Шта можете научити од заглавља е-поште (метаподаци)?

Реклама

Јесте ли икад добили е-пошту и заиста се питали одакле долази? Ко га је послао? Како су могли знати ко сте ви? Изненађујуће је да пуно тих информација може бити из заглавља е-поште или употребом информација из заглавља е-поште за обављање неких детективских послова.

Заглавље је део поруке е-поште коју већина људи никад не види. Садржи пуно података који просјечном кориснику рачунара изгледају попут "гоббледигоок", као и употреба е-поште постао свакодневни алат у животу свакога, клијенти е-поште су почели да крију те податке за тебе. Ових дана може бити чак и мало проблематично открити заглавље, чак и за оне који знају да је тамо. Постоји толико много различитих клијената е-поште, и на радној површини и на мрежи, да би покривање начина на који се може сакрити заглавље е-поште могло постати мала књига. Данас ћемо се само фокусирати на то како да се скрива заглавље у Гмаил-у, а затим ћемо погледати шта можемо видети из заглавља.

Шта је заглавље е-поште?

Заглавље е-поште је збирка информација која документује путању којом је е-пошта стигла до вас. Можда постоји пуно информација у заглављу или само основа. Постоји стандард за то које информације треба да буду укључене у заглавље, али не и ограничење за оне информације које би сервер е-поште могао да стави у заглавље. Ако вас занима како изгледа стандард за протокол е-поште, погледајте

РФЦ 5321 - Једноставни протокол за пренос поште. Мало је тешко у глави, посебно ако не морате да знате ове ствари.

Гмаил - Откривање заглавља е-поште

Када отворите поруку е-поште у Гмаил-у, кликните стрелицу окренуту на доле у ​​горњем десном углу поруке. Појавиће се нови мени. Кликните на Прикажи оригинал да бисте видели необрађену поруку е-поште са потпуним садржајем и заглављем.

Отвориће се нови прозор или картица и видећете, наравно, верзију текста е-поште са заглављем на врху, наравно. Садржај заглавља изгледаће отприлике овако:

Испоручено до: момак@макеусеоф.цом. Примљено: до 10.223.200.70 са СМТП ид ев6цсп162209фаб; Мон, 29 Јул 2013 14:15:09 -0700 (ПДТ) Кс-примљено: до 10.236.227.202 са СМТП ид д70мр27737943ихк.86.1375132508769; Пон, 29. јула 2013. 14:15:08 -0700 (ПДТ) Повратни пут:Примљено: од мк21.екцханге.телус.цом (МКС21.екцханге.телус.цом). [205.206.208.34]) аутор мк.гоогле.цом са ЕСМТПС ид и27си28720489ихц.101.2013.07.29.14.15.08. за(верзија = ТЛСв1 шифра = РЦ4-СХА битови = 128/128); Пон, 29. јула 2013. 14:15:08 -0700 (ПДТ) Примљено-СПФ: неутрално (гоогле.цом: 205.206.208.34 није дозвољено нити одбијено са најбољим записима нагађања за домен гмцдовелл@сомецомпани.цом) цлиент-ип = 205.206.208.34; Резултати провјере аутентичности: мк.гоогле.цом; спф = неутрално (гоогле.цом: 205.206.208.34 није дозвољено нити демантирано у записима са најбољим претпоставкама за домен гмцдовелл@сомецомпани.цом) смтп.маил=гмцдовелл@сомецомпани.цом. Кс-ИронПорт-Анти-Спам-Филтрирано: тачно. Кс-ИронПорт-анти-спам-Резултат: АкИБАН3а9лХНзтК7хГдсб2ЈхбАБИА4ЈЦебВсиЕВБХБИОАКЕБЦхЗДгиКБАКЕЕБСАИАРсоАхКЕАРУКАКЕБЦх4ФЕАЕДЦКИМЈгЕЕЕгЕГАгаИАгиИЕ6БеБИ5КфггОЦииДБ28ДиСкЦБИИРАВмЈМ4ЈЗјјкдгТУ. Кс-ИронПорт-АВ: Е = Сопхос; и = "4.89.772,1367992800"; д = "јпг'145? сцан'145,208,217,145"; а = "14712973" Примљено: од непознатог (ХЕЛО маил.екцханге.телус.цом) ([205.206.210.187]) би мк21.екцханге.телус.цом са ЕСМТП / ТЛС / АЕС128-СХА; 29 јула 2013 15:15:07 -0600. Примљено: од ХЕКСМБВС12.хостедмск.лоцал ([10.9.6.115]). ХЕКСХУБ13.хостедмск.лоцал ([:: 1]) са мапом; Пон, 29. јул 2013. 15:13:48 -0600. Од: Гуи МцДовелл
За: "гуи@макеусеоф.цом" Датум: пон, 29. јул 2013. 15:15:03 -0600. Тема: Шта је заглавље е-поште? Тема теме: Шта је заглавље е-поште? Индекс теме: Ац6МоКВННмЕ / 49ПеСфезКкВНОП2КЕК == ИД поруке: <5ФЕ22Е33565Б894ББЕ2ЦБ78ДД0396ДА01808А1Б1Б2@ХЕКСМБВС12.хостедмск.лоцал> Језик прихватања: ен-УС. Језик садржаја: ен-УС. Кс-МС-има прилог: да. Кс-МС-ТНЕФ-Корелатор: прихватни језик: ен-УС. Тип садржаја: вишеслојни / повезани; бордер = "_ 004_5ФЕ22Е33565Б894ББЕ2ЦБ78ДД0396ДА01808А1Б1Б2ХЕКСМБВС12хост_"; типе = "мултипарт / алтернативно" МИМЕ-верзија: 1.0

