Vad kan du lära av från en e-postrubrik (metadata)?

Har du någonsin fått ett mail och verkligen undrat varifrån det kom ifrån? Vem skickade det? Hur kunde de ha vetat vem du är? Förvånansvärt kan mycket av den informationen vara från e-postrubriken eller genom att använda info från e-postrubriken för att göra vissa detektivarbete.

Rubriken är en del av det e-postmeddelande som de flesta aldrig ens ser. Den innehåller mycket data som verkar som gobbledygook till den genomsnittliga datoranvändaren, så som användningen av e-post blev ett dagligt verktyg i allas liv började e-postklienter dölja den här informationen utan hjälp för dig. Dessa dagar kan det till och med vara lite besvärligt att ta bort huvudet, även för dem som vet att det finns där. Det finns så många olika e-postklienter där ute, både på skrivbordet och på webbsidor, som för att täcka hur man förknippar e-postrubriken kan bli en liten bok. Idag kommer vi bara att fokusera på hur man tar upp huvudet i Gmail, och sedan tittar på vad vi kan hämta från rubriken.

Vad är en e-postrubrik?

En e-postrubrik är en samling information som dokumenterar den väg som e-postmeddelandet gav dig. Det kan finnas mycket information i rubriken eller bara grunderna. Det finns en standard för vilken information som ska ingå i en rubrik, men inte en gräns för vilken information en e-postserver kan lägga in i rubriken. Om du är nyfiken på vad en standard för ett e-postprotokoll ser ut, kolla in RFC 5321 - Simple Mail Transfer Protocol. Det är lite svårt på huvudet, speciellt om du inte behöver känna till dessa saker.

Gmail - Ta bort e-posthuvudet

När du har ett e-postmeddelande öppet i Gmail, klicka på den nedåtriktade pilen längst upp till höger i meddelandet. En ny meny kommer att visa sig. Klicka på Visa original för att se det råa e-postmeddelandet med hela innehållet och rubriken avslöjad.

Ett nytt fönster eller en flik öppnas och du får förstås en vanlig textversion av ditt e-postmeddelande med rubriken högst upp. Innehållet i rubriken kommer att se ut så här:

Levereras till: [email protected]
Mottagen: vid 10.223.200.70 med SMTP-id ev6csp162209fab;
Må, 29 jul 2013 14:15:09 -0700 (PDT)
X-Received: med 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769;
Må, 29 jul 2013 14:15:08 -0700 (PDT)
Return-Path:
Mottagen: från mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
för
(version = TLSv1-chiffer = RC4-SHA-bitar = 128/128);
Må, 29 jul 2013 14:15:08 -0700 (PDT)
Mottagen-SPF: neutral (google.com: 205.206.208.34 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected]) client-ip = 205.206.208.34;
Autentiseringsresultat: mx.google.com;
spf = neutral (google.com: 205.206.208.34 är varken tillåtet eller nekad av bästa gissningsrekord för domän [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtrerat: True
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i =”4.89,772,1367992800" ;
d =”jpg'145 scan'145,208,217,145" ,? a =”14712973"
Mottagen: från okänd (HELO mail.exchange.telus.com) ([205.206.210.187])
av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600
Mottagen: från HEXMBVS12.hostedmsx.local ([10.9.6.115]) av
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Må, 29 jul 2013 15:13:48 -0600
Från: Guy McDowell
Till: “[email protected]”
Datum: måndag, 29 jul 2013 15:15:03 -0600
Ämne: Vad är en e-postrubrik?
Ämne: Vad är en e-postrubrik?
Trådindex: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Meddelande-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>
Accept-Language: en-US
Innehållsspråk: en-US
X-MS-Has-Attach: ja
X-MS-TNEF-Korrelatorn:
acceptlanguage: en-US
Innehållstyp: multipart / relaterat;
gräns =”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
Typ =”multipart / alternativ”
MIME-version: 1.0

Det är trevligt. Vad betyder det?

Hur skapades e-posthuvudet?

Genom att veta hur huvudet skapas längs vägen går ett mail, kommer du att utveckla en ökad inblick i vad en rubriks data betyder. Låt oss titta på delarna som de läggs till och vad de viktigaste delarna betyder.

På avsändarens dator

En del av rubriken skapas när avsändaren skapar e-postmeddelandet för att skicka till mottagaren. Detta kommer att innehålla sådan information som när e-posten komponerades, vem komponerade den, ämnesraden och till vilken e-postmeddelandet skickas. Det här är den del av rubriken som du är mest känd att se som Datum:, Från:, Till: och Ämne: Linjer längst upp i din e-post.

