Peter Holmes
0 
1926
414
Вы когда-нибудь получали электронное письмо и действительно задавались вопросом, откуда оно пришло? Кто это отправил? Как они могли узнать, кто вы? Удивительно, но большая часть этой информации может быть взята из заголовка письма или с использованием информации из заголовка письма для выполнения детективной работы..
Заголовок является частью сообщения электронной почты, которое большинство людей даже не видят. Он содержит много данных, которые кажутся обычному пользователю компьютера бесполезным, так как использование электронной почты стало повседневным инструментом в жизни каждого, почтовые клиенты начали скрывать эту информацию для вас. В наши дни даже скрыть заголовок может быть немного хлопотно даже для тех, кто знает, что он там есть. Существует так много разных почтовых клиентов, как настольных, так и веб-, что для раскрытия того, как показать заголовок письма, может оказаться небольшой книгой. Сегодня мы просто сосредоточимся на том, как отобразить заголовок в Gmail, а затем посмотрим, что можно почерпнуть из заголовка..
Что такое заголовок электронной почты?
Заголовок электронного письма - это набор информации, которая документирует путь, по которому письмо дошло до вас. В шапке может быть много информации или только основы. Существует стандарт для того, какая информация должна быть включена в заголовок, но на самом деле нет ограничения на то, какую информацию почтовый сервер может поместить в заголовок. Если вам интересно, как выглядит стандарт для протокола электронной почты, ознакомьтесь с RFC 5321 - Simple Mail Transfer Protocol. Это немного тяжело, особенно если вам не нужно знать это.
Gmail - Показать заголовок письма
Открыв в Gmail сообщение электронной почты, нажмите стрелку, направленную вниз, в правом верхнем углу сообщения. Новое меню покажет себя. Нажмите Показать оригинал, чтобы увидеть необработанное сообщение электронной почты с его полным содержимым и раскрытым заголовком..
Откроется новое окно или вкладка, и вы увидите текстовую версию вашего электронного письма с заголовком вверху, конечно. Содержимое заголовка будет выглядеть примерно так:
Доставлено: To: [email protected]
Получено: по 22.10.200.70 с SMTP-идентификатором ev6csp162209fab;
Понедельник, 29 июля 2013 14:15:09 -0700 (PDT)
Получено X: по 10.236.227.202 с идентификатором SMTP d70mr27737943yhq.86.1375132508769;
Понедельник, 29 июля 2013 14:15:08 -0700 (PDT)
Обратный путь:
Получено: от mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
от mx.google.com с идентификатором ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
за
(версия = шифр TLSv1 = биты RC4-SHA = 128/128);
Понедельник, 29 июля 2013 14:15:08 -0700 (PDT)
Получено-SPF: нейтрально (google.com: 205.206.208.34 не разрешено и не отклонено из-за записи наилучшего предположения для домена [email protected]) client-ip = 205.206.208.34;
Результаты аутентификации: mx.google.com;
spf = нейтральный (google.com: 205.206.208.34 не разрешен и не запрещен в соответствии с наилучшей записью предположения для домена [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: правда
X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJGEEBJJGJJBYKYBHYKHYKHYKHYKHYKHYKHYKHYKKYBHYKKYBHYKKYBHYKKYBHYKHYKKYBHYKKYBKYBHYKKYBKYBHYKKYBKYBHBHYBHYBKYBHGYBKYBHYBKYBHYBKYBHYBKYBHYBHG
X-IronPort-AV: E = Sophos; i =”4.89,772,1367992800" ;
д =”jpg'145 scan'145,208,217,145" ;? а =”14712973"
Получено: от неизвестно (HELO mail.exchange.telus.com) ([205.206.210.187])
mx21.exchange.telus.com с ESMTP / TLS / AES128-SHA; 29 июля 2013 15:15:07 -0600
Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) с mapi; Пн, 29 Июл 2013 15:13:48 -0600
От: Гай Макдауэлл
Для того, чтобы: “[email protected]”
Дата: понедельник, 29 июля 2013 15:15:03 -0600
Тема: Что такое заголовок электронной почты?
Тема-тема: Что такое заголовок электронной почты?
Индекс потока: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Message-ID:
Accept-Language: en-US
Контент-язык: en-US
X-MS-Has-Attach: да
X-MS-TNEF-коррелятор:
acceptlanguage: en-US
Content-Type: multipart / related;
граничные =”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
тип =”многочастному / альтернативные”
MIME-версия: 1.0
Это мило. Что это значит?
Как создается заголовок электронной почты?
Зная, как создается заголовок по пути, по которому проходит электронная почта, вы сможете лучше понять, что означают данные заголовка. Давайте посмотрим на части, как они добавляются, и что означают самые важные части.
На компьютере отправителя
Часть заголовка создается, когда отправитель создает электронное письмо для отправки получателю. Это будет включать такую информацию, как, когда было составлено электронное письмо, кто его составил, строка темы и кому отправляется электронное письмо. Это та часть заголовка, которая вам наиболее знакома: строки Date :, From :, To: и Subject: в верхней части письма..
