O que você pode aprender com um cabeçalho de email (metadados)?

Propaganda

Você já recebeu um e-mail e realmente se perguntou de onde veio? Quem o enviou? Como eles poderiam saber quem você é? Surpreendentemente, muitas dessas informações podem ser do cabeçalho do email, ou usando informações do cabeçalho do email para realizar algum trabalho de detetive.

O cabeçalho faz parte da mensagem de email que a maioria das pessoas nunca vê. Ele contém muitos dados que parecem agradáveis ​​para o usuário comum de computador, portanto, o uso de e-mail tornou-se uma ferramenta diária na vida de todos, os clientes de email começaram a esconder essas informações por conveniência para voce. Hoje em dia, pode até ser um pouco problemático exibir o cabeçalho, mesmo para quem sabe que ele está lá. Existem tantos clientes de email diferentes por aí, tanto na área de trabalho quanto na Web, que cobrir como reexibir o cabeçalho do email podem acabar sendo um pequeno livro. Hoje, vamos nos concentrar em como mostrar o cabeçalho no Gmail e depois ver o que podemos coletar no cabeçalho.

O que é um cabeçalho de email?

Um cabeçalho de email é uma coleção de informações que documentam o caminho pelo qual o email chegou até você. Pode haver muita informação no cabeçalho ou apenas o básico. Há um padrão para quais informações devem ser incluídas em um cabeçalho, mas não um limite para as informações que um servidor de email pode colocar no cabeçalho. Se você estiver curioso sobre a aparência de um padrão para um protocolo de e-mail, confira RFC 5321 - Protocolo Simples de Transferência de Correio. É um pouco difícil, especialmente se você não precisa saber disso.

Gmail - reexibir o cabeçalho do email

Depois de abrir uma mensagem de e-mail no Gmail, clique na seta voltada para baixo, perto do canto superior direito da mensagem. Um novo menu será exibido. Clique em Mostrar original para ver a mensagem de e-mail não processada, com todo o conteúdo e cabeçalho revelados.

Uma nova janela ou guia será aberta e você verá uma versão em texto sem formatação do seu e-mail com o cabeçalho na parte superior, é claro. O conteúdo do cabeçalho será mais ou menos assim:

Entregue para: [email protected]. Recebido: até 10.223.200.70 com o ID SMTP ev6csp162209fab; Segunda-feira, 29 de julho de 2013 14:15:09 -0700 (PDT) X-Recebido: por 10.236.227.202 com o ID SMTP d70mr27737943yhq.86.1375132508769; Segunda-feira, 29 de julho de 2013 14:15:08 -0700 (PDT) Caminho de retorno:Recebido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) por mx.google.com com o ID do ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. para(versão = cifra TLSv1 = bits RC4-SHA = 128/128); Segunda-feira, 29 de julho de 2013 14:15:08 -0700 (PDT) SPF recebido: neutro (google.com: 205.206.208.34 não é permitido nem negado pelo registro de melhor palpite para o domínio [email protected]) client-ip = 205.206.208.34; Resultados da autenticação: mx.google.com; spf = neutral (google.com: 205.206.208.34 não é permitido nem negado pelo registro de melhor palpite para o domínio [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-de Resultados: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Recebido: de desconhecido (HELO mail.exchange.telus.com) ([205.206.210.187]) por mx21.exchange.telus.com com ESMTP / TLS / AES128-SHA; 29 de julho de 2013 15:15:07 -0600. Recebido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por. HEXHUB13.hostedmsx.local ([:: 1]) com mapi; Segunda-feira, 29 de julho de 2013 15:13:48 -0600. De: Guy McDowell
Para: "[email protected]" Data: segunda-feira, 29 de julho de 2013 15:15:03 -0600. Assunto: O que é um cabeçalho de email? Thread-Topic: O que é um cabeçalho de email? Thread-Index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == ID da mensagem: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Idioma de aceitação: en-US. Idioma do conteúdo: en-US. X-MS-Has-Attach: sim. Correlador X-MS-TNEF: idioma aceito: en-US. Tipo de Conteúdo: multipart / related; limite = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternativo" Versão MIME: 1.0

Isso é bom. O que isso significa?

Como é criado o cabeçalho do email?

Ao saber como o cabeçalho é criado ao longo do caminho que um email percorre, você desenvolverá uma visão mais aprofundada do significado dos dados de um cabeçalho. Vamos ver as partes à medida que são adicionadas e o que significam as partes mais importantes.

No computador do remetente

Parte do cabeçalho é criada quando o remetente cria o email para enviar ao destinatário. Isso incluirá informações como quando o email foi composto, quem o compôs, a linha de assunto e para quem o email está sendo enviado. Essa é a parte do cabeçalho que você mais conhece, como as linhas Data:, De:, Para: e Assunto: na parte superior do seu email.

