Oglas
Ste kdaj dobili e-pošto in se resnično spraševali, od kod prihaja? Kdo ga je poslal? Kako bi lahko vedeli, kdo ste? Presenetljivo je, da je veliko teh informacij mogoče dobiti iz glave e-pošte ali pa z uporabo informacij iz glave e-poštnega naslova opraviti detektivsko delo.
Glava je del e-poštnega sporočila, ki ga večina ljudi sploh ne vidi. Vsebuje veliko podatkov, ki se povprečnemu uporabniku računalnika zdijo kot gobbledygook, kot je uporaba e-pošte postalo vsakodnevno orodje v življenju vsakogar, e-poštni odjemalci so te podatke začeli skrivati iz praktičnega razloga zate. V teh dneh je lahko celo malo težavno odkriti glavo, tudi za tiste, ki vedo, da je tam. Obstaja toliko različnih e-poštnih odjemalcev, tako na namizju kot na spletu, da bi lahko razkrili, kako odkriti glavo e-pošte, na koncu majhna knjiga. Danes se bomo samo osredotočili na to, kako v Gmailu odkriti glavo, nato pa si bomo ogledali, kaj lahko razberemo iz glave.
Kaj je e-poštna glava?
E-poštna glava je zbirka informacij, ki dokumentirajo pot, po kateri vam je e-poštno sporočilo prispelo. V glavi je lahko veliko informacij ali samo osnove. Obstaja standard za informacije, ki jih je treba vključiti v glavo, v resnici pa ni omejitev za podatke, ki jih e-poštni strežnik lahko da v glavo. Če vas zanima, kako izgleda standard za e-poštni protokol, poglejte
RFC 5321 - Preprost protokol za prenos pošte. Na glavi je nekoliko težko, še posebej, če vam tega ne bi bilo treba poznati.Gmail - Odkrijte glavo e-pošte
Ko imate odprto e-poštno sporočilo v Gmailu, kliknite puščico, usmerjeno navzdol v zgornjem desnem kotu sporočila. Prikaže se nov meni. Kliknite na Prikaži original, če si želite ogledati neobdelano e-poštno sporočilo s celotno vsebino in glavo.
Odprlo se bo novo okno ali zavihek in seveda boste videli navadno besedilno različico e-poštnega sporočila z glavo na vrhu. Vsebina glave bo videti nekako takole:
Dobavljeno za: [email protected]. Prejeto: do 10.223.200.70 z SMTP id ev6csp162209fab; Pon, 29. julij 2013 14:15:09 -0700 (PDT) X-Prejeto: do 10.236.227.202 z SMTP id d70mr27737943yhq.86.1375132508769; Pon, 29. julij 2013 14:15:08 -0700 (PDT) Povratna pot:Prejeto: od mx21.exchange.telus.com (MX21.exchange.telus.com). [205.206.208.34]) avtor mx.google.com z ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. za (različica = šifra TLSv1 = biti RC4-SHA = 128/128); Pon, 29. julij 2013 14:15:08 -0700 (PDT) Prejeto-SPF: nevtralno (google.com: 205.206.208.34 ni dovoljeno ali zanikano z najboljšim zapisom ugibanja za domeno [email protected]) client-ip = 205.206.208.34; Rezultati preverjanja pristnosti: mx.google.com; spf = nevtralno (google.com: 205.206.208.34 ni dovoljeno ali zanikano z najboljšimi ugibanjem za domeno [email protected]) [email protected]. X-IronPort-Anti-Spam-filtrirano: res. X-IronPort-Anti-Spam-Rezultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Prejeto: od neznanega (HELO mail.exchange.telus.com) ([205.206.210.187]) avtor mx21.exchange.telus.com z ESMTP / TLS / AES128-SHA; 29. julij 2013 15:15:07 -0600. Prejel: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) avtor. HEXHUB13.hostedmsx.local ([:: 1]) s mapami; Pon, 29. julij 2013 15:13:48 -0600. Od: Guy McDowell Za: "[email protected]" Datum: pon, 29. julij 2013 15:15:03 -0600. Zadeva: Kaj je e-poštna glava? Tema teme: Kaj je e-poštna glava? Indeks navojev: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == ID sporočila: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Jezik sprejema: en-ZDA. Jezik vsebine: en-US. X-MS-Has-Attach: da. X-MS-TNEF-Korelator: sprejemni jezik: en-US. Vrsta vsebine: večdelna / povezana; border = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "večdelno / alternativno" MIME-različica: 1.0
To je lepo. Kaj to pomeni?