От: Гай Макдауэлл
Для того, чтобы: “[email protected]”
Дата: понедельник, 29 июля 2013 15:15:03 -0600
Тема: Что такое заголовок электронной почты?
На почтовой службе отправителя
Дополнительная информация добавляется в заголовок после того, как письмо действительно отправлено. Это обеспечивается службой электронной почты, которую использует отправитель. В этом случае отправитель использует размещенную службу электронной почты, поэтому указанный IP-адрес является внутренним по отношению к сети поставщика услуг. Выполнение поиска в WHOIS не даст никакой полезной информации. Что мы можем сделать, это выполнить поиск Google по имени сервера HEXMBVS12.hostedmsx.local, и мы можем обнаружить, что поставщиком услуг является Telus. Если мы немного покопаемся на веб-сайте Telus, то обнаружим, что они предлагают сервис Hosted Microsoft Exchange. Это говорит о том, что отправитель, вероятно, использует Microsoft Outlook, Outlook Express или Outlook Web Access. Добавленная здесь информация включает в себя IP-адрес отправителя ([10.9.6.115]), время, отправленное службой электронной почты отправителя (понедельник, 29 июля 2013 г. 15:13:48 -0600) и идентификатор сообщения для этого конкретного сообщение, добавленное почтовым сервисом.
(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115]) от HEXHUB13.hostedmsx.local ([:: 1]) с mapi; Пн, 29 Июл 2013 15:13:48 -0600
Message-ID:
По пути к почтовой службе получателя
Оттуда электронное письмо может пройти любое количество маршрутов, чтобы попасть в почтовую службу получателя. Это может быть добавлено в заголовок, чтобы показать «прыжки», которые электронное письмо должно было сделать, чтобы добраться до вас. Эти переходы начинаются с сервера, который последний раз обрабатывал электронную почту, и возвращаются к серверу, который первоначально обрабатывал ее, в обратном хронологическом порядке. В этом примере все прыжки являются внутренними в почтовой службе отправителя..
Третий и последний прыжок
Получено: от mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
от mx.google.com с идентификатором ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
за
(версия = шифр TLSv1 = биты RC4-SHA = 128/128);
Понедельник, 29 июля 2013 14:15:08 -0700 (PDT)
Получено-SPF: нейтрально (google.com: 205.206.208.34 не разрешено и не отклонено из-за записи наилучшего предположения для домена [email protected]) client-ip = 205.206.208.34;
Результаты аутентификации: mx.google.com;
spf = нейтральный (google.com: 205.206.208.34 не разрешен и не запрещен в соответствии с наилучшей записью предположения для домена [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: правда
X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJGEEBJJGJJBYKYBHYKHYKHYKHYKHYKHYKHYKHYKKYBHYKKYBHYKKYBHYKKYBHYKHYKKYBHYKKYBKYBHYKKYBKYBHYKKYBKYBHBHYBHYBKYBHGYBKYBHYBKYBHYBKYBHYBKYBHYBHG
X-IronPort-AV: E = Sophos; i =”4.89,772,1367992800" ;
д =”jpg'145 scan'145,208,217,145" ;? а =”14712973"
Третье объяснение хмеля
Это прыжок, который переносит его из Telus на сервер электронной почты получателей. Мы можем сказать, что он был получен mx.google.com, поэтому у получателя есть сервис электронной почты с Google. Здесь хорошо отметить линию Received-SPF: SPF, или Sender Policy Framework, - это стандарт, с помощью которого почтовый сервер отправителя может объявить себя законным отправителем электронной почты. В этом случае классификатор нейтральный, Это означает, что ничего не может быть сказано о действительности этого письма, хорошо это или плохо. Если бы он был зарегистрирован как потерпеть поражение, это было бы отклонено серверами Gmail. Если бы Softfail, Gmail принял бы это, но пометил, что, возможно, не от того, от кого он говорит, что это.
Чуть ниже вы также увидите три строки, начинающиеся с X-IronPort-Anti-Spam. Первый, X-IronPort-Anti-Spam-Filtered: правда, взломан антиспамовым устройством Telus IronPort. IronPort является частью Cisco, поэтому он считается достаточно надежным. X-IronPort-Anti-Spam-Result Линия предназначена исключительно для устройств IronPort и не может быть расшифрована для человеческого глаза - если только вы не работаете в Cisco и не нуждаетесь в ее декодировании. Третий, X-IronPort-AV, показывает, что у отправителя есть собственное антиспам-устройство от Sophos. Он мог прочитать McAfee или Norton, или любой другой фильтр, через который проходит ваша электронная почта. Как получатель, это может дать вам немного больше уверенности в том, что письмо действительно.
