Содержание
Вы когда-нибудь получали электронное письмо и действительно задавались вопросом, откуда оно пришло? Кто отправил это? Как они могли узнать, кто вы? Удивительно, но большая часть этой информации может быть взята из заголовка письма или с использованием информации из заголовка письма для выполнения детективной работы.
Заголовок является частью сообщения электронной почты, которое большинство людей даже не видят. Он содержит много данных, которые кажутся обычному пользователю компьютера бесполезным, так как использование электронной почты стало повседневным инструментом в жизни каждого, почтовые клиенты начали скрывать эту информацию для вас. В наши дни может быть даже немного сложно показать заголовок, даже для тех, кто знает, что он там есть. Существует так много разных почтовых клиентов, как настольных, так и веб-, что для раскрытия того, как отобразить заголовок электронной почты, может оказаться небольшой книгой. Сегодня мы просто сосредоточимся на том, как отобразить заголовок в Gmail, а затем посмотрим, что мы можем извлечь из заголовка.
Что такое заголовок электронной почты?
Заголовок электронного письма — это набор информации, которая документирует путь, по которому письмо дошло до вас. В шапке может быть много информации или только основы. Существует стандарт для того, какая информация должна быть включена в заголовок, но на самом деле нет ограничения на то, какую информацию почтовый сервер может поместить в заголовок. Если вам интересно, как выглядит стандарт для протокола электронной почты, ознакомьтесь с RFC 5321 — Simple Mail Transfer Protocol. Это немного тяжело, особенно если вам не нужно знать это.
Gmail — Показать заголовок электронной почты
Открыв в Gmail сообщение электронной почты, нажмите стрелку, направленную вниз, в правом верхнем углу сообщения. Новое меню покажет себя. Нажмите Показать оригинал, чтобы увидеть необработанное сообщение электронной почты с его полным содержимым и раскрытым заголовком.
Откроется новое окно или вкладка, и вы увидите текстовую версию электронной почты с заголовком вверху, конечно. Содержимое заголовка будет выглядеть примерно так:
Доставлено: To: guy@makeuseof.com
Получено: по 22.10.200.70 с SMTP-идентификатором ev6csp162209fab;
Понедельник, 29 июля 2013 14:15:09 -0700 (PDT)
Получено X: по 10.236.227.202 с идентификатором SMTP d70mr27737943yhq.86.1375132508769;
Понедельник, 29 июля 2013 14:15:08 -0700 (PDT)
Обратный путь:
Получено: от mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
от mx.google.com с идентификатором ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
за
(версия = шифр TLSv1 = биты RC4-SHA = 128/128);
Понедельник, 29 июля 2013 14:15:08 -0700 (PDT)
Получено-SPF: нейтрально (google.com: 205.206.208.34 не разрешено и не отклонено из-за записи наилучшего предположения для домена gmcdowell@somecompany.com) client-ip = 205.206.208.34;
Результаты аутентификации: mx.google.com;
spf = нейтральный (google.com: 205.206.208.34 не разрешен и не запрещен в соответствии с наилучшей оценкой для домена gmcdowell@somecompany.com) smtp.mail=gmcdowell@somecompany.com
X-IronPort-Anti-Spam-Filtered: правда
X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJGEEBJJGJJBYKYBHYKHYKHYKHYKHYKHYKHYKKYBHYKKYBHYKHYKHYBKYBHYKKYBHYKHYBKYBHYKHYKKYBHYKKYBHYKHYKKYBKYBKKHBHYBHYKHYKHYKKYBKYBHYKKYBHYKKHBHYBHYKHYKKKBKHBH5
X-IronPort-AV: E = Sophos; i = ”4,89,772,1367992800”;
д =»jpg’145 scan’145,208,217,145″; а =»14712973″
Получено: от неизвестно (HELO mail.exchange.telus.com) ([205.206.210.187])
mx21.exchange.telus.com с ESMTP / TLS / AES128-SHA; 29 июля 2013 15:15:07 -0600
Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) с mapi; Пн, 29 июля 2013 15:13:48 -0600
От: Гай Макдауэлл
Кому: «guy@makeuseof.com»
Дата: понедельник, 29 июля 2013 15:15:03 -0600
Тема: Что такое заголовок электронной почты?
Тема темы: Что такое заголовок электронной почты?
Индекс потока: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Message-ID:
Accept-Language: en-US
Язык контента: en-US
X-MS-Has-Attach: да
X-MS-TNEF-коррелятор:
acceptlanguage: en-US
Content-Type: multipart / related;
граница =»_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_»;
тип =»многочастная / альтернатива»
MIME-версия: 1.0
Это мило. Что это значит?
Как создается заголовок электронной почты?
Зная, как создается заголовок по пути, по которому проходит электронное письмо, вы сможете лучше понять, что означают данные заголовка. Давайте посмотрим на части, как они добавляются, и что означают самые важные части.
