Mida saate õppida e-posti päisest (metaandmed)?

Reklaam

Kas saite kunagi e-kirja ja mõtlesite tõesti, kust see tuli? Kes selle saatis? Kuidas nad võisid teada saada, kes sa oled? Üllatavalt palju seda teavet võib pärineda e-posti päisest või kasutades e-posti päises olevat teavet detektiivitöö tegemiseks.

Päis on osa meilisõnumist, mida enamik inimesi isegi ei näe. See sisaldab palju andmeid, mis keskmise arvutikasutaja jaoks näib olevat gobbledygook, seega ka e-posti kasutamine sai igapäevaseks tööriistaks kõigi elus, e-posti kliendid hakkasid seda teavet mugavuse huvides varjama sinu jaoks. Nendel päevadel võib päise peitmine isegi pisut tülikas olla, isegi neile, kes teavad, et see seal asub. Seal on nii palju erinevaid e-posti kliente, nii töölaua- kui ka veebipõhiseid, et e-posti päise peitmise näitamiseks võiks saada väike raamat. Täna keskendume lihtsalt sellele, kuidas päises Gmailis varjata, ja siis vaatame, mida saaksime päisest libistada.

Mis on e-posti päis?

E-posti päis on teabekogu, mis dokumenteerib tee, mille kaudu e-kiri teile jõudis. Päises võib olla palju teavet või lihtsalt põhitõdesid. On olemas standard, millist teavet päisesse lisada tuleks, kuid see pole tegelikult piiratud sellega, millist teavet e-posti server päisesse võib panna. Kui teil on huvi, kuidas e-posti protokolli standard välja näeb, vaadake

RFC 5321 - lihtne postiülekande protokoll. See on natuke raske peas, eriti kui te ei pea seda asja teadma.

Gmail - e-posti päise peitmine

Kui teil on Gmailis avatud e-kiri, klõpsake sõnumi paremas ülanurgas asuvat allapoole suunatud noolt. Kuvatakse uus menüü. Klõpsake nuppu Näita originaali, et näha töötlemata e-kiri koos täieliku sisu ja päisega.

Avaneb uus aken või vahekaart ja näete loomulikult oma e-kirja lihtteksti versiooni, mille pealkiri on ülaosas. Päise sisu näeb välja umbes selline:

Edastatud: [email protected]. Saadud: kuupäevaks 10.223.200.70 SMTP-ga id6csp162209fab; Esmaspäev, 29. juuli 2013, 14:15:09 -0700 (PDT) X-saanud: kuupäevaks 10.236.227.202, SMTP-ga id7070r37737943yhq.86.1375132508769; Esmaspäev, 29. juuli 2013, 14:15:08 -0700 (PDT) Tagasi-rada:Vastu võetud: saidilt mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) autor mx.google.com ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. jaoks(versioon = TLSv1 šifr = RC4-SHA bitid = 128/128); Esmaspäev, 29. juuli 2013, 14:15:08 -0700 (PDT) Vastuvõetud SPF: neutraalne (google.com: 205.206.208.34 pole [email protected] domeeni parima arvamisrekordi kohaselt lubatud ega ka eitav) klient-ip = 205.206.208.34; Autentimistulemused: mx.google.com; spf = neutraalne (google.com: 205.206.208.34 pole [email protected] domeeni parimate arvamisrekordite kohaselt lubatud ega eita) [email protected]. X-IronPort-rämpspostivastane filtreerimine: tõsi. X-IronPort-rämpspostivastane tulemus: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGMEGIEGYBIYGYBIYYBYJYBYJYBYYJBYYJBYYMBYYJBYYG X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Vastu võetud: teadmata (HELO mail.exchange.telus.com) ([205.206.210.187]) saidi mx21.exchange.telus.com abil ESMTP / TLS / AES128-SHA; 29. juuli 2013 15:15:07 -0600. Saadud: ettevõttelt HEXMBVS12.hostedmsx.local ([10.9.6.115]). HEXHUB13.hostedmsx.local ([:: 1]) koos mapi; Esmaspäev, 29. juuli 2013 15:13:48 -0600. Saatja: Guy McDowell
Adressaadile: "[email protected]" Kuupäev: esmaspäev, 29. juuli 2013 15:15:03 -0600. Teema: Mis on e-posti päis? Teema: Mis on e-posti päis? Keermeindeks: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Teate-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Nõustu keel: en-USA. Sisu-keel: en-USA. X-MS-has-Attach: jah. X-MS-TNEF-korrelaator: aktsepteeritav keel: et-USA. Sisu tüüp: mitmeosaline / seotud; border = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; tüüp = "mitmeosaline / alternatiivne" MIME-versioon: 1.0

