Was können Sie aus einem E-Mail-Header (Metadaten) lernen?

Werbung

Haben Sie jemals eine E-Mail erhalten und sich wirklich gefragt, woher sie stammt? Wer hat es geschickt? Wie konnten sie wissen, wer du bist? Überraschenderweise können viele dieser Informationen aus dem E-Mail-Header stammen oder Informationen aus dem E-Mail-Header verwenden, um Detektivarbeit zu leisten.

Der Header ist Teil der E-Mail-Nachricht, die die meisten Menschen nicht einmal sehen. Es enthält eine Menge Daten, die dem durchschnittlichen Computerbenutzer wie ein Gobbledy-Buch erscheinen, also als E-Mail-Nutzung E-Mail-Clients wurden zu einem täglichen Werkzeug in jedem Leben und versteckten diese Informationen aus Bequemlichkeit für dich. Heutzutage kann es sogar etwas mühsam sein, den Header einzublenden, selbst für diejenigen, die wissen, dass er vorhanden ist. Es gibt so viele verschiedene E-Mail-Clients, sowohl auf dem Desktop als auch im Internet, dass es ein kleines Buch sein kann, wie der E-Mail-Header ausgeblendet wird. Heute konzentrieren wir uns nur darauf, wie Sie den Header in Google Mail einblenden können, und schauen uns dann an, was wir aus dem Header entnehmen können.

Was ist ein E-Mail-Header?

Ein E-Mail-Header ist eine Sammlung von Informationen, die den Pfad dokumentieren, über den die E-Mail zu Ihnen gelangt ist. Möglicherweise enthält der Header viele Informationen oder nur die Grundlagen. Es gibt einen Standard dafür, welche Informationen in einem Header enthalten sein sollen, aber nicht wirklich eine Begrenzung dafür, welche Informationen ein E-Mail-Server in den Header einfügen kann. Wenn Sie neugierig sind, wie ein Standard für ein E-Mail-Protokoll aussieht, lesen Sie RFC 5321 - Simple Mail Transfer Protocol. Es ist ein bisschen schwer für den Kopf, besonders wenn Sie dieses Zeug nicht wissen müssen.

Google Mail - Blenden Sie den E-Mail-Header ein

Wenn Sie eine E-Mail-Nachricht in Google Mail geöffnet haben, klicken Sie auf den nach unten gerichteten Pfeil in der oberen rechten Ecke der Nachricht. Ein neues Menü wird angezeigt. Klicken Sie auf Original anzeigen, um die unformatierte E-Mail-Nachricht mit dem vollständigen Inhalt und der Kopfzeile anzuzeigen.

Ein neues Fenster oder eine neue Registerkarte wird geöffnet und Sie sehen eine Nur-Text-Version Ihrer E-Mail mit der Kopfzeile oben. Der Inhalt des Headers sieht ungefähr so ​​aus:

Geliefert an: [email protected]. Eingegangen am 10.223.200.70 mit der SMTP-ID ev6csp162209fab; Montag, 29. Juli 2013, 14:15:09 -0700 (PDT) X-Received: bis 10.236.227.202 mit der SMTP-ID d70mr27737943yhq.86.1375132508769; Montag, 29. Juli 2013, 14:15:08 -0700 (PDT) Der Weg zurück:Erhalten: von mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) von mx.google.com mit der ESMTPS-ID y27si28720489yhc.101.2013.07.29.14.15.08. zum(Version = TLSv1-Verschlüsselung = RC4-SHA-Bits = 128/128); Montag, 29. Juli 2013, 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 wird von der Best-Guess-Aufzeichnung für die Domain [email protected] weder zugelassen noch abgelehnt) client-ip = 205.206.208.34; Authentifizierungsergebnisse: mx.google.com; spf = neutral (google.com: 205.206.208.34 wird von der Best-Guess-Aufzeichnung für die Domain [email protected] weder zugelassen noch abgelehnt) [email protected]. X-IronPort-Anti-Spam-gefiltert: wahr. X-IronPort-Anti-Spam-Ergebnis: X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Erhalten: von unbekannt (HELO mail.exchange.telus.com) ([205.206.210.187]) von mx21.exchange.telus.com mit ESMTP / TLS / AES128-SHA; 29. Juli 2013 15:15:07 -0600. Erhalten: von HEXMBVS12.hostedmsx.local ([10.9.6.115]) von. HEXHUB13.hostedmsx.local ([:: 1]) mit mapi; Montag, 29. Juli 2013, 15:13:48 -0600. Von: Guy McDowell
An: "[email protected]" Datum: Montag, 29. Juli 2013, 15:15:03 -0600. Betreff: Was ist ein E-Mail-Header? Thread-Thema: Was ist ein E-Mail-Header? Thread-Index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Nachrichten-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: en-US. Inhaltssprache: en-US. X-MS-Has-Attach: Ja. X-MS-TNEF-Korrelator: Akzeptanzsprache: en-US. Inhaltstyp: mehrteilig / verwandt; border = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "mehrteilig / alternativ" MIME-Version: 1.0

