Какво можете да научите от заглавието на имейли (метаданни)?

реклама

Получихте ли някога имейл и наистина се чудехте откъде идва? Кой го изпрати? Как можеха да разберат кой си? Изненадващо много от тази информация може да бъде от заглавката на имейла или чрез използване на информация от заглавната част на имейла, за да свършите някаква детективска работа.

Заглавката е част от имейл съобщението, което повечето хора дори не виждат. Той съдържа много данни, които изглеждат като gobbledygook за обикновения потребител на компютър, така че използването на имейл се превърна в ежедневен инструмент в живота на всеки, имейл клиентите започнаха да крият тази информация от удобство за теб. В наши дни дори може да е доста неприятно да се скрие заглавката, дори и за онези, които знаят, че е там. Има толкова много различни имейл клиенти, както на работния плот, така и на уеб-базирани, че да се разбере как да се скрие заглавката на имейла може да се превърне в малка книга. Днес ние просто ще се съсредоточим върху това как да разкрием заглавката в Gmail и ще разгледаме какво можем да съберем от заглавката.

Какво е заглавка на имейл?

Имейл заглавката е съвкупност от информация, която документира пътя, по който имейлът е стигнал до вас. В заглавката може да има много информация или просто основите. Съществува стандарт за това каква информация трябва да бъде включена в заглавието, но всъщност не е ограничение за това, каква информация може да въведе един имейл сървър в заглавката. Ако ви е любопитно как изглежда стандарт за имейл протокол, проверете RFC 5321 - Прост протокол за прехвърляне на поща. Малко е трудно на главата, особено ако не е нужно да знаете тези неща.

Gmail - Открийте заглавката на имейлите

След като отворите имейл съобщение в Gmail, кликнете върху стрелката надолу в горния десен ъгъл на съобщението. Ще се покаже ново меню. Кликнете върху Покажи оригинал, за да видите необработеното имейл съобщение с неговото пълно съдържание и заглавие.

Ще се отвори нов прозорец или раздел и вие, разбира се, ще видите обикновена текстова версия на имейла си с заглавката. Съдържанието на заглавката ще изглежда така:

Доставено-до: [email protected]. Получено: до 10.223.200.70 г. с SMTP id ev6csp162209fab; Пн, 29 юли 2013 14:15:09 -0700 (PDT) X-получено: до 10.236.227.202 с SMTP id d70mr27737943yhq.86.1375132508769; Пн, 29 юли 2013 14:15:08 -0700 (PDT) Път за връщане:Получено: от mx21.exchange.telus.com (MX21.exchange.telus.com). [205.206.208.34]) от mx.google.com с ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. за(версия = TLSv1 шифър = RC4-SHA битове = 128/128); Пн, 29 юли 2013 14:15:08 -0700 (PDT) Получено-SPF: неутрално (google.com: 205.206.208.34 не е разрешено, нито отричано от най-добрия запис на предположения за домейн от [email protected]) client-ip = 205.206.208.34; Удостоверяване-резултати: mx.google.com; spf = неутрален (google.com: 205.206.208.34 не е разрешен или отказан от най-добрия досег за домейни на [email protected]) [email protected]. X-IronPort-Anti-Spam-филтрирано: вярно. X-IronPort-Anti-Spam-Резултат: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Софос; I = "4.89,772,1367992800"; г = "? jpg'145 scan'145,208,217,145"; а = "14712973" Получено: от неизвестно (HELO mail.exchange.telus.com) ([205.206.210.187]) от mx21.exchange.telus.com с ESMTP / TLS / AES128-SHA; 29 юли 2013 15:15:07 -0600. Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115]) от. HEXHUB13.hostedmsx.local ([:: 1]) с карта; Пн, 29 юли 2013 15:13:48 -0600. От: Гай Макдауъл
До: "[email protected]" Дата: пн, 29 юли 2013 15:15:03 -0600. Тема: Какво представлява заглавката на електронната поща? Тема за темата: Какво представлява заглавката на електронната поща? Индекс на нишката: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == ID на съобщението: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: en-US. Език на съдържанието: en-US. X-MS-Has-Attach: да. X-MS-TNEF-Корелатор: приемане на езика: en-US. Тип на съдържанието: многочастни / свързани; граница = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; тип = "съставното / алтернативни" MIME-версия: 1.0

Това е хубаво. Какво означава това?

Как се създава заглавката на имейла?

Като знаете как е създадена заглавката по пътя, по който пътува имейл, ще развиете по-добър поглед върху това какво означават данните на заглавката. Нека разгледаме частите, както са добавени, и какво означават най-важните части.

