Reklame

Har du nogensinde fået en e-mail og spekulerede virkelig på, hvor den kom fra? Hvem sendte det? Hvordan kunne de have vidst, hvem du er? Overraskende kan en masse af disse oplysninger komme fra e-mailhovedet, eller ved at bruge info fra e-mailhovedet til at udføre noget detektivarbejde.

Headeren er en del af den e-mail-meddelelse, som de fleste mennesker aldrig ser. Det indeholder en masse data, der ser ud til at være gobbledygook for den gennemsnitlige computerbruger, så som e-mail-brug blev et dagligt værktøj i alles liv, e-mail-klienter begyndte at skjule disse oplysninger af bekvemmelighed for dig. I disse dage kan det endda være lidt besværligt at skjule overskriften, selv for dem, der ved, at den er der. Der er så mange forskellige e-mail-klienter derude, både desktop og webbaseret, at det kan en lille bog at dække, hvordan man skjuler e-mailhovedet. I dag skal vi bare fokusere på, hvordan man fjerner overskriften i Gmail, og ser derefter på, hvad vi kan hente fra overskriften.

instagram viewer

Hvad er en e-mail-overskrift?

En e-mailhoved er en samling information, der dokumenterer den sti, som e-mailen fik til dig. Der kan være en masse information i overskriften eller bare det grundlæggende. Der er en standard for, hvilke oplysninger der skal inkluderes i en header, men egentlig ikke en grænse for, hvilke oplysninger en e-mail-server muligvis lægger i overskriften. Hvis du er nysgerrig efter, hvordan en standard for en e-mail-protokol ser ud, så tjek RFC 5321 - Simple Mail Transfer Protocol. Det er lidt hårdt på hovedet, især hvis du ikke behøver at kende det.

Gmail - Fjern skjul på e-mail

Når du har en e-mail-besked åben i Gmail, skal du klikke på den nedadrettede pil nær øverste højre hjørne af beskeden. En ny menu viser sig selv. Klik på Vis original for at se den rå e-mail med det fulde indhold og overskriften afsløret.

gmail-show-original

Et nyt vindue eller fane åbnes, og du vil naturligvis se en almindelig tekstversion af din e-mail med overskriften øverst. Indholdet af overskriften ser sådan ud:

Leveret-til: [email protected]. Modtaget: af 10.223.200.70 med SMTP-id ev6csp162209fab; Man, 29. juli 2013 14:15:09 -0700 (PDT) X-modtaget: af 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769; Man, 29. juli 2013 14:15:08 -0700 (PDT) Retur-Path:Modtaget: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) af mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. til(version = TLSv1-chiffer = RC4-SHA-bits = 128/128); Man, 29. juli 2013 14:15:08 -0700 (PDT) Mottaget-SPF: neutral (google.com: 205.206.208.34 er hverken tilladt eller afvist af bedste gæt-optegnelse for domæne af [email protected]) client-ip = 205.206.208.34; Autentificeringsresultater: mx.google.com; spf = neutral (google.com: 205.206.208.34 er hverken tilladt eller nægtet ved bedst gætte-post for domæne af [email protected]) [email protected]. X-IronPort-Anti-Spam-filtreret: sandt. X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgijjJjjjjj X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145 scan'145,208,217,145" a = "14.712.973" Modtaget: fra ukendt (HELO mail.exchange.telus.com) ([205.206.210.187]) af mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29. jul 2013 15:15:07 -0600. Modtaget: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) af. HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man, 29. juli 2013 15:13:48 -0600. Fra: Guy McDowell
Til: "[email protected]" Dato: Man, 29. juli 2013 15:15:03 -0600. Emne: Hvad er en e-mailhoved? Trådemne: Hvad er en e-mail-overskrift? Trådindeks: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Meddelelses-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accepter sprog: da-USA. Indholdssprog: da-USA. X-MS-Has-Attach: ja. X-MS-TNEF-korrelator: accept Language: da-US. Indholdstype: multipart / relateret; grænse = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; skrive = "multipart / alternative" MIME-version: 1.0

Det er godt. Hvad betyder det?

Hvordan oprettes e-mail-overskriften?

Ved at vide, hvordan overskriften oprettes langs den sti, som en e-mail rejser, vil du udvikle dybere indsigt i, hvad en header's data betyder. Lad os se på delene, når de er tilføjet, og hvad de vigtigste dele betyder.

På afsenderens computer

udbakke

En del af overskriften oprettes, når afsenderen opretter den e-mail, der skal sendes til modtageren. Dette vil indeholde sådanne oplysninger som når e-mailen blev komponeret, hvem der har komponeret den, emnelinjen og til hvem e-mailen sendes. Dette er den del af overskriften, som du er mest kendt som dato:, Fra:, Til:, og Emne: linjer øverst på din e-mail.