See on tore. Mida see tähendab?

Kuidas luuakse e-posti päis?

Teades, kuidas päis luuakse mööda e-posti kulgevat teed, saate parema ülevaate sellest, mida päise andmed tähendavad. Vaatame siis osi, kuidas need on lisatud, ja mida kõige olulisemad osad tähendavad.

Saatja arvutis

Osa päist luuakse siis, kui saatja loob e-kirja, mille adressaadile saata. See sisaldab teavet selle kohta, millal e-kiri koostati, kes selle koostas, teemarea ja kellele meilisõnumit saadetakse. See on päise osa, mida näete kõige tavalisemalt kui e-posti ülaosas ridu Kuupäev:, Alates:, Kellele: ja Teema:.

Saatja: Guy McDowell
Adressaadile: “[email protected]”
Kuupäev: esmaspäev, 29. juuli 2013 15:15:03 -0600
Teema: Mis on e-posti päis?

Saatja e-posti teenuses

Kui meilisõnum on tegelikult saadetud, lisatakse päisesse rohkem teavet. Seda pakub saatja kasutatav e-posti teenus. Sel juhul kasutab saatja hostitud e-posti teenust, seega on kuvatud IP-aadress teenusepakkuja võrgu sisemine aadress. WHOISe otsingu tegemine sellel ei anna kasulikku teavet. Mida me teha saame, on Google'i otsing serveri nimel HEXMBVS12.hostedmsx.local ja võime leida, et teenusepakkuja on Telus. Kui teeme mõnda Teluse veebisaidil ringi, leiame, et nad pakuvad hostitud Microsoft Exchange'i teenust. See lubab arvata, et saatja kasutab tõenäoliselt kas Microsoft Outlookit, Outlook Expressi või Outlook Web Accessit. Siia lisatud teave sisaldab saatja IP-aadressi ([10.9.6.115]), saatja e-posti teel saadetud aega teenus (esmaspäev, 29. juuli 2013 15:13:48 -0600) ja selle konkreetse sõnumi sõnumi ID, nagu on lisatud e-kirjaga teenus.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Saadud: ettevõttelt HEXMBVS12.hostedmsx.local ([10.9.6.115]), autor HEXHUB13.hostedmsx.local ([:: 1]) koos mapi-ga; Esmaspäev, 29. juuli 2013 15:13:48 -0600. Teate-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Teel adressaadi e-posti teenuseni

Sealt edasi võib e-kiri saaja e-posti teenusesse jõudmiseks kuluda suvalisel arvul marsruute. Selle saab päisesse lisada, et näidata "humalat", mille e-kiri teie saamiseks pidi tegema. Need humalad algavad serverist, mis viimati e-kirja käsitles, ja lähevad tagasi pöördunud kronoloogilises järjekorras serverisse, mis algselt seda edastas. Selles näites on kogu humala sisemine saatja e-posti teenuses.

