Har du nogensinde fået en email og virkelig spekuleret på, hvor det kom fra? Hvem sendte det? Hvordan kunne de have kendt, hvem du er? Overraskende kan en masse af disse oplysninger være fra e-mail-overskriften eller ved at bruge info fra e-mail-overskriften til at gøre noget detektivarbejde.
Overskriften er en del af den e-mail-besked, som de fleste mennesker aldrig engang ser. Den indeholder en masse data, der ligner gobbledygook til den gennemsnitlige computerbruger, så som e-mail-brug blev et daglig værktøj i alles liv, begyndte e-mail-klienter at skjule disse oplysninger for nemheds skyld. I disse dage kan det endda være lidt besværligt at udvise overskriften, selv for dem der ved, at det er der. Der er så mange forskellige e-mail-klienter derude, både desktop og web-baseret, at for at dække, hvordan man fjerner e-mail-overskriften, kan ende med at være en lille bog. I dag vil vi bare fokusere på, hvordan vi ophæver overskriften i Gmail, og se derefter på, hvad vi kan hente fra overskriften.
Hvad er en Email Header?
En e-mail header er en samling af oplysninger, der dokumenterer den vej, som e-mailen fik til dig. Der kan være meget information i overskriften eller bare det grundlæggende. Der er en standard for, hvilke oplysninger der skal medtages i en overskrift, men ikke en begrænsning til, hvilken information en e-mail-server måtte lægge i overskriften. Hvis du er nysgerrig efter, hvad en standard for en e-mail-protokol ligner, kan du tjekke RFC 5321 - Simple Mail Transfer Protocol. Det er lidt svært på hovedet, især hvis du ikke behøver at kende disse ting.
Gmail - Fjern e-mailoverskriften
Når du har en emailbesked åben i Gmail, skal du klikke på pil nedad i nærheden af øverste højre hjørne af meddelelsen. En ny menu vil vise sig. Klik på Vis original for at se den raske email besked med dets fulde indhold og overskrift afsløret.
Et nyt vindue eller en fane åbnes, og du får selvfølgelig en ren tekstversion af din e-mail med overskriften øverst. Indholdet af overskriften vil se sådan ud:
Leveret til: [email protected]
Modtaget: ved 10.223.200.70 med SMTP id ev6csp162209fab;
Mandag, 29 Jul 2013 14:15:09 -0700 (PDT)
X-Received: med 10.236.227.202 med SMTP id d70mr27737943yhq.86.1375132508769;
Mandag, 29 Jul 2013 14:15:08 -0700 (PDT)
Retur-Path:
Modtaget: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
af mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
til
(version = TLSv1-ciffer = RC4-SHA bits = 128/128);
Mandag, 29 Jul 2013 14:15:08 -0700 (PDT)
Modtaget-SPF: Neutral (google.com: 205.206.208.34 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected]) client-ip = 205.206.208.34;
Autentificeringsresultater: mx.google.com;
spf = neutral (google.com: 205.206.208.34 er hverken tilladt eller nægtet af det bedste guess record for domain of [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtreret: True
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4, 889, 772, 1367992800";
d =”jpg'145 scan'145, 208, 217, 145" a =”14.712.973"
Modtaget: Fra ukendt (HELO mail.exchange.telus.com) ([205.206.210.187])
ved mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600
Modtaget: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) af
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Mandag, 29 Jul 2013 15:13:48 -0600
Fra: Guy McDowell
Til: "[email protected]"
Dato: Man, 29 Jul 2013 15:15:03 -0600
Emne: Hvad er en e-mail header?
Tråd-emne: Hvad er en e-mail header?
Trådindeks: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Message-ID:
Accept-Language: en-US
Indholdssprog: en-US
X-MS-Has-Attach: ja
X-MS-TNEF-Korrelator:
acceptlanguage: en-US
Indholdstype: multipart / relateret;
grænse =”_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”multipart / alternative”
MIME-Version: 1.0
Det er godt. Hvad betyder det?
Hvordan oprettes e-mailoverskriften?
Ved at vide, hvordan overskriften er oprettet langs stien, en e-mail rejser, vil du udvikle øget indsigt i, hvad en header's data betyder. Lad os se på de dele, som de tilføjes, og hvad de vigtigste dele betyder.
På afsenderens computer
En del af overskriften oprettes, når afsenderen opretter e-mailen for at sende til modtageren. Dette vil indeholde sådanne oplysninger som når e-mailen blev sammensat, hvem komponerede den, emnelinjen og til hvem e-mailen bliver sendt. Dette er den del af overskriften, som du mest bekendt ser som Dato :, Fra :, Til :, og Emne: Linjer øverst på din email.
