Ko jūs varat uzzināt no e-pasta galvenes (metadati)?

Reklāma

Vai jūs kādreiz esat saņēmis e-pastu un tiešām domājāt, no kurienes tas nāk? Kas to nosūtīja? Kā viņi varēja zināt, kas tu esi? Pārsteidzoši, ka daudz šīs informācijas var būt no e-pasta galvenes vai, izmantojot e-pasta galvenes informāciju, lai veiktu detektīvu darbu.

Virsraksts ir e-pasta ziņas daļa, kuru vairums cilvēku pat neredz. Tajā ir daudz datu, kas vidējam datora lietotājam šķiet līdzīgs e-pastam, piemēram, e-pasta lietojums kļuva par ikdienas rīku ikviena cilvēka dzīvē, e-pasta klienti sāka šo informāciju slēpt ērtības dēļ tev. Mūsdienās galvenes paslēpšana pat var būt nedaudz apgrūtinoša, pat tiem, kas zina, ka tā tur ir. Tur ir tik daudz dažādu e-pasta klientu, gan galddatoru, gan tīmekļa, ka, lai parādītu, kā paslēpt e-pasta galveni, galu galā varētu būt maza grāmata. Šodien mēs pievērsīsimies tikai tam, kā parādīt galvenes rādīšanu pakalpojumā Gmail, un pēc tam apskatīsim, ko mēs varam atlasīt no galvenes.

Kas ir e-pasta galvene?

E-pasta galvene ir informācijas kolekcija, kas dokumentē ceļu, pa kuru e-pasta adrese nonāca pie jums. Galvenē var būt daudz informācijas vai tikai pamati. Pastāv standarts, kāda informācija jāiekļauj galvenē, bet nav īsti noteikts ierobežojums, kādu informāciju e-pasta serveris var ievietot galvenē. Ja jums ir interese par to, kā izskatās e-pasta protokola standarts, pārbaudiet

RFC 5321 - vienkāršs pasta pārsūtīšanas protokols. Tas ir mazliet par galvu, it īpaši, ja jums nav jāzina šīs lietas.

Gmail - paslēpiet e-pasta galveni

Kad e-pasta ziņojums ir atvērts pakalpojumā Gmail, noklikšķiniet uz bultiņas, kas vērsta uz leju, blakus ziņojuma augšējā labajā stūrī. Parādīsies jauna izvēlne. Noklikšķiniet uz Rādīt oriģinālu, lai redzētu neapstrādātu e-pasta ziņojumu ar pilnu saturu un galveni.

Atvērsies jauns logs vai cilne, un jūs, protams, redzēsit sava e-pasta vienkārša teksta versiju ar galveni augšpusē. Galvenes saturs izskatīsies apmēram šādi:

Piegādāts: [email protected]. Saņemts: līdz 10.223.200.70 ar SMTP id ev6csp162209fab; Pirmdien, 2013. gada 29. jūlijā 14:15:09 -0700 (PDT) X saņemts: līdz 10.236.227.202 ar SMTP id d70mr27737943yhq.86.1375132508769; Pirmdien, 2013. gada 29. jūlijā plkst. 14:15:08 -0700 (PDT) Atgriešanās ceļš:Saņemts: no vietnes mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) sniedza mx.google.com ar ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. priekš(versija = TLSv1 šifrs = RC4-SHA biti = 128/128); Pirmdien, 2013. gada 29. jūlijā plkst. 14:15:08 -0700 (PDT) Saņemts-SPF: neitrāls (google.com: 205.206.208.34 nav nedz atļauts, nedz arī noliegts ar labāko minējumu ierakstu domēnā [email protected]) client-ip = 205.206.208.34; Autentifikācijas rezultāti: mx.google.com; spf = neitrāls (google.com: 205.206.208.34 nav nedz atļauts, nedz arī noliegts [email protected] domēna labāko minējumu reģistrs) [email protected]. X-IronPort filtrēts ar surogātpastu: patiess. X-IronPort-Anti-Spam-Rezultāts: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGIEGIBIQYBIQYBIQYBIQYBIQYGIBYGYBEJEGIQYBYDIQYBIQYBYDIQBYBYDIQYBBYGYBYGYBEJEGAJBYGMBYGMBYGMBYGMBEJEGAJBYGMYGMYGMYGMYGMEGA X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Saņemts: no nezināma (HELO mail.exchange.telus.com) ([205.206.210.187]) ar mx21.exchange.telus.com ar ESMTP / TLS / AES128-SHA; 2013. gada 29. jūlijs 15:15:07 -0600. Saņemts: no HEXMBVS12.hostedmsx.local ([10.9.6.115]) līdz. HEXHUB13.hostedmsx.local ([:: 1]) ar mapi; Pirmdien, 2013. gada 29. jūlijā 15:13:48 -0600. No: Gajs Makdovels
Kam: "[email protected]" Datums: Pirmdien, 2013. gada 29. jūlijā 15:15:03 -0600. Temats: Kas ir e-pasta galvene? Pavediena tēma: Kas ir e-pasta galvene? Pavedienu indekss: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Ziņojuma ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Pieņemt valodu: lv. Satura valoda: lv. X-MS-Has-Attach: jā. X-MS-TNEF-Korektors: akceptēt valodu: lv. Satura tips: daudzdaļīgs / saistīts; robeža = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; tips = "daudzdaļīga / alternatīva" MIME versija: 1.0

