Mitä voit oppia sähköpostin otsikosta (metatiedot)?

Mainos

Saitko koskaan sähköpostia ja mietitkö todella mistä se tuli? Kuka lähetti sen? Kuinka he olisivat voineet tietää kuka olet? Yllättäen paljon näitä tietoja voi olla sähköpostin otsikosta tai käyttämällä sähköpostin otsikossa olevia tietoja detektiivityöhön.

Otsikko on osa sähköpostiviestistä, jota useimmat ihmiset eivät koskaan edes näe. Se sisältää paljon tietoa, joka vaikuttaa tavalliselta tietokoneen käyttäjältä kuin sähköpostin käyttö siitä tuli päivittäinen työkalu kaikkien elämässä, sähköpostiohjelmat alkoivat piilottaa nämä tiedot kätevyyden vuoksi sinulle. Nykyään otsikon piilottaminen voi olla jopa hieman hankala, jopa niille, jotka tietävät sen olevan siellä. Siellä on niin paljon erilaisia ​​sähköpostiohjelmia, sekä työpöytä- että verkkopohjaisia, että sähköpostin otsikon piilottamisen peittäminen voi johtaa pieneksi teoksi. Tänään keskitymme vain siihen, kuinka otsikon piilottaminen poistetaan Gmailissa, ja katsotaan sitten mitä voimme kerätä otsikosta.

Mikä on sähköpostin otsikko?

Sähköpostin otsikko on kokoelma tietoja, jotka dokumentoivat polun, jolla sähköposti sai sinulle. Otsikossa voi olla paljon tietoa tai vain perustiedot. On olemassa standardi siitä, mitkä tiedot tulisi sisällyttää otsikkoon, mutta ei oikeastaan ​​ole rajoitusta siihen, mitä tietoja sähköpostipalvelin saattaa laittaa otsikkoon. Jos olet kiinnostunut siitä, millainen sähköpostiprotokollan standardi näyttää, tarkista RFC 5321 - yksinkertainen postinsiirtoprotokolla. Se on vähän kova päässä, varsinkin jos sinun ei tarvitse tietää näitä juttuja.

Gmail - Piilota sähköpostin otsikko

Kun sähköpostiviesti on auki Gmailissa, napsauta alaspäin osoittavaa nuolta viestin oikeassa yläkulmassa. Uusi valikko näyttää itsensä. Napsauta Näytä alkuperäinen nähdäksesi raa'an sähköpostiviestin kokonaisen sisällön ja otsikon paljastettuna.

Uusi ikkuna tai välilehti aukeaa ja näet sähköpostiviestisi selkeän tekstin version, jonka otsikko on tietysti yläosassa. Otsikon sisältö näyttää tältä:

Toimitettu: [email protected]. Vastaanotettu: 10.223.200.70 mennessä SMTP-tunnuksella ev6csp162209fab; Maanantaina 29. heinäkuuta 2013 14:15:09 -0700 (PDT) X-vastaanotettu: mennessä 10.236.227.202, SMTP-tunnuksella d70mr27737943yhq.86.1375132508769; Maanantaina 29. heinäkuuta 2013 14:15:08 -0700 (PDT) Paluu matka:Vastaanotettu: osoitteesta mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) kirjoittanut mx.google.com ESMTPS-tunnuksella y27si28720489yhc.101.2013.07.29.14.15.08. varten(versio = TLSv1-salaus = RC4-SHA-bitit = 128/128); Maanantaina 29. heinäkuuta 2013 14:15:08 -0700 (PDT) Vastaanotettu-SPF: neutraali (google.com: 205.206.208.34 ei ole sallittu eikä sitä kielletty [email protected] -verkkotunnuksen parhaan arvauksen tietueella) client-ip = 205.206.208.34; Todennustulokset: mx.google.com; spf = neutraali (google.com: 205.206.208.34 ei ole sallittu eikä sitä kielletty [email protected] verkkotunnuksen parhaan arvaustietueen avulla) [email protected]. X-IronPort-roskapostisuodatettu: totta. X-IronPort-Roskapostin esto - tulos: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGMEGIYJEGMYYBIYYBYYBYYBYYMYYBYYMBYYJBYYMBYYD X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145? scan'145,208,217,145" a = "14712973" Vastaanotettu: tuntemattomalta (HELO mail.exchange.telus.com) ([205.206.210.187]) kirjoittanut mx21.exchange.telus.com ESMTP / TLS / AES128-SHA: n kanssa; 29. heinäkuuta 2013 15:15:07 -0600. Vastaanottaja: lähettäjältä HEXMBVS12.hostedmsx.local ([10.9.6.115]). HEXHUB13.hostedmsx.local ([:: 1]) kanssa mapi; Maanantaina, 29. heinäkuuta 2013 15:13:48 -0600. Lähettäjä: Guy McDowell
Vastaanottaja: "[email protected]" Päivämäärä: Maanantaina 29. heinäkuuta 2013 15:15:03 -0600. Aihe: Mikä on sähköpostin otsikko? Ketju-aihe: Mikä on sähköpostin otsikko? Ketju-hakemisto: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Viestitunnus: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Hyväksy kieli: en-US. Sisältökieli: en-US. X-MS-Has-Attach: kyllä. X-MS-TNEF-korrelaattori: hyväksy kieli: fi-USA. Sisältötyyppi: moniosainen / liittyvä; raja = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "moniosainen / vaihtoehto" MIME-versio: 1.0

