Что вы можете узнать из заголовка письма (метаданных)?

Реклама

Вы когда-нибудь получали электронное письмо и действительно задавались вопросом, откуда оно пришло? Кто это отправил? Как они могли узнать, кто вы? Удивительно, но большая часть этой информации может быть взята из заголовка электронного письма или с использованием информации из заголовка электронного письма для выполнения детективной работы.

Заголовок является частью сообщения электронной почты, которое большинство людей даже не видят. Он содержит много данных, которые кажутся обычному пользователю компьютера бесполезными, например, использование электронной почты стал ежедневным инструментом в жизни каждого, почтовые клиенты начали скрывать эту информацию из-за удобства для вас. В наши дни даже скрыть заголовок может быть немного хлопотно даже для тех, кто знает, что он там есть. Существует так много разных почтовых клиентов, как настольных, так и веб-, что для раскрытия того, как отобразить заголовок электронной почты, может оказаться небольшой книгой. Сегодня мы просто сосредоточимся на том, как отобразить заголовок в Gmail, а затем посмотрим, что мы можем извлечь из заголовка.

Что такое заголовок электронной почты?

Заголовок электронного письма - это набор информации, которая документирует путь, по которому письмо дошло до вас. В шапке может быть много информации или только основы. Существует стандарт для того, какая информация должна быть включена в заголовок, но на самом деле нет ограничения на то, какую информацию почтовый сервер может поместить в заголовок. Если вам интересно, как выглядит стандарт протокола электронной почты, ознакомьтесь с RFC 5321 - простой протокол пересылки почты. Это немного тяжело, особенно если вам не нужно знать это.

Gmail - Показать заголовок письма

Открыв в Gmail сообщение электронной почты, нажмите стрелку, направленную вниз, в правом верхнем углу сообщения. Новое меню покажет себя. Нажмите Показать оригинал, чтобы увидеть необработанное сообщение электронной почты с его полным содержимым и раскрытым заголовком.

Откроется новое окно или вкладка, и вы, конечно же, увидите текстовую версию электронной почты с заголовком вверху. Содержимое заголовка будет выглядеть примерно так:

Поставлено: To: [email protected]. Получено: по 10.223.200.70 с SMTP-идентификатором ev6csp162209fab; Понедельник, 29 июля 2013 14:15:09 -0700 (PDT) Получено X: по 10.236.227.202 с идентификатором SMTP d70mr27737943yhq.86.1375132508769; Понедельник, 29 июля 2013 14:15:08 -0700 (PDT) Обратный путь:Получено: от mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) от mx.google.com с идентификатором ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. за(версия = шифр TLSv1 = биты RC4-SHA = 128/128); Понедельник, 29 июля 2013 14:15:08 -0700 (PDT) Получено-SPF: нейтрально (google.com: 205.206.208.34 не разрешено и не отклонено с помощью записи наилучшего предположения для домена [email protected]) client-ip = 205.206.208.34; Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 205.206.208.34 не разрешен и не запрещен в соответствии с записями наилучшего предположения для домена [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: правда. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJGEEBJJGJJBYKHYKHYKHYKHYKHYKHYKHYKHYKHYKHYKHYKHYKKYBHYKHYBKYBHYKHYBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHBHYBKYBHYBKYBKYBKKHBKYBKKHBKYBKKHBKGBKGBKGBK X-IronPort-AV: E = Sophos; I = "4.89,772,1367992800"; D = "? jpg'145 scan'145,208,217,145"; а = "14712973" Получено: от неизвестно (HELO mail.exchange.telus.com) ([205.206.210.187]) mx21.exchange.telus.com с ESMTP / TLS / AES128-SHA; 29 июля 2013 15:15:07 -0600. Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115]) от. HEXHUB13.hostedmsx.local ([:: 1]) с mapi; Пн, 29 июля 2013 15:13:48 -0600. От: Гай Макдауэлл
To: "[email protected]" Дата: пн, 29 июля 2013 15:15:03 -0600. Тема: Что такое заголовок электронной почты? Тема-тема: Что такое заголовок электронной почты? Индекс потока: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Идентификатор сообщения: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: en-US. Язык контента: en-US. X-MS-Has-Attach: да. X-MS-TNEF-Correlator: acceptlanguage: en-US. Content-Type: multipart / related; граница = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; тип = «многочастная / альтернатива» MIME-версия: 1.0

Это мило. Что это значит?

Как создается заголовок электронной почты?

Зная, как создается заголовок по пути, по которому проходит электронное письмо, вы сможете лучше понять, что означают данные заголовка. Давайте посмотрим на части, как они добавляются, и что означают самые важные части.

