Heb je ooit een e-mail ontvangen en je echt afgevraagd waar het vandaan kwam? Wie heeft het verzonden? Hoe konden ze hebben geweten wie je bent? Verrassend genoeg kan veel van die informatie afkomstig zijn uit de e-mailheader of door informatie uit de e-mailheader te gebruiken om speurwerk te verrichten.
De kop is een deel van het e-mailbericht dat de meeste mensen niet eens zien. Het bevat veel gegevens die voor de gemiddelde computergebruiker schaars lijken, dus omdat e-mailgebruik een dagelijks hulpmiddel werd in het leven van iedereen, begonnen e-mailclients deze informatie uit het gemak voor u te verbergen. Tegenwoordig kan het zelfs een beetje lastig zijn om de koptekst zichtbaar te maken, zelfs voor degenen die weten dat het er is. Er zijn zoveel verschillende e-mailclients beschikbaar, zowel op desktop als op internet, die het verbergen van de e-mailheader uiteindelijk een klein boekje kunnen worden. Vandaag gaan we ons concentreren op het zichtbaar maken van de koptekst in Gmail en vervolgens kijken naar wat we uit de koptekst kunnen opsommen.
Wat is een e-mailheader?
Een e-mailheader is een verzameling informatie die het pad beschrijft waarmee de e-mail u heeft bereikt. Er kan veel informatie in de koptekst staan of alleen de basis. Er is een standaard voor welke informatie in een header moet worden opgenomen, maar niet echt een limiet voor welke informatie een e-mailserver in de header kan plaatsen. Als je nieuwsgierig bent naar hoe een standaard voor een e-mailprotocol eruit ziet, bekijk dan RFC 5321 - Simple Mail Transfer Protocol. Het is een beetje lastig, vooral als je dit niet hoeft te weten.
Gmail - Maak de e-mailheader zichtbaar
Zodra je een e-mailbericht hebt geopend in Gmail, klik je op de pijl die naar beneden wijst in de rechterbovenhoek van het bericht. Een nieuw menu zal zichzelf tonen. Klik op Origineel weergeven om het onbewerkte e-mailbericht te bekijken met de volledige inhoud en koptekst onthuld.
Een nieuw venster of tabblad wordt geopend en u ziet natuurlijk een tekstversie van uw e-mail met de koptekst bovenaan. De inhoud van de koptekst ziet er ongeveer zo uit:
Delivered-To: [email protected]
Ontvangen: door 10.223.200.70 met SMTP id ev6csp162209fab;
Ma, 29 Jul 2013 14:15:09 -0700 (PDT)
X-ontvangen: door 10.236.227.202 met SMTP id d70mr27737943yhq.86.1375132508769;
Ma, 29 Jul 2013 14:15:08 -0700 (PDT)
Terugweg:
Ontvangen: van mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
door mx.google.com met ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
voor
(versie = TLSv1-codering = RC4-SHA-bits = 128/128);
Ma, 29 Jul 2013 14:15:08 -0700 (PDT)
Received-SPF: neutraal (google.com: 205.206.208.34 is niet toegestaan of geweigerd door de beste gokrecord voor domein van [email protected]) client-ip = 205.206.208.34;
Verificatie-resultaten: mx.google.com;
spf = neutraal (google.com: 205.206.208.34 is niet toegestaan of geweigerd door de beste schatting van het domein van [email protected]) [email protected]
X-IronPort-Anti-Spam-gefilterd: waar
X-IronPort-Anti-Spam-Resultaat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4.89.772.1367992800";
d =”jpg'145 scan'145, 208, 217, 145 ', a =” 14712973 "
Ontvangen: van onbekend (HELO mail.exchange.telus.com) ([205.206.210.187])
door mx21.exchange.telus.com met ESMTP / TLS / AES128-SHA; 29 juli 2013 15:15:07 -0600
Ontvangen: van HEXMBVS12.hostedmsx.local ([10.9.6.115]) door
HEXHUB13.hostedmsx.local ([:: 1]) met mapi; Ma, 29 Jul 2013 15:13:48 -0600
Van: Guy McDowell
Aan: "[email protected]"
Datum: ma, 29 juli 2013 15:15:03 -0600
Onderwerp: Wat is een e-mailkop?
