Was können Sie aus einem E-Mail-Header (Metadaten) lernen?

Haben Sie jemals eine E-Mail erhalten und sich wirklich gefragt, woher sie stammt? Wer hat es geschickt? Wie konnten sie wissen, wer du bist? Überraschenderweise können viele dieser Informationen aus dem E-Mail-Header stammen, oder indem Sie die Informationen aus dem E-Mail-Header verwenden, um Detektivarbeit zu leisten.

Die Kopfzeile ist ein Teil der E-Mail-Nachricht, die die meisten Leute niemals sehen. Es enthält eine Menge Daten, die für den durchschnittlichen Computerbenutzer wie verrückt aussehen. Als die E-Mail-Nutzung ein tägliches Werkzeug im Leben eines jeden wurde, begannen E-Mail-Clients, diese Informationen aus Bequemlichkeit für Sie zu verbergen. Heutzutage kann es sogar ein wenig schwierig sein, die Kopfzeile sichtbar zu machen, selbst für diejenigen, die wissen, dass sie vorhanden sind. Es gibt so viele verschiedene E-Mail-Clients, sowohl auf Desktop- als auch auf Web-Basis, dass das Abdecken der Kopfzeilen der E-Mails zu einem kleinen Buch werden könnte. Heute konzentrieren wir uns nur darauf, wie Sie die Kopfzeile in Google Mail einblenden können, und dann schauen, was wir aus der Kopfzeile herausfinden können.

Was ist ein E-Mail-Header??

Ein E-Mail-Header ist eine Sammlung von Informationen, die den Pfad dokumentiert, über den die E-Mail zu Ihnen kam. Es gibt möglicherweise viele Informationen in der Kopfzeile oder nur die Grundlagen. Es gibt einen Standard dafür, welche Informationen in einem Header enthalten sein sollen, aber nicht wirklich einschränken, welche Informationen ein E-Mail-Server in den Header einfügen darf. Wenn Sie wissen möchten, wie ein Standard für ein E-Mail-Protokoll aussieht, besuchen Sie RFC 5321 - Simple Mail Transfer Protocol. Es ist ein bisschen hart für den Kopf, vor allem, wenn Sie dieses Zeug nicht kennen müssen.

Google Mail - Den E-Mail-Header einblenden

Wenn Sie eine E-Mail-Nachricht in Google Mail geöffnet haben, klicken Sie in der rechten oberen Ecke der Nachricht auf den nach unten zeigenden Pfeil. Ein neues Menü wird angezeigt. Klicken Sie auf Original anzeigen, um die unformatierte E-Mail-Nachricht mit vollem Inhalt und Header anzuzeigen.

Ein neues Fenster oder eine neue Registerkarte wird geöffnet und Sie sehen eine Klartextversion Ihrer E-Mail mit der Kopfzeile oben. Der Inhalt des Headers sieht ungefähr so ​​aus:

Geliefert an: [email protected]
Erhalten: bis 10.223.200.70 mit SMTP-ID ev6csp162209fab;
Mo 29 Jul 2013 14:15:09 -0700 (PDT)
X-erhalten: bis 10.236.227.202 mit der SMTP-ID d70mr27737943yhq.86.1375132508769;
Mo, 29 Jul 2013 14:15:08 -0700 (PDT)
Der Weg zurück:
Erhalten: von mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
von mx.google.com mit ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
zum
(Version = TLSv1-Chiffrierung = RC4-SHA-Bits = 128/128);
Mo, 29 Jul 2013 14:15:08 -0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 ist durch den besten Schätzwert für die Domäne "[email protected]") weder zulässig noch verweigert.
Authentifizierungsergebnisse: mx.google.com;
spf = neutral (google.com: 205.206.208.34) ist für die Domäne "[email protected]" [email protected] nicht zulässig
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Ergebnis:
X-IronPort-AV: E = Sophos; i =”4.89.772.1367992800 ";
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "
Erhalten: von unbekannt (HELO mail.exchange.telus.com) ([205.206.210.187])
von mx21.exchange.telus.com mit ESMTP / TLS / AES128-SHA; 29 Jul 2013 15:15:07 -0600
Erhalten: von HEXMBVS12.hostedmsx.local ([10.9.6.115]) von
HEXHUB13.hostedmsx.local ([:: 1]) mit mapi; Mo, 29 Jul 2013 15:13:48 -0600
Von: Guy McDowell
Zu: “[email protected]”
Datum: Mo, 29 Jul 2013 15:15:03 -0600
Betreff: Was ist ein E-Mail-Header??
Thread-Topic: Was ist ein E-Mail-Header??
Thread-Index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Nachrichten ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>
Accept-Language: en-US
Inhaltssprache: en-US
X-MS-Has-Attach: Ja
X-MS-TNEF-Korrelator:
acceptlanguage: en-US
Inhaltstyp: mehrteilig / verwandt;
Grenze =”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”Multipart / Alternative”
MIME-Version: 1.0

