Wat kunt u leren van een e-mailkop (metagegevens)?

Advertentie

Heb je ooit een e-mail gekregen en vroeg je je echt af waar deze vandaan kwam? Wie heeft het verzonden? Hoe hadden ze kunnen weten wie je bent? Verrassend genoeg kan veel van die informatie afkomstig zijn uit de e-mailkop of door informatie uit de e-mailkop te gebruiken om wat detectivewerk te doen.

De koptekst is een onderdeel van het e-mailbericht dat de meeste mensen niet eens zien. Het bevat veel gegevens die voor de gemiddelde computergebruiker lijken op te slokken, zoals e-mailgebruik werd een dagelijkse tool in ieders leven, e-mailclients begonnen deze informatie voor het gemak te verbergen voor jou. Tegenwoordig kan het zelfs een beetje lastig zijn om de header zichtbaar te maken, zelfs voor degenen die weten dat het er is. Er zijn zoveel verschillende e-mailclients, zowel op desktop als op internet, dat het een klein boek zou kunnen zijn om te bespreken hoe de e-mailkop kan worden weergegeven. Vandaag gaan we ons concentreren op het zichtbaar maken van de koptekst in Gmail en kijken wat we uit de koptekst kunnen halen.

Wat is een e-mailkop?

Een e-mailkop is een verzameling informatie die het pad beschrijft waarmee de e-mail naar u is gekomen. Er kan veel informatie in de koptekst staan ​​of alleen de basis. Er is een standaard voor welke informatie in een koptekst moet worden opgenomen, maar niet echt een limiet aan de informatie die een e-mailserver in de koptekst zou kunnen plaatsen. Als je nieuwsgierig bent naar hoe een standaard voor een e-mailprotocol eruit ziet, kijk dan eens RFC 5321 - Simple Mail Transfer Protocol. Het is een beetje moeilijk voor het hoofd, vooral als je dit spul niet hoeft te weten.

Gmail - Maak de e-mailkop zichtbaar

Zodra je een e-mailbericht in Gmail hebt geopend, klik je op de naar beneden gerichte pijl in de rechterbovenhoek van het bericht. Er verschijnt een nieuw menu. Klik op Origineel weergeven om het onbewerkte e-mailbericht met de volledige inhoud en koptekst te zien.

Er wordt een nieuw venster of tabblad geopend en u ziet natuurlijk een platte tekstversie van uw e-mail met de koptekst bovenaan. De inhoud van de koptekst ziet er ongeveer zo uit:

Bezorgd aan: [email protected]. Ontvangen: vóór 10.223.200.70 met SMTP-id ev6csp162209fab; Ma 29 jul 2013 14:15:09 -0700 (PDT) X-ontvangen: vóór 10.236.227.202 met SMTP-id d70mr27737943yhq.86.1375132508769; Ma 29 jul 2013 14:15:08 -0700 (PDT) Terugweg:Ontvangen: van mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) door mx.google.com met ESMTPS-id y27si28720489yhc.101.2013.07.29.14.15.08. voor(versie = TLSv1-codering = RC4-SHA-bits = 128/128); Ma 29 jul 2013 14:15:08 -0700 (PDT) Ontvangen-SPF: neutraal (google.com: 205.206.208.34 is niet toegestaan ​​of geweigerd door het beste gokrecord voor domein van [email protected]) client-ip = 205.206.208.34; Verificatie-resultaten: mx.google.com; spf = neutraal (google.com: 205.206.208.34 is niet toegestaan ​​of geweigerd door de beste schatting voor het domein [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: waar. X-IronPort-Anti-Spam-resultaat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAAIAIYYK X-IronPort-AV: E = Sophos; i = "4.89.772.1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Ontvangen: van onbekend (HELO mail.exchange.telus.com) ([205.206.210.187]) door mx21.exchange.telus.com met ESMTP / TLS / AES128-SHA; 29 juli 2013 15:15:07 -0600. Ontvangen: van HEXMBVS12.hostedmsx.local ([10.9.6.115]) door. HEXHUB13.hostedmsx.local ([:: 1]) met mapi; Ma 29 jul 2013 15:13:48 -0600. Van: Guy McDowell
Aan: "[email protected]" Datum: ma 29 jul 2013 15:15:03 -0600. Subject: Wat is een e-mailkop? Thread-Topic: Wat is een e-mailkop? Discussie-index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Bericht-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-taal: en-US. Inhoudstaal: en-US. X-MS-Has-Attach: ja. X-MS-TNEF-correlator: acceptlanguage: en-US. Inhoudstype: multipart / gerelateerd; boundary = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternative" MIME-versie: 1.0