Discussieonderwerp: Wat is een e-mailkop?
Thread-Index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
Message-ID:
Accept-Taal: nl-NL
Inhoud-Taal: en-US
X-MS-Has-Attach: ja
X-MS-TNEF-correlator:
acceptlanguage: en-US
Inhoudstype: multipart / gerelateerd;
begrenzing =”_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”multipart / alternative”
MIME-versie: 1.0
Dat is leuk. Wat betekent dat?
Hoe wordt de e-mailheader gemaakt?
Door te weten hoe de header wordt gemaakt langs het pad dat een e-mail aflegt, krijgt u een beter inzicht in wat de gegevens van een header betekenen. Laten we naar de onderdelen kijken terwijl ze worden toegevoegd en wat de belangrijkste onderdelen betekenen.
Op de computer van de afzender
Een deel van de koptekst wordt gemaakt wanneer de afzender de e-mail maakt om naar de ontvanger te verzenden. Dit omvat informatie zoals wanneer de e-mail is opgesteld, wie deze heeft opgesteld, de onderwerpregel en naar wie de e-mail wordt verzonden. Dit is het deel van de koptekst dat u het meest vertrouwd ziet als de velden Datum :, Van :, Tot: en Onderwerp: regels boven aan uw e-mail.
Van: Guy McDowell
Aan: "[email protected]"
Datum: ma, 29 juli 2013 15:15:03 -0600
Onderwerp: Wat is een e-mailheader?
Op de e-mailservice van de afzender
Meer informatie wordt aan de header toegevoegd zodra de e-mail daadwerkelijk is verzonden. Dit wordt geleverd door de e-mailservice die de afzender gebruikt. In dit geval gebruikt de afzender een gehoste e-mailservice, dus het weergegeven IP-adres is een adres dat intern is voor het netwerk van de serviceprovider. Het uitvoeren van een WHOIS-zoekopdracht hierop levert geen bruikbare informatie op. Wat we kunnen doen is een Google-zoekopdracht uitvoeren op de servernaam HEXMBVS12.hostedmsx.local en we kunnen zien dat de serviceprovider Telus is. Als we wat rondkijken op de Telus-website, zullen we merken dat ze een Hosted Microsoft Exchange-service aanbieden. Dat suggereert dat de afzender waarschijnlijk Microsoft Outlook, Outlook Express of Outlook Web Access gebruikt. De informatie die hier wordt toegevoegd, omvat het IP-adres van de afzender ([10.9.6.115]), de tijd die door de e-mailservice van de afzender is verzonden (ma, 29 juli 2013 15:13:48 -0600) en de bericht-ID voor dat specifieke bericht bericht zoals toegevoegd door de e-mailservice.
(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Ontvangen: van HEXMBVS12.hostedmsx.local ([10.9.6.115]) door HEXHUB13.hostedmsx.local ([:: 1]) met mapi; Ma, 29 Jul 2013 15:13:48 -0600
Message-ID:
Onderweg naar de e-mailservice van de ontvanger
Van daaruit kan de e-mail een willekeurig aantal routes afleggen om bij de e-mailservice van de ontvanger terecht te komen. Dit kan worden toegevoegd aan de kop om de 'hops' weer te geven die de e-mail moest maken om u te bereiken. Deze hops starten op de server die het laatst de e-mail heeft afgehandeld en gaan terug naar de server die deze oorspronkelijk behandelde, in omgekeerde chronologische volgorde. In dit voorbeeld zijn alle hops intern bij de e-mailservice van de afzender.
