Cosa puoi imparare da un'intestazione e-mail (metadati)?

Annuncio pubblicitario

Hai mai ricevuto un'e-mail e ti sei davvero chiesto da dove venisse? Chi l'ha inviato? Come hanno potuto sapere chi sei? Sorprendentemente, molte di queste informazioni possono provenire dall'intestazione dell'email o usando le informazioni dall'intestazione dell'email per fare qualche lavoro investigativo.

L'intestazione è una parte del messaggio di posta elettronica che la maggior parte delle persone non vede nemmeno. Contiene molti dati che sembrano gobbledygook per l'utente medio del computer, così come l'uso della posta elettronica è diventato uno strumento quotidiano nella vita di tutti, i client di posta elettronica hanno iniziato a nascondere queste informazioni per comodità per te. In questi giorni, può anche essere un po 'problematico scoprire l'intestazione, anche per chi sa che è lì. Esistono così tanti client di posta elettronica diversi, sia desktop che basati sul Web, che per scoprire come scoprire l'intestazione dell'email potrebbero finire per essere un piccolo libro. Oggi ci concentreremo solo su come scoprire l'intestazione in Gmail e poi su cosa possiamo ricavare dall'intestazione.

Che cos'è un'intestazione e-mail?

Un'intestazione e-mail è una raccolta di informazioni che documenta il percorso tramite il quale l'e-mail è arrivata. Ci possono essere molte informazioni nell'intestazione o solo le basi. Esiste uno standard per quali informazioni devono essere incluse in un'intestazione, ma in realtà non esiste un limite a quali informazioni un server di posta elettronica potrebbe inserire nell'intestazione. Se sei curioso di sapere come appare uno standard per un protocollo e-mail, dai un'occhiata RFC 5321 - Simple Mail Transfer Protocol. È un po 'difficile per la testa, soprattutto se non hai bisogno di sapere queste cose.

Gmail: scopri l'intestazione dell'email

Dopo aver aperto un messaggio e-mail in Gmail, fai clic sulla freccia rivolta verso il basso vicino all'angolo in alto a destra del messaggio. Si mostrerà un nuovo menu. Fai clic su Mostra originale per visualizzare il messaggio di posta elettronica non elaborato con il contenuto completo e l'intestazione rivelati.

Si aprirà una nuova finestra o scheda e vedrai una versione in chiaro della tua email con l'intestazione in alto, ovviamente. Il contenuto dell'intestazione sarà simile al seguente:

Consegnato a: [email protected]. Ricevuto: entro il 10.223.200.70 con ID SMTP ev6csp162209fab; Lun 29 Lug 2013 14:15:09 -0700 (PDT) Ricevuto X: entro il 10.236.227.202 con ID SMTP d70mr27737943yhq.86.1375132508769; Lun 29 Lug 2013 14:15:08 -0700 (PDT) Sentiero di ritorno:Ricevuto: da mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) da mx.google.com con ID ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. per(versione = cifra TLSv1 = bit RC4-SHA = 128/128); Lun 29 Lug 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) client-ip = 205.206.208.34; Risultati dell'autenticazione: mx.google.com; spf = neutral (google.com: 205.206.208.34 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJJJJDYJJDG X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "? jpg'145 scan'145,208,217,145"; a = "14.712.973" Ricevuto: da sconosciuto (HELO mail.exchange.telus.com) ([205.206.210.187]) da mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 lug 2013 15:15:07 -0600. Ricevuto: da HEXMBVS12.hostedmsx.local ([10.9.6.115]) da. HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun 29 Lug 2013 15:13:48 -0600. Da: Guy McDowell
A: "[email protected]" Data: lunedì 29 luglio 2013 15:15:03 -0600. Oggetto: Cos'è un'intestazione e-mail? Discussione: cos'è un'intestazione e-mail? Indice thread: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == ID messaggio: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: en-US. Lingua dei contenuti: en-US. X-MS-Has-Attach: sì. Correlatore X-MS-TNEF: accetta lingua: en-US. Tipo di contenuto: multipart / correlati; boundary = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; digitare = "multipart / alternative" Versione MIME: 1.0

Bello. Cosa significa?

Come viene creata l'intestazione e-mail?

Sapendo come viene creata l'intestazione lungo il percorso percorso da un'e-mail, svilupperai una comprensione più approfondita del significato dei dati di un'intestazione. Diamo un'occhiata alle parti man mano che vengono aggiunte e al significato delle parti più importanti.

Sul computer del mittente

Parte dell'intestazione viene creata quando il mittente crea l'e-mail da inviare al destinatario. Ciò includerà informazioni come quando l'e-mail è stata composta, chi l'ha composta, l'oggetto e a chi viene inviata l'e-mail. Questa è la parte dell'intestazione che hai più familiarità visto la data:, da:, a: e l'oggetto: righe nella parte superiore della tua e-mail.

