Hva kan du lære av en e-postadresse (metadata)?

Hva kan du lære av en e-postadresse (metadata)? / Internett

Har du noen gang fått en e-post og virkelig lurt på hvor det kom fra? Hvem sendte den? Hvordan kunne de ha kjent hvem du er? Overraskende mye av denne informasjonen kan være fra e-post header, eller ved å bruke info fra e-post header til å gjøre noen detektiv arbeid.

Overskriften er en del av e-postmeldingen som de fleste aldri ser enda. Den inneholder mye data som virker som gobbledygook til den gjennomsnittlige datamaskinbrukeren, slik at e-postbruk ble et daglig verktøy i alles liv, begynte e-postklienter å skjule denne informasjonen utenom bekvemmelighet for deg. I disse dager kan det til og med være litt plagsomt å avdekke overskriften, selv for de som vet at det er der. Det er så mange forskjellige e-postklienter der ute, både desktop og web-basert, som for å dekke hvordan du kan skjule e-postheader, kan ende opp som en liten bok. I dag skal vi bare fokusere på hvordan du skal ta på toppteksten i Gmail, og se på hva vi kan hente fra toppteksten.

Hva er en e-post overskrift?

En e-post header er en samling av informasjon som dokumenterer banen der e-posten kom til deg. Det kan være mye informasjon i overskriften eller bare det grunnleggende. Det er en standard for hvilken informasjon som skal inkluderes i en header, men ikke egentlig en grense for hvilken informasjon en e-postserver kan legge inn i overskriften. Hvis du er nysgjerrig på hva en standard for en e-protokoll ser ut, kan du sjekke ut RFC 5321 - Simple Mail Transfer Protocol. Det er litt vanskelig på hodet, spesielt hvis du ikke trenger å vite dette.

Gmail - Fjern e-posthodet

Når du har en e-postmelding åpen i Gmail, klikker du på pilen nedover i øverste høyre hjørne av meldingen. En ny meny vil vise seg. Klikk på Vis original for å se den raske e-postmeldingen med fullstendig innhold og overskrift avslørt.

Et nytt vindu eller en tabell åpnes, og du får selvfølgelig en ren tekstversjon av e-posten din med toppteksten øverst. Innholdet i toppteksten vil se slik ut:

Leveres til: [email protected]
Mottatt: ved 10.223.200.70 med SMTP-ID ev6csp162209fab;
Ma, 29 jul 2013 14:15:09 -0700 (PDT)
X-mottatt: med 10.236.227.202 med SMTP-ID d70mr27737943yhq.86.1375132508769;
Ma, 29 jul 2013 14:15:08 -0700 (PDT)
Return-Path:
Mottatt: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
til
(versjon = TLSv1-kryptering = RC4-SHA biter = 128/128);
Ma, 29 jul 2013 14:15:08 -0700 (PDT)
Mottatt-SPF: nøytral (google.com: 205.206.208.34 er ikke tillatt eller nektet av beste gjetningspost for domenet til [email protected]) client-ip = 205.206.208.34;
Autentiseringsresultater: mx.google.com;
spf = nøytral (google.com: 205.206.208.34 er ikke tillatt eller nektet av beste gjetningspost for domenet til [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtrert: True
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i =”4.89,772,1367992800" ;
d =”jpg'145 scan'145,208,217,145" ;? a =”14712973"
Mottatt: fra ukjent (HELO mail.exchange.telus.com) ([205.206.210.187])
av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600
Mottatt: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) av
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Ma, 29 jul 2013 15:13:48 -0600
Fra: Guy McDowell
Til: “[email protected]
Dato: ma, 29 jul 2013 15:15:03 -0600
Emne: Hva er en e-post header?
Tråd-emne: Hva er en e-post header?
Tråd-indeks: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Message-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>
Godta-språk: en-US
Innholdsspråk: en-US
X-MS-Has-Attach: Ja
X-MS-TNEF-Korrelator-:
acceptedlanguage: en-US
Innholdstype: multipart / relatert;
grense =”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”multipart / alternative”
MIME-versjon: 1.0

Det er fint. Hva betyr det?

Hvordan er e-posthodet laget??

Ved å vite hvordan overskriften opprettes langs banen, reiser en e-post, vil du utvikle økende innsikt i hva en topptekst betyr. La oss se på delene etter hvert som de blir lagt til, og hva de viktigste delene betyr.

På senderens datamaskin

En del av overskriften er opprettet når avsenderen lager e-posten for å sende til mottakeren. Dette vil inneholde slik informasjon som når e-posten ble sammensatt, hvem komponerte den, emnelinjen og til hvilken e-posten blir sendt. Dette er delen av overskriften som du er mest kjent med som Dato :, Fra :, Til :, og Emne: Linjer øverst på e-posten din.