На компьютере отправителя

Часть заголовка создается, когда отправитель создает электронное письмо для отправки получателю. Это будет включать такую ​​информацию, как, когда было составлено электронное письмо, кто его составил, строка темы и кому отправляется электронное письмо. Это та часть заголовка, которая вам наиболее знакома: строки Date:, From:, To: и Subject: в верхней части письма.

От: Гай Макдауэлл
Кому: «[email protected]»
Дата: понедельник, 29 июля 2013 15:15:03 -0600
Тема: Что такое заголовок электронной почты?

На почтовой службе отправителя

Дополнительная информация добавляется в заголовок, как только письмо действительно отправлено. Это обеспечивается службой электронной почты, которую использует отправитель. В этом случае отправитель использует размещенную службу электронной почты, поэтому показанный IP-адрес является внутренним по отношению к сети поставщика услуг. Выполнение поиска в WHOIS не даст никакой полезной информации. Что мы можем сделать, это выполнить поиск Google по имени сервера HEXMBVS12.hostedmsx.local и мы можем обнаружить, что поставщиком услуг является Telus. Если мы немного покопаемся на веб-сайте Telus, то обнаружим, что они предлагают сервис Hosted Microsoft Exchange. Это говорит о том, что отправитель, вероятно, использует Microsoft Outlook, Outlook Express или Outlook Web Access. Добавленная здесь информация включает в себя IP-адрес отправителя ([10.9.6.115]), время, отправленное по электронной почте отправителя. сервис (понедельник, 29 июля 2013 15:13:48 -0600) и идентификатор сообщения для этого конкретного сообщения, добавленный по электронной почте служба.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115]) от HEXHUB13.hostedmsx.local ([:: 1]) с mapi; Пн, 29 июля 2013 15:13:48 -0600. Идентификатор сообщения: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

По пути к почтовой службе получателя

Оттуда электронное письмо может пройти любое количество маршрутов, чтобы попасть в почтовую службу получателя. Это можно добавить в заголовок, чтобы показать «прыжки», которые нужно было сделать по электронной почте. Эти переходы начинаются на сервере, который обрабатывал электронную почту в последний раз, и возвращаются на сервер, который первоначально обрабатывал ее, в обратном хронологическом порядке. В этом примере все переходы являются внутренними в почтовой службе отправителя.

Третий и последний прыжок

Получено: от mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) от mx.google.com с идентификатором ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. за(версия = шифр TLSv1 = биты RC4-SHA = 128/128); Понедельник, 29 июля 2013 14:15:08 -0700 (PDT) Получено-SPF: нейтрально (google.com: 205.206.208.34 не разрешено и не отклонено с помощью записи наилучшего предположения для домена [email protected]) client-ip = 205.206.208.34; Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 205.206.208.34 не разрешен и не запрещен в соответствии с записями наилучшего предположения для домена [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: правда. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJGEEBJJGJJBYKHYKHYKHYKHYKHYKHYKHYKHYKHYKHYKHYKHYKKYBHYKHYBKYBHYKHYBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHYKKHBKYBHBHYBKYBHYBKYBKYBKKHBKYBKKHBKYBKKHBKGBKGBKGBK X-IronPort-AV: E = Sophos; I = "4.89,772,1367992800"; D = "? jpg'145 scan'145,208,217,145"; а = "14712973"

Третье объяснение хмеля
Это прыжок, который переносит его из Telus на сервер электронной почты получателей. Мы можем сказать, что он был получен mx.google.com, поэтому у получателя есть сервис электронной почты с Google. Здесь хорошо отметить линию Received-SPF: SPF, или Sender Policy Framework, - это стандарт, с помощью которого почтовый сервер отправителя может объявить себя законным отправителем электронной почты. В этом случае классификатор нейтральный, что означает, что ничего не может быть сказано о действительности этого письма, хорошо это или плохо. Если бы он был зарегистрирован как провалбыло бы отклонено серверами Gmail. Если бы SoftfailGmail принял бы это, но пометил, что, возможно, не от того, от кого он говорит.

Чуть ниже вы также увидите три строки, начинающиеся с X-IronPort-Anti-Spam. Первый, X-IronPort-Anti-Spam-Filtered: правда, взломан антиспамовым устройством Telus IronPort. IronPort является частью Ciscoтак что это считается довольно надежным. X-IronPort-Anti-Spam-Result Линия предназначена исключительно для устройств IronPort и не может быть расшифрована для человеческого глаза - если только вы не работаете в Cisco и не нуждаетесь в ее декодировании. Третий, X-IronPort-AV, показывает, что у отправителя есть собственное антиспам-устройство от Sophos. Он мог прочитать McAfee или Norton, или любой другой фильтр, через который проходит ваша электронная почта. Как получатель, это может дать вам немного больше уверенности в том, что электронная почта действительна.

