Τι μπορείτε να μάθετε από μια κεφαλίδα email (μεταδεδομένα);

Διαφήμιση

Λάβατε ποτέ ένα μήνυμα ηλεκτρονικού ταχυδρομείου και αναρωτηθήκατε πραγματικά από πού προήλθε; Ποιος το έστειλε; Πώς θα μπορούσαν να γνωρίζουν ποιοι είστε; Παραδόξως, πολλές από αυτές τις πληροφορίες μπορούν να προέρχονται από την κεφαλίδα του email ή χρησιμοποιώντας πληροφορίες από την κεφαλίδα του email για να κάνουν κάποια εργασία ντετέκτιβ.

Η κεφαλίδα είναι ένα μέρος του μηνύματος ηλεκτρονικού ταχυδρομείου που ποτέ δεν βλέπουν οι περισσότεροι. Περιέχει πολλά δεδομένα που μοιάζουν με gobbledygook για τον μέσο χρήστη του υπολογιστή, όπως και η χρήση email έγινε καθημερινό εργαλείο στη ζωή όλων, οι πελάτες ηλεκτρονικού ταχυδρομείου άρχισαν να κρύβουν αυτές τις πληροφορίες από ευκολία για σενα. Αυτές τις μέρες, μπορεί να είναι λίγο ενοχλητικό να αποκρύψετε την κεφαλίδα, ακόμη και για όσους το γνωρίζουν ότι είναι εκεί. Υπάρχουν τόσοι πολλοί διαφορετικοί πελάτες email εκεί έξω, τόσο επιτραπέζιοι όσο και διαδικτυακοί, που για να καλύψουν τον τρόπο απόκρυψης της κεφαλίδας email θα μπορούσε να καταλήξει να είναι ένα μικρό βιβλίο. Σήμερα, απλώς θα επικεντρωθούμε στον τρόπο απόκρυψης της κεφαλίδας στο Gmail και, στη συνέχεια, να δούμε τι μπορούμε να αντλήσουμε από την κεφαλίδα.

Τι είναι μια κεφαλίδα email;

Μια κεφαλίδα email είναι μια συλλογή πληροφοριών που τεκμηριώνουν τη διαδρομή με την οποία έλαβε το email. Μπορεί να υπάρχουν πολλές πληροφορίες στην κεφαλίδα ή μόνο τα βασικά. Υπάρχει ένα πρότυπο για το ποιες πληροφορίες πρέπει να περιλαμβάνονται σε μια κεφαλίδα, αλλά όχι πραγματικά όριο σε ποιες πληροφορίες μπορεί να τοποθετήσει ένας διακομιστής email στην κεφαλίδα. Εάν είστε περίεργοι για το πώς μοιάζει ένα πρότυπο για ένα πρωτόκολλο email, ρίξτε μια ματιά RFC 5321 - Πρωτόκολλο απλής μεταφοράς αλληλογραφίας. Είναι λίγο δύσκολο στο κεφάλι, ειδικά αν δεν χρειάζεται να γνωρίζετε αυτά τα πράγματα.

Gmail - Απόκρυψη της κεφαλίδας email

Μόλις ανοίξετε ένα μήνυμα email στο Gmail, κάντε κλικ στο βέλος προς τα κάτω, κοντά στην επάνω δεξιά γωνία του μηνύματος. Θα εμφανιστεί ένα νέο μενού. Κάντε κλικ στο Εμφάνιση πρωτότυπου για να δείτε το ανεπεξέργαστο μήνυμα ηλεκτρονικού ταχυδρομείου με το πλήρες περιεχόμενό του και την κεφαλίδα να αποκαλύπτεται.

Θα ανοίξει ένα νέο παράθυρο ή μια καρτέλα και φυσικά θα δείτε μια έκδοση απλού κειμένου του email σας με την κεφαλίδα στην κορυφή. Το περιεχόμενο της κεφαλίδας θα μοιάζει με αυτό:

Παραδόθηκε σε: [email protected]. Ελήφθη: έως 10.223.200.70 με SMTP id ev6csp162209fab; Δευ, 29 Ιουλ 2013 14:15:09 -0700 (PDT) X-Ελήφθη: έως 10.236.227.202 με SMTP id d70mr27737943yhq.86.1375132508769; Δευ, 29 Ιουλ 2013 14:15:08 -0700 (PDT) Μονοπάτι επιστροφής:Ελήφθη: από mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) από mx.google.com με αναγνωριστικό ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. Για(έκδοση = TLSv1 cipher = RC4-SHA bits = 128/128); Δευ, 29 Ιουλ 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη εγγραφή εικασίας για τον τομέα του [email protected]) client-ip = 205.206.208.34; Authentication-Results: mx.google.com; spf = netral (google.com: 205.206.208.34 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη εγγραφή εικασίας για τον τομέα του [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Αποτέλεσμα: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEgEGAgIGBAGAGIGIGBAGIGIGIGAGIGAGAGAGAGAGAGAGA X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? σάρωση'145,208,217,145"; a = "14712973" Ελήφθη: από άγνωστο (HELO mail.exchange.telus.com) ([205.206.210.187]) από mx21.exchange.telus.com με ESMTP / TLS / AES128-SHA; 29 Ιουλ 2013 15:15:07 -0600. Ελήφθη: από HEXMBVS12.hostedmsx.local ([10.9.6.115]) από. HEXHUB13.hostedmsx.local ([:: 1]) με mapi; Δευ, 29 Ιουλ 2013 15:13:48 -0600. Από: Guy McDowell
Προς: "[email protected]" Ημερομηνία: Δευ, 29 Ιουλ 2013 15:15:03 -0600. Θέμα: Τι είναι μια κεφαλίδα ηλεκτρονικού ταχυδρομείου; Θέμα θέματος: Τι είναι μια κεφαλίδα ηλεκτρονικού ταχυδρομείου; Νήμα-Ευρετήριο: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Αναγνωριστικό μηνύματος: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Αποδοχή-γλώσσα: en-US. Περιεχόμενο-Γλώσσα: en-US. X-MS-Has-Attach: ναι. X-MS-TNEF-Correlator: acceptlanguage: en-US. Τύπος περιεχομένου: multipart / related; όριο = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / εναλλακτικό" Έκδοση MIME: 1.0

Αυτό είναι ωραίο. Τι σημαίνει αυτό?

Πώς δημιουργείται η κεφαλίδα email;

Γνωρίζοντας πώς δημιουργείται η κεφαλίδα στη διαδρομή που ταξιδεύει ένα μήνυμα ηλεκτρονικού ταχυδρομείου, θα αναπτύξετε πιο έντονες πληροφορίες για το τι σημαίνει τα δεδομένα μιας κεφαλίδας. Ας δούμε τα μέρη καθώς προστίθενται και τι σημαίνουν τα πιο σημαντικά μέρη.

Στον υπολογιστή του αποστολέα

Μέρος της κεφαλίδας δημιουργείται όταν ο αποστολέας δημιουργεί το email για αποστολή στον παραλήπτη. Αυτό θα περιλαμβάνει πληροφορίες όπως όταν συντάχθηκε το email, ποιος το συνέθεσε, τη γραμμή θέματος και σε ποιον στέλνεται το email. Αυτό είναι το τμήμα της κεφαλίδας που γνωρίζετε πιο συχνά ως ημερομηνία:, Από:, Προς:, και Θέμα: γραμμές στην κορυφή του email σας.

Από: Guy McDowell
Προς: "[email protected]"
Ημερομηνία: Δευ, 29 Ιουλ 2013 15:15:03 -0600
Θέμα: Τι είναι μια κεφαλίδα ηλεκτρονικού ταχυδρομείου;