Da: Guy McDowell
A: "[email protected]"
Data: lunedì 29 luglio 2013 15:15:03 -0600
Oggetto: Che cos'è un'intestazione email?

Sul servizio email del mittente

Ulteriori informazioni vengono aggiunte all'intestazione una volta che l'e-mail viene effettivamente inviata. Questo è fornito dal servizio di posta elettronica utilizzato dal mittente. In questo caso, il mittente utilizza un servizio di posta elettronica ospitato, pertanto l'indirizzo IP visualizzato è un indirizzo interno alla rete del fornitore di servizi. L'esecuzione di una ricerca WHOIS su di essa non fornirà alcuna informazione utile. Quello che possiamo fare è eseguire una ricerca su Google sul nome del server HEXMBVS12.hostedmsx.local e possiamo scoprire che il fornitore di servizi è Telus. Se facciamo qualche ricerca nel sito Web di Telus, scopriremo che offrono un servizio di Microsoft Exchange ospitato. Ciò suggerisce che il mittente sta probabilmente utilizzando Microsoft Outlook, Outlook Express o Outlook Web Access. Le informazioni aggiunte qui includono, l'indirizzo IP del mittente ([10.9.6.115]), il tempo inviato dall'email del mittente servizio (lun, 29 lug 2013 15:13:48 -0600) e l'ID messaggio per quel particolare messaggio come aggiunto dall'email servizio.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Ricevuto: da HEXMBVS12.hostedmsx.local ([10.9.6.115]) da HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun 29 Lug 2013 15:13:48 -0600. ID messaggio: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Lungo la strada per il servizio di posta elettronica del destinatario

Da lì, l'e-mail può richiedere un numero qualsiasi di percorsi per arrivare al servizio di posta elettronica del destinatario. Questo può essere aggiunto all'intestazione per mostrare i "salti" che l'email ha dovuto fare per arrivare a te. Questi hop iniziano dal server che ha gestito l'ultima volta l'e-mail e tornano al server che l'ha gestita originariamente, in ordine cronologico inverso. In questo esempio, tutti i salti sono interni al servizio di posta elettronica del mittente.

Terzo e Final Hop

Ricevuto: da mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) da mx.google.com con ID ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. per(versione = cifra TLSv1 = bit RC4-SHA = 128/128); Lun 29 Lug 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) client-ip = 205.206.208.34; Risultati dell'autenticazione: mx.google.com; spf = neutral (google.com: 205.206.208.34 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJJJJDYJJDG X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "? jpg'145 scan'145,208,217,145"; a = "14.712.973"

Spiegazione del terzo hop
Questo è l'hop che lo porta da Telus al server di posta elettronica dei destinatari. Possiamo dire che è stato ricevuto da mx.google.com, quindi il destinatario ha il suo servizio di posta elettronica con Google. Qui è bene notare la linea Received-SPF: SPF, o Sender Policy Framework, è uno standard in base al quale il server di posta elettronica di un mittente può dichiararsi il mittente legittimo dell'e-mail. In questo caso, il qualificatore è neutro, il che significa che non si può dire nulla sulla validità di questa e-mail, buona o cattiva. Se fosse registrato come fallire, sarebbe stato rifiutato dai server di Gmail. Se fosse softfail, Gmail l'avrebbe accettato, ma lo avrebbe contrassegnato come probabilmente non appartenente a chi afferma di provenire.

Appena sotto, vedrai anche tre righe che iniziano con X-IronPort-Anti-Spam. Il primo, X-IronPort-Anti-Spam-Filtered: true, è seguito dall'appliance anti-spam IronPort di Telus. IronPort fa parte di Cisco, quindi è considerato abbastanza affidabile. Il X-IronPort-Anti-Spam-Risultato line è pensato esclusivamente per gli apparecchi IronPort e non può essere decodificato per gli occhi umani, a meno che non lavori per Cisco e non sia necessario decodificarlo. Il terzo, X-IronPort-AV, mostra che il mittente ha il proprio dispositivo antispam di Sophos. Potrebbe aver letto McAfee o Norton o qualunque filtro attraversi la tua email. Come destinatario, questo può darti un po 'più di fiducia che l'e-mail è valida.

Secondo Hop

Ricevuto: da sconosciuto (HELO mail.exchange.telus.com) ([205.206.210.187])
da mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 lug 2013 15:15:07 -0600

Spiegazione sul secondo hop
Qui diventa ovvio che Telus è il fornitore di servizi. In caso di dubbi, eseguire un controllo WHOIS sull'indirizzo IP mostrato: 205.206.210.187. Scoprirai che l'indirizzo IP porta anche a Telus. Questo ti dà un po 'più di fiducia che l'e-mail è legittima. Possiamo anche dire che il messaggio ha richiesto poco più di un minuto per passare dal primo al secondo. Questo non ci dice molto se non sei un ingegnere di rete. In teoria, potresti calcolare approssimativamente quanto distanti sono i due server.