Kako nastane glava e-pošte?
Če veste, kako je ustvarjena glava na poti, ki jo potuje e-poštno sporočilo, boste razvili boljši vpogled v to, kaj pomenijo podatki v glavi. Oglejmo si, kako so dodani deli in kaj najpomembnejši deli pomenijo.
V pošiljateljevem računalniku
Del glave se ustvari, ko pošiljatelj ustvari e-poštno sporočilo, ki ga pošlje prejemniku. To bo vključevalo takšne podatke, na primer, kdaj je bilo sestavljeno e-poštno sporočilo, kdo ga je sestavil, zadevo in komu se pošilja e-poštno sporočilo. To je tisti del glave, ki ga najbolj poznate kot vrstice Datum:, Od:, Do:, in Zadeva: na vrhu e-poštnega sporočila.
Od: Guy McDowell
Za: „[email protected]“
Datum: pon, 29. julij 2013 15:15:03 -0600
Zadeva: Kaj je e-poštna glava?
V pošiljateljevi e-poštni storitvi
Več informacij se doda v glavo, ko je e-pošta dejansko poslana. To zagotavlja e-poštna storitev, ki jo uporablja pošiljatelj. V tem primeru pošiljatelj uporablja gostovano e-poštno storitev, zato je prikazani naslov IP notranji v omrežju ponudnika storitev. Izvedba WHOIS iskanja na njem ne bo dala nobenih koristnih informacij. Kar lahko storimo, je iskanje Googla po imenu strežnika HEXMBVS12.hostedmsx.local in lahko ugotovimo, da je ponudnik storitev Telus. Če bomo kopali po spletnem mestu Telus, bomo ugotovili, da ponujajo storitev Microsoft Exchange s gostovanjem. To kaže, da pošiljatelj verjetno uporablja bodisi Microsoft Outlook, Outlook Express ali Outlook Web Access. Tu dodane informacije vključujejo IP naslov pošiljatelja ([10.9.6.115]), čas, ki ga pošilja pošiljateljevo e-pošto storitev (pon, 29. julij 2013 15:13:48 -0600) in ID-ja za sporočilo za to posebno sporočilo, ki ga je dodalo e-poštno sporočilo storitev.
(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Prejeto: od HEXMBVS12.hostedmsx.local ([10.9.6.115]) s strani HEXHUB13.hostedmsx.local ([:: 1]) s mapi; Pon, 29. julij 2013 15:13:48 -0600. ID sporočila: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>
Na poti do e-poštne storitve prejemnika
Od tod lahko e-poštni naslov opravi poljubno število poti, da se konča v prejemnikovi e-poštni storitvi. To lahko dodate v glavo, da prikažete 'hmelj', ki ga je e-poštno sporočilo moralo priti do vas. Ti hmlji se začnejo pri strežniku, ki je nazadnje obravnaval e-pošto, in se vrnejo na strežnik, ki ga je prvotno obdelal, v obratnem kronološkem zaporedju. V tem primeru so vsi hmelja notranji pri pošiljateljevi e-poštni storitvi.
