Cosa puoi imparare da un'intestazione email (metadati)?

Hai mai ricevuto un'e-mail e ti sei davvero chiesto da dove venisse? Chi lo ha inviato?

Hai mai ricevuto un'e-mail e ti sei davvero chiesto da dove venisse?  Chi lo ha inviato?
Annuncio pubblicitario

Hai mai ricevuto un'email e ti sei davvero chiesto da dove proviene? Chi lo ha inviato? Come potevano sapere chi sei? Sorprendentemente molte di queste informazioni possono provenire dall'intestazione dell'e-mail, o usando informazioni dall'intestazione dell'email per fare un po 'di lavoro investigativo.

L'intestazione è una parte del messaggio e-mail che la maggior parte delle persone non vede mai. Contiene un sacco di dati che sembrano gobbledygook per l'utente medio del computer, così come l'uso della posta elettronica è diventato uno strumento quotidiano nella vita di tutti, i client di posta elettronica hanno iniziato a nascondere queste informazioni per comodità. In questi giorni, può anche essere un po 'fastidioso mostrare l'intestazione, anche per coloro che sanno che è lì. Ci sono così tanti diversi client di posta elettronica, sia desktop che basati sul web, che per coprire il modo in cui mostrare l'intestazione dell'e-mail potrebbero finire per essere un piccolo libro. Oggi ci concentreremo solo su come mostrare l'intestazione in Gmail, quindi vediamo cosa possiamo ricavare dall'intestazione.

Cos'è un'intestazione dell'email?

Un'intestazione email è una raccolta di informazioni che documenta il percorso attraverso il quale l'e-mail è arrivata a te. Ci possono essere molte informazioni nell'intestazione o solo le basi. Esiste uno standard per le informazioni da includere in un'intestazione, ma non un limite alle informazioni che un server di posta elettronica potrebbe inserire nell'intestazione. Se sei curioso di sapere come si presenta uno standard per un protocollo di posta elettronica, controlla RFC 5321 - Simple Mail Transfer Protocol. È un po 'duro in testa, specialmente se non hai bisogno di sapere queste cose.

Gmail: Scopri l'intestazione dell'email

Dopo aver aperto un messaggio e-mail in Gmail, fai clic sulla freccia rivolta verso il basso accanto all'angolo in alto a destra del messaggio. Un nuovo menu si mostrerà. Fai clic su Mostra originale per visualizzare il messaggio email non elaborato con i suoi contenuti completi e l'intestazione rivelata.

gmail-show-originale

Una nuova finestra o scheda si aprirà e vedrai una versione di testo in chiaro della tua e-mail con l'intestazione in cima, ovviamente. Il contenuto dell'intestazione sarà simile a questo:

Consegnato a: [email protected]
Ricevuto: entro il 10.223.200.70 con SMTP id ev6csp162209fab;
Lun, 29 lug 2013 14:15:09 -0700 (PDT)
X-Received: 10.236.227.202 con ID SMTP d70mr27737943yhq.86.1375132508769;
Lun, 29 lug 2013 14:15:08 -0700 (PDT)
Sentiero di ritorno:
Ricevuto: da mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
di mx.google.com con ID ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
per
(versione = crittografia TLSv1 = bit RC4-SHA = 128/128);
Lun, 29 lug 2013 14:15:08 -0700 (PDT)
Received-SPF: neutro (google.com: 205.206.208.34 non è consentito né negato dal record di ipotesi migliore per il dominio di [email protected]) client-ip = 205.206.208.34;
Risultati di autenticazione: mx.google.com;
spf = neutro (google.com: 205.206.208.34 non è consentito né negato dal record di ipotesi migliore per il dominio di [email protected]) [email protected]
X-IronPort-Anti-Spam-filtrato: vero
X-IronPort-Anti-Spam-Risultato: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4.89.772.1367992800";
d =”? jpg'145 scan'145, 208, 217, 145"; a =”14.712.973"
Ricevuto: da sconosciuto (HELO mail.exchange.telus.com) ([205.206.210.187])
da mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 lug 2013 15:15:07 -0600
Ricevuto: da HEXMBVS12.hostedmsx.local ([10.9.6.115]) di
HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun, 29 lug 2013 15:13:48 -0600
Da: Guy McDowell
A: "[email protected]"
Data: lun, 29 lug 2013 15:15:03 -0600
Oggetto: cos'è un'intestazione e-mail?
Thread-Topic: Che cos'è un'intestazione e-mail?
Thread-Index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Message-ID:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach: sì
X-MS-TNEF-Correlatore:
acceptlanguage: en-US
Content-Type: multipart / related;
boundary =”_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”multipart / alternative”
Versione MIME: 1.0

Bello. Cosa significa?

Come viene creata l'intestazione dell'email?

Sapendo come viene creata l'intestazione lungo il percorso di un'e-mail, svilupperai intuizioni più approfondite su cosa significhi un dato di intestazione. Diamo un'occhiata alle parti mentre vengono aggiunte e a cosa significano le parti più importanti.

