Forside Internet Hvad kan du lære af en e-mail-overskrift (metadata)?

Hvad kan du lære af en e-mail-overskrift (metadata)?

  • Peter Holmes
  • 0
  • 1741
  • 186
Reklame

Har du nogensinde fået en e-mail og spekulerede virkelig på, hvor den kom fra? Hvem sendte det? Hvordan kunne de have vidst, hvem du er? Overraskende kan en masse af disse oplysninger komme fra e-mailhovedet, eller ved at bruge info fra e-mailhovedet til at udføre noget detektivarbejde.

Headeren er en del af den e-mail-meddelelse, som de fleste mennesker aldrig ser. Det indeholder en masse data, der ser ud til at være gobbledygook for den gennemsnitlige computerbruger, så da e-mail-brug blev et dagligt værktøj i alles liv, begyndte e-mail-klienter at skjule disse oplysninger af bekvemmelighed for dig. I disse dage kan det endda være en smule besværligt at skjule overskriften, selv for dem, der ved, at den er der. Der er så mange forskellige e-mail-klienter derude, både desktop og webbaseret, at det kan en lille bog at dække, hvordan man fjerner e-mailhovedet. I dag skal vi bare fokusere på, hvordan man gemmer overskriften i Gmail, og ser derefter på, hvad vi kan hente fra overskriften.

Hvad er en e-mail-overskrift?

En e-mailhoved er en samling information, der dokumenterer den sti, som e-mailen fik til dig. Der kan være en masse information i overskriften eller bare det grundlæggende. Der er en standard for, hvilke oplysninger der skal inkluderes i en header, men egentlig ikke en grænse for, hvilke oplysninger en e-mail-server muligvis lægger i overskriften. Hvis du er nysgerrig efter, hvordan en standard for en e-mail-protokol ser ud, så tjek RFC 5321 - Simple Mail Transfer Protocol. Det er lidt hårdt på hovedet, især hvis du ikke behøver at kende det.

Gmail - Fjern skjulet på e-mail

Når du har en e-mail-besked åben i Gmail, skal du klikke på den nedadrettede pil nær øverste højre hjørne af beskeden. En ny menu viser sig selv. Klik på Vis original for at se den rå e-mail med det fulde indhold og overskriften afsløret.

Et nyt vindue eller fane åbnes, og du vil naturligvis se en almindelig tekstversion af din e-mail med overskriften øverst. Indholdet af overskriften ser sådan ud:

Leveret til: [email protected]
Modtaget: af 10.223.200.70 med SMTP-id ev6csp162209fab;
Man 29. juli 2013 14:15:09 -0700 (PDT)
X-modtaget: af 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769;
Man, 29. juli 2013 14:15:08 -0700 (PDT)
Retur-Path:
Modtaget: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
af mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
til
(version = TLSv1-chiffer = RC4-SHA-bits = 128/128);
Man, 29. juli 2013 14:15:08 -0700 (PDT)
Mottaget-SPF: neutral (google.com: 205.206.208.34 er hverken tilladt eller nægtet ved bedst gætte-post for domæne af [email protected]) client-ip = 205.206.208.34;
Autentificeringsresultater: mx.google.com;
spf = neutral (google.com: 205.206.208.34 er hverken tilladt eller afvist af bedste gæt-optegnelse for domæne af [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtreret: sandt
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgijQjAjj
X-IronPort-AV: E = Sophos; i =”4.89,772,1367992800" ;
d =”jpg'145 scan'145,208,217,145" ;? a =”14712973"
Modtaget: fra ukendt (HELO mail.exchange.telus.com) ([205.206.210.187])
af mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29. jul 2013 15:15:07 -0600
Modtaget: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) af
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man, 29. juli 2013 15:13:48 -0600
Fra: Guy McDowell
Til: “[email protected]
Dato: Man, 29. juli 2013 15:15:03 -0600
Emne: Hvad er en e-mail-overskrift?
Tråd-emne: Hvad er en e-mail-overskrift?
Trådindeks: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Message-ID:
Accepter sprog: da-USA
Indholdssprog: da-USA
X-MS-Has-Attach: ja
X-MS-TNEF-Korrelator:
acceptlanguage: da-US
Indholdstype: multipart / relateret;
boundary =”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”multipart / alternative”
MIME-version: 1.0

Det er godt. Hvad betyder det?

Hvordan oprettes e-mail-overskriften?

Ved at vide, hvordan overskriften oprettes langs den sti, som en e-mail rejser, vil du udvikle dybere indsigt i, hvad en header's data betyder. Lad os se på delene, når de er tilføjet, og hvad de vigtigste dele betyder.

På afsenderens computer

En del af overskriften oprettes, når afsenderen opretter den e-mail, der skal sendes til modtageren. Dette vil omfatte sådanne oplysninger som når e-mailen blev komponeret, hvem der har komponeret den, emnelinjen og til hvem e-mailen sendes. Dette er den del af overskriften, som du er mest kendt som Dato:, Fra:, Til:, og Emne: linjer øverst på din e-mail.

