Hva kan du lære av en e-posttekst (metadata)?

Annonse

Har du noen gang fått en e-post og lurte virkelig på hvor den kom fra? Hvem sendte den? Hvordan kunne de ha visst hvem du er? Overraskende mye av denne informasjonen kan komme fra e-posthodet, eller ved å bruke info fra e-posthodet til å gjøre noe detektivarbeid.

Overskriften er en del av e-postmeldingen som de fleste aldri ser. Den inneholder mye data som virker som gobbledygook for den gjennomsnittlige datamaskinbrukeren, så som e-postbruk ble et daglig verktøy i alles liv, e-postklienter begynte å skjule denne informasjonen av bekvemmelighet for deg. I disse dager kan det til og med være litt plagsomt å skjule overskriften, selv for de som vet at den er der. Det er så mange forskjellige e-postklienter der ute, både stasjonære og nettbaserte, at å dekke hvordan du kan skjule e-posthodet kan ende opp med å bli en liten bok. I dag skal vi bare fokusere på hvordan vi kan skjule overskriften i Gmail, og så se på hva vi kan hente fra overskriften.

Hva er en e-posttekst?

En e-posthode er en samling informasjon som dokumenterer stien e-posten kom til deg. Det kan være mye informasjon i overskriften eller bare det grunnleggende. Det er en standard for hvilken informasjon som skal inkluderes i en header, men egentlig ikke en grense for hvilken informasjon en e-postserver kan legge inn i overskriften. Hvis du er nysgjerrig på hvordan en standard for en e-postprotokoll ser ut, sjekk ut

RFC 5321 - Enkel postoverføringsprotokoll. Det er litt vanskelig på hodet, spesielt hvis du ikke trenger å vite dette.

Gmail - Fjern skjul på e-post

Når du har en e-postmelding åpen i Gmail, klikker du på pilen nedover i øverste høyre hjørne av meldingen. En ny meny vil vise seg selv. Klikk på Vis original for å se den rå e-postmeldingen med hele innholdet og overskriften avslørt.

Et nytt vindu eller fane åpnes, og du ser selvfølgelig en ren tekstversjon av e-posten din med overskriften øverst. Innholdet i overskriften vil se slik ut:

Levert til: [email protected]. Mottatt: innen 10.223.200.70 med SMTP-ID ev6csp162209fab; Man 29. juli 2013 14:15:09 -0700 (PDT) X-mottatt: av 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769; Man 29. juli 2013 14:15:08 -0700 (PDT) Return-Path:Mottatt: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. til(versjon = TLSv1-chiffer = RC4-SHA-biter = 128/128); Man 29. juli 2013 14:15:08 -0700 (PDT) Mottatt-SPF: nøytral (google.com: 205.206.208.34 er verken tillatt eller avslått av beste gjetningspost for domenet til [email protected]) client-ip = 205.206.208.34; Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 205.206.208.34 er verken tillatt eller nektet av beste gjetningspost for domenet til [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgijJiJjjj X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "? jpg'145 scan'145,208,217,145"; a = "14712973" Mottatt: fra ukjent (HELO mail.exchange.telus.com) ([205.206.210.187]) av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29. jul 2013 15:15:07 -0600. Mottatt: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) av. HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man 29. jul 2013 15:13:48 -0600. Fra: Guy McDowell
Til: "[email protected]" Dato: Man, 29. jul 2013 15:15:03 -0600. Emne: Hva er en e-posttekst? Trådemne: Hva er en e-posttekst? Trådindeks: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Melding-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: no-US. Innholdsspråk: no-US. X-MS-Has-Attach: ja. X-MS-TNEF-korrelator: akseptabelt språk: no-US. Innholdstype: multipart / relatert; boundary = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternative" MIME-versjon: 1.0

Det er fint. Hva betyr det?

Hvordan opprettes e-posttekst?

Ved å vite hvordan overskriften opprettes langs stien en e-post reiser, vil du utvikle større innsikt i hva en overskriftsdata betyr. La oss se på delene når de er lagt til, og hva de viktigste delene betyr.

På avsenderens datamaskin

En del av overskriften opprettes når avsenderen oppretter e-posten som skal sendes til mottakeren. Dette vil inneholde informasjon som når e-posten ble komponert, hvem som har komponert den, emnelinjen og hvem e-posten blir sendt til. Dette er den delen av overskriften som du er mest kjent som Dato:, Fra:, Til:, og Emne: linjene på toppen av e-posten din.