Στην υπηρεσία ηλεκτρονικού ταχυδρομείου του αποστολέα

Περισσότερες πληροφορίες προστίθενται στην κεφαλίδα μόλις σταλεί πραγματικά το email. Αυτό παρέχεται από την υπηρεσία email που χρησιμοποιεί ο αποστολέας. Σε αυτήν την περίπτωση, ο αποστολέας χρησιμοποιεί μια φιλοξενούμενη υπηρεσία email, επομένως η διεύθυνση IP που εμφανίζεται είναι μια εσωτερική διεύθυνση στο δίκτυο του παρόχου υπηρεσιών. Η πραγματοποίηση αναζήτησης WHOIS σε αυτήν δεν παρέχει χρήσιμες πληροφορίες. Αυτό που μπορούμε να κάνουμε είναι να πραγματοποιήσουμε μια αναζήτηση Google στο όνομα του διακομιστή HEXMBVS12.hostedmsx.local και μπορούμε να διαπιστώσουμε ότι ο πάροχος υπηρεσιών είναι η Telus. Εάν κάνουμε κάποιες ανασκαφές στον ιστότοπο της Telus, θα διαπιστώσουμε ότι προσφέρουν μια υπηρεσία Hosted Microsoft Exchange. Αυτό υποδηλώνει ότι ο αποστολέας πιθανότατα χρησιμοποιεί Microsoft Outlook, Outlook Express ή Outlook Web Access. Οι πληροφορίες που προστέθηκαν εδώ περιλαμβάνουν, τη διεύθυνση IP του αποστολέα ([10.9.6.115]), την ώρα αποστολής μέσω του email του αποστολέα υπηρεσία (Δευ, 29 Ιουλ 2013 15:13:48 -0600) και το Αναγνωριστικό μηνύματος για το συγκεκριμένο μήνυμα όπως προστέθηκε από το email υπηρεσία.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Ελήφθη: από HEXMBVS12.hostedmsx.local ([10.9.6.115]) από HEXHUB13.hostedmsx.local ([:: 1]) με mapi; Δευ, 29 Ιουλ 2013 15:13:48 -0600. Αναγνωριστικό μηνύματος: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Στην πορεία προς την υπηρεσία ηλεκτρονικού ταχυδρομείου του παραλήπτη

Από εκεί, το μήνυμα ηλεκτρονικού ταχυδρομείου ενδέχεται να ακολουθήσει οποιονδήποτε αριθμό διαδρομών για να καταλήξει στην υπηρεσία email του παραλήπτη. Αυτό μπορεί να προστεθεί στην κεφαλίδα για να δείξει τους «λυκίσκους» που έπρεπε να κάνει το email για να φτάσει σε εσάς. Αυτοί οι λυκίσκοι ξεκινούν από το διακομιστή που χειρίστηκε πιο πρόσφατα το email και επιστρέφουν στον διακομιστή που το χειρίστηκε αρχικά, με αντίστροφη χρονολογική σειρά. Σε αυτό το παράδειγμα, όλοι οι λυκίσκοι είναι εσωτερικοί στην υπηρεσία email του αποστολέα.

Τρίτο, και το Final Hop

Ελήφθη: από mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) από mx.google.com με αναγνωριστικό ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. Για(έκδοση = TLSv1 cipher = RC4-SHA bits = 128/128); Δευ, 29 Ιουλ 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη εγγραφή εικασίας για τον τομέα του [email protected]) client-ip = 205.206.208.34; Authentication-Results: mx.google.com; spf = netral (google.com: 205.206.208.34 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη εγγραφή εικασίας για τον τομέα του [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Αποτέλεσμα: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEgEGAgIGBAGAGIGIGBAGIGIGIGAGIGAGAGAGAGAGAGAGA X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? σάρωση'145,208,217,145"; a = "14712973"

Τρίτη εξήγηση λυκίσκου
Αυτό είναι το hop που το μεταφέρει από την Telus στον διακομιστή email παραληπτών. Μπορούμε να πούμε ότι ελήφθη από το mx.google.com, οπότε ο παραλήπτης έχει την υπηρεσία ηλεκτρονικού ταχυδρομείου του με την Google. Εδώ είναι καλό να σημειώσετε τη γραμμή Λήψη-SPF: Το SPF, ή Sender Policy Framework, είναι ένα πρότυπο βάσει του οποίου ο διακομιστής email ενός αποστολέα μπορεί να δηλώσει ότι είναι ο νόμιμος αποστολέας του email. Σε αυτήν την περίπτωση, ο προκριματικός είναι ουδέτερος, που σημαίνει ότι τίποτα δεν μπορεί να ειπωθεί για την εγκυρότητα αυτού του e-mail, καλό ή κακό. Εάν είχε εγγραφεί ως αποτυγχάνω, θα είχε απορριφθεί από τους διακομιστές του Gmail. Αν ηταν softfail, Το Gmail θα το είχε αποδεχτεί, αλλά το σημείωσε ότι πιθανόν να μην είναι από το οποίο λέει.