Sul computer del mittente

In uscita

Parte dell'intestazione viene creata quando il mittente crea l'e-mail da inviare al destinatario. Ciò includerà informazioni come quando è stata composta l'email, chi l'ha composta, la riga dell'oggetto e a chi viene inviata l'email. Questa è la parte dell'intestazione che hai più familiarità visto come le date :, Da :, A :, e Oggetto: linee nella parte superiore della tua email.

Da: Guy McDowell
A: "[email protected]"
Data: lun, 29 lug 2013 15:15:03 -0600
Oggetto: che cos'è un'intestazione dell'email?

Nel servizio di posta elettronica del mittente

stanza del server

Ulteriori informazioni vengono aggiunte all'intestazione una volta che l'e-mail è effettivamente inviata. Questo è fornito dal servizio di posta elettronica che il mittente sta utilizzando. In questo caso, il mittente utilizza un servizio di posta elettronica ospitato, pertanto l'indirizzo IP visualizzato è un indirizzo interno alla rete del provider di servizi. L'esecuzione di una ricerca WHOIS su di essa non fornirà alcuna informazione utile. Quello che possiamo fare è eseguire una ricerca su Google sul nome del server HEXMBVS12.hostedmsx.local e possiamo scoprire che il fornitore di servizi è Telus. Se facciamo un po 'di ricerche nel sito Web di Telus, scopriremo che offrono un servizio di Microsoft Exchange ospitato. Ciò suggerisce che il mittente utilizza probabilmente Microsoft Outlook, Outlook Express o Outlook Web Access. Le informazioni aggiunte qui includono l'indirizzo IP del mittente ([10.9.6.115]), l'ora inviata dal servizio di posta elettronica del mittente (lun, 29 lug 2013 15:13:48 -0600) e l'ID messaggio per quel particolare messaggio aggiunto dal servizio di posta elettronica.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Ricevuto: da HEXMBVS12.hostedmsx.local ([10.9.6.115]) di HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun, 29 lug 2013 15:13:48 -0600
Message-ID:

Lungo la strada per il servizio di posta elettronica del destinatario

Da lì, l'e-mail può richiedere un numero qualsiasi di percorsi per finire al servizio di posta elettronica del destinatario. Questo può essere aggiunto all'intestazione per mostrare gli "hop" che l'e-mail ha dovuto fare per arrivare a te. Questi hop partono dal server che più recentemente ha gestito l'e-mail e torna al server che lo gestiva in origine, in ordine cronologico inverso. In questo esempio, tutti gli hop sono interni al servizio email del mittente.

Terzo, e ultimo hop

Ricevuto: da mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
di mx.google.com con ID ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
per
(versione = crittografia TLSv1 = bit RC4-SHA = 128/128);
Lun, 29 lug 2013 14:15:08 -0700 (PDT)
Received-SPF: neutro (google.com: 205.206.208.34 non è consentito né negato dal record di ipotesi migliore per il dominio di [email protected]) client-ip = 205.206.208.34;
Risultati di autenticazione: mx.google.com;
spf = neutro (google.com: 205.206.208.34 non è consentito né negato dal record di ipotesi migliore per il dominio di [email protected]) [email protected]
X-IronPort-Anti-Spam-filtrato: vero
X-IronPort-Anti-Spam-Risultato: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4.89.772.1367992800";
d =”? jpg'145 scan'145, 208, 217, 145"; a =”14.712.973"

Spiegazione del Terzo Luppolo
Questo è l'hop che lo porta da Telus al server di posta dei destinatari. Possiamo dire che è stato ricevuto da mx.google.com, quindi il destinatario ha il suo servizio di posta elettronica con Google. Qui è bene notare che la linea Received-SPF: SPF, o Sender Policy Framework, è uno standard mediante il quale il server di posta di un mittente può dichiararsi il mittente legittimo del messaggio. In questo caso, il qualificatore è neutro, il che significa che non si può dire nulla sulla validità di questa e-mail, buona o cattiva. Se fosse stato registrato come non riuscito, sarebbe stato rifiutato dai server di Gmail. Se si trattasse di softfail, Gmail l'avrebbe accettata, ma l'avrebbe contrassegnata come se non fosse da chi dice di provenire.

Appena sotto, vedrai anche tre righe che iniziano con X-IronPort-Anti-Spam . Il primo, X-IronPort-Anti-Spam-Filtered: true, viene attaccato dall'appliance anti-spam di IronPort di Telus. IronPort è una parte di Cisco, quindi è considerato abbastanza affidabile. La linea X-IronPort-Anti-Spam-Result è pensata esclusivamente per le appliance IronPort e non può essere decodificata per gli occhi umani, a meno che non lavori per Cisco e sia necessario decodificarlo. Il terzo, X-IronPort-AV, mostra che il mittente ha la propria appliance anti-spam da Sophos. Avrebbe potuto leggere McAfee o Norton, o qualunque filtro filtrasse la tua email. Come destinatario, questo può darti un po 'più di fiducia che l'e-mail sia valida.

