Annons

Har du någonsin fått ett e-postmeddelande och verkligen undrat var det kom ifrån? Vem skickade den? Hur kunde de ha vetat vem du är? Överraskande mycket av den informationen kan komma från e-posthuvudet, eller genom att använda information från e-posthuvudet för att göra lite detektivarbete.

Rubriken är en del av e-postmeddelandet som de flesta människor aldrig ser. Den innehåller en hel del data som verkar vara gobbledygook för den genomsnittliga datoranvändaren, så som e-postanvändning blev ett dagligt verktyg i allas liv, e-postklienter började dölja denna information av bekvämlighet till dig. Idag kan det till och med vara lite besvärligt att dölja rubriken, även för dem som vet att den är där. Det finns så många olika e-postklienter där ute, både stationära och webbaserade, att för att täcka hur man döljer e-posthuvudet kan det bli en liten bok. Idag kommer vi bara att fokusera på hur vi kan dölja rubriken i Gmail och sedan titta på vad vi kan hämta från huvudet.

Vad är en e-posthuvud?

instagram viewer

En e-posthuvud är en samling information som dokumenterar sökvägen till vilken e-postmeddelandet fick dig. Det kan finnas mycket information i rubriken eller bara grunderna. Det finns en standard för vilken information som ska inkluderas i en rubrik, men egentligen inte en gräns för vilken information en e-postserver kan lägga i rubriken. Om du är nyfiken på hur en standard för ett e-postprotokoll ser ut, kolla in RFC 5321 - Enkelt postöverföringsprotokoll. Det är lite hårt på huvudet, särskilt om du inte behöver veta det här.

Gmail - Ta bort e-posthuvudet

När du har öppnat ett e-postmeddelande i Gmail klickar du på den nedåtvända pilen nära meddelandets övre högra hörn. En ny meny visar sig själv. Klicka på Visa original för att se det råa e-postmeddelandet med hela innehållet och rubriken avslöjad.

gmail-show-original

Ett nytt fönster eller flik öppnas och du ser naturligtvis en vanlig textversion av din e-post med rubriken överst. Innehållet i rubriken kommer att se ut så här:

Levererad till: [email protected]. Mottagen: senast 10.223.200.70 med SMTP-id ev6csp162209fab; Man 29 juli 2013 14:15:09 -0700 (PDT) X-mottagen: av 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769; Man 29 juli 2013 14:15:08 -0700 (PDT) Return-Path:Mottaget: från mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. för(version = TLSv1-chiffer = RC4-SHA-bitar = 128/128); Man 29 juli 2013 14:15:08 -0700 (PDT) Mottagen-SPF: neutral (google.com: 205.206.208.34 är varken tillåtet eller nekas av bästa gisspost för domänen till [email protected]) client-ip = 205.206.208.34; Autentiseringsresultat: mx.google.com; spf = neutral (google.com: 205.206.208.34 är varken tillåtet eller nekas av bästa gisspost för domän av [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgijJiJiJjQjjj X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145 scan'145,208,217,145", a = "14.712.973" Mottaget: från okänd (HELO mail.exchange.telus.com) ([205.206.210.187]) av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600. Mottaget: från HEXMBVS12.hostedmsx.local ([10.9.6.115]) av. HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man 29 juli 2013 15:13:48 -0600. Från: Guy McDowell
Till: "[email protected]" Datum: mån 29 juli 2013 15:15:03 -0600. Ämne: Vad är en rubrik via e-post? Trådämne: Vad är en e-postrubrik? Trådindex: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Meddelande-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Acceptera-språk: sv-USA. Innehållsspråk: sv-USA. X-MS-Has-Attach: ja. X-MS-TNEF-korrelator: accept språk: sv-USA. Innehållstyp: multipart / relaterat; gräns = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternativa" MIME-version: 1.0

Det är trevligt. Vad betyder det?

Hur skapas e-posthuvudet?

Genom att veta hur rubriken skapas längs den väg som ett e-postmeddelande reser, kommer du att utveckla mer insikt i vad en sidhuvuduppgifter betyder. Låt oss titta på delarna när de läggs till, och vad de viktigaste delarna betyder.

På avsändarens dator

utkorg

En del av rubriken skapas när avsändaren skapar e-postmeddelandet som ska skickas till mottagaren. Detta kommer att innehålla sådan information som när e-postmeddelandet komponerades, vem komponerade det, ämnesraden och till vilken e-postmeddelandet skickas. Det här är den del av rubriken som du känner mest till som datum:, från:, till: och ämne: rader på toppen av din e-post.

