Vad kan du lära av från en e-postrubrik (metadata)?

Har du någonsin fått ett e-postmeddelande och funderat verkligen på var det kom ifrån? Vem skickade det?

Har du någonsin fått ett e-postmeddelande och funderat verkligen på var det kom ifrån?  Vem skickade det?
Annons

Har du någonsin fått ett mail och verkligen undrat varifrån det kom ifrån? Vem skickade det? Hur kunde de ha vetat vem du är? Förvånansvärt kan mycket av den informationen vara från e-postrubriken eller genom att använda info från e-postrubriken för att göra vissa detektivarbete.

Rubriken är en del av det e-postmeddelande som de flesta aldrig ens ser. Den innehåller mycket data som verkar som gobbledygook till den genomsnittliga datoranvändaren, så som användningen av e-post blev ett dagligt verktyg i allas liv började e-postklienter dölja den här informationen utan hjälp för dig. Dessa dagar kan det till och med vara lite besvärligt att ta bort huvudet, även för dem som vet att det finns där. Det finns så många olika e-postklienter där ute, både på skrivbordet och på webbsidor, som för att täcka hur man förknippar e-postrubriken kan bli en liten bok. Idag kommer vi bara att fokusera på hur man tar upp huvudet i Gmail och ser sedan på vad vi kan hämta från rubriken.

Vad är en e-postrubrik?

En e-postrubrik är en samling information som dokumenterar den väg som e-postmeddelandet gav dig. Det kan finnas mycket information i rubriken eller bara grunderna. Det finns en standard för vilken information som ska ingå i en rubrik, men inte en gräns för vilken information en e-postserver kan lägga in i rubriken. Om du är nyfiken på vad en standard för ett e-postprotokoll ser ut, kolla in RFC 5321 - Simple Mail Transfer Protocol. Det är lite svårt på huvudet, speciellt om du inte behöver känna till dessa saker.

Gmail - Ta bort e-posthuvudet

När du har ett e-postmeddelande öppet i Gmail, klicka på den nedåtriktade pilen längst upp till höger i meddelandet. En ny meny kommer att visa sig. Klicka på Visa original för att se det råa e-postmeddelandet med hela innehållet och rubriken avslöjad.

gmail-show-original

Ett nytt fönster eller en flik öppnas och du får förstås en vanlig textversion av ditt e-postmeddelande med rubriken högst upp. Innehållet i rubriken kommer att se ut så här:

Levereras till: [email protected]
Mottagen: vid 10.223.200.70 med SMTP-id ev6csp162209fab;
Må, 29 jul 2013 14:15:09 -0700 (PDT)
X-Received: med 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769;
Må, 29 jul 2013 14:15:08 -0700 (PDT)
Return-Path:
Mottagen: från mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
för
(version = TLSv1-chiffer = RC4-SHA-bitar = 128/128);
Må, 29 jul 2013 14:15:08 -0700 (PDT)
Mottagen-SPF: neutral (google.com: 205.206.208.34 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected]) client-ip = 205.206.208.34;
Autentiseringsresultat: mx.google.com;
spf = neutral (google.com: 205.206.208.34 är varken tillåtet eller nekad av bästa gissningsrekord för domän [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtrerat: True
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4, 889, 772, 1367992800";
d =”jpg'145 scan'145, 208, 217, 145", a =”14.712.973"
Mottagen: från okänd (HELO mail.exchange.telus.com) ([205.206.210.187])
av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600
Mottagen: från HEXMBVS12.hostedmsx.local ([10.9.6.115]) av
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Må, 29 jul 2013 15:13:48 -0600
Från: Guy McDowell
Till: "[email protected]"
Datum: måndag, 29 jul 2013 15:15:03 -0600
Ämne: Vad är en e-postrubrik?
Ämne: Vad är en e-postrubrik?
Trådindex: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Meddelande-ID:
Accept-Language: en-US
Innehållsspråk: en-US
X-MS-Has-Attach: ja
X-MS-TNEF-Korrelatorn:
acceptlanguage: en-US
Innehållstyp: multipart / relaterat;
gräns =”_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”multipart / alternativ”
MIME-version: 1.0

Det är trevligt. Vad betyder det?

Hur skapades e-posthuvudet?

Genom att veta hur huvudet skapas längs vägen går ett mail, kommer du att utveckla en ökad inblick i vad en rubriks data betyder. Låt oss titta på delarna som de läggs till och vad de viktigaste delarna betyder.