Fra: Guy McDowell
Til: "[email protected]"
Dato: Man, 29 Jul 2013 15:15:03 -0600
Emne: Hvad er en Email Header?
På Senderens Email Service
Flere oplysninger tilføjes til overskriften, når e-mailen faktisk er sendt. Dette leveres af den e-mail-tjeneste, som afsenderen bruger. I dette tilfælde bruger afsenderen en hostet e-mail-tjeneste, så den viste IP-adresse er en adresse, der er intern til tjenesteudbyderens netværk. Udførelse af en WHOIS-søgning på det giver ikke nogen nyttige oplysninger. Hvad vi kan gøre, er at udføre en Google-søgning på servernavnet HEXMBVS12.hostedmsx.local, og vi kan opdage, at tjenesteudbyderen er Telus. Hvis vi gør noget ved at grave rundt på Telus-webstedet, finder vi ud af, at de tilbyder en Hosted Microsoft Exchange-tjeneste. Det tyder på, at afsenderen sandsynligvis bruger enten Microsoft Outlook, Outlook Express eller Outlook Web Access. Oplysninger, der er tilføjet her, inkluderer afsenderens IP-adresse ([10.9.6.115]), den tid, der sendes af afsenderens e-mail-tjeneste (Mandag, 29 Jul 2013 15:13:48 -0600), og meddelelses-ID'en for den pågældende besked som tilføjet af e-mail-tjenesten.
(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Modtaget: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) af HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Mandag, 29 Jul 2013 15:13:48 -0600
Message-ID:
Langs vejen til modtagerens e-mail-service
Derefter kan e-mailen tage et hvilket som helst antal ruter til ende på modtagerens e-mail-tjeneste. Dette kan tilføjes til overskriften for at vise 'humlen', som e-mailen måtte gøre for at komme til dig. Disse humle starter på den server, der senest behandlede e-mailen og går tilbage til den server, der oprindeligt håndterede den, i omvendt kronologisk rækkefølge. I dette eksempel er alle humle interne i afsenderens e-mail-tjeneste.
Tredje og Final Hop
Modtaget: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
af mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
til
(version = TLSv1-ciffer = RC4-SHA bits = 128/128);
Mandag, 29 Jul 2013 14:15:08 -0700 (PDT)
Modtaget-SPF: Neutral (google.com: 205.206.208.34 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected]) client-ip = 205.206.208.34;
Autentificeringsresultater: mx.google.com;
spf = neutral (google.com: 205.206.208.34 er hverken tilladt eller nægtet af det bedste guess record for domain of [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtreret: True
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4, 889, 772, 1367992800";
d =”jpg'145 scan'145, 208, 217, 145" a =”14.712.973"
Tredje Hop Forklaring
Dette er det hop, der tager det fra Telus til modtagerens e-mail-server. Vi kan fortælle, at den blev modtaget af mx.google.com, så modtageren har deres e-mail-tjeneste med Google. Her er det godt at bemærke linjen Received-SPF: SPF, eller Sender Policy Framework, er en standard, hvor en afsenderens e-mail-server kan erklære sig for at være den legitime afsender af e-mailen. I dette tilfælde er kvalifikationen neutral, hvilket betyder at intet kan siges om gyldigheden af denne e-mail, god eller dårlig. Har det registreret som en fejl, ville det være blevet afvist af Gmails servere. Hvis det var softfail, ville Gmail have accepteret det, men markerede det som muligvis ikke fra hvem det siger det er fra.
Lige under det ser du også tre linjer, der starter med X-IronPort-Anti-Spam . Den første, X-IronPort-Anti-Spam-Filtreret: True, klargøres af Telus 'IronPort anti-spam-apparat. IronPort er en del af Cisco, så det anses for at være ret pålideligt. X-IronPort-Anti-Spam-Result- linjen er udelukkende beregnet til IronPort-apparaterne og kan ikke dekodes for menneskelige øjne - medmindre du arbejder for Cisco og skal afkode den. Den tredje, X-IronPort-AV, viser, at afsenderen har sit eget anti-spam-apparat fra Sophos. Det kunne have læst McAfee eller Norton, eller hvad filter din email går igennem. Som modtager kan dette give dig lidt mere tillid til, at e-mailen er gyldig.
Andet Hop
Modtaget: Fra ukendt (HELO mail.exchange.telus.com) ([205.206.210.187])
ved mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600
Andet Hop Forklaring
Det bliver tydeligt her, at Telus er tjenesteudbyderen. Hvis der er nogen tvivl om dette, skal du udføre en WHOIS-check på den viste IP-adresse: 205.206.210.187. Du vil opdage, at IP-adressen også fører til Telus. Det giver dig lidt mere tillid til, at e-mailen er legitim. Vi kan også fortælle, at meddelelsen tog lidt over et minut for at gå fra første hop til anden hop. Det fortæller os ikke meget, medmindre du er en netværksingeniør. I teorien kan man beregne groft, hvor langt fra hinanden er de to servere.
