Was können Sie von einem E-Mail-Header (Metadaten) lernen?

Haben Sie jemals eine E-Mail erhalten und sich wirklich gefragt, woher sie kommt? Wer hat es geschickt?

Haben Sie jemals eine E-Mail erhalten und sich wirklich gefragt, woher sie kommt?  Wer hat es geschickt?
Werbung

Hast du jemals eine E-Mail bekommen und wirklich gefragt, woher sie kommt? Wer hat es geschickt? Wie konnten sie wissen, wer du bist? Überraschenderweise kann eine Menge dieser Informationen aus dem E-Mail-Header stammen oder durch Verwendung von Informationen aus dem E-Mail-Header, um eine Detektivarbeit zu erledigen.

Der Header ist ein Teil der E-Mail-Nachricht, die die meisten Menschen nie sehen. Es enthält eine Menge Daten, die für durchschnittliche Computerbenutzer wie Kauderwelsch aussehen. Da die Verwendung von E-Mails zu einem täglichen Werkzeug in jedem Leben wurde, begannen E-Mail-Clients, diese Informationen aus Bequemlichkeit für Sie zu verbergen. In diesen Tagen kann es sogar ein bisschen mühsam sein, den Header zu zeigen, sogar für diejenigen, die wissen, dass es da ist. Es gibt so viele verschiedene E-Mail-Clients, sowohl Desktop-und Web-basierte, dass, um zu decken, wie man den E-Mail-Header eindecken kann am Ende ein kleines Buch sein. Heute konzentrieren wir uns darauf, wie Sie den Header in Gmail einblenden und dann sehen, was wir aus dem Header herauslesen können.

Was ist ein E-Mail-Header?

Ein E-Mail-Header ist eine Sammlung von Informationen, die den Pfad dokumentieren, über den die E-Mail zu Ihnen gelangt ist. Es kann viele Informationen in der Kopfzeile oder nur die Grundlagen geben. Es gibt einen Standard für die Informationen, die in einem Header enthalten sein sollten, aber nicht wirklich eine Grenze für die Informationen, die ein E-Mail-Server in den Header schreiben könnte. Wenn Sie neugierig sind, wie ein Standard für ein E-Mail-Protokoll aussieht, lesen Sie RFC 5321 - Simple Mail Transfer Protocol. Es ist ein bisschen hart auf den Kopf, vor allem, wenn Sie dieses Zeug nicht wissen müssen.

Gmail - Zeigen Sie den E-Mail-Header an

Sobald Sie eine E-Mail-Nachricht in Google Mail geöffnet haben, klicken Sie auf den nach unten weisenden Pfeil in der oberen rechten Ecke der Nachricht. Ein neues Menü wird sich zeigen. Klicken Sie auf Original anzeigen, um die rohe E-Mail-Nachricht mit ihrem vollständigen Inhalt und Header anzuzeigen.

Google Mail-Show-Original

Ein neues Fenster oder Tab wird geöffnet und Sie sehen eine reine Textversion Ihrer E-Mail mit der Kopfzeile oben. Der Inhalt des Headers sieht ungefähr so ​​aus:

Geliefert an: [email protected]
Empfangen: von 10.223.200.70 mit SMTP ID ev6csp162209fab;
Mo, 29 Jul 2013 14:15:09 - 0700 (PDT)
X-Received: von 10.236.227.202 mit SMTP-ID d70mr27737943yhq.86.1375132508769;
Mo, 29 Jul 2013 14:15:08 - 0700 (PDT)
Der Weg zurück:
Erhalten: von mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
von mx.google.com mit ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
zum
(Version = TLSv1-Chiffre = RC4-SHA-Bits = 128/128);
Mo, 29 Jul 2013 14:15:08 - 0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 ist weder erlaubt noch wird es von der besten Schätzung für die Domain von [email protected] abgelehnt) client-ip = 205.206.208.34;
Authentifizierungsergebnisse: mx.google.com;
spf = neutral (google.com: 205.206.208.34 ist weder erlaubt noch abgelehnt durch den besten Rat für die Domain von [email protected]) [email protected]
X-IronPort-Anti-Spam-Filter: echt
X-IronPort-Anti-Spam-Ergebnis: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfgOgCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4, 89, 772, 1367992800";
d = "jpg'145? scan'145, 208, 217, 145"; a = "14712973"
Erhalten: von unbekannt (HELO mail.exchange.telus.com) ([205.206.210.187])
von mx21.exchange.telus.com mit ESMTP / TLS / AES128-SHA; 29 Jul 2013 15:15:07 -0600
Erhalten: von HEXMBVS12.hostedmsx.local ([10.9.6.115]) durch
HEXHUB13.hostedmsx.local ([:: 1]) mit mapi; Mo, 29 Jul 2013 15:13:48 -0600
Von: Guy McDowell
An: "[email protected]"
Datum: Mo, 29 Jul 2013 15:15:03 -0600
Betreff: Was ist ein E-Mail-Header?
Thread-Thema: Was ist ein E-Mail-Header?
Thread-Index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Nachrichten ID:
Annehmen-Sprache: en-US
Inhalt-Sprache: en-US
X-MS-Has-Attach: ja
X-MS-TNEF-Korrelator:
acceptlanguage: de-DE
Content-Type: mehrteilig / verwandt;
boundary = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_";
type = "mehrteilig / alternativ"
MIME-Version: 1.0