Fra: Guy McDowell
Til: “[email protected]
Dato: Man, 29. juli 2013 15:15:03 -0600
Emne: Hvad er en e-mail-overskrift?

På afsenderens e-mail-tjeneste

server-rum

Mere information føjes til overskriften, når e-mailen faktisk er sendt. Dette leveres af den e-mail-tjeneste, som afsenderen bruger. I dette tilfælde bruger afsenderen en hostet e-mail-tjeneste, så den viste IP-adresse er en adresse, der er intern i tjenesteudbyderens netværk. Udførelse af en WHOIS-søgning på den vil ikke give nogen nyttige oplysninger. Hvad vi kan gøre er at udføre en Google-søgning på servernavnet HEXMBVS12.hostedmsx.local og vi kan finde ud af, at tjenesteudbyderen er Telus. Hvis vi gør noget ved at grave rundt på Telus-webstedet, finder vi ud af, at de tilbyder en Hosted Microsoft Exchange-service. Det antyder, at afsenderen sandsynligvis bruger enten Microsoft Outlook, Outlook Express eller Outlook Web Access. Information tilføjet her inkluderer afsenderens IP-adresse ([10.9.6.115]), det tidspunkt, der sendes af afsenderens e-mail service (Man, 29 Jul 2013 15:13:48 -0600) og meddelelses-ID for den bestemte meddelelse som tilføjet af e-mailen service.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Modtaget: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) af HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man, 29. juli 2013 15:13:48 -0600. Meddelelses-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Undervejs til modtagerens e-mail-service

Derfra kan e-mailen tage et vilkårligt antal ruter for at ende på modtagerens e-mail-service. Dette kan tilføjes til overskriften for at vise de 'humle', e-mailen skulle foretages for at komme til dig. Disse humle starter på den server, der senest håndterede e-mailen og går tilbage til den server, der oprindeligt håndterede den, i omvendt kronologisk rækkefølge. I dette eksempel er alle humle interne ved afsenderens e-mail-tjeneste.

Tredje og sidste hop

Modtaget: fra mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) af mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. til(version = TLSv1-chiffer = RC4-SHA-bits = 128/128); Man, 29. juli 2013 14:15:08 -0700 (PDT) Mottaget-SPF: neutral (google.com: 205.206.208.34 er hverken tilladt eller afvist af bedste gæt-optegnelse for domæne af [email protected]) client-ip = 205.206.208.34; Autentificeringsresultater: mx.google.com; spf = neutral (google.com: 205.206.208.34 er hverken tilladt eller nægtet ved bedst gætte-post for domæne af [email protected]) [email protected]. X-IronPort-Anti-Spam-filtreret: sandt. X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgijjJjjjjj X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145 scan'145,208,217,145" a = "14.712.973"

Tredje Hop-forklaring
Dette er hopet, der tager det fra Telus til modtagerens e-mail-server. Vi kan fortælle, at det blev modtaget af mx.google.com, så modtageren har deres e-mail-tjeneste med Google. Her er det godt at bemærke linjen Modtaget-SPF: SPF eller Sender Policy Framework er en standard, hvormed en afsenders e-mailserver kan erklære sig selv for at være den legitime afsender af e-mailen. I dette tilfælde er kvalificeringen neutral, hvilket betyder, at der ikke kan siges noget om gyldigheden af ​​denne e-mail, god eller dårlig. Havde det registreret som svigte, ville det være blevet afvist af Gmail's servere. Hvis det var softfail, Ville Gmail have accepteret det, men markeret som muligvis ikke, fra hvem det siger, at det er fra.

Lige under det ser du også tre linjer, der starter med X-IronPort-Anti-Spam. Den første, X-IronPort-Anti-Spam-filtreret: sandt, håndteres af Telus 'IronPort-anti-spam-apparat. IronPort er en del af Cisco, så det betragtes som temmelig pålideligt. Det X-IronPort-Anti-Spam-Resultat linje er udelukkende beregnet til IronPort-apparaterne og kan ikke dekodes for menneskelige øjne - medmindre du arbejder for Cisco og har brug for at afkode den. Den tredje, X-IronPort-AV, viser, at afsenderen har deres eget anti-spam-apparat fra Sophos. Det kunne have læst McAfee eller Norton, eller hvad filter du sender via e-mail. Som modtager kan dette give dig lidt mere tillid til, at e-mailen er gyldig.

Andet Hop

Modtaget: fra ukendt (HELO mail.exchange.telus.com) ([205.206.210.187])
af mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29. jul 2013 15:15:07 -0600

Anden Hop-forklaring
Her bliver det tydeligt, at Telus er tjenesteudbyderen. Hvis der er nogen tvivl om dette, skal du udføre en WHOIS-kontrol på den viste IP-adresse: 205.206.210.187. Du finder ud af, at IP-adressen også fører til Telus. Det giver dig lidt mere tillid til, at e-mailen er legitim. Vi kan også fortælle, at beskeden tog lidt over et minut at gå fra det første hop til det andet humle. Det fortæller os ikke meget, medmindre du er netværksingeniør. I teorien kunne du beregne nogenlunde hvor langt fra hinanden er de to servere.