Ακριβώς κάτω από αυτό, θα δείτε επίσης τρεις γραμμές ξεκινώντας από X-IronPort-Anti-Spam. Ο πρώτος, X-IronPort-Anti-Spam-Filtered: true, αντιμετωπίζεται από τη συσκευή anti-spam της Telus. Το IronPort είναι μέρος του Cisco, επομένως θεωρείται αρκετά αξιόπιστο. ο X-IronPort-Anti-Spam-Αποτέλεσμα Η γραμμή προορίζεται αποκλειστικά για τις συσκευές IronPort και δεν μπορεί να αποκωδικοποιηθεί για ανθρώπινα μάτια - εκτός εάν εργάζεστε για τη Cisco και πρέπει να την αποκωδικοποιήσετε. Η τρίτη, X-IronPort-AV, δείχνει ότι ο αποστολέας έχει τη δική του συσκευή anti-spam από τη Sophos. Θα μπορούσε να έχει διαβάσει το McAfee ή το Norton ή οποιοδήποτε φίλτρο διέρχεται το email σας. Ως παραλήπτης, αυτό μπορεί να σας δώσει λίγο περισσότερη αυτοπεποίθηση ότι το email είναι έγκυρο.

Δεύτερο λυκίσκο

Ελήφθη: από άγνωστο (HELO mail.exchange.telus.com) ([205.206.210.187])
από mx21.exchange.telus.com με ESMTP / TLS / AES128-SHA; 29 Ιουλ 2013 15:15:07 -0600

Δεύτερη εξήγηση λυκίσκου
Γίνεται προφανές εδώ ότι η Telus είναι ο πάροχος υπηρεσιών. Εάν υπάρχει αμφιβολία σχετικά με αυτό, πραγματοποιήστε έλεγχο WHOIS στη διεύθυνση IP που εμφανίζεται: 205.206.210.187. Θα διαπιστώσετε ότι η διεύθυνση IP οδηγεί επίσης στο Telus. Αυτό σας δίνει λίγο περισσότερη αυτοπεποίθηση ότι το email είναι νόμιμο. Μπορούμε επίσης να πούμε ότι το μήνυμα χρειάστηκε λίγο περισσότερο από ένα λεπτό για να πάει από το πρώτο hop στο δεύτερο hop. Αυτό δεν μας λέει πολλά αν δεν είστε μηχανικός δικτύου. Θεωρητικά, θα μπορούσατε να υπολογίσετε περίπου πόσο μακριά είναι οι δύο διακομιστές.

Πρώτο λυκίσκο

Ελήφθη: από HEXMBVS12.hostedmsx.local ([10.9.6.115]) από
HEXHUB13.hostedmsx.local ([:: 1]) με mapi; Δευ, 29 Ιουλ 2013 15:13:48 -0600

Πρώτη εξήγηση λυκίσκου
Το πρώτο hop είναι ο διακομιστής email του αποστολέα που λαμβάνει το email του. Σε αυτό το σημείο το email εξακολουθεί να κινείται εσωτερικά στο δίκτυο του διακομιστή email του αποστολέα. Μπορείτε να πείτε από το γεγονός ότι ξεκινά η διεύθυνση IP 10. Η διεύθυνση IP που ξεκινά με 10 δεσμεύεται μόνο για εσωτερική χρήση.

Στο διακομιστή ηλεκτρονικού ταχυδρομείου του παραλήπτη

Παραδόθηκε σε: [email protected]
Ελήφθη: έως 10.223.200.70 με SMTP id ev6csp162209fab;
Δευ, 29 Ιουλ 2013 14:15:09 -0700 (PDT)
X-Ελήφθη: έως 10.236.227.202 με SMTP id d70mr27737943yhq.86.1375132508769;
Δευ, 29 Ιουλ 2013 14:15:08 -0700 (PDT)
Μονοπάτι επιστροφής:

Μόλις φτάσει στην υπηρεσία email του παραλήπτη, προστίθενται περισσότερες πληροφορίες στην κεφαλίδα - ποιος από τους διακομιστές υπηρεσιών email του παραλήπτη έλαβε και πότε, από τον διακομιστή ηλεκτρονικού ταχυδρομείου από το οποίο ελήφθη το μήνυμα, τη διεύθυνση ηλεκτρονικού ταχυδρομείου του προοριζόμενου παραλήπτη και τη δήλωση "απάντηση σε" του αποστολέα διεύθυνση. πίσω στο Third Hop, είδαμε ότι η υπηρεσία email του παραλήπτη ήταν με την Google. Μπορούμε να πούμε ότι αυτό το email ελήφθη από έναν εσωτερικό διακομιστή και μεταβιβάστηκε σε έναν άλλο - 10.236.227.202 έως 10.223.200.70. Το πιο σημαντικό μπορούμε να το πούμε από το Μονοπάτι επιστροφής: ότι το email για να απαντήσετε και το email του αποστολέα είναι το ίδιο. Αυτό μας λέει επίσης ότι υπάρχει καλή πιθανότητα αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου να είναι νόμιμο.