Das ist schön. Was bedeutet das?

Wie wird der E-Mail-Header erstellt?

Wenn Sie wissen, wie der Header entlang des Pfads einer E-Mail erstellt wird, erhalten Sie einen besseren Einblick in die Daten eines Headers. Schauen wir uns die Teile an, die hinzugefügt werden und was die wichtigsten Teile bedeuten.

Auf dem Computer des Absenders

Postausgang

Ein Teil des Headers wird erstellt, wenn der Absender die E-Mail an den Empfänger sendet. Dazu gehören Informationen wie zum Beispiel wann die E-Mail verfasst wurde, wer sie verfasst hat, die Betreffzeile und an wen die E-Mail gesendet wird. Dies ist der Teil der Kopfzeile, den Sie am besten kennen, der als Datum :, Von :, An: und Betreff: Zeilen oben in Ihrer E-Mail angezeigt wird.

Von: Guy McDowell
An: "[email protected]"
Datum: Mo, 29 Jul 2013 15:15:03 -0600
Betreff: Was ist ein E-Mail-Header?

Auf dem E-Mail-Dienst des Absenders

Serverraum

Nachdem die E-Mail tatsächlich gesendet wurde, werden weitere Informationen zur Kopfzeile hinzugefügt. Dies wird von dem E-Mail-Dienst bereitgestellt, den der Absender verwendet. In diesem Fall verwendet der Absender einen gehosteten E-Mail-Dienst, sodass die angezeigte IP-Adresse eine interne Adresse des Netzwerks des Dienstanbieters ist. Die Durchführung einer WHOIS-Suche liefert keine nützlichen Informationen. Was wir tun können, ist eine Google-Suche auf dem Server-Namen HEXMBVS12.hostedmsx.local und wir können feststellen, dass der Service-Provider Telus ist. Wenn wir auf der Telus-Website etwas herumkramen, stellen wir fest, dass sie einen gehosteten Microsoft Exchange-Dienst anbieten. Dies deutet darauf hin, dass der Absender wahrscheinlich Microsoft Outlook, Outlook Express oder Outlook Web Access verwendet. Zu den hier hinzugefügten Informationen gehören die IP-Adresse des Absenders ([10.9.6.115]), die vom E-Mail-Dienst des Absenders (Mo, 29. Juli 2013 15:13:48 -0600) gesendete Zeit und die Nachrichten-ID für diesen bestimmten Zweck Nachricht wie vom E-Mail-Dienst hinzugefügt.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Erhalten: von HEXMBVS12.hostedmsx.local ([10.9.6.115]) von HEXHUB13.hostedmsx.local ([:: 1]) mit mapi; Mo, 29 Jul 2013 15:13:48 -0600
Nachrichten ID:

Auf dem Weg zum E-Mail-Service des Empfängers

Von dort aus kann die E-Mail eine beliebige Anzahl von Routen nehmen, um beim E-Mail-Dienst des Empfängers zu enden. Dies kann der Kopfzeile hinzugefügt werden, um die 'Hops' anzuzeigen, die die E-Mail machen musste, um zu Ihnen zu gelangen. Diese Hops beginnen auf dem Server, der die E-Mail zuletzt bearbeitet hat, und kehren in umgekehrter chronologischer Reihenfolge zu dem Server zurück, der sie ursprünglich behandelt hat. In diesem Beispiel sind alle Hops intern beim E-Mail-Dienst des Absenders.