Second Hop

Ricevuto: da sconosciuto (HELO mail.exchange.telus.com) ([205.206.210.187])
da mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 lug 2013 15:15:07 -0600

Spiegazione secondo hop
Diventa ovvio che Telus è il fornitore di servizi. In caso di dubbi, eseguire un controllo WHOIS sull'indirizzo IP visualizzato: 205.206.210.187. Scoprirai che l'indirizzo IP porta anche a Telus. Questo ti dà un po 'più di fiducia che l'e-mail sia legittima. Possiamo anche dire che il messaggio è durato poco più di un minuto per passare dal primo hop al secondo hop. Questo non ci dice molto se non sei un ingegnere di rete. In teoria, potresti calcolare approssimativamente quanto distano i due server.

First Hop

Ricevuto: da HEXMBVS12.hostedmsx.local ([10.9.6.115]) di
HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun, 29 lug 2013 15:13:48 -0600

Spiegazione First Hop
Il primo hop è il server e-mail del mittente che riceve il suo messaggio e-mail. A questo punto l'e-mail si sta ancora spostando all'interno della rete del server e-mail del mittente. Lo si può capire dal fatto che l'indirizzo IP inizia con 10 . Gli indirizzi IP che iniziano con 10 sono riservati solo per uso interno.

Al server di posta elettronica del destinatario

Consegnato a: [email protected]
Ricevuto: entro il 10.223.200.70 con SMTP id ev6csp162209fab;
Lun, 29 lug 2013 14:15:09 -0700 (PDT)
X-Received: 10.236.227.202 con ID SMTP d70mr27737943yhq.86.1375132508769;
Lun, 29 lug 2013 14:15:08 -0700 (PDT)
Sentiero di ritorno:

Posta in arrivo

Una volta arrivato al servizio di posta del destinatario, ulteriori informazioni vengono aggiunte all'intestazione - quali server dei servizi di posta elettronica del destinatario l'hanno ricevuta e quando, da quale server di posta elettronica è stato ricevuto il messaggio, l'indirizzo di posta elettronica del destinatario previsto e la risposta dichiarata dal mittente all 'indirizzo email. tornando al Third Hop, abbiamo visto che il servizio di posta elettronica del destinatario era con Google. Possiamo dire che questa email è stata ricevuta da un server interno e passata a un'altra - 10.236.227.202 - 10.223.200.70. Soprattutto possiamo dire dal Return-Path: che l'e-mail per rispondere e l'e-mail del mittente è la stessa. Questo ci dice anche che ci sono buone probabilità che questa email sia legittima.

Altre cose da altre intestazioni

Questa particolare intestazione email è limitata nelle sue informazioni perché viene utilizzato un servizio di posta elettronica ospitato. Se il mittente utilizzava il proprio server di posta elettronica, potremmo essere in grado di ottenere un po 'più di informazioni. Potremmo essere in grado di determinare esattamente il client di posta che stanno utilizzando. O potremmo eseguire un WHOIS sull'indirizzo IP del mittente e ottenere una posizione approssimativa del mittente. Potremmo anche eseguire una semplice ricerca web sul dominio del mittente e vedere se esiste un sito web per loro. Sulla base di tale sito, potremmo essere in grado di scoprire ulteriori informazioni sul mittente. È possibile condurre una ricerca Web sull'indirizzo e-mail stesso e iniziare a somministrare la persona. Se non hai familiarità con il concetto di "doxing", familiarizza con What Is Doxing di Joel Lee e come influisce sulla tua privacy? Che cosa è Doxing e in che modo influisce sulla tua privacy? [MakeUseOf Explains] Che cosa è Doxing e in che modo influisce sulla tua privacy? [MakeUseOf Explains] La privacy su Internet è un grosso problema. Uno dei vantaggi di Internet è che puoi rimanere anonimo dietro il tuo monitor mentre navighi, chatti e fai qualsiasi cosa tu faccia .... Leggi di più Fai anche una lettura sull'articolo di Ryan Dube, 15 siti web da trovare Persone su Internet 12 siti Web per trovare persone su Internet 12 siti Web per trovare persone su Internet Se stai cercando un amico da tempo perduto, o forse vuoi fare un controllo in background su qualcuno, considera queste risorse gratuite per trovare persone su internet. Leggi di più .

The Take Away

Tutte le comunicazioni elettroniche lasciano impronte. Alcuni sono più grandi e più facili da seguire. Alcuni sono oscurati da filtri web e server proxy. In ogni caso, ciò che rimane ci dice qualcosa sulla persona che li ha creati. Da quei metadati, potremmo condurre ulteriori indagini per saperne di più sulle persone coinvolte. Stanno nascondendo qualcosa usando una VPN? Sono davvero da un business legittimo con una presenza sul web legittimo? È qualcuno con cui voglio davvero uscire? Cosa può imparare la gente comune su di me, per non parlare della NSA?

Dai un'occhiata alle intestazioni delle tue e-mail e guarda cosa dicono di te. Se trovi qualche riga di intestazione che non ha molto senso, inseriscili nei commenti e proveremo a decodificarli. Hai dovuto fare un po 'di testata di email per indagare? Parlaci! È così che impariamo tutti.

Credito immagine: Server Room di torkildr via Flickr.

In this article