Från: Guy McDowell
Till: “[email protected]
Datum: mån 29 juli 2013 15:15:03 -0600
Ämne: Vad är en e-posthuvud?

På avsändarens e-posttjänst

server rum

Mer information läggs till i rubriken när e-postmeddelandet faktiskt har skickats. Detta tillhandahålls av den e-posttjänst som avsändaren använder. I det här fallet använder avsändaren en värd e-posttjänst, så den IP-adress som visas är en adress som är intern i tjänsteleverantörens nätverk. Att göra en WHOIS-sökning på den kommer inte att ge någon användbar information. Vad vi kan göra är att utföra en Google-sökning på servernamnet HEXMBVS12.hostedmsx.local och vi kan hitta att tjänsteleverantören är Telus. Om vi ​​gräver lite på Telus webbplats kommer vi att upptäcka att de erbjuder en Hosted Microsoft Exchange-tjänst. Det tyder på att avsändaren antagligen använder antingen Microsoft Outlook, Outlook Express eller Outlook Web Access. Information som läggs till här inkluderar avsändarens IP-adress ([10.9.6.115]), den tid som skickas av avsändarens e-post service (mån 29 juli 2013 15:13:48 -0600) och meddelanden-ID för det specifika meddelandet som tilläggs via e-postmeddelandet service.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Mottaget: från HEXMBVS12.hostedmsx.local ([10.9.6.115]) av HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man 29 juli 2013 15:13:48 -0600. Meddelande-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Längs vägen till mottagarens e-posttjänst

Därifrån kan e-postmeddelandet ta valfritt antal rutter för att hamna på mottagarens e-posttjänst. Detta kan läggas till i rubriken för att visa "humle" e-postmeddelandet måste göra för att komma till dig. Dessa humle startar på servern som senast hanterade e-postmeddelandet och går tillbaka till servern som ursprungligen hanterade den, i omvänd kronologisk ordning. I det här exemplet är alla humle interna i avsändarens e-posttjänst.

Tredje och Final Hop

Mottaget: från mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) av mx.google.com med ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. för(version = TLSv1-chiffer = RC4-SHA-bitar = 128/128); Man 29 juli 2013 14:15:08 -0700 (PDT) Mottagen-SPF: neutral (google.com: 205.206.208.34 är varken tillåtet eller nekas av bästa gisspost för domänen till [email protected]) client-ip = 205.206.208.34; Autentiseringsresultat: mx.google.com; spf = neutral (google.com: 205.206.208.34 är varken tillåtet eller nekas av bästa gisspost för domän av [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-Resultat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgijJiJiJjQjjj X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145 scan'145,208,217,145", a = "14.712.973"

Tredje Hopförklaring
Detta är hoppet som tar det från Telus till mottagarens e-postserver. Vi kan berätta att den mottogs av mx.google.com, så mottagaren har sin e-posttjänst med Google. Här är det bra att notera linjen Mottagen SPF: SPF, eller Sender Policy Framework, är en standard genom vilken en avsändares e-postserver kan förklara sig vara den legitima avsändaren av e-postmeddelandet. I detta fall är kvalet neutral, vilket innebär att ingenting kan sägas om giltigheten av detta e-postmeddelande, bra eller dåligt. Hade den registrerats som misslyckas, skulle det ha avvisats av Gmail: s servrar. Om det vore softfail, Gmail skulle ha accepterat det, men flaggade att det kanske inte kommer från vem det säger att det kommer från.

Precis under det ser du också tre rader från och med X-Ironport-Anti-Spam. Den första, X-IronPort-Anti-Spam-Filtered: true, hanteras av Telus 'IronPort-anti-spam-apparat. IronPort är en del av Cisco, så det anses vara ganska tillförlitligt. De X-Ironport-Anti-Spam-Resultat linje är endast avsedd för IronPort-apparater och kan inte avkodas för mänskliga ögon - såvida du inte arbetar för Cisco och behöver avkoda den. Den tredje, X-Ironport-AV, visar att avsändaren har sin egen anti-spam-enhet från Sophos. Det kunde ha läst McAfee eller Norton, eller vilket filter som din e-post går igenom. Som mottagare kan detta ge dig lite mer förtroende för att e-postmeddelandet är giltigt.

Andra Hop

Mottaget: från okänd (HELO mail.exchange.telus.com) ([205.206.210.187])
av mx21.exchange.telus.com med ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600

Andra Hop-förklaring
Det blir uppenbart här att Telus är tjänsteleverantören. Om det råder tvivel om detta, gör en WHOIS-kontroll på IP-adressen som visas: 205.206.210.187. Du kommer att upptäcka att IP-adressen också leder till Telus. Det ger dig lite mer förtroende för att e-postmeddelandet är legitimt. Vi kan också berätta att meddelandet tog lite över en minut att gå från det första hoppet till det andra hoppet. Det säger inte så mycket om du inte är nätverksingenjör. I teorin kan du beräkna ungefär hur långt ifrån varandra är de två servrarna.