Sepä kiva. Mitä tuo tarkoittaa?

Kuinka sähköpostin otsikko luodaan?

Kun tiedät kuinka otsikko luodaan sähköpostin kulkemaa reittiä pitkin, saat paremman käsityksen siitä, mitä otsikon tiedot tarkoittavat. Katsotaanpa osia, kun ne lisätään, ja mitä tärkeimmät osat tarkoittavat.

Lähettäjän tietokoneella

Osa otsikosta luodaan, kun lähettäjä luo sähköpostin lähetettäväksi vastaanottajalle. Tähän sisältyy sellaisia ​​tietoja, kuten sähköpostiviestien tekohetki, kuka sen sävelsi, aiherivi ja kenelle sähköpostia lähetetään. Tämä on osa otsikosta, jonka tunnet tunnetuimmin Päivämäärä:, Alkaen:, Vastaanottaja: ja Aihe: -rivillä sähköpostin yläosassa.

Lähettäjä: Guy McDowell
Vastaanottaja: “[email protected]”
Päivämäärä: Maanantaina 29. heinäkuuta 2013 15:15:03 -0600
Aihe: Mikä on sähköpostin otsikko?

Lähettäjän sähköpostipalvelussa

Otsikkoon lisätään lisätietoja heti, kun sähköposti on tosiasiallisesti lähetetty. Tämän tarjoaa lähettäjän käyttämä sähköpostipalvelu. Tässä tapauksessa lähettäjä käyttää isännöityä sähköpostipalvelua, joten näytetty IP-osoite on osoite, joka on palveluntarjoajan verkon sisäinen. WHOIS-haun suorittaminen siitä ei tarjoa hyödyllistä tietoa. Voimme tehdä Google-haun palvelimen nimellä HEXMBVS12.hostedmsx.local ja voimme havaita, että palveluntarjoaja on Telus. Jos aiomme kaivata joitain Teluksen verkkosivuilla, huomaat, että ne tarjoavat isännöidyn Microsoft Exchange -palvelun. Tämä viittaa siihen, että lähettäjä käyttää todennäköisesti joko Microsoft Outlookia, Outlook Expressiä tai Outlook Web Accessiä. Täällä lisättyihin tietoihin kuuluu lähettäjän IP-osoite ([10.9.6.115]), lähettäjän sähköpostin lähettämä aika palvelu (ma 29.7.2013 15:13:48 -0600), ja kyseisen viestin viestitunnus sellaisena kuin se on lisätty sähköpostiin palvelua.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Vastaanotettu: yritykseltä HEXMBVS12.hostedmsx.local ([10.9.6.115]), lähettäjä HEXHUB13.hostedmsx.local ([:: 1]) mapen kanssa; Maanantaina, 29. heinäkuuta 2013 15:13:48 -0600. Viestitunnus: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Matkalla vastaanottajan sähköpostipalveluun

Sieltä sähköposti voi viedä minkä tahansa määrän reittejä päästäkseen vastaanottajan sähköpostipalveluun. Tämä voidaan lisätä otsikkoon, jotta näytetään 'humala', jonka sähköpostin oli suoritettava saadaksesi sinut. Nämä humalat alkavat palvelimelta, joka viimeksi käsitteli sähköpostia, ja menevät takaisin palvelimeen, joka alun perin käsitteli sitä, käänteisessä aikajärjestyksessä. Tässä esimerkissä kaikki humalat ovat sisäisiä lähettäjän sähköpostipalvelussa.