På avsändarens dator

utkorg

En del av rubriken skapas när avsändaren skapar e-postmeddelandet för att skicka till mottagaren. Detta kommer att innehålla sådan information som när e-posten komponerades, vem komponerade den, ämnesraden och till vilken e-postmeddelandet skickas. Det här är den del av rubriken som du är mest känd att se som Datum:, Från:, Till: och Ämne: Linjer längst upp i din email.

Från: Guy McDowell
Till: "[email protected]"
Datum: måndag, 29 jul 2013 15:15:03 -0600
Ämne: Vad är en e-postrubrik?

På avsändarens e-posttjänst

server rum

Mer information läggs till i rubriken när e-posten faktiskt skickats. Detta tillhandahålls av den e-posttjänst som avsändaren använder. I det här fallet använder avsändaren en hostad e-posttjänst, så den visade IP-adressen är en adress som är intern till tjänsteleverantörens nätverk. Att utföra en WHOIS-sökning på den kommer inte att ge någon användbar information. Vad vi kan göra är att utföra en Google-sökning på servernamnet HEXMBVS12.hostedmsx.local och vi kan upptäcka att tjänsteleverantören är Telus. Om vi ​​gräver på Telus webbplats, upptäcker vi att de erbjuder en Hosted Microsoft Exchange-tjänst. Det föreslår att avsändaren brukar använda antingen Microsoft Outlook, Outlook Express eller Outlook Web Access. Information som läggs till här inkluderar, avsändarens IP-adress ([10.9.6.115]), den tid som skickas av avsändarens e-posttjänst (mån 29 juli 2013 15:13:48 -0600) och meddelandets ID för det aktuella meddelande som läggs till av e-posttjänsten.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Mottagen: från HEXMBVS12.hostedmsx.local ([10.9.6.115]) av HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Må, 29 jul 2013 15:13:48 -0600
Meddelande-ID:

Längs vägen till mottagarens e-posttjänst

Därifrån kan e-postmeddelandet ta ett antal rutter för att hamna i mottagarens e-posttjänst. Detta kan läggas till rubriken för att visa "humle" som e-posten måste göra för att komma till dig. Dessa humle startar på servern som senast hanterade e-postmeddelandet och går tillbaka till servern som ursprungligen hanterade den, i omvänd kronologisk ordning. I det här exemplet är alla humle internt i avsändarens e-posttjänst.

Tredje och Final Hop

Mottagen: från mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
för
(version = TLSv1-chiffer = RC4-SHA-bitar = 128/128);
Må, 29 jul 2013 14:15:08 -0700 (PDT)
Mottagen-SPF: neutral (google.com: 205.206.208.34 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected]) client-ip = 205.206.208.34;
Autentiseringsresultat: mx.google.com;
spf = neutral (google.com: 205.206.208.34 är varken tillåtet eller nekad av bästa gissningsrekord för domän [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtrerat: True
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4, 889, 772, 1367992800";
d =”jpg'145 scan'145, 208, 217, 145", a =”14.712.973"

Förklaring till tredje hops
Det här är den hopp som tar den från Telus till mottagarens e-postserver. Vi kan berätta att den har mottagits av mx.google.com, så mottagaren har sin e-posttjänst med Google. Här är det bra att notera linjen Received-SPF: SPF, eller Sender Policy Framework, är en standard för vilken en avsändares e-postserver kan förklara sig vara den legitima avsändaren av e-postmeddelandet. I det här fallet är kvalifikationen neutral, vilket innebär att inget kan sägas om giltigheten av detta e-mail, bra eller dåligt. Hade det registrerat som misslyckande, skulle det ha blivit avvisat av Gmails servrar. Om det var softfail, skulle Gmail ha accepterat det, men flaggade det som eventuellt inte varifrån den säger att den är från.

Strax under det ser du också tre rader som börjar med X-IronPort-Anti-Spam . Den första, X-IronPort-Anti-Spam-Filtrerad: True, tappas på av Telus 'IronPort anti-spam-apparat. IronPort är en del av Cisco, så det anses vara ganska tillförlitligt. X-IronPort-Anti-Spam-Resultat- raden är endast avsedd för IronPort-apparaterna och kan inte avkodas för mänskliga ögon - om du inte arbetar för Cisco och behöver avkoda den. Den tredje, X-IronPort-AV, visar att avsändaren har sin egen anti-spam-apparat från Sophos. Det kunde ha läst McAfee eller Norton, eller vilket filter ditt e-postmeddelande går igenom. Som mottagare kan detta ge dig lite mer förtroende för att e-postmeddelandet är giltigt.