Dat is leuk. Wat betekent dat?

Hoe wordt de e-mailkop gemaakt?

Door te weten hoe de koptekst wordt gemaakt langs het pad dat een e-mail aflegt, krijgt u een beter inzicht in wat de gegevens van een koptekst betekenen. Laten we eens kijken naar de onderdelen die worden toegevoegd en wat de belangrijkste onderdelen betekenen.

Op de computer van de afzender

Een deel van de koptekst wordt gemaakt wanneer de afzender de e-mail maakt om naar de ontvanger te verzenden. Dit omvat informatie zoals wanneer de e-mail is opgesteld, wie deze heeft opgesteld, de onderwerpregel en naar wie de e-mail wordt verzonden. Dit is het deel van de koptekst dat u het meest kent, aangezien de regels Date:, From:, To: en Subject: bovenaan uw e-mail staan.

Van: Guy McDowell
Aan: “[email protected]”
Datum: ma 29 jul 2013 15:15:03 -0600
Subject: Wat is een e-mailkop?

Op de e-mailservice van de afzender

Zodra de e-mail daadwerkelijk is verzonden, wordt er meer informatie aan de koptekst toegevoegd. Dit wordt geleverd door de e-mailservice die de afzender gebruikt. In dit geval gebruikt de afzender een gehoste e-mailservice, dus het weergegeven IP-adres is een adres dat intern is voor het netwerk van de serviceprovider. Het uitvoeren van een WHOIS-zoekopdracht hierop levert geen nuttige informatie op. Wat we kunnen doen, is een Google-zoekopdracht uitvoeren op de servernaam HEXMBVS12.hostedmsx.local en we kunnen vaststellen dat de serviceprovider Telus is. Als we wat zoeken op de Telus-website, zullen we ontdekken dat ze een Hosted Microsoft Exchange-service aanbieden. Dat suggereert dat de afzender waarschijnlijk Microsoft Outlook, Outlook Express of Outlook Web Access gebruikt. De hier toegevoegde informatie omvat het IP-adres van de afzender ([10.9.6.115]), de tijd die is verzonden via het e-mailadres van de afzender service (ma, 29 juli 2013 15:13:48 -0600), en de bericht-ID voor dat specifieke bericht zoals toegevoegd door de e-mail onderhoud.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Ontvangen: van HEXMBVS12.hostedmsx.local ([10.9.6.115]) door HEXHUB13.hostedmsx.local ([:: 1]) met mapi; Ma 29 jul 2013 15:13:48 -0600. Bericht-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Onderweg naar de e-mailservice van de ontvanger

Van daaruit kan de e-mail een onbeperkt aantal routes volgen om bij de e-mailservice van de ontvanger te komen. Dit kan aan de koptekst worden toegevoegd om de ‘hop’ te tonen die de e-mail moest maken om bij je te komen. Deze hops beginnen bij de server die het laatst de e-mail heeft afgehandeld en gaan terug naar de server die deze oorspronkelijk heeft afgehandeld, in omgekeerde chronologische volgorde. In dit voorbeeld zijn alle hops intern bij de e-mailservice van de afzender.