Kolmas ja viimane hop

Vastu võetud: saidilt mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) autor mx.google.com ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. jaoks(versioon = TLSv1 šifr = RC4-SHA bitid = 128/128); Esmaspäev, 29. juuli 2013, 14:15:08 -0700 (PDT) Vastuvõetud SPF: neutraalne (google.com: 205.206.208.34 pole [email protected] domeeni parima arvamisrekordi kohaselt lubatud ega ka eitav) klient-ip = 205.206.208.34; Autentimistulemused: mx.google.com; spf = neutraalne (google.com: 205.206.208.34 pole [email protected] domeeni parimate arvamisrekordite kohaselt lubatud ega eita) [email protected]. X-IronPort-rämpspostivastane filtreerimine: tõsi. X-IronPort-rämpspostivastane tulemus: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGMEGIEGYBIYGYBIYYBYJYBYJYBYYJBYYJBYYMBYYJBYYG X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"

Kolmanda hüppe selgitus
See on hüpe, mis viib selle Teluselt adressaatide e-posti serverisse. Võib öelda, et selle sai aadressil mx.google.com, seega on adressaadil nende e-posti teenus Google'is. Siinkohal on hea joon märkida Vastuvõetud SPF: SPF ehk saatjapoliitika raamistik on standard, mille abil saatja e-posti server saab kuulutada end e-posti seaduslikuks saatjaks. Sel juhul on kvalifitseerija neutraalne, mis tähendab, et selle e-kirja kehtivuse kohta ei saa midagi öelda, olgu see hea või halb. Kas see oleks registreeritud kui läbi kukkuda, oleks Gmaili serverid selle tagasi lükanud. Kui oleks softfail, Oleks Gmail selle aktsepteerinud, kuid märkis, et pole tõenäoliselt see, kellelt ta ütleb, et see on pärit.

Täpselt allpool näete ka kolme rida, mis algavad X-IronPort-rämpspostitõrje. Esimene, X-IronPort-rämpspostivastane filtreerimine: tõsi, on kinnitatud Teluse rämpspostivastase seadme IronPort abil. IronPort on osa Cisco, nii et seda peetakse üsna usaldusväärseks. X-IronPort-rämpsposti vastane tulemus liin on mõeldud ainult IronPorti seadmetele ja seda ei saa dekodeerida inimeste silmadele - kui te ei tööta Cisco heaks ja peate selle dekodeerima. Kolmas, X-IronPort-AV, näitab, et saatjal on Sophoselt oma rämpsposti vastane seade. See oleks võinud lugeda McAfee'i või Nortonit või mis iganes filtrit, mille teie e-post läbib. Saajana võib see anda teile pisut rohkem kindlustunnet, et e-post kehtib.

Teine hopp

Vastu võetud: teadmata (HELO mail.exchange.telus.com) ([205.206.210.187])
saidi mx21.exchange.telus.com abil ESMTP / TLS / AES128-SHA; 29. juuli 2013 15:15:07 -0600

Teise hüppe selgitus
Siin saab ilmsiks, et teenusepakkujaks on Telus. Kui selles osas on kahtlusi, kontrollige WHOIS-il näidatud IP-aadressi: 205.206.210.187. Leiate, et IP-aadress viib ka Telusse. See annab teile natuke rohkem kindlustunnet, et e-post on seaduslik. Samuti võime öelda, et sõnumi esimeselt hüppelt teisele hüppele liikumiseks kulus veidi üle ühe minuti. See ei ütle meile palju, kui te pole võrguinsener. Teoreetiliselt võiksite ligikaudselt arvutada, kui kaugel kaks serverit asuvad.

Esimene hopp

Saabunud: ettevõttelt HEXMBVS12.hostedmsx.local ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) koos mapi; Esmaspäev, 29. juuli 2013 15:13:48 -0600

Esimese hüppe selgitus
Esimene hüpe on saatja e-posti server, kes võtab vastu tema e-kirja. Sel hetkel liigub e-post endiselt saatja e-posti serveri võrgus. Võite öelda, et IP-aadress algab tähega 10. 10-ga algavad IP-aadressid on ette nähtud ainult sisemiseks kasutamiseks.