То је лепо. Шта то значи?

Како се ствара заглавље е-поште?

Знајући како се заглавље ствара на путу којим е-пошта путује, развити ћете бољи увид у то шта значе подаци заглавља. Погледајмо делове како се додају и шта најважнији делови значе.

На рачунару пошиљаоца

Део заглавља се креира када пошиљалац креира е-пошту коју ће послати примаоцу. Ово укључује податке о томе када је састављен е-маил, ко га је саставио, наслов и коме се е-пошта шаље. Ово је део заглавља који вам је најпознатији по редовима Дате:, Фром:, То:, анд Субјецт: на врху е-поште.

Од: Гуи МцДовелл
За: „гуи@макеусеоф.цом“
Датум: пон, 29. јул 2013. 15:15:03 -0600
Тема: Шта је заглавље е-поште?

На пошиљаочевој услузи е-поште

Више информација се додаје у заглављу након што је е-маил заиста послан. То пружа услуга е-поште коју пошиљалац користи. У овом случају, пошиљалац користи хостирану услугу е-поште, тако да је приказана ИП адреса адреса која је унутрашња за мрежу провајдера сервиса. Ако извршите ВХОИС претрагу на њему, неће пружити никакве корисне информације. Оно што можемо је да извршимо Гоогле претрагу на имену сервера ХЕКСМБВС12.хостедмск.лоцал и можемо да утврдимо да је пружалац услуга Телус. Ако истражимо на веб локацији Телус, открићемо да они нуде услугу Мицрософт Екцханге са хостом. То сугерише да пошиљалац вероватно користи Мицрософт Оутлоок, Оутлоок Екпресс или Оутлоок Веб Аццесс. Овде додате информације укључују ИП адресу пошиљаоца ([10.9.6.115]), време које је послао е-маил пошиљаоца услуга (пон, 29. јул 2013. 15:13:48 -0600) и ИД поруке за ту одређену поруку као што је додато у имејлу услуга.

(5ФЕ22Е33565Б894ББЕ2ЦБ78ДД0396ДА01808А1Б1Б2@ХЕКСМБВС12.хостедмск.лоцал). Примљено: од ХЕКСМБВС12.хостедмск.лоцал ([10.9.6.115]) од ХЕКСХУБ13.хостедмск.лоцал ([:: 1]) са мапом; Пон, 29. јул 2013. 15:13:48 -0600. ИД поруке: <5ФЕ22Е33565Б894ББЕ2ЦБ78ДД0396ДА01808А1Б1Б2@ХЕКСМБВС12.хостедмск.лоцал>

Уз пут до услуге примаоца е-поште

Одатле ће адреса е-поште потрајати било којим бројем рута да би стигла до примаочеве услуге е-поште. Ово се може додати у заглавље да би се приказали „хопови“ које је е-маил морао да добије до вас. Ови скокови почињу на серверу који је најновије обрађивао е-пошту и враћају се на сервер који је изворно њиме управљао, обрнутим хронолошким редоследом. У овом примеру, сви хмељеви су интерни у пошиљаочевој услузи е-поште.