Tas ir jauki. Ko tas nozīmē?

Kā tiek izveidota e-pasta galvene?

Uzzinot, kā tiek veidota galvene pa e-pasta ziņojumu, jūs gūsit labāku ieskatu par to, ko nozīmē galvenes dati. Apskatīsim daļas, kā tās tiek pievienotas, un ko nozīmē vissvarīgākās daļas.

Sūtītāja datorā

Daļa galvenes tiek izveidota, kad sūtītājs izveido e-pastu, ko nosūtīt adresātam. Tajā ietvers tādu informāciju kā e-pasta sastādīšanas laiks, kurš to sastādīja, tēmas līnija un kam e-pasts tiek nosūtīts. Šī ir tā galvenes daļa, kuru jūs vispazīstamāk redzat kā rindas Datums:, No:, Līdz: un Tēma: e-pasta augšpusē.

No: Gajs Makdovels
Kam: “[email protected]”
Datums: Pirmdien, 2013. gada 29. jūlijā 15:15:03 -0600
Temats: kas ir e-pasta galvene?

Sūtītāja e-pasta pakalpojumā

Pēc e-pasta reālas nosūtīšanas galvenē tiek pievienota vairāk informācijas. To nodrošina e-pasta pakalpojums, kuru izmanto sūtītājs. Šajā gadījumā sūtītājs izmanto mitināta e-pasta pakalpojumu, tāpēc parādītā IP adrese ir adrese, kas ir iekšēja pakalpojumu sniedzēja tīklā. Veicot WHOIS meklēšanu, tā nesniegs noderīgu informāciju. Mēs varam veikt meklēšanu Google serverī HEXMBVS12.hostedmsx.local un mēs varam atrast, ka pakalpojumu sniedzējs ir Telus. Ja mēs kaut ko rakņājamies Telus vietnē, mēs redzēsim, ka viņi piedāvā mitinātu Microsoft Exchange pakalpojumu. Tas liek domāt, ka sūtītājs, iespējams, izmanto vai nu Microsoft Outlook, Outlook Express vai Outlook Web Access. Šeit pievienotā informācija ietver sūtītāja IP adresi ([10.9.6.115]), laiku, kas nosūtīts pa e-pastu pakalpojums (Pirmdien, 2013. gada 29. jūlijā 15:13:48 -0600), un konkrētā ziņojuma ID-ID, kas pievienots e-pastā apkalpošana.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Saņemts: no HEXMBVS12.hostedmsx.local ([10.9.6.115]) ar HEXHUB13.hostedmsx.local ([:: 1]) ar mapi; Pirmdien, 2013. gada 29. jūlijā 15:13:48 -0600. Ziņojuma ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Pa ceļam uz saņēmēja e-pasta pakalpojumu

Turpmāk e-pasts var nokļūt daudzos maršrutos, lai nonāktu adresāta e-pasta pakalpojumā. To var pievienot galvenē, lai parādītu “apiņus”, kas e-pastā bija jāveic, lai jūs sazinātos. Šie apiņi sākas serverī, kas pēdējoreiz apstrādāja e-pastu, un atgriežas atpakaļ serverī, kas sākotnēji apstrādāja to, apgrieztā hronoloģiskā secībā. Šajā piemērā visi apiņi ir iekšēji sūtītāja e-pasta pakalpojumā.

