Apa yang bisa Anda pelajari dari Header Email (Metadata)?

Iklan

Apakah Anda pernah mendapatkan email dan benar-benar bertanya-tanya dari mana asalnya? Siapa yang mengirimnya? Bagaimana mereka bisa tahu siapa kamu? Anehnya, banyak dari informasi itu dapat berasal dari tajuk email, atau dengan menggunakan info dari tajuk email untuk melakukan beberapa pekerjaan detektif.

Header adalah bagian dari pesan email yang kebanyakan orang bahkan tidak pernah melihatnya. Ini berisi banyak data yang tampaknya seperti gobbledygook untuk pengguna komputer rata-rata, sehingga penggunaan email menjadi alat harian dalam kehidupan semua orang, klien email mulai menyembunyikan informasi ini karena kenyamanan untukmu. Hari-hari ini, bahkan bisa sedikit merepotkan untuk menyembunyikan header, bahkan bagi mereka yang tahu itu ada. Ada begitu banyak klien email yang berbeda di luar sana, baik berbasis desktop maupun web, sehingga untuk menutupi bagaimana cara menyembunyikan header email bisa menjadi buku kecil. Hari ini, kita hanya akan fokus pada bagaimana cara menyembunyikan header di Gmail, dan kemudian melihat apa yang bisa kita dapatkan dari header.

Apa itu Header Email?

Header email adalah kumpulan informasi yang mendokumentasikan jalur yang digunakan email untuk Anda. Mungkin ada banyak informasi di header atau hanya dasar-dasarnya. Ada standar untuk informasi apa yang harus dimasukkan dalam header, tetapi tidak benar-benar membatasi informasi apa yang mungkin dimasukkan server email ke header. Jika Anda penasaran tentang seperti apa standar untuk protokol email, periksa RFC 5321 - Protokol Transfer Surat Sederhana. Agak sulit di kepala, terutama jika Anda tidak perlu mengetahui hal ini.

Gmail - Perlihatkan Header Email

Setelah Anda memiliki pesan email terbuka di Gmail, klik panah menghadap ke bawah di dekat sudut kanan atas pesan. Menu baru akan muncul dengan sendirinya. Klik pada Tampilkan asli untuk melihat pesan email mentah dengan konten lengkapnya dan tajuknya terbuka.

Jendela atau tab baru akan terbuka dan Anda akan melihat versi teks biasa dari surel Anda dengan tajuk di bagian atas, tentu saja. Konten tajuk akan terlihat seperti ini:

Dikirim kepada: [email protected]. Diterima: pada 10.223.200.70 dengan SMTP id ev6csp162209fab; Senin, 29 Jul 2013 14:15:09 -0700 (PDT) X-Diterima: oleh 10.236.227.202 dengan SMTP id d70mr27737943yhq.86.1375132508769; Senin, 29 Jul 2013 14:15:08 -0700 (PDT) Jalur Kembali:Diterima: dari mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) oleh mx.google.com dengan ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. untuk(versi = TLSv1 cipher = RC4-SHA bits = 128/128); Senin, 29 Jul 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected]) client-ip = 205.206.208.34; Otentikasi-Hasil: mx.google.com; spf = neutral (google.com: 205.206.208.34 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected]) [email protected]. X-IronPort-Anti-Spam-Difilter: true. X-IronPort-Anti-Spam-Hasil: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAmAgAdAgA X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145? scan'145.208.217.145"; a = "14712973" Diterima: dari tidak diketahui (HELO mail.exchange.telus.com) ([205.206.210.187]) oleh mx21.exchange.telus.com dengan ESMTP / TLS / AES128-SHA; 29 Jul 2013 15:15:07 -0600. Diterima: dari HEXMBVS12.hostedmsx.local ([10.9.6.115]) oleh. HEXHUB13.hostedmsx.local ([:: 1]) dengan mapi; Senin, 29 Jul 2013 15:13:48 -0600. Dari: Guy McDowell
Kepada: "[email protected]" Tanggal: Senin, 29 Jul 2013 15:15:03 -0600. Subjek: Apa itu E-mail Header? Thread-Topic: Apa itu Header E-mail? Thread-Index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Pesan-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Bahasa Terima: id-AS. Konten-Bahasa: id-AS. X-MS-Has-Attach: ya. X-MS-TNEF-Correlator: acceptlanguage: en-US. Jenis-Konten: multipart / terkait; batas = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternative" MIME-Versi: 1.0