На компьютере отправителя
Часть заголовка создается, когда отправитель создает электронное письмо для отправки получателю. Это будет включать такую информацию, как, когда было составлено электронное письмо, кто его составил, строка темы и кому отправляется электронное письмо. Это та часть заголовка, которая вам наиболее знакома: строки Date :, From :, To: и Subject: в верхней части письма.
От: Гай Макдауэлл
Кому: «guy@makeuseof.com»
Дата: понедельник, 29 июля 2013 15:15:03 -0600
Тема: Что такое заголовок электронной почты?
На почтовой службе отправителя
Дополнительная информация добавляется в заголовок после того, как письмо действительно отправлено. Это обеспечивается службой электронной почты, которую использует отправитель. В этом случае отправитель использует размещенную службу электронной почты, поэтому указанный IP-адрес является внутренним по отношению к сети поставщика услуг. Выполнение поиска в WHOIS не даст никакой полезной информации. Что мы можем сделать, это выполнить поиск Google по имени сервера HEXMBVS12.hostedmsx.local, и мы можем обнаружить, что поставщиком услуг является Telus. Если мы немного покопаемся на веб-сайте Telus, то обнаружим, что они предлагают сервис Hosted Microsoft Exchange. Это говорит о том, что отправитель, вероятно, использует Microsoft Outlook, Outlook Express или Outlook Web Access. Добавленная здесь информация включает в себя IP-адрес отправителя ([10.9.6.115]), время, отправленное службой электронной почты отправителя (понедельник, 29 июля 2013 г. 15:13:48 -0600) и идентификатор сообщения для этого конкретного сообщение, добавленное службой электронной почты.
(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115]) от HEXHUB13.hostedmsx.local ([:: 1]) с mapi; Пн, 29 июля 2013 15:13:48 -0600
Message-ID:
По пути к почтовой службе получателя
Оттуда электронное письмо может пройти любое количество маршрутов, чтобы попасть в почтовую службу получателя. Это может быть добавлено в заголовок, чтобы показать «прыжки», которые электронное письмо должно было сделать, чтобы добраться до вас. Эти переходы начинаются с сервера, который последний раз обрабатывал электронную почту, и возвращаются к серверу, который первоначально обрабатывал ее, в обратном хронологическом порядке. В этом примере все прыжки являются внутренними в почтовой службе отправителя.
Третий и последний прыжок
Получено: от mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
от mx.google.com с идентификатором ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
за
(версия = шифр TLSv1 = биты RC4-SHA = 128/128);
Понедельник, 29 июля 2013 14:15:08 -0700 (PDT)
Получено-SPF: нейтрально (google.com: 205.206.208.34 не разрешено и не отклонено из-за записи наилучшего предположения для домена gmcdowell@somecompany.com) client-ip = 205.206.208.34;
Результаты аутентификации: mx.google.com;
spf = нейтральный (google.com: 205.206.208.34 не разрешен и не запрещен в соответствии с наилучшей оценкой для домена gmcdowell@somecompany.com) smtp.mail=gmcdowell@somecompany.com
X-IronPort-Anti-Spam-Filtered: правда
X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJGEEBJJGJJBYKYBHYKHYKHYKHYKHYKHYKHYKKYBHYKKYBHYKHYKHYBKYBHYKKYBHYKHYBKYBHYKHYKKYBHYKKYBHYKHYKKYBKYBKKHBHYBHYKHYKHYKKYBKYBHYKKYBHYKKHBHYBHYKHYKKKBKHBH5
X-IronPort-AV: E = Sophos; i = ”4,89,772,1367992800”;
д =»jpg’145 scan’145,208,217,145″; а =»14712973″
Третье объяснение хмеля
Это прыжок, который переносит его из Telus на сервер электронной почты получателей. Мы можем сказать, что он был получен mx.google.com, поэтому у получателя есть сервис электронной почты с Google. Здесь хорошо отметить линию Received-SPF: SPF, или Sender Policy Framework, — это стандарт, с помощью которого почтовый сервер отправителя может объявить себя законным отправителем письма. В этом случае квалификатор нейтральный, Это означает, что ничего не может быть сказано о действительности этого письма, хорошо это или плохо. Если бы он был зарегистрирован как потерпеть поражение, это было бы отклонено серверами Gmail. Если бы Softfail, Gmail принял бы его, но пометил, что, возможно, он не от кого он говорит.
Чуть ниже вы также увидите три строки, начинающиеся с X-IronPort-Anti-Spam. Первый, X-IronPort-Anti-Spam-Filtered: правда, взломан антиспамовым устройством Telus IronPort. IronPort является частью Cisco, поэтому он считается достаточно надежным. X-IronPort-Anti-Spam-Result Линия предназначена исключительно для устройств IronPort и не может быть расшифрована для человеческого глаза — если вы не работаете на Cisco и не нуждаетесь в ее декодировании. Третий, X-IronPort-AV, показывает, что у отправителя есть собственное антиспамовое устройство от Sophos. Он мог прочитать McAfee или Norton, или любой другой фильтр, через который проходит ваша электронная почта. Как получатель, это может дать вам немного больше уверенности в том, что электронная почта действительна.