Fra: Guy McDowell
Til: “[email protected]
Dato: Man, 29. juli 2013 15:15:03 -0600
Emne: Hvad er en e-mail-overskrift?

På afsenderens e-mail-service

Mere information føjes til overskriften, når e-mailen faktisk er sendt. Dette leveres af den e-mail-tjeneste, som afsenderen bruger. I dette tilfælde bruger afsenderen en hostet e-mail-tjeneste, så den viste IP-adresse er en adresse, der er intern i tjenesteudbyderens netværk. Udførelse af en WHOIS-søgning på den vil ikke give nogen nyttige oplysninger. Hvad vi kan gøre er at udføre en Google-søgning på servernavnet HEXMBVS12.hostedmsx.local, og vi kan finde ud af, at tjenesteudbyderen er Telus. Hvis vi gør noget ved at grave rundt på Telus-webstedet, finder vi ud af, at de tilbyder en Hosted Microsoft Exchange-service. Det antyder, at afsenderen sandsynligvis bruger enten Microsoft Outlook, Outlook Express eller Outlook Web Access. Oplysninger, der tilføjes her inkluderer afsenderens IP-adresse ([10.9.6.115]), det tidspunkt, der sendes af afsenderens e-mailtjeneste (man, 29 jul. 2013 15:13:48 -0600), og meddelelses-ID for den pågældende bestemt besked som tilføjet af e-mail-tjenesten.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Modtaget: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) af HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man, 29. juli 2013 15:13:48 -0600
Message-ID:

Undervejs til modtagers e-mail-service

Derfra kan e-mailen tage et vilkårligt antal ruter for at ende på modtagerens e-mail-service. Dette kan tilføjes til overskriften for at vise 'humle', som e-mailen skulle foretage for at komme til dig. Disse humle starter på den server, der senest håndterede e-mailen og går tilbage til den server, der oprindeligt håndterede den, i omvendt kronologisk rækkefølge. I dette eksempel er alle humle interne ved afsenderens e-mail-service.

Tredje og sidste hop

Modtaget: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
af mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
til
(version = TLSv1-chiffer = RC4-SHA-bits = 128/128);
Man, 29. juli 2013 14:15:08 -0700 (PDT)
Mottaget-SPF: neutral (google.com: 205.206.208.34 er hverken tilladt eller nægtet ved bedst gætte-post for domæne af [email protected]) client-ip = 205.206.208.34;
Autentificeringsresultater: mx.google.com;
spf = neutral (google.com: 205.206.208.34 er hverken tilladt eller afvist af bedste gæt-optegnelse for domæne af [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtreret: sandt
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgijQjAjj
X-IronPort-AV: E = Sophos; i =”4.89,772,1367992800" ;
d =”jpg'145 scan'145,208,217,145" ;? a =”14712973"

Tredje Hop-forklaring
Dette er det hop, der tager det fra Telus til modtagerens e-mail-server. Vi kan fortælle, at det blev modtaget af mx.google.com, så modtageren har deres e-mail-tjeneste med Google. Her er det godt at bemærke linjen Modtaget-SPF: SPF eller Sender Policy Framework er en standard, hvormed en afsenders e-mail-server kan erklære sig selv for at være den legitime afsender af e-mailen. I dette tilfælde er kvalificeringen neutral, hvilket betyder, at der ikke kan siges noget om gyldigheden af ​​denne e-mail, god eller dårlig. Havde det registreret som svigte, det ville være blevet afvist af Gmail's servere. Hvis det var softfail, Gmail ville have accepteret det, men markeret som muligvis ikke, fra hvem det siger, at det er fra.

Lige under det ser du også tre linjer, der starter med X-IronPort-Anti-Spam. Den første, X-IronPort-Anti-Spam-Filtreret: sandt, håndteres af Telus 'IronPort-anti-spam-apparat. IronPort er en del af Cisco, så det anses for at være ret pålideligt. Det X-IronPort-Anti-Spam-Resultat linje er udelukkende beregnet til IronPort-apparaterne og kan ikke dekodes for menneskelige øjne - medmindre du arbejder for Cisco og har brug for at afkode den. Den tredje, X-IronPort-AV, viser, at afsenderen har deres eget anti-spam-apparat fra Sophos. Det kunne have læst McAfee eller Norton, eller hvad filter du sender via e-mail. Som modtager kan dette give dig lidt mere tillid til, at e-mailen er gyldig.

Andet Hop

Modtaget: fra ukendt (HELO mail.exchange.telus.com) ([205.206.210.187])
af mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29. jul 2013 15:15:07 -0600

Anden Hop-forklaring
Her bliver det tydeligt, at Telus er tjenesteudbyderen. Hvis der er nogen tvivl om dette, skal du udføre en WHOIS-kontrol på den viste IP-adresse: 205.206.210.187. Du finder ud af, at IP-adressen også fører til Telus. Det giver dig lidt mere tillid til, at e-mailen er legitim. Vi kan også fortælle, at beskeden tog lidt over et minut at gå fra det første hop til det andet humle. Det siger os ikke meget, medmindre du er netværksingeniør. I teorien kunne du beregne nogenlunde hvor langt fra hinanden er de to servere.