Das ist schön. Was bedeutet das?

Wie wird der E-Mail-Header erstellt??

Wenn Sie wissen, wie der Header entlang des Pfads erstellt wird, den eine E-Mail durchläuft, erhalten Sie genauere Einblicke in die Bedeutung der Header-Daten. Schauen wir uns die Teile an, wenn sie hinzugefügt werden, und was die wichtigsten Teile bedeuten.

Auf dem Computer des Absenders

Ein Teil der Kopfzeile wird erstellt, wenn der Absender die E-Mail erstellt, die an den Empfänger gesendet werden soll. Darunter fallen Informationen wie wann die E-Mail erstellt wurde, wer sie erstellt hat, die Betreffzeile und an wen die E-Mail gesendet wird. Dies ist der Teil der Kopfzeile, den Sie am besten kennen. Die Zeilen Date :, Von :, Bis: und Betreff: oben in Ihrer E-Mail.

Von: Guy McDowell
Zu: “[email protected]”
Datum: Mo, 29 Jul 2013 15:15:03 -0600
Betreff: Was ist ein E-Mail-Header??

Im E-Mail-Dienst des Absenders

Sobald die E-Mail tatsächlich gesendet wird, werden dem Header weitere Informationen hinzugefügt. Dies wird vom E-Mail-Dienst bereitgestellt, den der Absender verwendet. In diesem Fall verwendet der Absender einen gehosteten E-Mail-Dienst, daher ist die angezeigte IP-Adresse eine Adresse, die intern im Netzwerk des Diensteanbieters ist. Wenn Sie eine WHOIS-Suche durchführen, erhalten Sie keine nützlichen Informationen. Wir können eine Google-Suche nach dem Servernamen HEXMBVS12.hostedmsx.local durchführen und feststellen, dass der Dienstanbieter Telus ist. Wenn wir auf der Telus-Website etwas herumgraben, werden wir feststellen, dass sie einen gehosteten Microsoft Exchange-Dienst anbieten. Dies legt nahe, dass der Absender wahrscheinlich entweder Microsoft Outlook, Outlook Express oder Outlook Web Access verwendet. Zu den hier hinzugefügten Informationen gehören die IP-Adresse des Absenders ([10.9.6.115]), die vom E-Mail-Dienst des Absenders gesendete Zeit (Mo, 29. Juli 2013 15:13:48 -0600) und die Nachrichten-ID für diesen bestimmten Empfänger Nachricht, wie vom E-Mail-Dienst hinzugefügt.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Erhalten: von HEXMBVS12.hostedmsx.local ([10.9.6.115]) von HEXHUB13.hostedmsx.local ([:: 1]) mit mapi; Mo, 29 Jul 2013 15:13:48 -0600
Nachrichten ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Auf dem Weg zum E-Mail-Service des Empfängers

Von dort kann die E-Mail eine beliebige Anzahl von Routen haben, um beim E-Mail-Dienst des Empfängers zu landen. Dies kann zum Header hinzugefügt werden, um die 'Hops' anzuzeigen, die die E-Mail machen musste, um zu Ihnen zu gelangen. Diese Hops beginnen beim Server, der die E-Mail zuletzt bearbeitet hat, und kehren in umgekehrter chronologischer Reihenfolge zum Server zurück, der sie ursprünglich bearbeitet hat. In diesem Beispiel sind alle Hops intern beim E-Mail-Dienst des Absenders.