Trešais un pēdējais aplis

Saņemts: no vietnes mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) sniedza mx.google.com ar ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. priekš(versija = TLSv1 šifrs = RC4-SHA biti = 128/128); Pirmdien, 2013. gada 29. jūlijā plkst. 14:15:08 -0700 (PDT) Saņemts-SPF: neitrāls (google.com: 205.206.208.34 nav nedz atļauts, nedz arī noliegts ar labāko minējumu ierakstu domēnā [email protected]) client-ip = 205.206.208.34; Autentifikācijas rezultāti: mx.google.com; spf = neitrāls (google.com: 205.206.208.34 nav nedz atļauts, nedz arī noliegts [email protected] domēna labāko minējumu reģistrs) [email protected]. X-IronPort filtrēts ar surogātpastu: patiess. X-IronPort-Anti-Spam-Rezultāts: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGIEGIBIQYBIQYBIQYBIQYBIQYGIBYGYBEJEGIQYBYDIQYBIQYBYDIQBYBYDIQYBBYGYBYGYBEJEGAJBYGMBYGMBYGMBYGMBEJEGAJBYGMYGMYGMYGMYGMEGA X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"

Trešā apiņa skaidrojums
Šī ir apiņa, kas to ved no Telus uz adresātu e-pasta serveri. Varam pateikt, ka to ir saņēmis mx.google.com, tāpēc saņēmējam ir viņu e-pasta pakalpojums ar Google. Šeit ir labi atzīmēt līniju Saņemtais SPF: SPF jeb Sūtītāja politikas ietvars ir standarts, saskaņā ar kuru sūtītāja e-pasta serveris var paziņot par likumīgu e-pasta sūtītāju. Šajā gadījumā kvalifikācija ir neitrāla, kas nozīmē, ka neko nevar teikt par šī e-pasta derīgumu, labu vai sliktu. Ja tas būtu reģistrēts kā neizdoties, Gmail serveri to būtu noraidījuši. Ja būtu mīkstā kļūme, Gmail to būtu pieņēmis, bet atzīmēja kā iespējamu, ka nav no tā, no kura saka, ka ir no.

Tieši zem tā redzēsit arī trīs rindas, kas sākas ar X-IronPort-Anti-Spam. Pirmais, X-IronPort filtrēts ar surogātpastu: patiess, ir piespiesta Telus “IronPort pretsurogāšanas ierīcei. IronPort ir daļa no Cisco, tāpēc tas tiek uzskatīts par diezgan uzticamu. X-IronPort-Anti-Spam-Result līnija ir paredzēta tikai IronPort ierīcēm, un to nevar atšifrēt cilvēka acīm - ja vien jūs strādājat Cisco un jums tas nav jāatšifrē. Trešais, X-IronPort-AV, rāda, ka sūtītājam ir sava ierīce no surogātpasta, kas piegādāta no surogātpasta. Tas varētu būt lasījis McAfee vai Norton vai jebkuru citu jūsu e-pasta filtru. Kā saņēmējs tas var sniegt jums mazliet lielāku pārliecību, ka e-pasts ir derīgs.

Otrā apiņa

Saņemts: no nezināma (HELO mail.exchange.telus.com) ([205.206.210.187])
ar mx21.exchange.telus.com ar ESMTP / TLS / AES128-SHA; 2013. gada 29. jūlijs 15:15:07 -0600

Otrās apmaiņas skaidrojums
Šeit kļūst acīmredzams, ka pakalpojumu sniedzējs ir Telus. Ja par to rodas šaubas, pārbaudiet WHOIS parādīto IP adresi: 205.206.210.187. Jūs redzēsit, ka IP adrese ved arī uz Telus. Tas dod jums mazliet lielāku pārliecību, ka e-pasts ir likumīgs. Varam arī pateikt, ka ziņai vajadzēja nedaudz vairāk par vienu minūti, lai pārietu no pirmā apstāšanās uz otro. Tas neko daudz par mums nesaka, ja vien jūs neesat tīkla inženieris. Teorētiski jūs varētu aptuveni aprēķināt, cik tālu viens no otra ir divi serveri.

Pirmais aplis

Saņemts: no HEXMBVS12.hostedmsx.local ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) ar mapi; Pirmdien, 2013. gada 29. jūlijā 15:13:48 -0600

Pirmās apmaiņas skaidrojums
Pirmais solis ir sūtītāja e-pasta serveris, kas saņem viņa e-pasta ziņojumu. Šajā brīdī e-pasts joprojām pārvietojas sūtītāja e-pasta servera tīklā. Jūs varat pateikt ar to, ka IP adrese sākas ar 10. IP adrese, kas sākas ar 10, ir paredzēta tikai iekšējai lietošanai.