Άλλα πράγματα από Άλλες κεφαλίδες

Αυτή η συγκεκριμένη κεφαλίδα email είναι περιορισμένη στις πληροφορίες της, επειδή χρησιμοποιείται μια φιλοξενούμενη υπηρεσία email. Εάν ο αποστολέας χρησιμοποιούσε τον δικό του διακομιστή email, ενδέχεται να μπορέσουμε να αποκτήσουμε λίγες περισσότερες πληροφορίες. Ενδέχεται να είμαστε σε θέση να προσδιορίσουμε ακριβώς ποιος πελάτης αλληλογραφίας χρησιμοποιεί. Ή θα μπορούσαμε να εκτελέσουμε ένα WHOIS στη διεύθυνση IP του αποστολέα και να λάβουμε μια κατά προσέγγιση τοποθεσία του αποστολέα. Θα μπορούσαμε επίσης να πραγματοποιήσουμε μια απλή αναζήτηση στον ιστό στον τομέα του αποστολέα και να δούμε αν υπάρχει ιστότοπος για αυτόν. Με βάση αυτόν τον ιστότοπο, ενδέχεται να μπορέσουμε να μάθουμε ακόμη περισσότερες πληροφορίες σχετικά με τον αποστολέα. Μπορείτε να πραγματοποιήσετε μια αναζήτηση ιστού στην ίδια τη διεύθυνση ηλεκτρονικού ταχυδρομείου και να αρχίσετε να κάνετε το άτομο. Εάν δεν είστε εξοικειωμένοι με την έννοια του "doxing" εξοικειωθείτε με το Joel Lee's Τι είναι το Doxing & Πώς επηρεάζει το απόρρητό σας; Τι είναι το Doxing & Πώς επηρεάζει το απόρρητό σας; [MakeUseOf Εξηγεί]Η ιδιωτικότητα στο Διαδίκτυο είναι μια τεράστια συμφωνία. Ένα από τα δηλωμένα προνόμια του Διαδικτύου είναι ότι μπορείτε να παραμείνετε ανώνυμοι πίσω από την οθόνη σας καθώς περιηγείστε, συνομιλείτε και κάνετε ό, τι είναι αυτό που κάνετε ... Διαβάστε περισσότερα Διαβάστε επίσης το άρθρο του Ryan Dube, 15 ιστότοποι για να βρείτε άτομα στο Διαδίκτυο 13 ιστότοποι για την εύρεση ατόμων στο ΔιαδίκτυοΨάχνετε για χαμένους φίλους; Σήμερα, είναι πιο εύκολο από ποτέ να βρείτε άτομα στο Διαδίκτυο με αυτές τις μηχανές αναζήτησης. Διαβάστε περισσότερα .

Η απομάκρυνση

Όλες οι ηλεκτρονικές επικοινωνίες αφήνουν ίχνη. Μερικά είναι μεγαλύτερα και ευκολότερα στην παρακολούθηση. Ορισμένα επισκιάζονται από φίλτρα ιστού και διακομιστές μεσολάβησης. Σε κάθε περίπτωση, αυτό που μένει πίσω μας λέει κάτι για το άτομο που τα δημιούργησε. Από αυτά τα μεταδεδομένα, ενδέχεται να διεξαγάγουμε περαιτέρω έρευνες για να μάθουμε περισσότερα σχετικά με τα άτομα που εμπλέκονται. Κρύβουν κάτι χρησιμοποιώντας ένα VPN; Είναι πραγματικά από μια νόμιμη επιχείρηση με νόμιμη παρουσία στο διαδίκτυο; Είναι αυτός που θέλω να κάνω ραντεβού; Τι μπορούν να μάθουν οι απλοί άνθρωποι για εμένα, πόσο μάλλον η NSA;

Ρίξτε μια ματιά στις κεφαλίδες των email σας και δείτε τι λένε για εσάς. Αν βρείτε μερικές γραμμές κεφαλίδας που δεν έχουν πολύ νόημα, τοποθετήστε τις στα σχόλια και θα προσπαθήσουμε να τις αποκωδικοποιήσουμε. Έπρεπε να κάνετε κάποια έρευνα κεφαλίδας email; Πείτε μας για αυτό! Έτσι μαθαίνουμε όλοι.

Πιστωτική εικόνα: Δωμάτιο διακομιστή από torkildr μέσω του Flickr.