Трећи и завршни скок

Примљено: од мк21.екцханге.телус.цом (МКС21.екцханге.телус.цом). [205.206.208.34]) аутор мк.гоогле.цом са ЕСМТПС ид и27си28720489ихц.101.2013.07.29.14.15.08. за(верзија = ТЛСв1 шифра = РЦ4-СХА битови = 128/128); Пон, 29. јула 2013. 14:15:08 -0700 (ПДТ) Примљено-СПФ: неутрално (гоогле.цом: 205.206.208.34 није дозвољено нити одбијено са најбољим записима нагађања за домен гмцдовелл@сомецомпани.цом) цлиент-ип = 205.206.208.34; Резултати провјере аутентичности: мк.гоогле.цом; спф = неутрално (гоогле.цом: 205.206.208.34 није дозвољено нити демантирано у записима са најбољим претпоставкама за домен гмцдовелл@сомецомпани.цом) смтп.маил=гмцдовелл@сомецомпани.цом. Кс-ИронПорт-Анти-Спам-Филтрирано: тачно. Кс-ИронПорт-анти-спам-Резултат: АкИБАН3а9лХНзтК7хГдсб2ЈхбАБИА4ЈЦебВсиЕВБХБИОАКЕБЦхЗДгиКБАКЕЕБСАИАРсоАхКЕАРУКАКЕБЦх4ФЕАЕДЦКИМЈгЕЕЕгЕГАгаИАгиИЕ6БеБИ5КфггОЦииДБ28ДиСкЦБИИРАВмЈМ4ЈЗјјкдгТУ. Кс-ИронПорт-АВ: Е = Сопхос; и = "4.89.772,1367992800"; д = "јпг'145? сцан'145,208,217,145"; а = "14712973"

Објашњење трећег скока
Ово је хмељ који га преузима од Телуса до сервера е-поште прималаца. Можемо рећи да га је примио мк.гоогле.цом, па прималац има своју услугу е-поште са Гоогле-ом. Овде је добро приметити линију Примљено-СПФ: СПФ или Сендер Полици Фрамеворк је стандард по коме се пошиљалац е-маил сервер може изјаснити као легитимни пошиљалац е-поште. У овом случају квалификатор је неутрално, што значи да се о ваљаности ове е-поште не може рећи ништа добро или лоше. Да се ​​регистровао као неуспех, Гмаил-ови сервери би то одбили. Да јесте софтфаил, Гмаил би је прихватио, али означио је као вероватно да није од кога каже да долази.

Непосредно испод тога, видећете и три линије које почињу са Кс-ИронПорт-Анти-Спам. Први, Кс-ИронПорт-Анти-Спам-Филтрирано: тачно, прихвата Телус-ов ИронПорт уређај против нежељене поште. ИронПорт је део Цисцо, па се сматра прилично поузданим. Тхе Кс-ИронПорт-Анти-Спам-Ресулт линија је намењена искључиво за ИронПорт уређаје и не може се декодирати људским очима - осим ако не радите за Цисцо и нема потребе да је декодујете. Трећи, Кс-ИронПорт-АВ, показује да пошиљалац има сопствени уређај против нежељене поште од Сопхоса. Могао је прочитати МцАфее или Нортон или било који други филтер кроз који пролази ваша е-пошта. Као прималац, ово вам може дати мало више сигурности да је порука е-поште валидна.

Сецонд Хоп

Примљено: од непознатог (ХЕЛО маил.екцханге.телус.цом) ([205.206.210.187])
би мк21.екцханге.телус.цом са ЕСМТП / ТЛС / АЕС128-СХА; 29 јула 2013 15:15:07 -0600

Друго објашњење скока
Овде постаје очигледно да је Телус добављач услуга. Ако постоји сумња у вези с тим, извршите ВХОИС проверу на приказаној ИП адреси: 205.206.210.187. Открићете да ИП адреса такође води до Телуса. То вам даје мало више самопоуздања да је порука е-поште легитимна. Такође можемо рећи да је поруци требало нешто више од једне минуте да пређе из првог скока у други скок. То нам не говори много, осим ако нисте мрежни инжењер. Теоретски, можете израчунати отприлике колико су удаљена два сервера.