Derde en laatste hop

Ontvangen: van mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) door mx.google.com met ESMTPS-id y27si28720489yhc.101.2013.07.29.14.15.08. voor(versie = TLSv1-codering = RC4-SHA-bits = 128/128); Ma 29 jul 2013 14:15:08 -0700 (PDT) Ontvangen-SPF: neutraal (google.com: 205.206.208.34 is niet toegestaan ​​of geweigerd door het beste gokrecord voor domein van [email protected]) client-ip = 205.206.208.34; Verificatie-resultaten: mx.google.com; spf = neutraal (google.com: 205.206.208.34 is niet toegestaan ​​of geweigerd door de beste schatting voor het domein [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: waar. X-IronPort-Anti-Spam-resultaat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAAIAIYYK X-IronPort-AV: E = Sophos; i = "4.89.772.1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"

Derde hopverklaring
Dit is de hop die het van Telus naar de e-mailserver van de ontvanger brengt. We kunnen zien dat het is ontvangen door mx.google.com, dus de ontvanger heeft zijn e-mailservice bij Google. Hier is het goed om de lijn op te merken Ontvangen-SPF: SPF, of Sender Policy Framework, is een standaard waarmee de e-mailserver van een afzender zichzelf kan verklaren als de legitieme afzender van de e-mail. In dit geval is de kwalificatie neutrale, wat betekent dat er niets kan worden gezegd over de geldigheid van deze e-mail, goed of slecht. Had het geregistreerd als mislukken, zou het zijn afgewezen door de servers van Gmail. Als het was softfail, Gmail zou het hebben geaccepteerd, maar het hebben gemarkeerd als mogelijk niet van wie het zegt dat het afkomstig is.

Net daaronder zie je ook drie regels die beginnen met X-IronPort-Anti-Spam. De eerste, X-IronPort-Anti-Spam-Filtered: waar, wordt aangepakt door het IronPort antispam-apparaat van Telus. IronPort is een onderdeel van Cisco, dus het wordt als redelijk betrouwbaar beschouwd. De X-IronPort-Anti-Spam-resultaat lijn is uitsluitend bedoeld voor de IronPort-apparaten en kan niet worden gedecodeerd voor menselijke ogen - tenzij u voor Cisco werkt en het moet decoderen. De derde, X-IronPort-AV, laat zien dat de afzender een eigen antispam-apparaat van Sophos heeft. Het had McAfee of Norton kunnen lezen, of welk filter uw e-mail ook doorloopt. Als ontvanger kan dit u wat meer vertrouwen geven dat de e-mail geldig is.

Tweede hop

Ontvangen: van onbekend (HELO mail.exchange.telus.com) ([205.206.210.187])
door mx21.exchange.telus.com met ESMTP / TLS / AES128-SHA; 29 juli 2013 15:15:07 -0600

Tweede hop-uitleg
Hier wordt duidelijk dat Telus de dienstverlener is. Als er enige twijfel bestaat, voer dan een WHOIS-controle uit op het weergegeven IP-adres: 205.206.210.187. U zult merken dat het IP-adres ook naar Telus leidt. Dat geeft je wat meer vertrouwen dat de e-mail legitiem is. We kunnen ook zien dat de boodschap iets meer dan een minuut duurde om van de eerste hop naar de tweede hop te gaan. Dat zegt ons niet veel, tenzij je een netwerkingenieur bent. In theorie zou je ongeveer kunnen berekenen hoe ver de twee servers van elkaar verwijderd zijn.

Eerste hop

Ontvangen: van HEXMBVS12.hostedmsx.local ([10.9.6.115]) door
HEXHUB13.hostedmsx.local ([:: 1]) met mapi; Ma 29 jul 2013 15:13:48 -0600

Eerste hopverklaring
De eerste sprong is de e-mailserver van de afzender die zijn e-mailbericht ontvangt. Op dit moment beweegt de e-mail nog steeds intern binnen het netwerk van de e-mailserver van de afzender. U kunt zien aan het feit dat het IP-adres begint met 10. IP-adressen die beginnen met 10 zijn alleen gereserveerd voor intern gebruik.