Kolmas ja lopullinen hop

Vastaanotettu: osoitteesta mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) kirjoittanut mx.google.com ESMTPS-tunnuksella y27si28720489yhc.101.2013.07.29.14.15.08. varten(versio = TLSv1-salaus = RC4-SHA-bitit = 128/128); Maanantaina 29. heinäkuuta 2013 14:15:08 -0700 (PDT) Vastaanotettu-SPF: neutraali (google.com: 205.206.208.34 ei ole sallittu eikä sitä kielletty [email protected] -verkkotunnuksen parhaan arvauksen tietueella) client-ip = 205.206.208.34; Todennustulokset: mx.google.com; spf = neutraali (google.com: 205.206.208.34 ei ole sallittu eikä sitä kielletty [email protected] verkkotunnuksen parhaan arvaustietueen avulla) [email protected]. X-IronPort-roskapostisuodatettu: totta. X-IronPort-Roskapostin esto - tulos: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGMEGIYJEGMYYBIYYBYYBYYBYYMYYBYYMBYYJBYYMBYYD X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145? scan'145,208,217,145" a = "14712973"

Kolmas hop-selitys
Tämä hyppy vie sen Teluksesta vastaanottajan sähköpostipalvelimelle. Voimme kertoa, että mx.google.com on vastaanottanut sen, joten vastaanottajalla on heidän sähköpostipalvelunsa Googlen kanssa. Tässä on hyvä huomata linja Saivat-SPF: SPF eli Sender Policy Framework on standardi, jolla lähettäjän sähköpostipalvelin voi ilmoittaa olevansa laillinen lähettäjä sähköpostiin. Tässä tapauksessa karsinnat ovat neutraali, mikä tarkoittaa, että tämän sähköpostin pätevyydestä ei voida sanoa mitään, hyvää tai huonoa. Olisiko se rekisteröity Fail, Gmailin palvelimet olisivat hylänneet sen. Jos se olisi softfail, Gmail olisi hyväksynyt sen, mutta ilmoitti, että se ei ole mahdollisesti siitä, keneltä se sanoo olevan kotoisin.

Juuri sen alapuolella näet myös kolme riviä, jotka alkavat X-IronPort-Anti-Spam. Ensimmäinen, X-IronPort-roskapostisuodatettu: totta, tarttuu Teluksen IronPort-roskapostin vastaiseen laitteeseen. IronPort on osa cisco, joten sitä pidetään melko luotettavana. X-IronPort-Anti-Spam-tulos linja on tarkoitettu yksinomaan IronPort-laitteille, eikä sitä voida dekoodata ihmisen silmille - ellet työskentele Ciscon palveluksessa ja sinun täytyy purkaa se. Kolmas, X-IronPort-AV-, osoittaa, että lähettäjällä on oma roskapostinvastainen laite Sophosilta. Se olisi voinut lukea McAfeen tai Nortonin tai minkä tahansa suodattimen, jonka sähköpostisi käy läpi. Vastaanottajana tämä voi antaa sinulle hieman enemmän varmuutta siitä, että sähköposti on oikein.

Toinen hop

Vastaanotettu: tuntemattomalta (HELO mail.exchange.telus.com) ([205.206.210.187])
kirjoittanut mx21.exchange.telus.com ESMTP / TLS / AES128-SHA: n kanssa; 29. heinäkuuta 2013 15:15:07 -0600

Toisen hypyn selitys
Tässä käy ilmeiseksi, että Telus on palveluntarjoaja. Jos tästä on epäilyksiä, suorita WHOIS-tarkistus osoitetulle IP-osoitteelle: 205.206.210.187. Huomaat, että IP-osoite johtaa myös Telukseen. Tämä antaa sinulle hieman enemmän luottamusta siihen, että sähköposti on laillinen. Voimme myös kertoa, että viestin kesti vähän yli minuutti siirtyäksesi ensimmäisestä hyppystä toiseen. Se ei kerro meille paljon, ellet ole verkkoinsinööri. Teoriassa voisit laskea karkeasti kuinka kaukana toisistaan ​​ovat nämä kaksi palvelinta.

Ensimmäinen hop

Vastaanotettu: lähettäjältä HEXMBVS12.hostedmsx.local ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) kanssa mapi; Maanantaina, 29. heinäkuuta 2013 15:13:48 -0600

Ensimmäisen hypyn selitys
Ensimmäinen hypätä on lähettäjän sähköpostipalvelin, joka vastaanottaa sähköpostiviestinsä. Tässä vaiheessa sähköposti liikkuu edelleen sisäisesti lähettäjän sähköpostipalvelimen verkossa. Voit kertoa sillä, että IP-osoite alkaa 10. IP-osoite, joka alkaa numerolla 10, on varattu vain sisäiseen käyttöön.