Fra: Guy McDowell
Til: “[email protected]”
Dato: Man, 29. jul 2013 15:15:03 -0600
Emne: Hva er en e-posttekst?

På avsenderens e-posttjeneste

Mer informasjon blir lagt til overskriften når e-posten faktisk er sendt. Dette leveres av e-posttjenesten som avsenderen bruker. I dette tilfellet bruker avsenderen en hostet e-posttjeneste, så IP-adressen som vises er en adresse som er intern i tjenesteleverandørens nettverk. Å utføre et WHOIS-søk på det vil ikke gi noen nyttig informasjon. Det vi kan gjøre er å utføre et Google-søk på servernavnet HEXMBVS12.hostedmsx.local og vi kan finne ut at tjenesteleverandøren er Telus. Hvis vi graver litt rundt på Telus-nettstedet, finner vi ut at de tilbyr en Hosted Microsoft Exchange-tjeneste. Det antyder at avsenderen sannsynligvis bruker enten Microsoft Outlook, Outlook Express eller Outlook Web Access. Informasjon lagt til her inkluderer avsenderens IP-adresse ([10.9.6.115]), tiden som sendes av avsenderens e-post service (man 29. juli 2013 15:13:48 -0600), og melding-ID for den aktuelle meldingen som lagt til av e-posten service.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Mottatt: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) av HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man 29. jul 2013 15:13:48 -0600. Melding-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Underveis til mottakerens e-posttjeneste

Derfra kan e-posten ta et antall ruter for å havne hos mottakerens e-posttjeneste. Dette kan legges til overskriften for å vise ‘humlen’ e-posten måtte gi for å komme til deg. Disse humlene starter på serveren som sist håndterte e-posten og går tilbake til serveren som opprinnelig håndterte den, i omvendt kronologisk rekkefølge. I dette eksemplet er alle humlene interne ved avsenderens e-posttjeneste.

Tredje og siste hop

Mottatt: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. til(versjon = TLSv1-chiffer = RC4-SHA-biter = 128/128); Man 29. juli 2013 14:15:08 -0700 (PDT) Mottatt-SPF: nøytral (google.com: 205.206.208.34 er verken tillatt eller avslått av beste gjetningspost for domenet til [email protected]) client-ip = 205.206.208.34; Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 205.206.208.34 er verken tillatt eller nektet av beste gjetningspost for domenet til [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgijJiJjjj X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "? jpg'145 scan'145,208,217,145"; a = "14712973"

Tredje Hop forklaring
Dette er hoppet som tar det fra Telus til mottakerens e-postserver. Vi kan fortelle at den ble mottatt av mx.google.com, så mottakeren har sin e-posttjeneste med Google. Her er det godt å merke linjen Mottatt-SPF: SPF, eller Sender Policy Framework, er en standard der en avsenders e-postserver kan erklære seg som den legitime avsenderen av e-posten. I dette tilfellet er kvalifiseringen nøytral, noe som betyr at ingenting kan sies om gyldigheten av denne e-posten, bra eller dårlig. Hadde det registrert som Fail, ville det blitt avvist av Gmail-serverne. Hvis det var softfail, Ville Gmail akseptert det, men flagget det som muligens ikke fra det det står fra.

Rett under det ser du også tre linjer som begynner med X-Ironport-Anti-Spam. Den første, X-IronPort-Anti-Spam-Filtered: true, håndteres av Telus 'IronPort-antispamapparat. IronPort er en del av Cisco, så det anses for å være ganske pålitelig. De X-Ironport-Anti-Spam-resultat linje er kun ment for IronPort-apparater og kan ikke dekodes for menneskelige øyne - med mindre du jobber for Cisco og trenger å avkode den. Den tredje, X-Ironport-AV, viser at avsenderen har sitt eget antispamapparat fra Sophos. Den kunne ha lest McAfee eller Norton, eller hvilket filter e-posten din går gjennom. Som mottaker kan dette gi deg litt mer tillit til at e-posten er gyldig.