Второй хмель

Получено: от неизвестно (HELO mail.exchange.telus.com) ([205.206.210.187])
mx21.exchange.telus.com с ESMTP / TLS / AES128-SHA; 29 июля 2013 15:15:07 -0600

Второе объяснение хмеля
Здесь становится очевидным, что Telus является поставщиком услуг. Если есть какие-либо сомнения по этому поводу, выполните проверку WHOIS на показанном IP-адресе: 205.206.210.187. Вы обнаружите, что IP-адрес также ведет к Telus. Это дает вам немного больше уверенности в том, что электронная почта является законной. Мы также можем сказать, что сообщение заняло чуть более одной минуты, чтобы перейти от первого прыжка ко второму прыжку. Это не говорит нам много, если вы не сетевой инженер. Теоретически вы можете приблизительно рассчитать, насколько далеко расположены два сервера.

Первый Хоп

Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) с mapi; Пн, 29 Июл 2013 15:13:48 -0600

Первое объяснение хмеля
Первый переход - это почтовый сервер отправителя, который получает его сообщение электронной почты. На этом этапе электронная почта все еще перемещается внутри сети почтового сервера отправителя. Вы можете сказать по тому, что IP-адрес начинается с 10. IP-адрес, начинающийся с 10, зарезервирован только для внутреннего использования.

На почтовом сервере получателя

Доставлено: To: [email protected]
Получено: по 10.223.200.70 с SMTP-идентификатором ev6csp162209fab;
Понедельник, 29 июля 2013 14:15:09 -0700 (PDT)
Получено X: по 10.236.227.202 с идентификатором SMTP d70mr27737943yhq.86.1375132508769;
Понедельник, 29 июля 2013 14:15:08 -0700 (PDT)
Обратный путь:

Как только он попадает в почтовую службу получателя, в заголовок добавляется дополнительная информация - какие серверы почтовых служб получателя получили это и когда, с какого сервера электронной почты было получено сообщение, адрес электронной почты предполагаемого получателя и заявленный адрес отправителя «ответить на» адрес. Вернувшись к Третьему прыжку, мы увидели, что служба электронной почты получателя была с Google. Мы можем сказать, что это письмо было получено одним внутренним сервером и передано другому - с 10.236.227.202 по 10.223.200.70. Самое главное, мы можем сказать по Обратный путь: что электронная почта для ответа и электронная почта отправителя совпадают. Это также говорит нам о том, что существует вероятность того, что это письмо является законным.

Другие вещи из других заголовков

Этот конкретный заголовок электронной почты ограничен в своей информации, потому что используется размещенный почтовый сервис. Если бы отправитель использовал свой собственный почтовый сервер, мы могли бы получить немного больше информации. Мы могли бы точно определить, какой почтовый клиент они используют. Или мы можем выполнить WHOIS на IP-адресе отправителя и получить приблизительное местоположение отправителя. Мы также могли бы выполнить простой веб-поиск в домене отправителя и посмотреть, есть ли для них веб-сайт. На основе этого веб-сайта мы сможем узнать еще больше информации об отправителе. Вы можете провести поиск в Интернете по самому адресу электронной почты и начать делать это. Если вы не знакомы с концепцией «doxing», ознакомьтесь с Что такое Doxing и как это влияет на вашу конфиденциальность? Что такое Doxing и как это влияет на вашу конфиденциальность? [MakeUseOf Объясняет]Конфиденциальность в Интернете огромная сделка. Одно из заявленных преимуществ Интернета - то, что вы можете оставаться анонимным за своим монитором, когда вы просматриваете, общаетесь и делаете все, что делаете ... Читать далее Также прочитайте статью Райана Дубе, 15 сайтов для поиска людей в интернете 13 сайтов для поиска людей в интернетеИщете потерянных друзей? Сегодня легче, чем когда-либо прежде, найти людей в Интернете с помощью этих поисковых систем. Читать далее .

Забрать

Все электронные сообщения оставляют следы. Некоторые больше и легче следовать. Некоторые из них скрыты веб-фильтрами и прокси-серверами. В любом случае, то, что осталось, говорит нам кое-что о человеке, который их создал. Исходя из этих метаданных, мы могли бы провести дальнейшие исследования, чтобы узнать больше о вовлеченных людях. Они что-то скрывают, используя VPN? Они действительно из законного бизнеса с законным присутствием в сети? Это тот, с кем я действительно хочу пойти на свидание? Что обычные люди могут узнать обо мне, не говоря уже о АНБ?

Посмотрите на заголовки ваших писем и посмотрите, что они говорят о вас. Если вы найдете строки заголовка, которые не имеют особого смысла, поместите их в комментарии, и мы попытаемся их расшифровать. Вы должны были сделать некоторые исследования заголовка электронной почты? Расскажите нам об этом! Вот как мы все учимся.

Кредит изображения: Серверная комната от torkildr через Flickr.