Primo Hop

Ricevuto: da HEXMBVS12.hostedmsx.local ([10.9.6.115]) da
HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun 29 Lug 2013 15:13:48 -0600

Spiegazione sul primo hop
Il primo hop è il server di posta elettronica del mittente che riceve il suo messaggio di posta elettronica. A questo punto l'e-mail si sta ancora spostando internamente nella rete del server di posta elettronica del mittente. Si può dire dal fatto che l'indirizzo IP inizia con 10. Gli indirizzi IP che iniziano con 10 sono riservati solo per uso interno.

Sul server di posta elettronica del destinatario

Consegnato a: [email protected]
Ricevuto: entro il 10.223.200.70 con ID SMTP ev6csp162209fab;
Lun 29 Lug 2013 14:15:09 -0700 (PDT)
Ricevuto X: entro il 10.236.227.202 con ID SMTP d70mr27737943yhq.86.1375132508769;
Lun 29 Lug 2013 14:15:08 -0700 (PDT)
Sentiero di ritorno:

Una volta che arriva al servizio di posta elettronica del destinatario, vengono aggiunte ulteriori informazioni all'intestazione - quale server di servizi di posta elettronica del destinatario ha ricevuto esso e quando, da quale server di posta elettronica è stato ricevuto il messaggio, l'indirizzo di posta elettronica del destinatario previsto e l'indirizzo di posta elettronica "rispondi" al mittente indirizzo. nel terzo hop, abbiamo visto che il servizio di posta elettronica del destinatario era con Google. Possiamo dire che questa e-mail è stata ricevuta da un server interno e passata a un altro, da 10.236.227.202 a 10.223.200.70. Soprattutto possiamo dire dal Sentiero di ritorno: che l'email a cui rispondere e l'e-mail del mittente sia la stessa. Questo ci dice anche che ci sono buone possibilità che questa e-mail sia legittima.

Altre cose da altre intestazioni

Questa particolare intestazione e-mail è limitata nelle sue informazioni perché viene utilizzato un servizio di posta elettronica ospitato. Se il mittente utilizzava il proprio server di posta elettronica, potremmo essere in grado di ottenere un po 'più di informazioni. Potremmo essere in grado di determinare esattamente quale client di posta stanno utilizzando. Oppure potremmo eseguire un WHOIS sull'indirizzo IP del mittente e ottenere una posizione approssimativa del mittente. Potremmo anche eseguire una semplice ricerca web sul dominio del mittente e vedere se esiste un sito Web per loro. Sulla base di quel sito Web, potremmo essere in grado di trovare ulteriori informazioni sul mittente. È possibile effettuare una ricerca Web sull'indirizzo e-mail stesso e iniziare a doxing la persona. Se non hai familiarità con il concetto di "doxing", familiarizza con quello di Joel Lee Che cos'è Doxing e in che modo influisce sulla tua privacy? Che cos'è Doxing e in che modo influisce sulla tua privacy? [MakeUseOf Explains]La privacy su Internet è un grosso problema. Uno dei vantaggi dichiarati di Internet è che puoi rimanere anonimo dietro il monitor mentre navighi, chatti e fai qualunque cosa tu faccia ... Leggi di più Leggi anche l'articolo di Ryan Dube, 15 siti web per trovare persone su Internet 13 siti Web per trovare persone su InternetCerchi amici perduti? Oggi, è più facile che mai trovare persone su Internet con questi motori di ricerca. Leggi di più .

The Take Away

Tutte le comunicazioni elettroniche lasciano impronte. Alcuni sono più grandi e più facili da seguire. Alcuni sono oscurati da filtri web e server proxy. In entrambi i casi, ciò che resta alle spalle ci dice qualcosa sulla persona che li ha creati. Da questi metadati, potremmo condurre ulteriori indagini per saperne di più sulle persone coinvolte. Stanno nascondendo qualcosa usando una VPN? Provengono davvero da un'azienda legittima con una presenza Web legittima? È qualcuno con cui voglio davvero uscire con un appuntamento? Cosa possono imparare le persone comuni su di me, per non parlare della NSA?

Dai un'occhiata alle intestazioni delle tue e-mail e vedi cosa dicono di te. Se trovi alcune righe di intestazione che non hanno molto senso, inseriscile nei commenti e proveremo a decodificarle. Hai dovuto fare qualche testata via email per indagare? Parlaci! È così che impariamo tutti.

Credito immagine: Sala server di torkildr via Flickr.