Från: Guy McDowell
Till: “[email protected]”
Datum: måndag, 29 jul 2013 15:15:03 -0600
Ämne: Vad är en e-postrubrik?

På avsändarens e-posttjänst

Mer information läggs till i rubriken när e-posten faktiskt skickats. Detta tillhandahålls av den e-posttjänst som avsändaren använder. I det här fallet använder avsändaren en hostad e-posttjänst, så den visade IP-adressen är en adress som är intern till tjänsteleverantörens nätverk. Att utföra en WHOIS-sökning på den kommer inte att ge någon användbar information. Vad vi kan göra är att utföra en Google-sökning på servernamnet HEXMBVS12.hostedmsx.local och vi kan upptäcka att tjänsteleverantören är Telus. Om vi ​​gräver på Telus webbplats, upptäcker vi att de erbjuder en Hosted Microsoft Exchange-tjänst. Det föreslår att avsändaren brukar använda antingen Microsoft Outlook, Outlook Express eller Outlook Web Access. Information som läggs till här inkluderar, avsändarens IP-adress ([10.9.6.115]), den tid som skickas av avsändarens e-posttjänst (mån 29 juli 2013 15:13:48 -0600) och meddelandets ID för det aktuella meddelande som läggs till av e-posttjänsten.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Mottagen: från HEXMBVS12.hostedmsx.local ([10.9.6.115]) av HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Må, 29 jul 2013 15:13:48 -0600
Meddelande-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Längs vägen till mottagarens e-posttjänst

Därifrån kan e-postmeddelandet ta ett antal rutter för att hamna i mottagarens e-posttjänst. Detta kan läggas till rubriken för att visa "humle" som e-posten måste göra för att komma till dig. Dessa humle startar på servern som senast hanterade e-postmeddelandet och går tillbaka till servern som ursprungligen hanterade den, i omvänd kronologisk ordning. I det här exemplet är alla humle internt i avsändarens e-posttjänst.

Tredje och Final Hop

Mottagen: från mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
för
(version = TLSv1-chiffer = RC4-SHA-bitar = 128/128);
Må, 29 jul 2013 14:15:08 -0700 (PDT)
Mottagen-SPF: neutral (google.com: 205.206.208.34 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected]) client-ip = 205.206.208.34;
Autentiseringsresultat: mx.google.com;
spf = neutral (google.com: 205.206.208.34 är varken tillåtet eller nekad av bästa gissningsrekord för domän [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtrerat: True
X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i =”4.89,772,1367992800" ;
d =”jpg'145 scan'145,208,217,145" ,? a =”14712973"

Förklaring till tredje hops
Det här är den hopp som tar den från Telus till mottagarens e-postserver. Vi kan berätta att den har mottagits av mx.google.com, så mottagaren har sin e-posttjänst med Google. Här är det bra att notera linjen Mottagen SPF: SPF, eller Sender Policy Framework, är en standard där en avsändares e-postserver kan förklara sig vara den legitima avsändaren av e-postmeddelandet. I detta fall är kvalificatören neutral, vilket innebär att inget kan sägas om giltigheten av detta e-mail, bra eller dåligt. Hade det registrerat som misslyckas, det skulle ha blivit avvisat av Gmails servrar. Om det vore softfail, Gmail skulle ha accepterat det, men flaggade det som eventuellt inte från vilket det står att det är från.

Strax under det ser du tre linjer som börjar med X-Ironport-Anti-Spam. Den första, X-IronPort-Anti-Spam-Filtrerat: True, tackas av Telus 'IronPort anti-spam-apparat. IronPort är en del av Cisco, så det anses vara ganska tillförlitligt. De X-Ironport-Anti-Spam-Resultat linjen är endast avsedd för IronPort-apparaterna och kan inte avkodas för mänskliga ögon - om du inte arbetar för Cisco och behöver avkoda den. Den tredje, X-Ironport-AV, visar att avsändaren har sin egen anti-spam-apparat från Sophos. Det kunde ha läst McAfee eller Norton, eller vilket filter ditt e-postmeddelande går igenom. Som mottagare kan detta ge dig lite mer förtroende för att e-postmeddelandet är giltigt.