Drittens und Final Hop

Erhalten: von mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
von mx.google.com mit ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
zum
(Version = TLSv1-Chiffrierung = RC4-SHA-Bits = 128/128);
Mo, 29 Jul 2013 14:15:08 -0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 ist durch den besten Schätzwert für die Domäne "[email protected]") weder zulässig noch verweigert.
Authentifizierungsergebnisse: mx.google.com;
spf = neutral (google.com: 205.206.208.34) ist für die Domäne "[email protected]" [email protected] nicht zulässig
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Ergebnis:
X-IronPort-AV: E = Sophos; i =”4.89.772.1367992800 ";
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "

Third Hop-Erklärung
Dies ist der Hop, der ihn von Telus zum E-Mail-Server des Empfängers bringt. Wir können feststellen, dass es von mx.google.com empfangen wurde, sodass der Empfänger seinen E-Mail-Dienst bei Google erhält. Hier ist es gut, die Zeile zu beachten Received-SPF: SPF oder Sender Policy Framework ist ein Standard, mit dem sich der E-Mail-Server eines Absenders als legitimer Absender der E-Mail angeben kann. In diesem Fall ist das Qualifikationsmerkmal neutral, was bedeutet, dass nichts über die Gültigkeit dieser E-Mail gesagt werden kann, gut oder schlecht. Hatte es als registriert Scheitern, Es wäre von den Servern von Google Mail abgelehnt worden. Wenn es wäre Softfail, Gmail hätte es akzeptiert, aber es als möglich bezeichnet, da es nicht von dem stammt, von dem es sagt, dass es von ihm stammt.

Direkt darunter sehen Sie auch drei Zeilen, die mit beginnen X-IronPort-Anti-Spam. Der Erste, X-IronPort-Anti-Spam-Filtered: true, wird mit der IronPort-Anti-Spam-Appliance von Telus bekämpft. IronPort ist ein Teil von Cisco und gilt daher als ziemlich zuverlässig. Das X-IronPort-Anti-Spam-Ergebnis line ist ausschließlich für die IronPort-Appliances gedacht und kann nicht für menschliche Augen decodiert werden - es sei denn, Sie arbeiten für Cisco und müssen sie decodieren. Der dritte, X-IronPort-AV, zeigt, dass der Sender eine eigene Anti-Spam-Appliance von Sophos besitzt. Es könnte McAfee oder Norton gelesen haben oder welchen Filter Ihre E-Mails durchlaufen haben. Als Empfänger kann dies ein wenig mehr Sicherheit darüber geben, dass die E-Mail gültig ist.

Zweiter Sprung

Erhalten: von unbekannt (HELO mail.exchange.telus.com) ([205.206.210.187])
von mx21.exchange.telus.com mit ESMTP / TLS / AES128-SHA; 29 Jul 2013 15:15:07 -0600

Zweite Hop Erklärung
Hier wird deutlich, dass Telus der Dienstleister ist. Im Zweifelsfall führen Sie eine WHOIS-Überprüfung der angezeigten IP-Adresse durch: 205.206.210.187. Sie werden feststellen, dass die IP-Adresse auch zu Telus führt. Das gibt Ihnen etwas mehr Sicherheit, dass die E-Mail legitim ist. Wir können auch sagen, dass die Nachricht etwas mehr als eine Minute brauchte, um vom ersten Hop zum zweiten Hop zu gelangen. Das sagt uns nicht viel, wenn Sie kein Netzwerktechniker sind. Theoretisch könnte man ungefähr berechnen, wie weit die beiden Server voneinander entfernt sind.

Erster Sprung

Erhalten: von HEXMBVS12.hostedmsx.local ([10.9.6.115]) von
HEXHUB13.hostedmsx.local ([:: 1]) mit mapi; Mo, 29 Jul 2013 15:13:48 -0600

Erste Hop Erklärung
Der erste Hop ist der E-Mail-Server des Absenders, der seine E-Mail-Nachricht empfängt. Zu diesem Zeitpunkt bewegt sich die E-Mail noch intern innerhalb des E-Mail-Server-Netzwerks des Absenders. Sie können daran erkennen, dass die IP-Adresse mit beginnt 10. IP-Adressen, die mit 10 beginnen, sind nur für den internen Gebrauch reserviert.

