. 15:13:48 -0600. Üzenet-azonosító: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

A címzett e-mail szolgáltatásának útján

Innentől kezdve az e-mail tetszőleges számú útvonalat vehet igénybe a címzett e-mail szolgáltatásában. Ezt fel lehet venni a fejlécbe annak a „komlónak” a megjelenítéséhez, amelyet az e-mailnek el kellett volna érnie. Ezek a komló az az e-mailt utoljára kezelő szervernél indulnak, és fordított időrendi sorrendben térnek vissza az eredetileg kezelt szerverre. Ebben a példában az összes komló belső a feladó e-mail szolgáltatásán.

Harmadik és utolsó hop

Fogadott: az mx21.exchange.telus.com webhelyről (MX21.exchange.telus.com. [205.206.208.34]) mx.google.com által, az ESMTPS azonosítóval y27si28720489yhc.101.2013.07.29.14.15.08. mert(verzió = TLSv1 rejtjel = RC4-SHA bit = 128/128); 2013. július 29., hétfő, 14:15:08 -0700 (PDT) Fogadott-SPF: semleges (google.com: 205.206.208.34 nem engedélyezett, és azt sem tagadja meg a [email protected] domain legjobb kitalálási rekordja) client-ip = 205.206.208.34; Hitelesítési eredmények: mx.google.com; spf = semleges (google.com: 205.206.208.34 nem engedélyezett, és nem tagadja meg a [email protected] domain legjobb kitalálási rekordja) [email protected]. X-IronPort-Spam-szűrő: igaz. X-IronPort-Anti-Spam-Eredmény: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"

Harmadik hop magyarázat
Ez az a hop, amely eljuttatja a Telus-tól a címzettek e-mail szerveréhez. Azt mondhatjuk, hogy az mx.google.com kézhez vette, így a címzettnek e-mail szolgáltatása van a Google-lal. Itt jó megjegyezni a vonalat Kapott-SPF: Az SPF, vagy a Sender Policy Framework egy olyan szabvány, amellyel a feladó e-mail szervere kijelenti magát az e-mail törvényes feladójának. Ebben az esetben a minősítő semleges, ami azt jelenti, hogy semmit nem lehet mondani az e-mail érvényességéről, jó vagy rossz. Ha regisztrálták volna Fail, ezt a Gmail szerverei elutasították. Ha lenne softfail, A Gmail elfogadta volna, de megjelölte, hogy valószínűleg nem az, akitől azt állítja, hogy honnan származik.

Alig ez alatt három sor kezdődik X-IronPort-Anti-Spam. Az első, X-IronPort-Spam-szűrő: igaz, a Telus IronPort anti-spam készülékével ragadja meg. Az IronPort része a Cisco, ezért elég megbízhatónak tekintik. Az X-IronPort-Anti-Spam-eredmény A vonal kizárólag az IronPort készülékek számára készült, és nem dekódolható az emberi szem számára - kivéve, ha a Cisco munkatársa és dekódolása szükséges. A harmadik, X-IronPort-AV, azt mutatja, hogy a feladónak megvan a saját spam-ellenes készüléke a Sophos-tól. Lehet, hogy elolvasta a McAfee-t vagy a Norton-ot, vagy bármilyen szűrőt, amelyen keresztül keresztüljut az e-mailje. Címzettként ez kicsit több bizalmat adhat neked az e-mail érvényességéről.

Második hop

Fogadva: ismeretlentől (HELO mail.exchange.telus.com) ([205.206.210.187])
az mx21.exchange.telus.com webhelyen az ESMTP / TLS / AES128-SHA-val; 2013. július 29. 15:15:07 -0600

Második hop magyarázat
Itt nyilvánvalóvá válik, hogy a Telus a szolgáltató. Ha bármilyen kétség merül fel ezzel, hajtsa végre a WHOIS ellenőrzést az ábrázolt IP-címen: 205.206.210.187. Megállapíthatja, hogy az IP-cím a Telushoz is vezet. Ez egy kicsit több bizalmat ad neked arról, hogy az e-mail jogos. Azt is elmondhatjuk, hogy az üzenet valamivel több mint egy percet vett igénybe az első ugrástól a második ugrásig. Ez nem sokat mond nekünk, hacsak nem hálózati mérnök vagy. Elméletileg nagyjából kiszámolhatja, hogy a két szerver milyen távol van egymástól.