Bij de e-mailserver van de ontvanger

Bezorgd aan: [email protected]
Ontvangen: vóór 10.223.200.70 met SMTP-id ev6csp162209fab;
Ma 29 jul 2013 14:15:09 -0700 (PDT)
X-ontvangen: vóór 10.236.227.202 met SMTP-id d70mr27737943yhq.86.1375132508769;
Ma 29 jul 2013 14:15:08 -0700 (PDT)
Terugweg:

Zodra het de e-mailservice van de ontvanger bereikt, wordt er meer informatie toegevoegd aan de koptekst - welke van de e-mailserverservers van de ontvanger heeft ontvangen het en wanneer, vanaf welke e-mailserver het bericht is ontvangen, het e-mailadres van de beoogde ontvanger en het door de afzender vermelde ‘antwoord op’ e-mailadres adres. in de Third Hop zagen we dat de e-mailservice van de ontvanger bij Google was. We kunnen zien dat deze e-mail is ontvangen door een interne server en is doorgegeven aan een andere - 10.236.227.202 tot 10.223.200.70. Het belangrijkste is dat we kunnen zien aan de Terugweg: dat de te beantwoorden e-mail en de e-mail van de afzender dezelfde is. Dit vertelt ons ook dat de kans groot is dat deze e-mail legitiem is.

Andere dingen van andere kopteksten

Deze specifieke e-mailkop is beperkt in zijn informatie omdat er een gehoste e-mailservice wordt gebruikt. Als de afzender zijn eigen e-mailserver gebruikt, kunnen we mogelijk wat meer informatie krijgen. We kunnen mogelijk precies bepalen welke e-mailclient ze gebruiken. Of we kunnen een WHOIS uitvoeren op het IP-adres van de afzender en een geschatte locatie van de afzender krijgen. We kunnen ook een eenvoudige zoekopdracht op internet uitvoeren op het domein van de afzender en kijken of er een website voor is. Op basis van die website kunnen we mogelijk nog meer informatie over de afzender achterhalen. U kunt een zoekopdracht op internet uitvoeren op het e-mailadres zelf en de persoon gaan doxen. Als je niet bekend bent met het concept van 'doxen', maak jezelf dan vertrouwd met die van Joel Lee Wat is doxing en hoe beïnvloedt het uw privacy? Wat is doxing en hoe beïnvloedt het uw privacy? [MakeUseOf Explains]Internetprivacy is een groot probleem. Een van de genoemde voordelen van internet is dat u anoniem achter uw monitor kunt blijven terwijl u bladert, chat en doet wat u ook doet ... Lees verder Lees ook het artikel van Ryan Dube, 15 websites om mensen op internet te vinden 13 websites om mensen op internet te vindenOp zoek naar verloren vrienden? Tegenwoordig is het gemakkelijker dan ooit om mensen op internet te vinden met deze zoekmachines voor mensen. Lees verder .

De Take Away

Alle elektronische communicatie laat sporen achter. Sommige zijn groter en gemakkelijker te volgen. Sommige worden verborgen door webfilters en proxyservers. Hoe dan ook, wat achterblijft, vertelt ons iets over de persoon die ze heeft gemaakt. Uit die metadata kunnen we mogelijk nader onderzoek doen om meer te weten te komen over de betrokken mensen. Verbergen ze iets door een VPN te gebruiken? Zijn ze echt afkomstig van een legitiem bedrijf met een legitieme aanwezigheid op het web? Is dit iemand met wie ik echt een date wil hebben? Wat kunnen gewone mensen over mij leren, laat staan ​​de NSA?

Bekijk uw e-mailkopteksten en kijk wat ze over u zeggen. Als je enkele kopteksten vindt die niet logisch zijn, plaats ze dan in de reacties en we zullen proberen ze te decoderen. Heb je een e-mailkop moeten onderzoeken? Vertel ons erover! Dat is hoe we allemaal leren.

Afbeelding tegoed: Server Room door torkildr via Flickr.