Второй хмель
Получено: от неизвестно (HELO mail.exchange.telus.com) ([205.206.210.187])
mx21.exchange.telus.com с ESMTP / TLS / AES128-SHA; 29 июля 2013 15:15:07 -0600
Второе объяснение хмеля
Здесь становится очевидным, что Telus является поставщиком услуг. Если есть какие-либо сомнения по этому поводу, выполните проверку WHOIS на показанном IP-адресе: 205.206.210.187. Вы обнаружите, что IP-адрес также ведет к Telus. Это дает вам немного больше уверенности в том, что электронная почта является законной. Мы также можем сказать, что сообщение заняло чуть более одной минуты, чтобы перейти от первого перехода ко второму переходу. Это не говорит нам много, если вы не сетевой инженер. Теоретически вы можете приблизительно рассчитать, насколько далеко расположены эти два сервера.
Первый Хоп
Получено: от HEXMBVS12.hostedmsx.local ([10.9.6.115])
HEXHUB13.hostedmsx.local ([:: 1]) с mapi; Пн, 29 июля 2013 15:13:48 -0600
Первое объяснение хмеля
Первый переход — это почтовый сервер отправителя, который получает его сообщение электронной почты. На этом этапе электронная почта все еще перемещается внутри сети почтового сервера отправителя. Вы можете сказать по тому, что IP-адрес начинается с 10. IP-адрес, начинающийся с 10, зарезервирован только для внутреннего использования.
На почтовом сервере получателя
Доставлено: To: guy@makeuseof.com
Получено: по 22.10.200.70 с SMTP-идентификатором ev6csp162209fab;
Понедельник, 29 июля 2013 14:15:09 -0700 (PDT)
Получено X: по 10.236.227.202 с идентификатором SMTP d70mr27737943yhq.86.1375132508769;
Понедельник, 29 июля 2013 14:15:08 -0700 (PDT)
Обратный путь:
Как только он попадает в почтовую службу получателя, в заголовок добавляется дополнительная информация — какие серверы почтовых служб получателя получили его и когда, с какого почтового сервера было получено сообщение, адрес электронной почты получателя и заявленный ответ отправителя. на адрес электронной почты. Вернувшись к Третьему прыжку, мы увидели, что почтовый сервис получателя был с Google. Мы можем сказать, что это письмо было получено одним внутренним сервером и передано другому — с 10.236.227.202 по 10.223.200.70. Самое главное мы можем сказать по Обратный путь: что электронная почта для ответа и электронная почта отправителя совпадают. Это также говорит нам о том, что существует большая вероятность того, что это письмо является законным.
Другие вещи из других заголовков
Этот конкретный заголовок электронной почты ограничен в своей информации, потому что используется размещенный почтовый сервис. Если бы отправитель использовал свой собственный почтовый сервер, мы могли бы получить немного больше информации. Мы могли бы точно определить, какой почтовый клиент они используют. Или мы можем выполнить WHOIS на IP-адресе отправителя и получить приблизительное местоположение отправителя. Мы также могли бы выполнить простой веб-поиск в домене отправителя и посмотреть, есть ли для них веб-сайт. На основе этого веб-сайта мы сможем узнать еще больше информации об отправителе. Вы можете провести поиск в Интернете по самому адресу электронной почты и начать делать это. Если вы не знакомы с понятием «doxing», ознакомьтесь с «Что такое Doxing» Джоэла Ли? Как это влияет на вашу конфиденциальность?
Также ознакомьтесь со статьей Райана Дьюба «15 веб-сайтов для поиска людей в Интернете».
,
Забрать
Все электронные сообщения оставляют следы. Некоторые больше и легче следовать. Некоторые из них скрыты веб-фильтрами и прокси-серверами. В любом случае, то, что осталось, говорит нам что-то о человеке, который их создал. Исходя из этих метаданных, мы могли бы провести дальнейшие исследования, чтобы узнать больше о вовлеченных людях. Они что-то скрывают, используя VPN? Они действительно из законного бизнеса с законным веб-присутствием? Это тот, с кем я действительно хочу пойти на свидание? Что обычные люди могут узнать обо мне, не говоря уже о АНБ?
Посмотрите на заголовки ваших писем и посмотрите, что они говорят о вас. Если вы найдете строки заголовка, которые не имеют особого смысла, добавьте их в комментарии, и мы попытаемся их расшифровать. Вы должны были сделать некоторые исследования заголовка электронной почты? Расскажите нам об этом! Вот как мы все учимся.
Image Credit: Серверная комната от Torkildr через Flickr.
![Spotify запускает специализированные приложения Spotify, открытые для сторонних разработчиков [Новости]](https://helpexe.ru/wp-content/cache/thumb/06/e47c917e573f906_150x95.jpg)