Første Hop
Modtaget: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) af
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Mandag, 29 Jul 2013 15:13:48 -0600
Første Hop Forklaring
Det første hop er afsenderens e-mail-server, der modtager sin e-mail-besked. På dette tidspunkt bevæger e-mailen stadig internt i afsenderens e-mail-serverens netværk. Du kan fortælle det faktum, at IP-adressen starter med 10 . IP-adresse, der starter med 10, er kun forbeholdt intern brug.
På modtagerens e-mail-server
Leveret til: [email protected]
Modtaget: ved 10.223.200.70 med SMTP id ev6csp162209fab;
Mandag, 29 Jul 2013 14:15:09 -0700 (PDT)
X-Received: med 10.236.227.202 med SMTP id d70mr27737943yhq.86.1375132508769;
Mandag, 29 Jul 2013 14:15:08 -0700 (PDT)
Retur-Path:
Når det kommer til modtagerens e-mail-tjeneste, tilføjes flere oplysninger til overskriften - hvilken af modtagerens e-mail-servere modtog den, og hvornår, hvilken e-mail-server beskeden blev modtaget fra, den tilsigtede modtagers e-mail-adresse og afsenderens udtalte svar til 'e-mail-adresse. tilbage i det tredje hop, så vi, at modtagerens e-mail-tjeneste var hos Google. Vi kan fortælle, at denne email blev modtaget af en intern server og videregivet til en anden - 10.236.227.202 til 10.223.200.70. Vigtigst er det, at vi kan fortælle ved returpaden: at e-mailen skal svare og e-mailen til afsenderen er den samme. Dette fortæller os også, at der er en god chance for, at denne email er legitim.
Andre ting fra andre overskrifter
Denne særlige e-mail header er begrænset i sine oplysninger, fordi en hostet e-mail-tjeneste bliver brugt. Hvis afsenderen bruger deres egen e-mail-server, kan vi muligvis få lidt mere information. Vi kan muligvis bestemme præcis, hvilken mailklient de bruger. Eller vi kunne udføre en WHOIS på afsenderens IP-adresse og få en omtrentlig placering af afsenderen. Vi kunne også udføre en simpel websøgning på afsenderens domæne og se om der er en hjemmeside til dem. Baseret på denne hjemmeside kan vi måske finde ud af endnu mere information om afsenderen. Du kan muligvis foretage en websøgning på selve e-mail-adressen og begynde at gøre det til at gøre det. Hvis du ikke er bekendt med begrebet 'doxing', gør dig bekendt med Joel Lee's What's Doxing & Hvordan påvirker det dit privatliv? Hvad er Doxing & Hvordan påvirker det dit privatliv? [MakeUseOf Forklarer] Hvad er Doxing & Hvordan påvirker det dit privatliv? [MakeUseOf Forklarer] Internet privatliv er en enorm aftale. En af de angivne frynsegoder på internettet er, at du kan forblive anonyme bag din skærm, mens du gennemser, chatter og gør hvad det er, du gør .... Læs mere Også læs om Ryan Dubes artikel, 15 websteder at finde Mennesker på internettet 12 websteder til at finde folk på internettet 12 websteder til at finde folk på internettet Hvis du leder efter en langvarig ven eller måske vil lave en baggrundskontrol på nogen, overveje disse gratis ressourcer at finde folk på internettet. Læs mere .
The Take Away
All elektronisk kommunikation giver fodspor. Nogle er større og lettere at følge. Nogle er dækket af webfiltre og proxyservere. Uanset hvad der står tilbage, fortæller vi noget om den person, der skabte dem. Fra disse metadata kan vi foretage yderligere undersøgelser for at lære mere om de involverede. Gør de noget ved at bruge et VPN? Er de virkelig fra en legitim forretning med en legitim tilstedeværelse på nettet? Er det nogen, jeg virkelig ønsker at gå på en dato med? Hvad kan almindelige mennesker lære om mig, endsige NSA?
Tag et kig på dine emailoverskrifter og se, hvad de siger om dig. Hvis du finder nogle overskriftslinjer, der ikke giver mening, sætter du dem i kommentarerne, og vi forsøger at afkode dem. Har du været nødt til at lave en e-mail header undersøgelse? Fortæl os om det! Sådan lærer vi alle.
Billedkredit: Serverrum ved torkildr via Flickr.