Derde en Final Hop
Ontvangen: van mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
door mx.google.com met ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
voor
(versie = TLSv1-codering = RC4-SHA-bits = 128/128);
Ma, 29 Jul 2013 14:15:08 -0700 (PDT)
Received-SPF: neutraal (google.com: 205.206.208.34 is niet toegestaan of geweigerd door de beste gokrecord voor domein van [email protected]) client-ip = 205.206.208.34;
Verificatie-resultaten: mx.google.com;
spf = neutraal (google.com: 205.206.208.34 is niet toegestaan of geweigerd door de beste schatting van het domein van [email protected]) [email protected]
X-IronPort-Anti-Spam-gefilterd: waar
X-IronPort-Anti-Spam-Resultaat: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4.89.772.1367992800";
d =”jpg'145 scan'145, 208, 217, 145 ', a =” 14712973 "
Third Hop Explanation
Dit is de hop die het van Telus naar de e-mailserver van de ontvanger haalt. We kunnen zien dat deze is ontvangen door mx.google.com, dus de ontvanger heeft zijn e-mailservice bij Google. Hier is het goed om op te merken dat de regel Received-SPF: SPF, of Sender Policy Framework, een standaard is waarmee een e-mailserver van een afzender zichzelf kan declareren als de legitieme afzender van de e-mail. In dit geval is de kwalificatie neutraal, wat betekent dat er niets valt te zeggen over de geldigheid van deze e-mail, goed of slecht. Als het was geregistreerd als mislukt, zou het zijn geweigerd door de servers van Gmail. Als het softfail was, zou Gmail het geaccepteerd hebben, maar het gemarkeerd als mogelijk niet van wie het zegt dat het afkomstig is.
Net daaronder zie je ook drie regels die beginnen met X-IronPort-Anti-Spam . De eerste, X-IronPort-Anti-Spam-Filtered: true, wordt aangepakt door Telus 'IronPort antispamapparaat. IronPort maakt deel uit van Cisco, dus het wordt als redelijk betrouwbaar beschouwd. De regel X-IronPort-Anti-Spam-Result is uitsluitend bedoeld voor de IronPort-apparaten en kan niet worden gedecodeerd voor menselijke ogen - tenzij u voor Cisco werkt en deze moet decoderen. De derde, X-IronPort-AV, laat zien dat de afzender zijn eigen antispamapparaat van Sophos heeft. Het had McAfee of Norton kunnen lezen, of welke filter je e-mail ook doorziet. Als ontvanger kan dit u een beetje meer vertrouwen geven dat de e-mail geldig is.
Tweede Hop
Ontvangen: van onbekend (HELO mail.exchange.telus.com) ([205.206.210.187])
door mx21.exchange.telus.com met ESMTP / TLS / AES128-SHA; 29 juli 2013 15:15:07 -0600
Tweede Hop-verklaring
Het wordt hier duidelijk dat Telus de dienstverlener is. Als hier twijfel over bestaat, voert u een WHOIS-controle uit op het weergegeven IP-adres: 205.206.210.187. U zult merken dat het IP-adres ook naar Telus leidt. Dat geeft u een beetje meer vertrouwen dat de e-mail legitiem is. We kunnen ook zien dat de boodschap iets meer dan een minuut duurde om van de eerste hop naar de tweede hop te gaan. Dat zegt ons niet zoveel, tenzij je een netwerkingenieur bent. In theorie zou je ongeveer kunnen berekenen hoe ver van elkaar de twee servers zijn.
First Hop
Ontvangen: van HEXMBVS12.hostedmsx.local ([10.9.6.115]) door
HEXHUB13.hostedmsx.local ([:: 1]) met mapi; Ma, 29 Jul 2013 15:13:48 -0600
Eerste Hop-verklaring
De eerste hop is de e-mailserver van de afzender die zijn e-mailbericht ontvangt. Op dit moment verplaatst de e-mail zich nog steeds intern binnen het netwerk van de e-mailserver van de afzender. U merkt aan het feit dat het IP-adres begint met 10 . IP-adressen die beginnen met 10 zijn alleen gereserveerd voor intern gebruik.