Das ist schön. Was bedeutet das?

Wie wird der E-Mail-Header erstellt?

Wenn Sie wissen, wie der Header auf dem Weg erstellt wird, den eine E-Mail zurücklegt, erhalten Sie einen genaueren Einblick in die Bedeutung der Daten eines Headers. Schauen wir uns die Teile an, wie sie hinzugefügt werden, und was die wichtigsten Teile bedeuten.

Auf dem Computer des Absenders

Ein Teil des Headers wird erstellt, wenn der Absender die E-Mail erstellt, die an den Empfänger gesendet werden soll. Dazu gehören Informationen wie der Zeitpunkt, zu dem die E-Mail verfasst wurde, wer sie verfasst hat, die Betreffzeile und an wen die E-Mail gesendet wird. Dies ist der Teil des Headers, den Sie am besten kennen, da die Zeilen Datum:, Von:, Bis: und Betreff: oben in Ihrer E-Mail stehen.

Von: Guy McDowell
An: "[email protected]"
Datum: Montag, 29. Juli 2013, 15:15:03 -0600
Betreff: Was ist ein E-Mail-Header?

Im E-Mail-Dienst des Absenders

Weitere Informationen werden dem Header hinzugefügt, sobald die E-Mail tatsächlich gesendet wurde. Dies wird durch den E-Mail-Dienst bereitgestellt, den der Absender verwendet. In diesem Fall verwendet der Absender einen gehosteten E-Mail-Dienst. Die angezeigte IP-Adresse ist also eine Adresse, die sich im Netzwerk des Dienstanbieters befindet. Wenn Sie eine WHOIS-Suche durchführen, erhalten Sie keine nützlichen Informationen. Wir können eine Google-Suche nach dem Servernamen durchführen HEXMBVS12.hostedmsx.local und wir können feststellen, dass der Dienstanbieter Telus ist. Wenn wir uns auf der Telus-Website umsehen, werden wir feststellen, dass sie einen gehosteten Microsoft Exchange-Dienst anbieten. Dies deutet darauf hin, dass der Absender wahrscheinlich entweder Microsoft Outlook, Outlook Express oder Outlook Web Access verwendet. Zu den hier hinzugefügten Informationen gehören die IP-Adresse des Absenders ([10.9.6.115]) und die von der E-Mail des Absenders gesendete Uhrzeit Dienst (Montag, 29. Juli 2013, 15:13:48 -0600) und die Nachrichten-ID für diese bestimmte Nachricht, die durch die E-Mail hinzugefügt wurde Bedienung.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Erhalten: von HEXMBVS12.hostedmsx.local ([10.9.6.115]) von HEXHUB13.hostedmsx.local ([:: 1]) mit mapi; Montag, 29. Juli 2013, 15:13:48 -0600. Nachrichten-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Auf dem Weg zum E-Mail-Service des Empfängers

Von dort aus kann die E-Mail beliebig viele Routen zum E-Mail-Dienst des Empfängers führen. Dies kann dem Header hinzugefügt werden, um die "Hops" anzuzeigen, die die E-Mail machen musste, um zu Ihnen zu gelangen. Diese Hops beginnen auf dem Server, auf dem die E-Mail zuletzt verarbeitet wurde, und kehren in umgekehrter chronologischer Reihenfolge zu dem Server zurück, auf dem sie ursprünglich verarbeitet wurden. In diesem Beispiel sind alle Hops beim E-Mail-Dienst des Absenders intern.