На компютъра на изпращача

Част от заглавката се създава, когато подателят създаде имейла, който да изпрати на получателя. Това ще включва такава информация, като кога е бил съставен имейл, кой го е съставил, темата и на кого е изпратен имейл. Това е частта от заглавката, която най-добре познавате, като виждате редове Дата:, От:, До:, и Тема: в горната част на имейла си.

От: Гай Макдауъл
До: „[email protected]“
Дата: пн, 29 юли 2013 15:15:03 -0600
Тема: Какво е заглавка на имейл?

От услугата за електронна поща на изпращача

Повече информация се добавя в заглавката, след като имейлът е действително изпратен. Това се предоставя от услугата за електронна поща, която изпращачът използва. В този случай подателят използва хоствана имейл услуга, така че показаният IP адрес е адрес, който е вътрешен за мрежата на доставчика на услуги. Извършването на търсене в WHOIS няма да предостави никаква полезна информация. Това, което можем да направим, е да извършим търсене в Google на името на сървъра HEXMBVS12.hostedmsx.local и можем да открием, че доставчикът на услуги е Телус. Ако направим някои изкопвания в уебсайта на Telus, ще открием, че предлагат хоствана услуга на Microsoft Exchange. Това предполага, че подателят вероятно използва Microsoft Outlook, Outlook Express или Outlook Web Access. Информацията, добавена тук, включва IP адреса на подателя ([10.9.6.115]), времето, изпратено от имейла на подателя услуга (пн, 29 юли 2013 15:13:48 -0600) и идентификационния номер на съобщението за това конкретно съобщение, добавено от имейла обслужване.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115]) от HEXHUB13.hostedmsx.local ([:: 1]) с карта; Пн, 29 юли 2013 15:13:48 -0600. ID на съобщението: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

По пътя към услугата за електронна поща на получателя

Оттам имейлът може да измине произволен брой маршрути, за да се озове на имейл услугата на получателя. Това може да се добави в заглавката, за да се покаже „хоп“, който имейлът трябваше да направи, за да стигне до вас. Тези хмелове започват от сървъра, който най-скоро е обработил имейла, и се връщат към сървъра, който първоначално го е обработвал, в обратен хронологичен ред. В този пример, всички хмелове са вътрешни в услугата за изпращане на електронна поща на подателя.

Трети и финален хоп

Получено: от mx21.exchange.telus.com (MX21.exchange.telus.com). [205.206.208.34]) от mx.google.com с ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. за(версия = TLSv1 шифър = RC4-SHA битове = 128/128); Пн, 29 юли 2013 14:15:08 -0700 (PDT) Получено-SPF: неутрално (google.com: 205.206.208.34 не е разрешено, нито отричано от най-добрия запис на предположения за домейн от [email protected]) client-ip = 205.206.208.34; Удостоверяване-резултати: mx.google.com; spf = неутрален (google.com: 205.206.208.34 не е разрешен или отказан от най-добрия досег за домейни на [email protected]) [email protected]. X-IronPort-Anti-Spam-филтрирано: вярно. X-IronPort-Anti-Spam-Резултат: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Софос; I = "4.89,772,1367992800"; г = "? jpg'145 scan'145,208,217,145"; а = "14712973"

Трето обяснение на хопа
Това е хоп, който го пренася от Telus към сървъра за получатели на имейли. Можем да кажем, че тя е получена от mx.google.com, така че получателят има своята електронна услуга с Google. Тук е добре да се отбележи линията Получени-SPF: SPF или Sender Policy Framework е стандарт, чрез който имейл сървърът на подателя може да се обяви за легитимен подател на имейла. В този случай квалификаторът е неутрален, което означава, че нищо не може да се каже за валидността на този имейл, добър или лош. Ако беше регистрирана като Fail, той би бил отхвърлен от сървърите на Gmail. Ако беше softfail, Gmail щеше да го приеме, но го маркира като вероятно, че не е от когото казва, че е от.

Точно под това ще видите и три реда, започващи с X-IronPort-Anti-Spam. Първият, X-IronPort-Anti-Spam-филтрирано: вярно, е залепен от уредите за защита от спам на Telus на IronPort. IronPort е част от Cisco, така че се смята за доста надежден. Най- X-IronPort-Anti-Spam-Резултати линия е предназначена единствено за уредите IronPort и не може да бъде декодирана за човешки очи - освен ако не работите за Cisco и не е необходимо да я декодирате. Третият, X-IronPort-AV, показва, че изпращачът разполага със собствен уред против спам от Sophos. Може да е прочел McAfee или Norton, или каквото и да филтрира вашия имейл. Като получател това може да ви даде малко повече увереност, че имейлът е валиден.