Tretjič in Final Hop
Prejeto: od mx21.exchange.telus.com (MX21.exchange.telus.com). [205.206.208.34]) avtor mx.google.com z ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. za(različica = šifra TLSv1 = biti RC4-SHA = 128/128); Pon, 29. julij 2013 14:15:08 -0700 (PDT) Prejeto-SPF: nevtralno (google.com: 205.206.208.34 ni dovoljeno ali zanikano z najboljšim zapisom ugibanja za domeno [email protected]) client-ip = 205.206.208.34; Rezultati preverjanja pristnosti: mx.google.com; spf = nevtralno (google.com: 205.206.208.34 ni dovoljeno ali zanikano z najboljšimi ugibanjem za domeno [email protected]) [email protected]. X-IronPort-Anti-Spam-filtrirano: res. X-IronPort-Anti-Spam-Rezultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"
Razlaga tretjega hopa
To je hmelj, ki ga prenaša od Telusa do e-poštnega strežnika prejemnikov. Lahko rečemo, da ga je prejel mx.google.com, zato ima prejemnik svojo e-poštno storitev pri Googlu. Tu je dobro upoštevati črto Prejeto-SPF: SPF ali Sender Policy Framework je standard, s katerim se lahko pošiljateljev e-poštni strežnik izjavi za zakonitega pošiljatelja e-pošte. V tem primeru je kvalifikator nevtralen, kar pomeni, da o veljavnosti te e-pošte ni mogoče reči nič dobrega ali slabega. Če bi se registriral kot neuspeh, Gmail bi ga zavrnili. Če bi bilo softfail, Gmail bi ga sprejel, vendar ga je označil kot morda ne od tistega, za katerega pravi, da izvira.
Tik pod tem boste videli tudi tri vrstice, ki se začnejo z X-IronPort-Anti-Spam. Prvi, X-IronPort-Anti-Spam-filtrirano: res, se spopada s Telus-ovo napravo IronPort za preprečevanje neželene pošte. IronPort je del Cisco, zato velja za precej zanesljivega. The X-IronPort-Anti-Spam-Rezultat vrstica je namenjena izključno napravam IronPort in je ni mogoče dekodirati za človeške oči - razen če delate za Cisco in je ni potrebno dekodirati. Tretji, X-IronPort-AV, kaže, da ima pošiljatelj svoj lastni aparat za zaščito pred neželeno pošto od Sophosa. Lahko je prebral McAfeeja ali Nortona ali karkoli filtrira vašo e-pošto. Kot prejemnik vam to lahko daje nekoliko več zaupanja v veljavnost e-pošte.
Drugi hmelj
Prejeto: od neznanega (HELO mail.exchange.telus.com) ([205.206.210.187])
avtor mx21.exchange.telus.com z ESMTP / TLS / AES128-SHA; 29. julij 2013 15:15:07 -0600
Pojasnilo drugega skoka
Tu je očitno, da je Telus ponudnik storitev. Če obstaja dvom o tem, izvedite WHOIS preverjanje na prikazanem naslovu IP: 205.206.210.187. Ugotovili boste, da IP naslov vodi tudi do Telusa. To vam daje malo več samozavesti, da je e-pošta zakonita. Povemo lahko tudi, da je od prvega do drugega skoka v sporočilu minilo nekaj več kot eno minuto. To nam ne pove veliko, razen če ste omrežni inženir. Teoretično bi lahko približno izračunali, kako daleč sta dva strežnika.
Prvi skok
Prejelo: HEXMBVS12.hostedmsx.local ([10.9.6.115]) avtor
HEXHUB13.hostedmsx.local ([:: 1]) s mapami; Pon, 29. julij 2013 15:13:48 -0600
Pojasnilo prvega skoka
Prvi skok je pošiljateljev e-poštni strežnik, ki prejme njegovo e-poštno sporočilo. Na tej točki se e-pošta še vedno giblje znotraj omrežja pošiljateljevega e-poštnega strežnika. Poveste lahko po tem, da se začne IP naslov 10. IP naslov, ki se začne z 10, je rezerviran samo za interno uporabo.