Second Hop

Mottagen: från okänd (HELO mail.exchange.telus.com) ([205.206.210.187])
av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600

Förklaring till andra hopp
Det är uppenbart att Telus är tjänsteleverantören. Om det råder några tvivel om detta, utför en WHOIS-kontroll på den visade IP-adressen: 205.206.210.187. Du kommer att upptäcka att IP-adressen också leder till Telus. Det ger dig lite mer förtroende för att e-postmeddelandet är legitimt. Vi kan också berätta att meddelandet tog lite över en minut för att gå från den första hoppen till den andra hoppen. Det berättar inte mycket om du inte är en nätverksingenjör. I teorin kan man beräkna ungefär hur långt ifrån varandra är de två servrarna.

First Hop

Mottagen: från HEXMBVS12.hostedmsx.local ([10.9.6.115]) av
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Må, 29 jul 2013 15:13:48 -0600

Första Hop Förklaring
Den första hoppen är avsändarens e-postserver som mottar sitt e-postmeddelande. Vid denna tidpunkt flyttar e-postmeddelandet fortfarande internt i avsändarens e-postserverns nätverk. Du kan berätta för det faktum att IP-adressen börjar med 10. IP-adress som börjar med 10 är endast avsedd för internt bruk.

På mottagarens e-postserver

Levereras till: [email protected]
Mottagen: vid 10.223.200.70 med SMTP-id ev6csp162209fab;
Må, 29 jul 2013 14:15:09 -0700 (PDT)
X-Received: med 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769;
Må, 29 jul 2013 14:15:08 -0700 (PDT)
Return-Path:

När det kommer till mottagarens e-posttjänst läggs mer information till rubriken - vilken av mottagarens e-posttjänsten mottog det och när, vilken e-postserver meddelandet mottogs från, den avsedda mottagarens e-postadress och avsändarens uttalade svar till "e-postadress. tillbaka i tredje hoppet såg vi att mottagarens e-posttjänst var med Google. Vi kan berätta att det här mailet mottogs av en intern server och vidarebefordrats till en annan - 10.236.227.202 till 10.223.200.70. Viktigast kan vi säga av Return-Path: att e-postmeddelandet att svara och avsändarens e-postadress är detsamma. Detta berättar också att det finns en bra chans att det här e-postmeddelandet är legitimt.

Andra saker från andra rubriker

Den här specifika e-postrubriken är begränsad i sin information eftersom en hostad e-posttjänst används. Om avsändaren använde sin egen e-postserver kan vi kanske få lite mer information. Vi kan kanske bestämma exakt vilken mailklient de använder. Eller vi kan utföra en WHOIS på avsändarens IP-adress och få en ungefärlig plats för avsändaren. Vi kan också göra en enkel webbsökning på avsändarens domän och se om det finns en hemsida för dem. Baserat på den webbplatsen kan vi kanske få reda på ännu mer information om avsändaren. Du kan göra en webbsökning på själva e-postadressen och börja doxing personen. Om du inte är bekant med begreppet "doxing", bekanta dig med Joel Lee's What Does Doxing & Hur påverkar din integritet? Vad gör Doxing & Hur påverkar det din integritet? [MakeUseOf Förklarar] Vad är Doxing & Hur påverkar det din integritet? [MakeUseOf Förklarar] Internetsäkerhet är en enorm affär. En av de angivna fördelarna med Internet är att du kan förbli anonym bakom din bildskärm när du bläddrar, chattar och gör vad det är som du gör ... Läs mer Läs också även om Ryan Dubes artikel, 15 webbsidor för att hitta personer på Internet 12 webbplatser för att hitta människor på Internet 12 webbplatser för att hitta personer på Internet Om du letar efter en förlorad vän, eller kanske vill göra en bakgrundskontroll av någon, överväga dessa gratis resurser att hitta personer på internet . Läs mer .

The Take Away

All elektronisk kommunikation lämnar fotspår. Vissa är större och enklare att följa. Vissa är dolda av webfilter och proxyservrar. Hur som helst kvarstår berättar något om personen som skapade dem. Från dessa metadata kan vi utföra ytterligare undersökningar för att lära oss mer om de involverade personerna. Gömmer de något med hjälp av ett VPN? Är de verkligen ett legitimt företag med en legitim närvaro på nätet? Är den här någon som verkligen vill åka på ett datum med? Vad kan vanliga människor lära sig om mig, än mindre NSA?

Ta en titt på dina e-postrubriker och se vad de säger om dig. Om du hittar några rubriklinjer som inte ger stor mening, lägg dem i kommentarerna och vi kommer att försöka avkoda dem. Har du varit tvungen att undersöka några e-postrubriker? Berätta för oss om det! Så lär vi oss alla.

Bildkredit: Serverrum av torkildr via Flickr.

Utforska mer om: E-posttips, metadata.