Втори хоп

Получено: от неизвестно (HELO mail.exchange.telus.com) ([205.206.210.187])
от mx21.exchange.telus.com с ESMTP / TLS / AES128-SHA; 29 юли 2013 15:15:07 -0600

Второ обяснение за хоп
Тук става очевидно, че Телус е доставчикът на услуги. Ако има съмнение за това, извършете WHOIS проверка на показания IP адрес: 205.206.210.187. Ще откриете, че IP адресът води и до Telus. Това ви дава малко повече увереност, че имейлът е легитимен. Можем също да кажем, че съобщението отне малко повече от една минута, за да премине от първия скок към втория. Това не ни казва много, освен ако не сте мрежов инженер. На теория бихте могли да изчислите приблизително колко отдалечени са двата сървъра.

Първи хоп

Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115]) от
HEXHUB13.hostedmsx.local ([:: 1]) с карта; Пн, 29 юли 2013 15:13:48 -0600

Първо обяснение на хоп
Първият хоп е имейл сървърът на подателя, който получава неговото имейл съобщение. В този момент имейлът все още се движи вътрешно в мрежата на имейл сървъра на подателя. Можете да разберете, че IP адресът започва с 10. IP адресът, който започва с 10, е запазен само за вътрешна употреба.

На сървъра за електронна поща на получателя

Доставено-до: [email protected]
Получено: до 10.223.200.70 г. с SMTP id ev6csp162209fab;
Пн, 29 юли 2013 14:15:09 -0700 (PDT)
X-получено: до 10.236.227.202 с SMTP id d70mr27737943yhq.86.1375132508769;
Пн, 29 юли 2013 14:15:08 -0700 (PDT)
Път за връщане:

След като стигне до имейл услугата на получателя, в заглавката се добавя повече информация - кой от сървърите за имейл услуги на получателя е получил и кога, от какъв имейл сървър е получено съобщението, имейл адреса на получателя и имейла, посочен от подателя „отговор на“ адрес. още в Третия хоп видяхме, че имейл услугата на получателя е с Google. Можем да кажем, че този имейл е получен от един вътрешен сървър и се предава на друг - 10.236.227.202 до 10.223.200.70. Най-важното, което можем да кажем от Път за връщане: че имейлът за отговор и имейл на изпращача е един и същ. Това също ни казва, че има голям шанс този имейл да е легитимен.

Други неща от други хедъри

Тази конкретна имейл заглавка е ограничена в своята информация, тъй като се използва хоствана електронна услуга. Ако подателят използва собствения си имейл сървър, може да успеем да спечелим малко повече информация. Може да успеем да определим точно кой пощенски клиент използва. Или можем да извършим WHOIS на IP адреса на изпращача и да получим приблизително местоположение на подателя. Бихме могли да извършим и просто търсене в мрежата в домейна на подателя и да видим дали има уебсайт за тях. Въз основа на този уебсайт може да успеем да разберем още повече информация за подателя. Може да извършите търсене в мрежата на самия имейл адрес и да започнете да доксирате човека. Ако не сте запознати с понятието „доксинг“, запознайте се с Джоел Лий Какво е Doxing и как влияе на вашата поверителност? Какво е Doxing и как влияе на вашата поверителност? [MakeUseOf обяснява]Поверителността в интернет е огромна работа. Едно от заявените предимства на интернет е, че можете да останете анонимни зад вашия монитор, докато сърфирате, разговаряте и правите всичко, което правите ... Прочетете още Също така, прочетете статията на Райън Дюб, 15 уебсайта за намиране на хора в интернет 13 уебсайтове за намиране на хора в ИнтернетТърсите изгубени приятели? Днес е по-лесно от всякога да намерите хора в интернет с тези търсачки. Прочетете още .

The Take Away

Всички електронни комуникации оставят отпечатъци. Някои са по-големи и по-лесни за следване. Някои от тях са скрити от уеб филтри и прокси сървъри. Така или иначе това, което е останало, ни казва нещо за човека, който ги е създал. От тези метаданни бихме могли да проведем допълнителни разследвания, за да научим повече за участващите хора. Крият ли нещо с помощта на VPN? Наистина ли са от легален бизнес с легитимно присъствие в мрежата? Това някой наистина ли искам да отида на среща? Какво могат обикновените хора да научат за мен, камо ли за НСА?

Погледнете заглавките на вашите имейли и вижте какво казват за вас. Ако откриете някои заглавни редове, които нямат много смисъл, поставете ги в коментарите и ще се опитаме да ги декодираме. Трябвало ли е да проучите заглавието на имейла? Разкажете ни за това! Така всички се учим.

Кредит за изображение: Сървърна стая от torkildr чрез Flickr.