Na e-poštnem strežniku prejemnika
Dobavljeno za: [email protected]
Prejeto: do 10.223.200.70 z SMTP id ev6csp162209fab;
Pon, 29. julij 2013 14:15:09 -0700 (PDT)
X-Prejeto: do 10.236.227.202 z SMTP id d70mr27737943yhq.86.1375132508769;
Pon, 29. julij 2013 14:15:08 -0700 (PDT)
Povratna pot:
Ko pride do e-poštne storitve prejemnika, se v glavo doda dodatne informacije - kateri od prejemnikovih e-poštnih strežnikov je prejel kdaj in s katerega e-poštnega strežnika je bilo sporočilo prejeto, e-poštni naslov predvidenega prejemnika in pošiljateljevo sporočilo "odgovor na" naslov. nazaj v tretjem skoku smo videli, da je prejemnikova e-poštna storitev bila z Googlom. Lahko povemo, da je to e-poštno sporočilo prejel en notranji strežnik in ga posredoval drugemu - 10.236.227.202 do 10.223.200.70. Najpomembneje je, da lahko ugotovimo Povratna pot: da je e-poštno sporočilo za odgovor in e-poštni naslov pošiljatelja enako. To nam tudi pove, da obstaja velika možnost, da je to e-poštno sporočilo legitimno.
Druge stvari iz drugih glav
Ta posebna e-poštna glava je v svojih podatkih omejena, ker se uporablja gostovana e-poštna storitev. Če bi pošiljatelj uporabljal svoj e-poštni strežnik, bi nam morda uspelo pridobiti malo več informacij. Morda bomo lahko natančno določili, kateri poštni odjemalec uporablja. Lahko pa izvedemo WHOIS na pošiljateljevem naslovu IP in dobimo približno lokacijo pošiljatelja. Lahko bi tudi izvedli preprosto spletno iskanje po pošiljateljevi domeni in videli, ali obstaja spletno mesto zanje. Na podlagi tega spletnega mesta bomo morda ugotovili še več informacij o pošiljatelju. Lahko izvedete spletno iskanje na samem e-poštnem naslovu in začnete doksirati osebo. Če niste seznanjeni s konceptom doksanja, se seznanite z Joelom Leejem Kaj je doxing in kako vpliva na vašo zasebnost? Kaj je doxing in kako vpliva na vašo zasebnost? [MakeUseOf pojasnjuje]Zasebnost interneta je ogromno. Eden od omenjenih perksov interneta je, da lahko med brskanjem, klepetom in drugim počnete anonimno za svojim monitorjem in počnete vse, kar počnete ... Preberi več Preberite tudi članek Ryana Dubeja, 15 spletnih strani za iskanje ljudi na internetu 13 spletnih strani za iskanje ljudi na internetuIščete izgubljene prijatelje? Danes je z internetnimi iskalniki teh ljudi na internetu lažje kot kdaj koli prej. Preberi več .
Odpeljite
Vse elektronske komunikacije puščajo sledi. Nekatere so večje in jih je lažje slediti. Nekateri so zakriti spletni filtri in proxy strežniki. Kakor koli, tisto, kar ostane za sabo, nam pove nekaj o osebi, ki jih je ustvarila. Na podlagi teh metapodatkov bi lahko izvedli nadaljnje preiskave, da bi izvedeli več o vpletenih ljudeh. Ali s pomočjo VPN kaj skrivajo? So res iz zakonitega podjetja z legitimno spletno prisotnostjo? Je to nekdo, s katerim bi res rad šel na zmenek? Kaj lahko običajni ljudje izvejo o meni, kaj šele o NSA?
Oglejte si svoje e-poštne naslove in si oglejte, kaj pravijo o vas. Če najdete nekaj vrstic, ki nimajo veliko smisla, jih dodajte v komentarje in poskušali jih bomo razvozlati. Ste morali preiskati glavo e-pošte? Povejte nam o tem! Tako se vsi učimo.
Kreditna slika: Strežniška soba od torkildr prek Flickr.
Z 20+ leti izkušenj na področju IT, usposabljanja in tehničnih poklicev želim svojo izkušnjo deliti s kom drugim, ki se želi učiti. Prizadevam si, da bi na najboljši možen način in z malo humorja opravil najboljše delo.