Fra: Guy McDowell
Til: “[email protected]
Dato: ma, 29 jul 2013 15:15:03 -0600
Emne: Hva er en e-post header?

På Senderens e-posttjeneste

Mer informasjon er lagt til overskriften når e-posten faktisk er sendt. Dette leveres av e-posttjenesten som avsenderen bruker. I dette tilfellet bruker avsenderen en hostet e-posttjeneste, slik at IP-adressen som vises, er en adresse som er intern til tjenesteleverandørens nettverk. Å utføre et WHOIS-søk på det vil ikke gi noen nyttig informasjon. Det vi kan gjøre er å utføre et Google-søk på servernavnet HEXMBVS12.hostedmsx.local, og vi kan finne ut at tjenesteleverandøren er Telus. Hvis vi graver rundt på Telus nettside, finner vi at de tilbyr en Hosted Microsoft Exchange-tjeneste. Det antyder at avsenderen sannsynligvis bruker enten Microsoft Outlook, Outlook Express eller Outlook Web Access. Informasjonen som er lagt til her, inkluderer avsenderens IP-adresse ([10.9.6.115]), klokkeslettet sendt av avsenderens e-posttjeneste (ma, 29 jul 2013 15:13:48 -0600) og meldings-ID for den aktuelle melding som lagt til av e-posttjenesten.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Mottatt: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) av HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Ma, 29 jul 2013 15:13:48 -0600
Message-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Langs veien til mottakerens e-posttjeneste

Derfra kan e-posten ta et antall ruter for å ende opp på mottakers e-posttjeneste. Dette kan legges til toppteksten for å vise "hops" e-posten måtte gjøre for å komme til deg. Disse humlene starter på serveren som nylig håndterte e-posten og går tilbake til serveren som opprinnelig håndterte den, i omvendt kronologisk rekkefølge. I dette eksemplet er alle humlene interne på avsenderens e-posttjeneste.

Tredje, og Final Hop

Mottatt: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
til
(versjon = TLSv1-kryptering = RC4-SHA biter = 128/128);
Ma, 29 jul 2013 14:15:08 -0700 (PDT)
Mottatt-SPF: nøytral (google.com: 205.206.208.34 er ikke tillatt eller nektet av beste gjetningspost for domenet til [email protected]) client-ip = 205.206.208.34;
Autentiseringsresultater: mx.google.com;
spf = nøytral (google.com: 205.206.208.34 er ikke tillatt eller nektet av beste gjetningspost for domenet til [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtrert: True
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i =”4.89,772,1367992800" ;
d =”jpg'145 scan'145,208,217,145" ;? a =”14712973"

Tredje hop-forklaring
Dette er hopen som tar den fra Telus til mottakerens e-postserver. Vi kan fortelle at den ble mottatt av mx.google.com, så mottakeren har sin e-posttjeneste med Google. Her er det godt å merke linjen Mottatt-SPF: SPF, eller Sender Policy Framework, er en standard som avsenderens e-postserver kan erklære seg for å være den legitime avsenderen av e-posten. I dette tilfellet er kvalifiseringen nøytral, noe som betyr at ingenting kan sies om gyldigheten av denne e-posten, bra eller dårlig. Hadde det registrert som mislykkes, det ville blitt avvist av Gmails servere. Hvis det var softfail, Gmail ville ha akseptert det, men flagget det som muligens ikke fra hvem det sier det er fra.

Like under det ser du også tre linjer som begynner med X-Ironport-Anti-Spam. Den første, X-IronPort-Anti-Spam-Filtrert: True, er slått på av Telus 'IronPort anti-spam-apparat. IronPort er en del av Cisco, så det anses å være ganske pålitelig. De X-Ironport-Anti-Spam-resultat Linjen er ment utelukkende for IronPort-apparatene og kan ikke dekodes for menneskelige øyne - med mindre du jobber for Cisco og trenger å dekode den. Den tredje, X-Ironport-AV, viser at avsenderen har sitt eget anti-spam-apparat fra Sophos. Det kunne ha lest McAfee eller Norton, eller hva filteret din e-post går gjennom. Som mottaker kan dette gi deg litt mer selvsikkerhet om at e-posten er gyldig.