Dritter und letzter Hop

Erhalten: von mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) von mx.google.com mit der ESMTPS-ID y27si28720489yhc.101.2013.07.29.14.15.08. zum(Version = TLSv1-Verschlüsselung = RC4-SHA-Bits = 128/128); Montag, 29. Juli 2013, 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 wird von der Best-Guess-Aufzeichnung für die Domain [email protected] weder zugelassen noch abgelehnt) client-ip = 205.206.208.34; Authentifizierungsergebnisse: mx.google.com; spf = neutral (google.com: 205.206.208.34 wird von der Best-Guess-Aufzeichnung für die Domain [email protected] weder zugelassen noch abgelehnt) [email protected]. X-IronPort-Anti-Spam-gefiltert: wahr. X-IronPort-Anti-Spam-Ergebnis: X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"

Erklärung zum dritten Hop
Dies ist der Hop, der von Telus zum E-Mail-Server des Empfängers führt. Wir können feststellen, dass es von mx.google.com empfangen wurde, sodass der Empfänger seinen E-Mail-Dienst bei Google hat. Hier ist es gut, die Linie zu beachten Received-SPF: SPF oder Sender Policy Framework ist ein Standard, nach dem sich der E-Mail-Server eines Absenders als legitimer Absender der E-Mail deklarieren kann. In diesem Fall ist das Qualifikationsmerkmal neutral, was bedeutet, dass nichts über die Gültigkeit dieser E-Mail gesagt werden kann, ob gut oder schlecht. Hatte es registriert als ScheiternEs wäre von den Servern von Google Mail abgelehnt worden. Wenn es wäre SoftfailGoogle Mail hätte es akzeptiert, es aber als möglicherweise nicht von dem gekennzeichnet, von dem es sagt, dass es stammt.

Direkt darunter sehen Sie drei Zeilen, die mit beginnen X-IronPort-Anti-Spam. Der Erste, X-IronPort-Anti-Spam-gefiltert: wahrwird von der IronPort-Anti-Spam-Appliance von Telus angegangen. IronPort ist ein Teil von CiscoEs wird daher als ziemlich zuverlässig angesehen. Das X-IronPort-Anti-Spam-Ergebnis line ist ausschließlich für die IronPort-Appliances gedacht und kann nicht für menschliche Augen dekodiert werden - es sei denn, Sie arbeiten für Cisco und müssen es dekodieren. Der dritte, X-IronPort-AVzeigt, dass der Absender eine eigene Anti-Spam-Appliance von Sophos hat. Es könnte McAfee oder Norton gelesen haben oder welchen Filter auch immer Ihre E-Mail durchläuft. Dies kann Ihnen als Empfänger ein wenig mehr Vertrauen in die Gültigkeit der E-Mail geben.

Zweiter Hop

Erhalten: von unbekannt (HELO mail.exchange.telus.com) ([205.206.210.187])
von mx21.exchange.telus.com mit ESMTP / TLS / AES128-SHA; 29. Juli 2013 15:15:07 -0600

Erklärung für den zweiten Hop
Hier wird deutlich, dass Telus der Dienstleister ist. Wenn diesbezüglich Zweifel bestehen, führen Sie eine WHOIS-Überprüfung der angegebenen IP-Adresse durch: 205.206.210.187. Sie werden feststellen, dass die IP-Adresse auch zu Telus führt. Das gibt Ihnen ein wenig mehr Vertrauen, dass die E-Mail legitim ist. Wir können auch feststellen, dass die Nachricht etwas mehr als eine Minute dauerte, um vom ersten zum zweiten Sprung zu gelangen. Das sagt uns nicht viel, es sei denn, Sie sind Netzwerktechniker. Theoretisch könnte man ungefähr berechnen, wie weit die beiden Server voneinander entfernt sind.

Erster Hop

Erhalten: von HEXMBVS12.hostedmsx.local ([10.9.6.115]) von
HEXHUB13.hostedmsx.local ([:: 1]) mit mapi; Montag, 29. Juli 2013, 15:13:48 -0600

Erste Hop Erklärung
Der erste Sprung ist der E-Mail-Server des Absenders, der seine E-Mail-Nachricht empfängt. Zu diesem Zeitpunkt wird die E-Mail noch intern im Netzwerk des E-Mail-Servers des Absenders verschoben. Sie erkennen daran, dass die IP-Adresse mit beginnt 10. IP-Adressen, die mit 10 beginnen, sind nur für den internen Gebrauch reserviert.