De: Guy McDowell
Para: "[email protected]"
Data: segunda-feira, 29 de julho de 2013 15:15:03 -0600
Assunto: O que é um cabeçalho de email?

No serviço de e-mail do remetente

Mais informações são adicionadas ao cabeçalho assim que o email é realmente enviado. Isso é fornecido pelo serviço de email que o remetente está usando. Nesse caso, o remetente está usando um serviço de email hospedado; portanto, o endereço IP mostrado é um endereço interno à rede do provedor de serviços. A realização de uma pesquisa WHOIS nela não fornecerá nenhuma informação útil. O que podemos fazer é realizar uma pesquisa no Google no nome do servidor HEXMBVS12.hostedmsx.local e podemos descobrir que o provedor de serviços é a Telus. Se pesquisarmos no site da Telus, descobriremos que eles oferecem um serviço Hosted Microsoft Exchange. Isso sugere que o remetente provavelmente está usando o Microsoft Outlook, o Outlook Express ou o Outlook Web Access. As informações adicionadas aqui incluem o endereço IP do remetente ([10.9.6.115]), o horário enviado pelo email do remetente (Seg, 29 de julho de 2013 15:13:48 -0600) e o ID da mensagem para essa mensagem específica, conforme adicionado pelo email serviço.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Recebido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por HEXHUB13.hostedmsx.local ([:: 1]) com mapi; Segunda-feira, 29 de julho de 2013 15:13:48 -0600. ID da mensagem: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Ao longo do caminho para o serviço de e-mail do destinatário

A partir daí, o email pode seguir qualquer número de rotas para terminar no serviço de email do destinatário. Isso pode ser adicionado ao cabeçalho para mostrar os "saltos" que o email precisou fazer para chegar até você. Esses saltos começam no servidor que mais recentemente lidou com o email e retornam ao servidor que originalmente o tratou, em ordem cronológica inversa. Neste exemplo, todos os saltos são internos no serviço de email do remetente.

Terceiro e Final Hop

Recebido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) por mx.google.com com o ID do ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. para(versão = cifra TLSv1 = bits RC4-SHA = 128/128); Segunda-feira, 29 de julho de 2013 14:15:08 -0700 (PDT) SPF recebido: neutro (google.com: 205.206.208.34 não é permitido nem negado pelo registro de melhor palpite para o domínio [email protected]) client-ip = 205.206.208.34; Resultados da autenticação: mx.google.com; spf = neutral (google.com: 205.206.208.34 não é permitido nem negado pelo registro de melhor palpite para o domínio [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: true. X-IronPort-Anti-Spam-de Resultados: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU. X-IronPort-AV: E = Sophos; i = "4,89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"

Explicação do terceiro salto
Este é o salto que leva do Telus ao servidor de email dos destinatários. Podemos dizer que foi recebido pelo mx.google.com, para que o destinatário tenha seu serviço de e-mail com o Google. Aqui é bom notar a linha SPF recebido: O SPF, ou Sender Policy Framework, é um padrão pelo qual o servidor de email de um remetente pode se declarar o remetente legítimo do email. Nesse caso, o qualificador é neutro, o que significa que nada pode ser dito sobre a validade deste e-mail, bom ou ruim. Se tivesse registrado como falhou, teria sido rejeitado pelos servidores do Gmail. Se isso fosse falha suave, O Gmail teria aceitado, mas sinalizado como possivelmente não sendo de quem diz ser.

Logo abaixo, você também verá três linhas começando com X-IronPort-Anti-Spam. O primeiro, X-IronPort-Anti-Spam-Filtered: true, é abordado pelo appliance anti-spam Telus da IronPort. A IronPort faz parte da Cisco, por isso é considerado bastante confiável. o Resultado X-IronPort-Anti-Spam A linha destina-se exclusivamente aos equipamentos IronPort e não pode ser decodificada para olhos humanos - a menos que você trabalhe na Cisco e precise decodificá-la. O terceiro, X-IronPort-AV, mostra que o remetente possui seu próprio dispositivo anti-spam da Sophos. Poderia ter lido McAfee ou Norton, ou qualquer outro filtro pelo qual o seu email seja submetido. Como destinatário, isso pode lhe dar um pouco mais de confiança de que o email é válido.