Første Hop

Modtaget: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) af
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man, 29. juli 2013 15:13:48 -0600

Første Hop-forklaring
Det første hop er afsenderens e-mail-server, der modtager hans e-mail-besked. På dette tidspunkt bevæger e-mailen sig stadig internt inden for afsenderens e-postserverens netværk. Du kan fortælle det faktum, at IP-adressen starter med 10. IP-adresse, der starter med 10, er kun forbeholdt internt brug.

På modtagers e-mailserver

Leveret til: [email protected]
Modtaget: af 10.223.200.70 med SMTP-id ev6csp162209fab;
Man 29. juli 2013 14:15:09 -0700 (PDT)
X-modtaget: af 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769;
Man, 29. juli 2013 14:15:08 -0700 (PDT)
Retur-Path:

Når den kommer til modtagerens e-mail-service, tilføjes flere oplysninger til overskriften - hvilken af ​​modtagerens e-postserviceservere har modtaget den, og hvornår, hvilken e-mail-server meddelelsen blev modtaget fra, den tilsigtede modtagers e-mail-adresse og afsenderens angivne svar til 'e-mail-adresse. tilbage i det tredje hop, så vi, at modtagerens e-mail-tjeneste var hos Google. Vi kan fortælle, at denne e-mail blev modtaget af en intern server og sendt videre til en anden - 10.236.227.202 til 10.223.200.70. Vigtigst kan vi fortælle ved Retur-Path: at e-mailen du vil svare på og e-mailen til afsenderen er den samme. Dette fortæller os også, at der er en god chance for, at denne e-mail er legitim.

Andre ting fra andre overskrifter

Denne særlige e-mailhoved er begrænset i dens oplysninger, fordi en hostet e-mail-tjeneste bruges. Hvis afsenderen brugte sin egen e-mail-server, kunne vi muligvis få lidt mere information. Vi kan muligvis bestemme nøjagtigt, hvilken e-mail-klient de bruger. Eller vi kunne udføre en WHOIS på afsenderens IP-adresse og få en omtrentlig placering af afsenderen. Vi kunne også udføre en simpel websøgning på afsenderens domæne og se, om der er et websted til dem. Baseret på dette websted kan vi muligvis finde ud af endnu mere information om afsenderen. Du foretager muligvis en websøgning på selve e-mail-adressen og begynder at doxe personen. Hvis du ikke er bekendt med begrebet 'doxing', gør dig bekendt med Joel Lees 'Hvad er doxing' og hvordan påvirker det dit privatliv? Hvad er doxing og hvordan påvirker det dit privatliv? [MakeUseOf Explains] Hvad er doxing, og hvordan påvirker det dit privatliv? [MakeUseOf Explains] Internet-privatliv er en enorm handel. En af de anførte frynsegoder på Internettet er, at du kan forblive anonym bag din skærm, mens du gennemser, chatter og gør, hvad det nu er, som du gør ... Læs også Ryan Dubes artikel, 15 websteder for at finde mennesker på Internettet 13 Websteder til at finde mennesker på Internettet 13 Websteder til at finde mennesker på Internettet Leder du efter mistede venner? I dag er det lettere end nogensinde før at finde mennesker på internettet med disse menneskers søgemaskiner. .

Take Away

Al elektronisk kommunikation efterlader fodaftryk. Nogle er større og lettere at følge. Nogle skjules af webfiltre og proxyservere. Uanset hvad, der er tilbage, fortæller os noget om den person, der skabte dem. Fra disse metadata foretager vi måske yderligere undersøgelser for at lære mere om de involverede mennesker. Skjuler de noget ved at bruge en VPN? Kommer de virkelig fra en legitim virksomhed med en legitim tilstedeværelse på nettet? Er det nogen, jeg virkelig vil gå på en date med? Hvad kan almindelige mennesker lære om mig, og ikke mindst NSA?

Se på dine e-mail-overskrifter og se, hvad de siger om dig. Hvis du finder nogle overskriftslinjer, der ikke giver meget mening, skal du lægge dem i kommentarerne, og vi vil forsøge at afkode dem. Har du været nødt til at undersøge e-mail-header? Fortæl os om det! Sådan lærer vi alle sammen.

Billedkredit: Serverrum af torkildr via Flickr.




Endnu ingen kommentarer

Nintendos NES Classic Edition outsells Wii U
Tekniske nyheder
Google gør det nemt at skifte fra iOS til Android
Tekniske nyheder
Yahoo afslører endnu et kæmpe sikkerhedsbrud
Tekniske nyheder
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.