Dritter und letzter Sprung

Erhalten: von mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
von mx.google.com mit ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
zum
(Version = TLSv1-Chiffre = RC4-SHA-Bits = 128/128);
Mo, 29 Jul 2013 14:15:08 - 0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 ist weder erlaubt noch wird es von der besten Schätzung für die Domain von [email protected] abgelehnt) client-ip = 205.206.208.34;
Authentifizierungsergebnisse: mx.google.com;
spf = neutral (google.com: 205.206.208.34 ist weder erlaubt noch abgelehnt durch den besten Rat für die Domain von [email protected]) [email protected]
X-IronPort-Anti-Spam-Filter: echt
X-IronPort-Anti-Spam-Ergebnis: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfgOgCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4, 89, 772, 1367992800";
d = "jpg'145? scan'145, 208, 217, 145"; a = "14712973"

Third Hop Erklärung
Dies ist der Hop, der von Telus zum E-Mail-Server des Empfängers führt. Wir können feststellen, dass es von mx.google.com empfangen wurde. Daher hat der Empfänger seinen E-Mail-Dienst bei Google. Hier ist es gut, die Zeile Received-SPF zu beachten : SPF oder Sender Policy Framework ist ein Standard, nach dem der E-Mail-Server eines Absenders sich als legitimer Absender der E-Mail deklarieren kann. In diesem Fall ist der Qualifier neutral, was bedeutet, dass nichts über die Gültigkeit dieser E-Mail gesagt werden kann, ob gut oder schlecht. Hätte es sich als fehlgeschlagen registriert, wäre es von den Gmail-Servern abgelehnt worden. Wenn es Softfail wäre, hätte Gmail es akzeptiert, aber es als möglicherweise nicht von wem es sagt, dass es von ist.

Direkt darunter sehen Sie drei Zeilen, die mit X-IronPort-Anti-Spam beginnen . Die erste, X-IronPort-Anti-Spam-Filtered: stimmt, wird von der IronPort-Anti-Spam-Appliance von Telus angeheftet. IronPort ist ein Teil von Cisco und gilt daher als ziemlich zuverlässig. Die X-IronPort-Anti-Spam-Ergebnislinie ist ausschließlich für die IronPort-Appliances gedacht und kann nicht für menschliche Augen entschlüsselt werden - es sei denn, Sie arbeiten für Cisco und müssen diese entschlüsseln. Die dritte, X-IronPort-AV, zeigt, dass der Absender eine eigene Anti-Spam-Appliance von Sophos hat. Es könnte McAfee oder Norton gelesen haben, oder welcher Filter auch immer Ihre E-Mail durchläuft. Als Empfänger kann dies Ihnen ein wenig mehr Sicherheit geben, dass die E-Mail gültig ist.

Zweiter Hopfen

Erhalten: von unbekannt (HELO mail.exchange.telus.com) ([205.206.210.187])
von mx21.exchange.telus.com mit ESMTP / TLS / AES128-SHA; 29 Jul 2013 15:15:07 -0600

Zweite Hop-Erklärung
Hier zeigt sich, dass Telus der Dienstleister ist. Wenn Zweifel darüber bestehen, führen Sie einen WHOIS-Check für die angezeigte IP-Adresse 205.206.210.187 durch. Sie werden feststellen, dass die IP-Adresse auch zu Telus führt. Das gibt Ihnen ein wenig mehr Sicherheit, dass die E-Mail legitim ist. Wir können auch sagen, dass die Nachricht etwas mehr als eine Minute benötigt hat, um von dem ersten Sprung zu dem zweiten Sprung zu gehen. Das sagt uns nicht viel, es sei denn, Sie sind ein Netzwerk-Ingenieur. Theoretisch könnten Sie ungefähr berechnen, wie weit die beiden Server voneinander entfernt sind.

Erster Sprung

Erhalten: von HEXMBVS12.hostedmsx.local ([10.9.6.115]) durch
HEXHUB13.hostedmsx.local ([:: 1]) mit mapi; Mo, 29 Jul 2013 15:13:48 -0600

Erste Hop-Erklärung
Der erste Hop ist der E-Mail-Server des Absenders, der seine E-Mail-Nachricht erhält. Zu diesem Zeitpunkt bewegt sich die E-Mail noch intern innerhalb des Netzwerks des E-Mail-Servers des Absenders. Sie können daran erkennen, dass die IP-Adresse mit 10 beginnt. IP-Adressen, die mit 10 beginnen, sind nur für den internen Gebrauch reserviert.