Second Hop

Mottatt: fra ukjent (HELO mail.exchange.telus.com) ([205.206.210.187])
av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600

Second Hop Forklaring
Det blir tydelig her at Telus er tjenesteleverandøren. Hvis det er tvil om dette, utfør en WHOIS-sjekk på IP-adressen som vises: 205.206.210.187. Du finner at IP-adressen også fører til Telus. Det gir deg litt mer tillit til at e-posten er legitim. Vi kan også fortelle at meldingen tok litt over et minutt å gå fra første hopp til andre hopp. Det forteller oss ikke mye med mindre du er en nettverksingeniør. I teorien kan du beregne omtrent hvor langt fra hverandre er de to serverne.

First Hop

Mottatt: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) av
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Ma, 29 jul 2013 15:13:48 -0600

Førstegangsforklaring
Første hop er avsenderens e-postserver som mottar sin e-postmelding. På dette punktet beveger e-posten seg fortsatt internt i avsenderens e-postserver nettverk. Du kan fortelle at IP-adressen starter med 10. IP-adresse som starter med 10 er kun reservert for intern bruk.

På mottakerens e-postserver

Leveres til: [email protected]
Mottatt: ved 10.223.200.70 med SMTP-ID ev6csp162209fab;
Ma, 29 jul 2013 14:15:09 -0700 (PDT)
X-mottatt: med 10.236.227.202 med SMTP-ID d70mr27737943yhq.86.1375132508769;
Ma, 29 jul 2013 14:15:08 -0700 (PDT)
Return-Path:

Når det kommer til mottakerens e-posttjeneste, legges mer informasjon til overskriften - hvilken av mottakerens e-posttjenesteleverandører mottok den og når, hvilken e-postserver meldingen ble mottatt fra, mottakerens e-postadresse og avsenderens uttalte svar til 'e-postadresse. tilbake i tredje hoppet, så vi at mottakerens e-posttjeneste var med Google. Vi kan fortelle at denne e-posten ble mottatt av en intern server og sendt videre til en annen - 10.236.227.202 til 10.223.200.70. Viktigst av alt kan vi fortelle av Return-Path: at e-posten til å svare og e-posten til avsenderen er den samme. Dette forteller også at det er en god sjanse for at denne e-posten er legitim.

Andre ting fra andre overskrifter

Denne spesielle e-post header er begrenset i sin informasjon fordi en vert e-posttjeneste blir brukt. Hvis avsenderen brukte sin egen e-postserver, kan vi kanskje få litt mer informasjon. Vi kan kanskje bestemme nøyaktig hvilken e-postklient de bruker. Eller vi kunne utføre en WHOIS på avsenderens IP-adresse og få en omtrentlig plassering av avsenderen. Vi kan også utføre et enkelt nettsøk på avsenderens domene og se om det er et nettsted for dem. Basert på nettsiden kan vi finne ut mer informasjon om avsenderen. Du kan foreta et nettsøk på selve e-postadressen og begynne å doxere personen. Hvis du ikke er kjent med begrepet "doxing", bli kjent med Joel Lee's Hva er Doxing og hvordan påvirker det ditt privatliv? Hva er Doxing og hvordan påvirker det ditt privatliv? [MakeUseOf Forklarer] Hva er Doxing og hvordan påvirker det ditt privatliv? [MakeUseOf Forklarer] Internett privatliv er en stor avtale. En av de oppgitte fordelene på Internett er at du kan forbli anonym bak skjermen din mens du surfer, snakker og gjør hva det er som du gjør. Les mer Les også også Ryan Dube's artikkel, 15 nettsteder for å finne folk på The Internett 12 Nettsteder for å finne folk på Internett 12 Nettsteder for å finne folk på Internett Hvis du leter etter en fortapte venn, eller kanskje vil gjøre en bakgrunnskontroll på noen, bør du vurdere disse gratis ressursene for å finne folk på internett . Les mer .

The Take Away

All elektronisk kommunikasjon gir fotspor. Noen er større og enklere å følge. Noen er skjult av webfiltre og proxy-servere. Uansett, det som er igjen, forteller oss noe om personen som skapte dem. Fra de metadataene kan vi utføre videre undersøkelser for å lære mer om de involverte. Skjuler de noe ved å bruke et VPN? Er de virkelig fra en legitim virksomhet med en legitim tilstedeværelse på nettet? Er dette noen jeg virkelig vil gå på en dato med? Hva kan vanlige folk lære om meg, enn si NSA?

Ta en titt på e-posthodene dine og se hva de sier om deg. Hvis du finner noen overskriftslinjer som ikke gir mye mening, legger du dem i kommentarene, og vi prøver å dekode dem. Har du måttet gjøre en e-post header undersøkelse? Fortell oss om det! Slik lærer vi alle.

Bildekreditt: Serverrom ved torkildr via Flickr.

Utforsk mer om: E-posttips, metadata.