Beim E-Mail-Server des Empfängers

Geliefert an: [email protected]
Erhalten: bis 10.223.200.70 mit SMTP-ID ev6csp162209fab;
Mo 29 Jul 2013 14:15:09 -0700 (PDT)
X-erhalten: bis 10.236.227.202 mit der SMTP-ID d70mr27737943yhq.86.1375132508769;
Mo, 29 Jul 2013 14:15:08 -0700 (PDT)
Der Weg zurück:

Sobald er beim E-Mail-Dienst des Empfängers ankommt, werden dem Header weitere Informationen hinzugefügt - von welchen E-Mail-Dienstservern des Empfängers, wann und von welchem ​​E-Mail-Server die Nachricht empfangen wurde, der E-Mail-Adresse des vorgesehenen Empfängers und der Antwort des Absenders an die E-Mail-Adresse. In der dritten Runde sahen wir, dass der E-Mail-Dienst des Empfängers bei Google lag. Wir können feststellen, dass diese E-Mail von einem internen Server empfangen und an einen anderen Server - 10.236.227.202 bis 10.223.200.70 - weitergeleitet wurde. Am wichtigsten können wir an der Der Weg zurück: dass die zu beantwortende E-Mail und die E-Mail des Absenders identisch sind. Dies sagt uns auch, dass es eine gute Chance gibt, dass diese E-Mail legitim ist.

Andere Dinge aus anderen Kopfzeilen

Dieser bestimmte E-Mail-Header ist in seinen Informationen begrenzt, da ein gehosteter E-Mail-Dienst verwendet wird. Wenn der Absender einen eigenen E-Mail-Server verwendet, können wir möglicherweise etwas mehr Informationen erhalten. Wir können möglicherweise genau bestimmen, welchen E-Mail-Client sie verwenden. Oder wir könnten eine WHOIS für die IP-Adresse des Absenders durchführen und einen ungefähren Standort des Absenders ermitteln. Wir könnten auch eine einfache Websuche auf der Domain des Absenders durchführen und sehen, ob es eine Website für sie gibt. Basierend auf dieser Website können wir möglicherweise noch weitere Informationen zum Absender herausfinden. Sie können eine Websuche nach der E-Mail-Adresse selbst durchführen und mit dem Doxing beginnen. Wenn Sie nicht mit dem Konzept des "Doxing" vertraut sind, machen Sie sich mit Joel Lees "What Is Doxing" und wie wirkt sich dies auf Ihre Privatsphäre aus? Was ist Doxing und wie wirkt sich dies auf Ihre Privatsphäre aus? [MakeUseOf erklärt] Was ist Doxing und wie wirkt sich dies auf Ihre Privatsphäre aus? [MakeUseOf erklärt] Internet-Datenschutz ist ein riesiges Geschäft. Einer der Vorteile des Internets ist, dass Sie hinter Ihrem Monitor anonym bleiben können, während Sie surfen, chatten und tun, was auch immer Sie tun… Lesen Sie auch den Artikel von Ryan Dube, 15 Websites, auf denen Sie nach Leuten suchen können Internet 12 Websites zum Auffinden von Personen im Internet 12 Websites zum Auffinden von Personen im Internet Wenn Sie einen Freund suchen, der schon lange nicht mehr existiert, oder vielleicht eine Hintergrundüberprüfung durchführen möchten, sollten Sie sich diese kostenlosen Ressourcen zum Auffinden von Personen im Internet ansehen . Weiterlesen .

Das wegnehmen

Alle elektronischen Kommunikationen hinterlassen Fußabdrücke. Einige sind größer und leichter zu folgen. Einige werden durch Webfilter und Proxyserver verdeckt. Auf jeden Fall sagt uns, was zurückbleibt, etwas über die Person, die sie geschaffen hat. Aus diesen Metadaten können wir weitere Untersuchungen durchführen, um mehr über die beteiligten Personen zu erfahren. Verstecken sie sich mit einem VPN? Kommen sie wirklich aus einem legitimen Unternehmen mit einem legitimen Webauftritt? Ist das jemand, mit dem ich wirklich ein Date haben möchte? Was können gewöhnliche Leute über mich lernen, geschweige denn die NSA?

Schauen Sie sich Ihre E-Mail-Header an und sehen Sie, was sie über Sie sagen. Wenn Sie einige Kopfzeilen finden, die keinen Sinn ergeben, fügen Sie sie in die Kommentare ein und wir werden versuchen, sie zu decodieren. Mussten Sie einige E-Mail-Header-Untersuchungen durchführen? Erzähl uns darüber! So lernen wir alle.

Bildnachweis: Server Room von torkildr über Flickr.

Erfahren Sie mehr über: E-Mail-Tipps, Metadaten.