Vastaanottajan sähköpostipalvelimella

Toimitettu: [email protected]
Vastaanotettu: 10.223.200.70 mennessä SMTP-tunnuksella ev6csp162209fab;
Maanantaina 29. heinäkuuta 2013 14:15:09 -0700 (PDT)
X-vastaanotettu: mennessä 10.236.227.202, SMTP-tunnuksella d70mr27737943yhq.86.1375132508769;
Maanantaina 29. heinäkuuta 2013 14:15:08 -0700 (PDT)
Paluu matka:

Kun se on saapunut vastaanottajan sähköpostipalveluun, otsikkoon lisätään lisätietoja - mitkä vastaanottajan sähköpostipalvelimet vastaanottivat se ja milloin, mistä sähköpostipalvelimesta viesti on saatu, aiotun vastaanottajan sähköpostiosoite ja lähettäjän ilmoittama vastausviesti osoite. takaisin kolmanteen hopiin, huomasimme, että vastaanottajan sähköpostipalvelu oli Googlen kanssa. Voimme kertoa, että yksi sisäinen palvelin on vastaanottanut tämän sähköpostin ja välittänyt toiselle - 10.236.227.202 - 10.223.200.70. Tärkeintä on, että voimme kertoa Paluu matka: että vastattava sähköpostiosoite ja lähettäjän sähköpostiosoite ovat samat. Tämä kertoo myös meille, että on suuri mahdollisuus, että tämä sähköposti on laillinen.

Muut asiat muista otsikoista

Tämän tietyn sähköpostiotsikon tiedot ovat rajoitetut, koska isännöityä sähköpostipalvelua käytetään. Jos lähettäjä käyttäisi omaa sähköpostipalvelintaan, saatamme ehkä saada hieman lisätietoja. Saatamme pystyä selvittämään tarkalleen, mitä sähköpostiohjelmaa he käyttävät. Tai voimme suorittaa WHOIS-tiedon lähettäjän IP-osoitteesta ja saada likimääräisen sijainnin lähettäjälle. Voimme myös suorittaa yksinkertaisen verkkohaun lähettäjän verkkotunnuksella ja tarkistaa, onko heille verkkosivusto. Tämän verkkosivuston perusteella voimme ehkä löytää vielä enemmän tietoa lähettäjästä. Saatat tehdä verkkohaun itse sähköpostiosoitteesta ja aloittaa henkilön doxing. Jos et ole tietoinen doxing-käsitteestä, tutustu Joel Leen toimintaan Mikä on doxing ja miten se vaikuttaa yksityisyyttäsi? Mikä on doxing ja miten se vaikuttaa yksityisyyttäsi? [MakeUseOf selittää]Internet-yksityisyys on valtava juttu. Yksi Internetin väittämistä on, että voit pysyä nimettömänä näytön takana, kun selaat, keskustelet ja teet mitä tahansa ... Lue lisää Tutustu myös Ryan Duben artikkeliin, 15 verkkosivustoa ihmisten löytämiseksi Internetistä 13 verkkosivustoa ihmisten löytämiseksi InternetistäEtsitkö kadonneita ystäviä? Nykyään on helpompaa kuin koskaan ennen löytää ihmisiä Internetistä näiden ihmisten hakukoneiden avulla. Lue lisää .

Ota pois

Kaikki sähköinen viestintä jättää jalanjäljet. Jotkut ovat suurempia ja helpompia seurata. Jotkut ovat web-suodattimien ja välityspalvelimien peittämiä. Joka tapauksessa, mikä on jäljessä, kertoo meille jotain heistä, jotka ovat ne luoneet. Tämän metatiedon perusteella voimme suorittaa lisätutkimuksia saadaksesi lisätietoja osallistuvista ihmisistä. Piiloutuvatko he jotain VPN: n avulla? Ovatko he todella laillisesta yrityksestä, jolla on laillinen läsnäolo verkossa? Onko tämä joku, jonka kanssa haluan todella mennä päivälle? Mitä tavalliset ihmiset voivat oppia minusta, puhumattakaan NSA: sta?

Katso sähköpostisi otsikot ja katso, mitä he sanovat sinusta. Jos löydät otsikkorivit, joilla ei ole paljon järkeä, kirjoita ne kommentteihin ja yritämme purkaa ne. Oletko joutunut tekemään jonkin tutkittavan sähköpostin otsikon? Kerro meille siitä! Näin me kaikki opimme.

Kuvahyvitys: Palvelinhuone, kirjoittanut torkildr Flickrin kautta.