Second Hop

Recebido: de desconhecido (HELO mail.exchange.telus.com) ([205.206.210.187])
por mx21.exchange.telus.com com ESMTP / TLS / AES128-SHA; 29 de julho de 2013 15:15:07 -0600

Explicação do segundo salto
Torna-se óbvio aqui que a Telus é o provedor de serviços. Se houver alguma dúvida sobre isso, execute uma verificação WHOIS no endereço IP mostrado: 205.206.210.187. Você verá que o endereço IP também leva ao Telus. Isso lhe dá um pouco mais de confiança de que o email é legítimo. Também podemos dizer que a mensagem demorou um pouco mais de um minuto para ir do primeiro salto ao segundo salto. Isso não nos diz muito, a menos que você seja um engenheiro de rede. Em teoria, você pode calcular aproximadamente a que distância estão os dois servidores.

First Hop

Recebido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por
HEXHUB13.hostedmsx.local ([:: 1]) com mapi; Segunda-feira, 29 de julho de 2013 15:13:48 -0600

Explicação do primeiro salto
O primeiro salto é o servidor de email do remetente que recebe sua mensagem de email. Nesse momento, o email ainda está sendo movido internamente na rede do servidor de email do remetente. Você pode perceber pelo fato de que o endereço IP começa com 10. O endereço IP que começa com 10 é reservado apenas para uso interno.

No servidor de email do destinatário

Entregue para: [email protected]
Recebido: até 10.223.200.70 com o ID SMTP ev6csp162209fab;
Segunda-feira, 29 de julho de 2013 14:15:09 -0700 (PDT)
X-Recebido: por 10.236.227.202 com o ID SMTP d70mr27737943yhq.86.1375132508769;
Segunda-feira, 29 de julho de 2013 14:15:08 -0700 (PDT)
Caminho de retorno:

Assim que chega ao serviço de email do destinatário, mais informações são adicionadas ao cabeçalho - quais servidores de serviços de email do destinatário receberam e quando, de qual servidor de email a mensagem foi recebida, o endereço de email do destinatário pretendido e o email de resposta do remetente endereço. No terceiro salto, vimos que o serviço de email do destinatário estava com o Google. Podemos dizer que esse email foi recebido por um servidor interno e passado para outro - 10.236.227.202 a 10.223.200.70. Mais importante, podemos dizer pelo Caminho de retorno: que o email para responder e o email do remetente são os mesmos. Isso também nos diz que há uma boa chance de que este email seja legítimo.

Outras coisas de outros cabeçalhos

Esse cabeçalho de email específico é limitado em suas informações porque um serviço de email hospedado está sendo usado. Se o remetente estiver usando seu próprio servidor de e-mail, poderemos obter um pouco mais de informação. Talvez possamos determinar exatamente qual cliente de email eles estão usando. Ou podemos executar um WHOIS no endereço IP do remetente e obter uma localização aproximada do remetente. Também podemos realizar uma pesquisa na web simples no domínio do remetente e verificar se há um site para eles. Com base nesse site, podemos encontrar ainda mais informações sobre o remetente. Você pode realizar uma pesquisa na web no próprio endereço de e-mail e começar a doxing a pessoa. Se você não conhece o conceito de 'doxing', familiarize-se com o de Joel Lee O que é Doxing e como isso afeta sua privacidade? O que é Doxing e como isso afeta sua privacidade? [MakeUseOf explica]A privacidade na Internet é um grande negócio. Uma das vantagens declaradas da Internet é que você pode permanecer anônimo atrás do monitor enquanto navega, conversa e faz o que quer que faça ... consulte Mais informação Leia também o artigo de Ryan Dube, 15 sites para encontrar pessoas na Internet 13 sites para encontrar pessoas na InternetProcurando por amigos perdidos? Hoje, é mais fácil do que nunca encontrar pessoas na Internet com esses mecanismos de pesquisa. consulte Mais informação .

The Take Away

Todas as comunicações eletrônicas deixam pegadas. Alguns são maiores e mais fáceis de seguir. Alguns são obscurecidos por filtros da web e servidores proxy. De qualquer forma, o que é deixado para trás nos diz algo sobre a pessoa que os criou. A partir desses metadados, poderemos realizar investigações adicionais para aprender mais sobre as pessoas envolvidas. Eles estão escondendo algo usando uma VPN? Eles são realmente de um negócio legítimo com uma presença legítima na web? É alguém com quem eu realmente quero sair? O que as pessoas comuns podem aprender sobre mim, muito menos a NSA?

Dê uma olhada em seus cabeçalhos de e-mail e veja o que eles dizem sobre você. Se você encontrar algumas linhas de cabeçalho que não fazem muito sentido, coloque-as nos comentários e tentaremos decodificá-las. Você já teve que investigar um cabeçalho de email? Conte-nos sobre isso! É assim que todos aprendemos.

Crédito de imagem: Sala de servidores por torkildr via Flickr.