Auf dem E-Mail-Server des Empfängers

Geliefert an: [email protected]
Empfangen: von 10.223.200.70 mit SMTP ID ev6csp162209fab;
Mo, 29 Jul 2013 14:15:09 - 0700 (PDT)
X-Received: von 10.236.227.202 mit SMTP-ID d70mr27737943yhq.86.1375132508769;
Mo, 29 Jul 2013 14:15:08 - 0700 (PDT)
Der Weg zurück:

Posteingang

Sobald es den E-Mail-Dienst des Empfängers erreicht, werden dem Header weitere Informationen hinzugefügt - welcher der E-Mail-Server des Empfängers sie wann erhalten hat, von welchem ​​E-Mail-Server die Nachricht empfangen wurde, von der E-Mail-Adresse des beabsichtigten Empfängers und der vom Absender angegebenen Antwort "E-Mail-Adresse". Zurück im dritten Hop haben wir gesehen, dass der E-Mail-Dienst des Empfängers bei Google war. Wir können feststellen, dass diese E-Mail von einem internen Server empfangen und an einen anderen weitergeleitet wurde - 10.236.227.202 bis 10.223.200.70. Am wichtigsten ist, dass wir über den Return-Path feststellen können, dass die E-Mail-Adresse und die E-Mail-Adresse des Absenders identisch sind. Dies sagt uns auch, dass es eine gute Chance gibt, dass diese E-Mail legitim ist.

Andere Dinge aus anderen Überschriften

Dieser bestimmte E-Mail-Header ist in seinen Informationen eingeschränkt, da ein gehosteter E-Mail-Dienst verwendet wird. Wenn der Absender einen eigenen E-Mail-Server verwendet, können wir möglicherweise ein wenig mehr Informationen erhalten. Möglicherweise können wir genau feststellen, welchen Mail-Client sie verwenden. Oder wir könnten ein WHOIS auf der IP-Adresse des Absenders durchführen und einen ungefähren Standort des Absenders erhalten. Wir könnten auch eine einfache Websuche in der Domäne des Absenders durchführen und sehen, ob es eine Website für sie gibt. Basierend auf dieser Website können wir möglicherweise noch mehr Informationen über den Absender finden. Sie können eine Websuche auf der E-Mail-Adresse selbst durchführen und beginnen, die Person zu doxen. Wenn Sie mit dem Konzept des "Doxing" nicht vertraut sind, machen Sie sich mit Joel Lees Was ist Doxing und wie wirkt sich das auf Ihre Privatsphäre aus? Was ist Doxing und wie wirkt sich das auf Ihre Privatsphäre aus? [MakeUseOf erklärt] Was ist Doxing und wie wirkt sich das auf Ihre Privatsphäre aus? [MakeUseOf Explains] Internet-Privatsphäre ist eine große Sache. Einer der genannten Vorteile des Internets ist, dass Sie hinter Ihrem Monitor anonym bleiben können, während Sie surfen, chatten und tun, was auch immer Sie tun .... Lesen Sie weiter Lesen Sie auch den Artikel von Ryan Dube, 15 Websites zu finden Menschen im Internet 12 Websites zum Finden von Menschen im Internet 12 Websites zum Finden von Menschen im Internet Wenn Sie nach einem lang verlorenen Freund suchen oder eine Hintergrundüberprüfung für jemanden durchführen möchten, ziehen Sie diese kostenlosen Ressourcen in Betracht, um Menschen zu finden im Internet. Weiterlesen .

Das wegnehmen

Die gesamte elektronische Kommunikation hinterlässt Spuren. Einige sind größer und einfacher zu folgen. Einige sind durch Webfilter und Proxyserver verdeckt. Wie auch immer, was uns zurückgelassen wird, sagt uns etwas über die Person, die sie erschaffen hat. Aus diesen Metadaten können wir weitere Untersuchungen durchführen, um mehr über die beteiligten Personen zu erfahren. Verstecken sie etwas mit einem VPN? Sind sie wirklich von einem legitimen Geschäft mit einer legitimen Webpräsenz? Ist das jemand mit dem ich wirklich ausgehen möchte? Was können gewöhnliche Menschen über mich erfahren, geschweige denn die NSA?

Werfen Sie einen Blick auf Ihre E-Mail-Header und sehen Sie, was sie über Sie sagen. Wenn Sie einige Kopfzeilen finden, die keinen Sinn ergeben, fügen Sie sie in die Kommentare ein und wir werden versuchen, sie zu entschlüsseln. Mussten Sie einige E-Mail-Header untersuchen? Erzähl uns davon! So lernen wir alle.

Bildquelle: Server Room von torkildr via Flickr.

In this article