Op de e-mailserver van de ontvanger
Delivered-To: [email protected]
Ontvangen: door 10.223.200.70 met SMTP id ev6csp162209fab;
Ma, 29 Jul 2013 14:15:09 -0700 (PDT)
X-ontvangen: door 10.236.227.202 met SMTP id d70mr27737943yhq.86.1375132508769;
Ma, 29 Jul 2013 14:15:08 -0700 (PDT)
Terugweg:
Zodra de e-mailservice van de ontvanger is bereikt, wordt er meer informatie aan de kop toegevoegd - welke van de e-mailserviceservers van de ontvanger heeft deze ontvangen en wanneer, op welke e-mailserver het bericht is ontvangen, het e-mailadres van de beoogde ontvanger en het vermelde antwoord van de afzender naar 'e-mailadres'. Terug in de Derde Hop zagen we dat de e-mailservice van de ontvanger bij Google was. We kunnen zien dat deze e-mail door één interne server is ontvangen en is doorgegeven aan een andere - 10.236.227.202 tot 10.223.200.70. Het belangrijkste is dat we aan het Return-pad kunnen zien dat de e-mail om te beantwoorden en de e-mail van de afzender hetzelfde is. Dit vertelt ons ook dat er een goede kans is dat deze e-mail legitiem is.
Andere dingen van andere headers
Deze specifieke e-mailheader is beperkt in zijn informatie omdat een gehoste e-mailservice wordt gebruikt. Als de afzender zijn eigen e-mailserver gebruikt, kunnen we misschien wat meer informatie krijgen. We kunnen mogelijk precies bepalen welke e-mailclient ze gebruiken. Of we konden een WHOIS uitvoeren op het IP-adres van de afzender en een geschatte locatie van de afzender krijgen. We kunnen ook een eenvoudige zoekopdracht op internet uitvoeren op het domein van de afzender en kijken of er een website voor hen is. Op basis van die website kunnen we mogelijk nog meer informatie over de afzender vinden. U kunt een zoekopdracht op internet uitvoeren op het e-mailadres zelf en beginnen met het doxeren van de persoon. Als je niet bekend bent met het concept van 'doxing', maak je dan vertrouwd met Joel Lee's What Is Doxing & Hoe beīnvloedt het je privacy? Wat is Doxing en wat heeft invloed op uw privacy? [MakeUseOf Explains] Wat is doxing en wat heeft invloed op je privacy? [MakeUseOf Explains] Internetprivacy is een groot probleem. Een van de genoemde voordelen van internet is dat je anoniem achter je monitor kunt blijven terwijl je surft, chat en doet wat je ook maar doet .... Lees meer Lees ook het artikel van Ryan Dube, 15 websites om te vinden Mensen op internet 12 Websites om mensen op internet te vinden 12 Websites om mensen op internet te vinden Als u op zoek bent naar een lang verloren vriend, of misschien een achtergrondcontrole van iemand wilt uitvoeren, overweeg dan deze gratis bronnen om mensen te vinden op het internet. Lees verder .
De Take Away
Alle elektronische communicatie laat voetafdrukken na. Sommige zijn groter en gemakkelijker te volgen. Sommige worden verdoezeld door webfilters en proxyservers. Hoe dan ook, wat achterblijft, vertelt ons iets over de persoon die ze heeft gemaakt. Uit die metadata kunnen we verder onderzoek doen om meer te weten te komen over de betrokken personen. Verbergen ze iets door een VPN te gebruiken? Zijn ze echt van een legitieme onderneming met een legitieme aanwezigheid op het web? Is dit iemand met wie ik echt een date wil? Wat kunnen gewone mensen over mij te weten komen, laat staan de NSA?
Bekijk uw e-mailheaders en kijk wat ze over u zeggen. Als u enkele kopregels vindt die niet veel zin hebben, plaatst u ze in de opmerkingen en proberen we ze te decoderen. Heb je wat e-mailheader moeten onderzoeken? Vertel ons erover! Dat is hoe we allemaal leren.
Image Credit: Server Room van torkildr via Flickr.