Itu bagus. Apa artinya?

Bagaimana Header Email Dibuat?

Dengan mengetahui bagaimana tajuk dibuat di sepanjang jalur yang dilalui email, Anda akan mengembangkan wawasan yang lebih tajam tentang apa arti data tajuk. Mari kita lihat bagian-bagian yang ditambahkan, dan apa arti bagian yang paling penting.

Di Komputer Pengirim

Bagian dari tajuk dibuat ketika pengirim membuat email untuk dikirim ke penerima. Ini akan mencakup informasi seperti ketika email itu dibuat, siapa yang menyusunnya, baris subjek dan kepada siapa email itu dikirim. Ini adalah bagian dari tajuk yang paling Anda kenal sebagai Tanggal:, Dari:, Ke:, dan baris Subjek: di bagian atas email Anda.

Dari: Guy McDowell
Kepada: “[email protected]”
Tanggal: Senin, 29 Jul 2013 15:15:03 -0600
Subjek: Apa itu Judul Email?

Di Layanan Email Pengirim

Informasi lebih lanjut ditambahkan ke header setelah email benar-benar dikirim. Ini disediakan oleh layanan email yang digunakan pengirim. Dalam hal ini, pengirim menggunakan layanan email yang dihosting, sehingga alamat IP yang ditampilkan adalah alamat yang internal ke jaringan penyedia layanan. Melakukan pencarian WHOIS di atasnya tidak akan memberikan informasi yang berguna. Apa yang bisa kita lakukan adalah melakukan pencarian Google pada nama server HEXMBVS12.hostedmsx.local dan kita dapat menemukan bahwa penyedia layanan adalah Telus. Jika kami melakukan penggalian di situs web Telus, kami akan menemukan bahwa mereka menawarkan layanan Microsoft Exchange Hosted. Itu menunjukkan bahwa pengirim mungkin menggunakan Microsoft Outlook, Outlook Express, atau Outlook Web Access. Informasi yang ditambahkan di sini termasuk, alamat IP pengirim ([10.9.6.115]), waktu yang dikirim oleh email pengirim layanan (Senin, 29 Jul 2013 15:13:48 -0600), dan ID-Pesan untuk pesan tertentu tersebut ditambahkan oleh email layanan.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Diterima: dari HEXMBVS12.hostedmsx.local ([10.9.6.115]) oleh HEXHUB13.hostedmsx.local ([:: 1]) dengan mapi; Senin, 29 Jul 2013 15:13:48 -0600. Pesan-ID: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

Sepanjang Jalan menuju Layanan Email Penerima

Dari sana, email dapat mengambil sejumlah rute untuk berakhir di layanan email penerima. Ini dapat ditambahkan ke tajuk untuk menunjukkan 'hop' yang harus dilakukan surel untuk sampai ke Anda. Hop ini dimulai di server yang menangani email terakhir dan kembali ke server yang awalnya menanganinya, dalam urutan kronologis terbalik. Dalam contoh ini, semua hop adalah internal di layanan email pengirim.