Första Hop

Mottaget: från HEXMBVS12.hostedmsx.local ([10.9.6.115]) av
HEXHUB13.hostedmsx.local ([:: 1]) med mapi; Man 29 juli 2013 15:13:48 -0600

Första Hop-förklaring
Det första hoppet är avsändarens e-postserver som får sitt e-postmeddelande. Just nu flyttar e-postmeddelandet fortfarande internt inom avsändarens e-postserverns nätverk. Du kan säga med det faktum att IP-adressen börjar med 10. IP-adress som börjar med 10 är endast reserverad för internt bruk.

På mottagarens e-postserver

Levererad till: [email protected]
Mottagen: senast 10.223.200.70 med SMTP-id ev6csp162209fab;
Man 29 juli 2013 14:15:09 -0700 (PDT)
X-mottagen: av 10.236.227.202 med SMTP-id d70mr27737943yhq.86.1375132508769;
Man 29 juli 2013 14:15:08 -0700 (PDT)
Return-Path:

inkorg

När det kommer till mottagarens e-posttjänst läggs mer information till i rubriken - vilken av mottagarens e-postservrar har fått det och när, vilken e-postserver meddelandet mottogs från, den avsedda mottagarens e-postadress och avsändarens angivna "svar på" e-post adress. tillbaka i Third Hop såg vi att mottagarens e-posttjänst var hos Google. Vi kan berätta att detta e-postmeddelande har tagits emot av en intern server och vidarebefordras till en annan - 10.236.227.202 till 10.223.200.70. Viktigast av allt kan vi säga med Return-Path: att e-postmeddelandet att svara på och avsändarens e-postadress är detsamma. Detta säger också att det finns en god chans att detta e-postmeddelande är legitimt.

Andra saker från andra rubriker

Denna speciella e-posthuvud är begränsad i sin information eftersom en värd e-posttjänst används. Om avsändaren använde sin egen e-postserver kanske vi kan få lite mer information. Vi kanske kan avgöra exakt vilken e-postklient de använder. Eller så kan vi utföra en WHOIS på avsändarens IP-adress och få en ungefärlig plats för avsändaren. Vi kan också utföra en enkel webbsökning på avsändarens domän och se om det finns en webbplats för dem. Baserat på den webbplatsen kan vi kanske ta reda på ännu mer information om avsändaren. Du kan göra en webbsökning på själva e-postadressen och börja doxa personen. Om du inte känner till begreppet "doxing", bekanta dig med Joel Lee's Vad är doxing och hur påverkar det din integritet? Vad är doxing och hur påverkar det din integritet? [MakeUseOf Explains]Internet integritet är en enorm affär. En av de angivna förmånerna på Internet är att du kan förbli anonym bakom din bildskärm när du surfar, chattar och gör vad du än gör ... Läs mer Läs också Ryan Dubes artikel, 15 webbplatser för att hitta människor på Internet 13 webbplatser för att hitta människor på InternetLetar du efter förlorade vänner? Idag är det lättare än någonsin att hitta människor på internet med dessa sökmotorer. Läs mer .

The Take Away

All elektronisk kommunikation lämnar fotavtryck. Vissa är större och lättare att följa. Vissa är dolda av webbfilter och proxyservrar. Hursomhelst, det som finns kvar berättar något om personen som skapade dem. Från de metadata kan vi göra ytterligare undersökningar för att lära oss mer om de inblandade. Gömmer de något med hjälp av ett VPN? Kommer de verkligen från ett legitimt företag med en legitim närvaro på nätet? Är det någon jag verkligen vill gå med på? Vad kan vanliga människor lära sig om mig, än mindre NSA?

Titta på dina e-postrubriker och se vad de säger om dig. Om du hittar några rubrikrader som inte ger mycket mening, lägg dem i kommentarerna så försöker vi avkoda dem. Har du varit tvungen att undersöka e-posthuvud? Berätta för oss om det! Det är så vi alla lär oss.

Bildkredit: Serverrum av torkildr via Flickr.

Med mer än 20 års erfarenhet av IT, utbildning och teknik, är det min önskan att dela vad jag har lärt mig med någon annan som är villig att lära sig. Jag strävar efter att göra det bästa jobbet som möjligt på bästa sätt och med lite humor.