Første Hop

Modtaget: fra HEXMBVS12.hostedmsx.local ([10.9.6.115]) af
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man, 29. juli 2013 15:13:48 -0600

Første Hop-forklaring
Det første hop er afsenderens e-mail-server, der modtager hans e-mail-besked. På dette tidspunkt bevæger e-mailen sig stadig internt i afsenderens e-postserverens netværk. Du kan fortælle det faktum, at IP-adressen starter med 10. IP-adresse, der starter med 10, er kun forbeholdt internt brug.

På modtagers e-mailserver

Leveret-til: [email protected]
Modtaget: af 10.223.200.70 med SMTP-id ev6csp162209fab;
Man, 29. juli 2013 14:15:09 -0700 (PDT)
X-modtaget: af 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769;
Man, 29. juli 2013 14:15:08 -0700 (PDT)
Retur-Path:

indbakke

Når det kommer til modtagerens e-mail-service, tilføjes flere oplysninger til overskriften - hvilken af ​​modtagerens e-postserviceservere har modtaget det og hvornår, hvilken e-mail-server meddelelsen blev modtaget fra, den tilsigtede modtagers e-mail-adresse og afsenderens angivne 'svar på' e-mail adresse. tilbage i det tredje hop, så vi, at modtagerens e-mail-tjeneste var hos Google. Vi kan fortælle, at denne e-mail blev modtaget af en intern server og sendt videre til en anden - 10.236.227.202 til 10.223.200.70. Vigtigst kan vi fortælle ved Retur-Path: at e-mailen du vil svare på og e-mailen til afsenderen er den samme. Dette fortæller os også, at der er en god chance for, at denne e-mail er legitim.

Andre ting fra andre overskrifter

Denne særlige e-mailhoved er begrænset i dens oplysninger, fordi en hostet e-mail-tjeneste bruges. Hvis afsenderen brugte deres egen e-mail-server, kunne vi muligvis få lidt mere information. Vi kan muligvis bestemme nøjagtigt, hvilken e-mail-klient de bruger. Eller vi kunne udføre en WHOIS på afsenderens IP-adresse og få en omtrentlig placering af afsenderen. Vi kunne også udføre en simpel websøgning på afsenderens domæne og se, om der er et websted til dem. Baseret på dette websted kan vi muligvis finde ud af endnu mere information om afsenderen. Du foretager muligvis en websøgning på selve e-mail-adressen og begynder at doxe personen. Hvis du ikke er bekendt med begrebet 'doxing', skal du gøre dig bekendt med Joel Lee's Hvad er doxing og hvordan påvirker det dit privatliv? Hvad er doxing og hvordan påvirker det dit privatliv? [MakeUseOf Explains]Internet-privatliv er en stor aftale. En af de anførte frynsegoder på Internettet er, at du kan forblive anonym bag din skærm, når du gennemser, chatter og gør hvad det nu er, du gør ... Læs mere Læs også Ryan Dubes artikel, 15 websteder til at finde mennesker på Internettet 13 websteder til at finde mennesker på InternettetLeder du efter mistede venner? I dag er det lettere end nogensinde før at finde mennesker på internettet med disse menneskers søgemaskiner. Læs mere .

Take Away

Al elektronisk kommunikation efterlader fodaftryk. Nogle er større og lettere at følge. Nogle skjules af webfiltre og proxyservere. Uanset hvad, der er tilbage, fortæller os noget om den person, der skabte dem. Fra disse metadata foretager vi måske yderligere undersøgelser for at lære mere om de involverede mennesker. Skjuler de noget ved at bruge en VPN? Stammer de virkelig fra en legitim virksomhed med en legitim tilstedeværelse på nettet? Er det nogen, jeg virkelig vil gå på en date med? Hvad kan almindelige mennesker lære om mig, og ikke mindst NSA?

Se på dine e-mail-overskrifter og se, hvad de siger om dig. Hvis du finder nogle overskriftslinjer, der ikke giver meget mening, skal du lægge dem i kommentarerne, så prøver vi at afkode dem. Har du været nødt til at undersøge e-mail-header? Fortæl os om det! Sådan lærer vi alle sammen.

Billedkredit: Serverrum af torkildr via Flickr.

Med mere end 20 års erfaring inden for it, uddannelse og teknisk fag, er det mit ønske at dele det, jeg har lært med andre, der er villige til at lære. Jeg stræber efter at gøre det bedst mulige job på den bedst mulige måde og med lidt humor.