Ketiga, dan Hop Terakhir

Diterima: dari mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) oleh mx.google.com dengan ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08. untuk(versi = TLSv1 cipher = RC4-SHA bits = 128/128); Senin, 29 Jul 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected]) client-ip = 205.206.208.34; Otentikasi-Hasil: mx.google.com; spf = neutral (google.com: 205.206.208.34 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected]) [email protected]. X-IronPort-Anti-Spam-Difilter: true. X-IronPort-Anti-Spam-Hasil: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAmAgAdAgA X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145? scan'145.208.217.145"; a = "14712973"

Penjelasan Hop Ketiga
Ini adalah lompatan yang membawanya dari Telus ke server email penerima. Kami dapat mengatakan bahwa itu diterima oleh mx.google.com, sehingga penerima memiliki layanan email mereka dengan Google. Ini bagus untuk mencatat garisnya Diterima-SPF: SPF, atau Kerangka Kebijakan Pengirim, adalah standar di mana server email pengirim dapat menyatakan dirinya sebagai pengirim email yang sah. Dalam hal ini, kualifikasi adalah netral, yang berarti tidak ada yang bisa dikatakan tentang keabsahan email ini, baik atau buruk. Apakah terdaftar sebagai gagal, itu akan ditolak oleh server Gmail. Jika ya kegagalan lunak, Gmail akan menerimanya, tetapi menandainya mungkin bukan berasal dari siapa katanya.

Tepat di bawah itu, Anda juga akan melihat tiga baris dimulai dengan X-IronPort-Anti-Spam. Pertama, X-IronPort-Anti-Spam-Difilter: true, diatasi oleh alat anti-spam Telus 'IronPort. IronPort adalah bagian dari Cisco, sehingga dianggap cukup andal. Itu X-IronPort-Anti-Spam-Result line dimaksudkan hanya untuk peralatan IronPort dan tidak dapat didekodekan untuk mata manusia - kecuali jika Anda bekerja untuk Cisco dan perlu men-decode-nya. Ketiga, X-IronPort-AV, menunjukkan bahwa pengirim memiliki alat anti-spam sendiri dari Sophos. Itu bisa membaca McAfee atau Norton, atau filter apa pun yang dilewati email Anda. Sebagai penerima, ini dapat memberi Anda sedikit lebih percaya diri bahwa email itu valid.

Hop kedua

Diterima: dari tidak diketahui (HELO mail.exchange.telus.com) ([205.206.210.187])
oleh mx21.exchange.telus.com dengan ESMTP / TLS / AES128-SHA; 29 Jul 2013 15:15:07 -0600

Penjelasan Hop Kedua
Di sini menjadi jelas bahwa Telus adalah penyedia layanan. Jika ada keraguan tentang ini, lakukan pemeriksaan WHOIS pada alamat IP yang ditunjukkan: 205.206.210.187. Anda akan menemukan bahwa alamat IP juga mengarah ke Telus. Itu memberi Anda sedikit lebih percaya diri bahwa email itu sah. Kita juga dapat mengatakan bahwa pesannya memerlukan waktu lebih dari satu menit untuk beralih dari hop pertama ke hop kedua. Itu tidak memberi tahu kami banyak hal kecuali Anda seorang insinyur jaringan. Secara teori, Anda dapat menghitung secara kasar seberapa jauh jarak keduanya.

Hop pertama

Diterima: dari HEXMBVS12.hostedmsx.local ([10.9.6.115]) oleh
HEXHUB13.hostedmsx.local ([:: 1]) dengan mapi; Senin, 29 Jul 2013 15:13:48 -0600

Penjelasan Hop Pertama
Hop pertama adalah server email pengirim yang menerima pesan emailnya. Pada titik ini, email masih bergerak secara internal di dalam jaringan server email pengirim. Anda dapat mengetahui fakta bahwa alamat IP dimulai 10. Alamat IP yang dimulai dengan 10 dicadangkan hanya untuk penggunaan internal.