Auf dem E-Mail-Server des Empfängers

Geliefert an: [email protected]
Eingegangen am 10.223.200.70 mit der SMTP-ID ev6csp162209fab;
Montag, 29. Juli 2013, 14:15:09 -0700 (PDT)
X-Received: bis 10.236.227.202 mit der SMTP-ID d70mr27737943yhq.86.1375132508769;
Montag, 29. Juli 2013, 14:15:08 -0700 (PDT)
Der Weg zurück:

Sobald der E-Mail-Dienst des Empfängers erreicht ist, werden dem Header weitere Informationen hinzugefügt - welcher der E-Mail-Dienstserver des Empfängers empfangen wurde es und wann, von welchem ​​E-Mail-Server die Nachricht empfangen wurde, die E-Mail-Adresse des beabsichtigten Empfängers und die vom Absender angegebene "Antwort auf" -E-Mail Adresse. Im dritten Hop haben wir gesehen, dass der E-Mail-Dienst des Empfängers bei Google war. Wir können feststellen, dass diese E-Mail von einem internen Server empfangen und an einen anderen weitergeleitet wurde - 10.236.227.202 bis 10.223.200.70. Am wichtigsten ist, dass wir an der erkennen können Der Weg zurück: dass die zu beantwortende E-Mail und die E-Mail des Absenders identisch sind. Dies sagt uns auch, dass es eine gute Chance gibt, dass diese E-Mail legitim ist.

Andere Dinge aus anderen Headern

Dieser bestimmte E-Mail-Header ist in seinen Informationen begrenzt, da ein gehosteter E-Mail-Dienst verwendet wird. Wenn der Absender seinen eigenen E-Mail-Server verwendet, können wir möglicherweise etwas mehr Informationen erhalten. Möglicherweise können wir genau bestimmen, welchen E-Mail-Client sie verwenden. Oder wir führen ein WHOIS für die IP-Adresse des Absenders durch und ermitteln den ungefähren Standort des Absenders. Wir könnten auch eine einfache Websuche in der Domain des Absenders durchführen und prüfen, ob es eine Website für ihn gibt. Basierend auf dieser Website können wir möglicherweise noch mehr Informationen über den Absender herausfinden. Sie können eine Websuche für die E-Mail-Adresse selbst durchführen und die Person doxen. Wenn Sie mit dem Konzept des "Doxing" nicht vertraut sind, machen Sie sich mit Joel Lees vertraut Was ist Doxing und wie wirkt es sich auf Ihre Privatsphäre aus? Was ist Doxing und wie wirkt es sich auf Ihre Privatsphäre aus? [MakeUseOf erklärt]Datenschutz im Internet ist eine große Sache. Einer der genannten Vorteile des Internets ist, dass Sie hinter Ihrem Monitor anonym bleiben können, während Sie surfen, chatten und alles tun, was Sie tun ... Weiterlesen Lesen Sie auch den Artikel von Ryan Dube. 15 Websites, um Personen im Internet zu finden 13 Websites, um Personen im Internet zu findenAuf der Suche nach verlorenen Freunden? Heute ist es mit diesen Suchmaschinen einfacher als je zuvor, Personen im Internet zu finden. Weiterlesen .

Das wegnehmen

Alle elektronischen Kommunikationen hinterlassen Spuren. Einige sind größer und leichter zu folgen. Einige werden durch Webfilter und Proxyserver verdeckt. In jedem Fall sagt uns das, was zurückbleibt, etwas über die Person, die sie erschaffen hat. Aus diesen Metadaten könnten wir weitere Untersuchungen durchführen, um mehr über die beteiligten Personen zu erfahren. Verstecken sie etwas mithilfe eines VPN? Sind sie wirklich aus einem legitimen Unternehmen mit einer legitimen Webpräsenz? Ist das jemand, mit dem ich wirklich ein Date haben möchte? Was können gewöhnliche Menschen über mich lernen, geschweige denn die NSA?

Schauen Sie sich Ihre E-Mail-Header an und sehen Sie, was sie über Sie sagen. Wenn Sie Kopfzeilen finden, die nicht viel Sinn machen, fügen Sie sie in die Kommentare ein, und wir werden versuchen, sie zu dekodieren. Mussten Sie einige E-Mail-Header untersuchen? Erzähl uns davon! So lernen wir alle.

Bildnachweis: Serverraum von torkildr über Flickr.