Фирст Хоп

Примљено: од ХЕКСМБВС12.хостедмск.лоцал ([10.9.6.115])
ХЕКСХУБ13.хостедмск.лоцал ([:: 1]) са мапом; Пон, 29. јул 2013. 15:13:48 -0600

Прво објашњење скока
Први скок је сервер е-поште пошиљаоца који прима његову поруку е-поште. У овом тренутку се е-пошта још увек интерно помера унутар мреже пошиљаочевог сервера е-поште. Можете то рећи по томе што почиње ИП адреса 10. ИП адреса која започиње са 10 резервисана је само за интерну употребу.

На послужитељу е-поште примаоца

Испоручено до: момак@макеусеоф.цом
Примљено: до 10.223.200.70 са СМТП ид ев6цсп162209фаб;
Мон, 29 Јул 2013 14:15:09 -0700 (ПДТ)
Кс-примљено: до 10.236.227.202 са СМТП ид д70мр27737943ихк.86.1375132508769;
Пон, 29. јула 2013. 14:15:08 -0700 (ПДТ)
Повратни пут:

Једном када дође до услуге примаоца за е-пошту, у заглавље се додаје више информација - који од примаочевих сервиса е-поште је примио када и са којег сервера е-поште је порука примљена, адреса е-поште предвиђеног примаоца и порука пошиљаоца је одговор 'на одговор' адреса. још у Трећем скоку видели смо да је примаочева услуга е-поште била са Гоогле-ом. Можемо рећи да је овај емаил примљен од једног интерног сервера и прослеђен другом - 10.236.227.202 до 10.223.200.70. Оно што је најважније можемо рећи Повратни пут: да је адреса е-поште на одговор и е-пошта пошиљаоца иста. Ово нам такође говори да постоји велика шанса да је овај емаил легитиман.

Остале ствари из других заглавља

Ово посебно заглавље е-поште је ограничено у његовим информацијама јер се користи услуга е-поште с хостом. Ако пошиљалац користи свој властити сервер е-поште, можда бисмо могли добити мало више информација. Можда бисмо могли да утврдимо тачно који клијент клијента користе. Или бисмо могли извршити ВХОИС на ИП адреси пошиљаоца и добити приближну локацију пошиљаоца. Такође бисмо могли да извршимо једноставну веб претрагу на домену пошиљаоца и да видимо да ли постоји веб локација за њих. На основу те веб странице можда ћемо моћи да сазнамо још више информација о пошиљаоцу. Можете извршити веб претрагу на самој адреси е-поште и започети доксирање особе. Ако нисте упознати са концептом „докинга“, упознајте се са Јоел Лее-ом Шта је докинг и како утиче на вашу приватност? Шта је докинг и како утиче на вашу приватност? [МакеУсеОф објашњава]Интернет приватност је огроман посао. Један од наведених проблема на Интернету је да можете остати анонимни иза монитора док прегледавате, ћаскате и радите све што радите ... Опширније Такође прочитајте чланак Рајана Дуба, 15 веб страница за проналажење људи на Интернету 13 веб страница за проналажење људи на ИнтернетуТражите изгубљене пријатеље? Данас је лакше него икад прије наћи људе на Интернету помоћу ових претраживача. Опширније .

Тхе Таке Аваи

Сва електронска комуникација оставља трагове. Неке су веће и лакше их је пратити. Неке су затамњене од стране веб филтера и проки сервера. Било како било, оно што остаје иза нас говори нешто о особи која их је створила. Из тих метаподатака могли бисмо провести додатне истраге да бисмо сазнали више о људима који су у то укључени. Да ли они нешто крију користећи ВПН? Да ли су заиста из легитимног посла са легитимним веб присутношћу на вебу? Да ли је то неко с киме стварно желим ићи на састанак? Шта обични људи могу научити о мени, а камоли о НСА?

Погледајте заглавља е-поште и погледајте шта кажу о вама. Ако нађете неке ретке заглавља који немају много смисла, ставите их у коментаре и покушаћемо да их декодирамо. Да ли сте морали да истражите заглавље е-поште? Реци нам о томе! Тако сви учимо

Кредитна слика: Сервер соба од торкилдр преко Флицкр.