Első hop

Fogadott: a HEXMBVS12.hostedmsx.local-tól ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) mapi-val; Hétfő, 2013. július 29. 15:13:48 -0600

Első hop magyarázat
Az első ugrás a feladó e-mail szervere, amely megkapja az e-mail üzenetét. Ezen a ponton az e-mail továbbra is belsőleg mozog a feladó e-mail szerverének hálózatán belül. Megmondhatja az a tény, hogy az IP-cím kezdődik 10. A 10-vel kezdődő IP-címek csak belső használatra vannak fenntartva.

A Címzett e-mail szerverén

Kézbesítés: [email protected]
Fogadott: 2002.2.10-ig, SMTP azonosítóval ev6csp162209fab;
2013. július 29., hétfő, 14:15:09 -0700 (PDT)
X-fogadott: 10.236.227.202-ig, SMTP azonosítóval d70mr27737943yhq.86.1375132508769;
2013. július 29., hétfő, 14:15:08 -0700 (PDT)
Visszatérési útvonal:

Miután megérkezett a címzett e-mail szolgáltatásához, további információ kerül a fejlécbe - melyik a címzett e-mail szolgáltatói kiszolgálót kapta meg, és mikor, milyen e-mail szerverről érkezett üzenet, a címzett e-mail címe és a feladó kijelentése: „válasz az e-mailre” cím. a Harmadik Hopban, láttuk, hogy a címzett e-mail szolgáltatása a Google-nál működik. Megmondhatjuk, hogy ezt az e-mailt az egyik belső szerver megkapta, és továbbította a másiknak - 10.236.227.202-ig 10.223.200.70-ig. A legfontosabb, amit a Visszatérési útvonal: hogy a válaszhoz tartozó e-mail és a feladó e-mail címe megegyezik. Ez azt is megmondja nekünk, hogy nagy esély van arra, hogy ez az e-mail jogos.

Egyéb dolgok más fejlécekből

Ennek az e-mail fejlécnek az információ korlátozott, mivel egy hostolt e-mail szolgáltatást használnak. Ha a feladó a saját e-mail szerverét használja, akkor valószínűleg valamivel több információt szerezhetünk. Lehetséges, hogy pontosan meghatározhatjuk, hogy milyen e-mail klienst használnak. Vagy végrehajthatunk WHOIS-t a feladó IP-címén, és megkaphatjuk a feladó hozzávetőleges helyét. Végezhetünk egy egyszerű internetes keresést is a feladó domainjén, és megnézhetjük, van-e weboldal számukra. Ezen a webhelyen alapulva további információkat tudhatunk meg a feladóról. Lehet, hogy internetes keresést hajt végre maga az e-mail cím alapján, és elkezdi a személy doxzését. Ha nem ismeri a „doxing” fogalmát, ismerkedjen meg Joel Lee-vel Mi a Doxing és hogyan befolyásolja az adatvédelmet? Mi a Doxing és hogyan befolyásolja az adatvédelmet? [MakeUseOf magyarázat]Az internetes adatvédelem hatalmas üzlet. Az Internet egyik kijelentése, hogy névtelen maradhat a monitor mögött, miközben böngész, cseveg, és bármit megtesz, amit csinál ... Olvass tovább Vessen egy könyvet is Ryan Dube-nak, 15 webhely emberek keresésére az interneten 13 webhely emberek keresésére az internetenElvesztett barátokat keres? Manapság könnyebb, mint valaha, embereket találni az interneten ezekkel a keresőmotorokkal. Olvass tovább .

Az elvonulás

Minden elektronikus kommunikáció lábnyomokat hagy. Néhányuk nagyobb és könnyebben követhető. Néhányat eltakarnak a webszűrők és a proxyszerverek. Akárhogy is, az, ami elmarad, mond valamit a létrehozó személyről. Ezen metaadatok alapján további vizsgálatokat folytathatunk, hogy többet megtudhassunk az érintett emberekről. Rejtenek valamit egy VPN segítségével? Valóban egy legitim vállalkozástól származnak, amelynek legitim internetes jelenléte van? Valakivel igazán szeretnék randizni? Mit tanulhatnak rólam a hétköznapi emberek, nem is beszélve az NSA-ról?

Vessen egy pillantást az e-mailek fejlécére, és nézze meg, mit mondanak rólad. Ha olyan fejlécsorokat talál, amelyeknek nincs értelme, írja be őket a megjegyzésekbe, és megpróbáljuk őket dekódolni. Kell tennie néhány e-mail fejlécet a nyomozáshoz? Mondja el nekünk! Így tanulunk mindannyian.

Kép jóváírás: Szerver szoba torkildr-től Flickr-en keresztül.