Second Hop

Mottagen: från okänd (HELO mail.exchange.telus.com) ([205.206.210.187])
av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600

Förklaring till andra hopp
Det är uppenbart att Telus är tjänsteleverantören. Om det råder några tvivel om detta, utför en WHOIS-kontroll på den visade IP-adressen: 205.206.210.187. Du kommer att upptäcka att IP-adressen också leder till Telus. Det ger dig lite mer förtroende för att e-postmeddelandet är legitimt. Vi kan också berätta att meddelandet tog lite över en minut för att gå från den första hoppen till den andra hoppen. Det berättar inte mycket om du inte är en nätverksingenjör. I teorin kan man beräkna ungefär hur långt ifrån varandra är de två servrarna.

First Hop

Mottagen: från HEXMBVS12.hostedmsx.local ([10.9.6.115]) av
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Må, 29 jul 2013 15:13:48 -0600

Första Hop Förklaring
Den första hoppen är avsändarens e-postserver som mottar sitt e-postmeddelande. Vid denna tidpunkt flyttar e-postmeddelandet fortfarande internt i avsändarens e-postserverns nätverk. Du kan säga att IP-adressen börjar med 10 . IP-adress som börjar med 10 är endast avsedd för internt bruk.

På mottagarens e-postserver

Levereras till: [email protected]
Mottagen: vid 10.223.200.70 med SMTP-id ev6csp162209fab;
Må, 29 jul 2013 14:15:09 -0700 (PDT)
X-Received: med 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769;
Må, 29 jul 2013 14:15:08 -0700 (PDT)
Return-Path:

inkorg

När det kommer till mottagarens e-posttjänst läggs mer information till rubriken - vilken av mottagarens e-posttjänsten mottog det och när, vilken e-postserver meddelandet mottogs från, den avsedda mottagarens e-postadress och avsändarens uttalade svar till "e-postadress. tillbaka i tredje hoppet såg vi att mottagarens e-posttjänst var med Google. Vi kan berätta att det här mailet mottogs av en intern server och vidarebefordrats till en annan - 10.236.227.202 till 10.223.200.70. Viktigast kan vi säga av retur-sökvägen: att e-postmeddelandet ska besvaras och e-posten till avsändaren är densamma. Detta berättar också att det finns en bra chans att det här e-postmeddelandet är legitimt.

Andra saker från andra rubriker

Den här specifika e-postrubriken är begränsad i sin information eftersom en hostad e-posttjänst används. Om avsändaren använde sin egen e-postserver kan vi kanske få lite mer information. Vi kan kanske bestämma exakt vilken mailklient de använder. Eller vi kan utföra en WHOIS på avsändarens IP-adress och få en ungefärlig plats för avsändaren. Vi kan också göra en enkel webbsökning på avsändarens domän och se om det finns en hemsida för dem. Baserat på den webbplatsen kan vi kanske få reda på ännu mer information om avsändaren. Du kan göra en webbsökning på själva e-postadressen och börja doxing personen. Om du inte är bekant med begreppet "doxing", bekanta dig med Joel Lee's What Does Doxing & Hur påverkar din integritet? Vad gör Doxing & Hur påverkar det din integritet? [MakeUseOf Förklarar] Vad är Doxing & Hur påverkar det din integritet? [MakeUseOf Förklarar] Internetsäkerhet är en enorm affär. En av de angivna fördelarna med Internet är att du kan förbli anonym bakom din bildskärm när du bläddrar, chattar och gör vad det än är som du gör .... Läs mer Läs också också om Ryan Dube's artikel, 15 webbplatser att hitta Människor på Internet 12 webbplatser för att hitta människor på Internet 12 webbplatser att hitta människor på Internet Om du letar efter en förlorad vän, eller kanske vill göra en bakgrundskontroll av någon, anser du att de här fria resurserna kan hitta människor på internet. Läs mer .

The Take Away

All elektronisk kommunikation lämnar fotspår. Vissa är större och enklare att följa. Vissa är dolda av webfilter och proxyservrar. Hur som helst kvarstår berättar något om personen som skapade dem. Från dessa metadata kan vi utföra ytterligare undersökningar för att lära oss mer om de involverade personerna. Gömmer de något med hjälp av ett VPN? Är de verkligen ett legitimt företag med en legitim närvaro på nätet? Är den här någon som verkligen vill åka på ett datum med? Vad kan vanliga människor lära sig om mig, än mindre NSA?

Ta en titt på dina e-postrubriker och se vad de säger om dig. Om du hittar några rubriklinjer som inte ger stor mening, lägg dem i kommentarerna och vi kommer att försöka avkoda dem. Har du varit tvungen att undersöka några e-postrubriker? Berätta för oss om det! Så lär vi oss alla.

Bildkredit: Serverrum av torkildr via Flickr.

In this article