Saaja e-posti serveris

Edastatud: [email protected]
Saadud: kuupäevaks 10.223.200.70 SMTP-ga id6csp162209fab;
Esmaspäev, 29. juuli 2013, 14:15:09 -0700 (PDT)
X-saanud: kuupäevaks 10.236.227.202, SMTP-ga id7070r37737943yhq.86.1375132508769;
Esmaspäev, 29. juuli 2013, 14:15:08 -0700 (PDT)
Tagasi-rada:

Kui see on adressaadi e-posti teenusele jõudnud, lisatakse päisesse lisateavet - milline saaja e-posti teenuse serveritest sai see ja millal, millisest e-posti serverist sõnum saadi, kavandatud adressaadi e-posti aadress ja saatja öeldud vastus meilisõnumile aadress. tagasi kolmandas hopis nägime, et saaja e-posti teenus oli Google'is. Võib öelda, et selle meilisõnumi võttis vastu üks sisemine server ja see edastati teisele - 10.236.227.202 kuni 10.223.200.70. Kõige tähtsam on see, mida me saame öelda Tagasi-rada: et meiliaadress, millele vastata, ja saatja e-posti aadress, on sama. See ütleb meile ka, et on hea võimalus, et see e-post on seaduslik.

Muud asjad muudest päistest

Selle konkreetse e-posti päise teave on piiratud, kuna kasutatakse hostitud e-posti teenust. Kui saatja kasutaks oma e-posti serverit, võiksime saada pisut lisateavet. Võimalik, et suudame täpselt kindlaks teha, millist meiliklienti nad kasutavad. Või saaksime WHOIS-i saata saatja IP-aadressil ja saada saatja ligikaudse asukoha. Samuti võiksime saatja domeenis teha lihtsa veebiotsingu ja vaadata, kas nende jaoks on mõni veebisait. Selle veebisaidi põhjal on meil ehk võimalik saada saatja kohta veelgi rohkem teavet. Võite veebiotsingu teha e-posti aadressilt endalt ja hakata inimest doksima. Kui te pole veel mõistega „doxing“ tuttav, siis tutvuge Joel Leega Mis on doxing ja kuidas see mõjutab teie privaatsust? Mis on doxing ja kuidas see mõjutab teie privaatsust? [MakeUseOf selgitab]Interneti-privaatsus on tohutu asi. Üks Interneti väidetavaid eeliseid on see, et saate monitori sirvides, vesteldes ja tehes kõik, mida teete, jääda anonüümseks ... Loe rohkem Lugege ka Ryan Dube'i artiklit, 15 veebisaiti inimeste leidmiseks Internetis 13 veebisaiti inimeste leidmiseks InternetisKas otsite kadunud sõpru? Täna on nende inimeste otsimootoritega Internetist inimesi lihtsamini leida. Loe rohkem .

Võta ära

Kogu elektrooniline side jätab jäljed. Mõni on suurem ja seda on lihtsam jälgida. Mõnda varjavad veebifiltrid ja puhverserverid. Mõlemal juhul räägib see, mis järele jääb, meile midagi selle loonud inimese kohta. Sellest metaandmest võiksime korraldada täiendavaid uuringuid, et saada rohkem teavet asjaga seotud inimeste kohta. Kas nad varjavad midagi VPN-i abil? Kas nad pärinevad õigustatud ettevõttest, kellel on seaduslik veebis viibimine? Kas see on keegi, kellega ma tõesti tahan kohtingule minna? Mida saavad tavalised inimesed minu kohta õppida, rääkimata NSA-st?

Vaadake oma e-posti päiseid ja vaadake, mida nad teie kohta ütlevad. Kui leiate päise ridu, millel pole palju mõtet, pange need kommentaaridesse ja proovime neid dekodeerida. Kas olete pidanud uurima mõnda e-posti päist? Räägi meile sellest! Nii õpime kõik.

Kujutise krediit: Torkildri serveriruum Flickri kaudu.