Di Server Email Penerima

Dikirim kepada: [email protected]
Diterima: pada 10.223.200.70 dengan SMTP id ev6csp162209fab;
Senin, 29 Jul 2013 14:15:09 -0700 (PDT)
X-Diterima: oleh 10.236.227.202 dengan SMTP id d70mr27737943yhq.86.1375132508769;
Senin, 29 Jul 2013 14:15:08 -0700 (PDT)
Jalur Kembali:

Setelah sampai ke layanan email penerima, lebih banyak informasi ditambahkan ke header - yang mana dari server layanan email penerima yang diterima dan kapan, dari server email mana pesan diterima, alamat email penerima yang dituju, dan pengirim ‘balas ke’ email alamat. kembali di Hop Ketiga, kami melihat bahwa layanan email penerima ada di Google. Kami dapat mengatakan bahwa email ini diterima oleh satu server internal dan diteruskan ke yang lain - 10.236.227.202 hingga 10.223.200.70. Yang terpenting bisa kita ketahui dari Jalur Kembali: bahwa email yang akan dibalas dan email pengirimnya sama. Ini juga memberi tahu kita bahwa ada peluang bagus bahwa email ini sah.

Hal Lain dari Header Lain

Header email khusus ini terbatas informasinya karena layanan email yang dihosting sedang digunakan. Jika pengirim menggunakan server email mereka sendiri, kami mungkin dapat memperoleh lebih banyak informasi. Kami mungkin dapat menentukan dengan tepat klien email apa yang mereka gunakan. Atau kami dapat melakukan WHOIS pada alamat IP pengirim dan mendapatkan perkiraan lokasi pengirim. Kami juga dapat melakukan pencarian web sederhana pada domain pengirim dan melihat apakah ada situs web untuk mereka. Berdasarkan situs web itu, kami mungkin dapat menemukan lebih banyak informasi tentang pengirim. Anda dapat melakukan pencarian web pada alamat email itu sendiri dan mulai melakukan kesalahan pada orang tersebut. Jika Anda tidak terbiasa dengan konsep 'doxing', biasakan diri Anda dengan Joel Lee Apa Doxing & Bagaimana Pengaruhnya terhadap Privasi Anda? Apa Doxing & Bagaimana Pengaruhnya terhadap Privasi Anda? [MakeUseOf Menjelaskan]Privasi internet adalah masalah besar. Salah satu fasilitas Internet yang dinyatakan adalah Anda dapat tetap anonim di belakang monitor saat menelusuri, mengobrol, dan melakukan apa pun yang Anda lakukan ... Baca lebih banyak Baca juga artikel Ryan Dube, 15 Situs Web untuk Menemukan Orang di Internet 13 Situs Web untuk Menemukan Orang di InternetMencari teman yang hilang? Saat ini, lebih mudah daripada sebelumnya untuk menemukan orang di internet dengan mesin pencari orang-orang ini. Baca lebih banyak .

The Take Away

Semua komunikasi elektronik meninggalkan jejak kaki. Beberapa lebih besar dan lebih mudah diikuti. Beberapa dikaburkan oleh filter web dan server proxy. Bagaimanapun, apa yang tertinggal memberi tahu kita sesuatu tentang orang yang menciptakannya. Dari metadata itu, kami dapat melakukan penyelidikan lebih lanjut untuk mempelajari lebih lanjut tentang orang-orang yang terlibat. Apakah mereka menyembunyikan sesuatu dengan menggunakan VPN? Apakah mereka benar-benar dari bisnis yang sah dengan kehadiran web yang sah? Apakah ini seseorang yang ingin saya ajak kencan? Apa yang bisa dipelajari orang awam tentang saya, apalagi NSA?

Lihatlah tajuk email Anda dan lihat apa yang mereka katakan tentang Anda. Jika Anda menemukan beberapa baris tajuk yang tidak masuk akal, taruh di komentar dan kami akan mencoba menafsirkannya. Apakah Anda harus melakukan investigasi tajuk email? Beritahu kami tentang itu! Itulah cara kita semua belajar.

Kredit Gambar: Ruang Server oleh torkildr melalui Flickr.