Saņēmēja e-pasta serverī

Piegādāts: [email protected]
Saņemts: līdz 10.223.200.70 ar SMTP id ev6csp162209fab;
Pirmdien, 2013. gada 29. jūlijā 14:15:09 -0700 (PDT)
X saņemts: līdz 10.236.227.202 ar SMTP id d70mr27737943yhq.86.1375132508769;
Pirmdien, 2013. gada 29. jūlijā plkst. 14:15:08 -0700 (PDT)
Atgriešanās ceļš:

Kad tas nokļūst adresāta e-pasta pakalpojumā, galvenē tiek pievienota vairāk informācijas - kurš no saņēmēja e-pasta pakalpojumu serveriem ir saņemts tas un kad, no kura e-pasta servera tika saņemts ziņojums, paredzētā adresāta e-pasta adrese un sūtītāja norādītā atbilde uz e-pastu adrese. atpakaļ trešajā apziņā, mēs redzējām, ka saņēmēja e-pasta pakalpojums ir pieejams Google. Varam pateikt, ka šo e-pastu saņēma viens iekšējais serveris un pārsūtīja uz citu - 10.236.227.202 līdz 10.223.200.70. Vissvarīgākais, ko mēs varam pateikt ar Atgriešanās ceļš: ka e-pasts, uz kuru atbildēt, un sūtītāja e-pasts ir vienādi. Tas arī mums saka, ka pastāv liela iespēja, ka šis e-pasts ir likumīgs.

Citas lietas no citām galvenēm

Šī konkrētā e-pasta galvenes informācija ir ierobežota, jo tiek izmantots mitināta e-pasta pakalpojums. Ja sūtītājs izmantotu savu e-pasta serveri, iespējams, mēs varētu iegūt nedaudz vairāk informācijas. Mēs, iespējams, varētu precīzi noteikt, kuru pasta klientu viņi izmanto. Vai arī mēs varētu veikt WHOIS sūtītāja IP adresē un iegūt aptuvenu sūtītāja atrašanās vietu. Mēs varētu arī veikt vienkāršu meklēšanu tīmeklī sūtītāja domēnā un noskaidrot, vai viņiem ir kāda vietne. Balstoties uz šo vietni, iespējams, mēs varēsim uzzināt vēl vairāk informācijas par sūtītāju. Jūs varētu veikt meklēšanu tīmeklī, izmantojot pašu e-pasta adresi, un sākt personas doksēšanu. Ja neesat pazīstams ar jēdzienu “doxing”, iepazīstieties ar Džoelu Lī Kas ir Doxing un kā tas ietekmē jūsu privātumu? Kas ir Doxing un kā tas ietekmē jūsu privātumu? [MakeUseOf skaidrojumi]Interneta privātums ir milzīgs darījums. Viena no norādītajām interneta priekšrocībām ir tā, ka jūs varat palikt anonīms aiz monitora, pārlūkojot, tērzējot un darot visu, ko jūs darāt. Lasīt vairāk Izlasiet arī Raiena Duba rakstu, 15 tīmekļa vietnes cilvēku atrašanai 13 tīmekļa vietnes cilvēku atrašanaiVai meklējat zaudētus draugus? Mūsdienās ir vieglāk nekā jebkad agrāk atrast cilvēkus internetā ar šo cilvēku meklētājprogrammām. Lasīt vairāk .

Veikt prom

Visi elektroniskie sakari atstāj pēdas. Daži no tiem ir lielāki un vieglāk sekojami. Dažus aizēno tīmekļa filtri un starpniekserveri. Katrā ziņā tas, kas paliek aiz muguras, kaut ko pasaka par cilvēku, kurš tos izveidojis. Izmantojot šos metadatus, mēs varētu veikt papildu izmeklēšanu, lai uzzinātu vairāk par iesaistītajiem cilvēkiem. Vai viņi kaut ko slēpj, izmantojot VPN? Vai tie tiešām ir no likumīga biznesa ar likumīgu klātbūtni tīmeklī? Vai tas ir kāds, ar kuru es patiešām gribu doties uz randiņu? Ko vienkāršie cilvēki var uzzināt par mani, nemaz nerunājot par NVD?

Apskatiet e-pasta galvenes un uzziniet, ko viņi saka par jums. Ja atrodat dažas galvenes līnijas, kurām nav lielas jēgas, ievietojiet tās komentāros, un mēs mēģināsim tās atšifrēt. Vai jums bija jāveic izmeklēšana pa e-pastu? Pastāsti mums par to! Tā mēs visi mācāmies.

Attēla kredīts: Torkildr servera istaba caur Flikru.