Second Hop

Mottatt: fra ukjent (HELO mail.exchange.telus.com) ([205.206.210.187])
av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29. jul 2013 15:15:07 -0600

Second Hop forklaring
Her blir det tydelig at Telus er tjenesteleverandøren. Hvis det er noen tvil om dette, utfør en WHOIS-sjekk på IP-adressen vist: 205.206.210.187. Du vil finne at IP-adressen også fører til Telus. Det gir deg litt mer tillit til at e-posten er legitim. Vi kan også fortelle at meldingen tok litt over ett minutt å gå fra første humle til andre hop. Det sier ikke så mye med mindre du er nettverksingeniør. I teorien kan du beregne omtrent hvor langt fra hverandre er de to serverne.

Første Hop

Mottatt: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) av
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man 29. jul 2013 15:13:48 -0600

Første Hop-forklaring
Det første hoppet er avsenderens e-postserver som mottar e-postmeldingen hans. På dette tidspunktet beveger e-posten seg fortsatt internt i avsenderens e-postserverens nettverk. Du kan si ved at IP-adressen starter med 10. IP-adresse som starter med 10 er kun forbeholdt internt bruk.

På mottakerens e-postserver

Levert til: [email protected]
Mottatt: innen 10.223.200.70 med SMTP-ID ev6csp162209fab;
Man 29. juli 2013 14:15:09 -0700 (PDT)
X-mottatt: av 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769;
Man 29. juli 2013 14:15:08 -0700 (PDT)
Return-Path:

Når den kommer til mottakerens e-posttjeneste, legges mer informasjon til overskriften - hvilken av mottakerens e-postserverservere mottok den og når, hvilken e-postserver meldingen ble mottatt fra, den tiltenkte mottakers e-postadresse og avsenderens uttalte 'svar på' e-post adresse. tilbake i Third Hop så vi at mottakerens e-posttjeneste var hos Google. Vi kan fortelle at denne e-posten ble mottatt av en intern server og sendt videre til en annen - 10.236.227.202 til 10.223.200.70. Det viktigste er at vi kan fortelle av det Return-Path: at e-posten du vil svare på og e-posten til avsenderen er den samme. Dette forteller oss også at det er en god sjanse for at denne e-posten er legitim.

Andre ting fra Other Headers

Denne spesielle e-postteksten er begrenset i informasjonen fordi en vert e-posttjeneste blir brukt. Hvis avsenderen brukte sin egen e-postserver, kan vi kanskje få litt mer informasjon. Vi kan kanskje bestemme nøyaktig hvilken e-postklient de bruker. Eller vi kan utføre et WHOIS på avsenderens IP-adresse og få en omtrentlig plassering av avsenderen. Vi kan også utføre et enkelt websøk på avsenderens domene og se om det finnes et nettsted for dem. Basert på det nettstedet, kan det hende at vi kan finne ut enda mer informasjon om avsenderen. Du kan utføre et websøk på selve e-postadressen og begynne å doxing personen. Hvis du ikke er kjent med begrepet 'doxing', blir du kjent med Joel Lee's Hva er doxing og hvordan påvirker det personvernet ditt? Hva er doxing og hvordan påvirker det personvernet ditt? [MakeUseOf Explains]Internett-personvern er en stor avtale. En av de uttalte fordelene på Internett er at du kan være anonym bak skjermen når du surfer, chatter og gjør hva det er for at du gjør ... Les mer Les også Ryan Dubes artikkel, 15 nettsteder for å finne mennesker på Internett 13 nettsteder for å finne mennesker på InternettSer du etter tapte venner? I dag er det enklere enn noen gang å finne folk på internett med disse menneskers søkemotorer. Les mer .

The Take Away

All elektronisk kommunikasjon etterlater fotavtrykk. Noen er større og lettere å følge. Noen blir tilslørt av nettfilter og proxy-servere. Uansett, det som blir igjen forteller oss noe om personen som skapte dem. Fra de metadataene, kan vi foreta ytterligere undersøkelser for å lære mer om menneskene som er involvert. Gjemmer de noe ved å bruke en VPN? Er de virkelig fra en legitim virksomhet med en legitim tilstedeværelse på nettet? Er dette noen jeg virkelig vil gå på date med? Hva kan vanlige mennesker lære om meg, enn si NSA?

Ta en titt på e-posttekstene dine og se hva de sier om deg. Hvis du finner noen overskriftslinjer som ikke gir mye mening, kan du legge dem inn i kommentarene, så prøver vi å avkode dem. Har du måttet undersøke e-postteksten? Fortell oss om det! Slik lærer vi alle sammen.

Bildekreditt: Server Room av torkildr via Flickr.