Второй хмель
Получено: от неизвестно (HELO mail.exchange.telus.com) ([205.206.210.187])
mx21.exchange.telus.com с ESMTP / TLS / AES128-SHA; 29 июля 2013 15:15:07 -0600
Второе объяснение хмеля
Здесь становится очевидным, что Telus является поставщиком услуг. Если есть какие-либо сомнения по этому поводу, выполните проверку WHOIS на показанном IP-адресе: 205.206.210.187. Вы обнаружите, что IP-адрес также ведет к Telus. Это дает вам немного больше уверенности в том, что электронная почта является законной. Мы также можем сказать, что сообщение заняло чуть более одной минуты, чтобы перейти от первого перехода ко второму переходу. Это не говорит нам много, если вы не сетевой инженер. Теоретически, вы можете приблизительно рассчитать, насколько далеко расположены два сервера..
Первый Хоп
Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) с mapi; Пн, 29 Июл 2013 15:13:48 -0600
Первое объяснение хмеля
Первый переход - это почтовый сервер отправителя, который получает его сообщение электронной почты. На этом этапе электронная почта все еще перемещается внутри сети почтового сервера отправителя. Вы можете сказать по тому, что IP-адрес начинается с 10. IP-адрес, начинающийся с 10, зарезервирован только для внутреннего использования..
На почтовом сервере получателя
Доставлено: To: [email protected]
Получено: по 22.10.200.70 с SMTP-идентификатором ev6csp162209fab;
Понедельник, 29 июля 2013 14:15:09 -0700 (PDT)
Получено X: по 10.236.227.202 с идентификатором SMTP d70mr27737943yhq.86.1375132508769;
Понедельник, 29 июля 2013 14:15:08 -0700 (PDT)
Обратный путь:
Как только он попадает в почтовую службу получателя, в заголовок добавляется дополнительная информация - какие серверы почтовых служб получателя получили его и когда, с какого почтового сервера было получено сообщение, адрес электронной почты получателя и указанный отправителем ответ на адрес электронной почты. Еще в третьем прыжке мы увидели, что почтовый сервис получателя был с Google. Мы можем сказать, что это письмо было получено одним внутренним сервером и передано другому - с 10.236.227.202 по 10.223.200.70. Самое главное, мы можем сказать по Обратный путь: что электронная почта для ответа и электронная почта отправителя совпадают. Это также говорит нам о том, что существует большая вероятность того, что это письмо является законным.
Другие вещи из других заголовков
Этот конкретный заголовок электронной почты ограничен в своей информации, потому что используется размещенный почтовый сервис. Если бы отправитель использовал свой собственный почтовый сервер, мы могли бы получить немного больше информации. Мы могли бы точно определить, какой почтовый клиент они используют. Или мы можем выполнить WHOIS на IP-адресе отправителя и получить приблизительное местоположение отправителя. Мы также могли бы выполнить простой веб-поиск в домене отправителя и посмотреть, есть ли для них веб-сайт. На основе этого веб-сайта мы сможем узнать еще больше информации об отправителе. Вы можете провести поиск в Интернете по самому адресу электронной почты и начать делать это. Если вы не знакомы с концепцией «doxing», ознакомьтесь с Джоэлем Ли, что такое Doxing и как это влияет на вашу конфиденциальность? Что такое Doxing и как это влияет на вашу конфиденциальность? [MakeUseOf Объясняет] Что такое Doxing и как это влияет на вашу конфиденциальность? [MakeUseOf Объясняет] Конфиденциальность в Интернете - это огромная сделка. Одним из преимуществ Интернета является то, что вы можете оставаться анонимным за своим монитором, когда вы просматриваете, общаетесь и делаете все, что вы делаете ... Также прочитайте статью Райана Дубе, 15 Веб-сайты для поиска людей в Интернете 13 Сайты для поиска людей в Интернете 13 Сайты для поиска людей в Интернете Ищете потерянных друзей? Сегодня легче, чем когда-либо, найти людей в Интернете с помощью этих поисковых систем.. .
Забрать
Все электронные сообщения оставляют следы. Некоторые больше и легче следовать. Некоторые из них скрыты веб-фильтрами и прокси-серверами. В любом случае, то, что осталось, говорит нам кое-что о человеке, который их создал. Исходя из этих метаданных, мы могли бы провести дальнейшие исследования, чтобы узнать больше о вовлеченных людях. Они что-то скрывают, используя VPN? Они действительно из законного бизнеса с законным веб-присутствием? Это тот, с кем я действительно хочу пойти на свидание? Что обычные люди могут узнать обо мне, не говоря уже о АНБ?
Посмотрите на заголовки ваших писем и посмотрите, что они говорят о вас. Если вы найдете строки заголовка, которые не имеют особого смысла, поместите их в комментарии, и мы попытаемся их расшифровать. Вы должны были сделать некоторые исследования заголовка электронной почты? Расскажите нам об этом! Вот как мы все учимся.
Image Credit: Серверная комната от torkildr через Flickr.