Que pouvez-vous apprendre d'un en-tête de courrier électronique (métadonnées)?

Publicité

Avez-vous déjà reçu un e-mail et vous êtes-vous vraiment demandé d'où il venait? Qui l'a envoyé? Comment auraient-ils pu savoir qui vous étiez? Étonnamment, beaucoup de ces informations peuvent provenir de l'en-tête de l'e-mail, ou en utilisant des informations de l'en-tête de l'e-mail pour effectuer un travail de détective.

L'en-tête fait partie du message électronique que la plupart des gens ne voient même jamais. Il contient beaucoup de données qui ressemblent à un charabia pour l'utilisateur moyen de l'ordinateur, de sorte que l'utilisation du courrier électronique est devenu un outil quotidien dans la vie de chacun, les clients de messagerie ont commencé à cacher ces informations par commodité pour vous. Ces jours-ci, il peut même être un peu gênant d'afficher l'en-tête, même pour ceux qui savent qu'il est là. Il existe tellement de clients de messagerie différents, à la fois sur ordinateur et sur le Web, que pour savoir comment afficher l'en-tête de l'e-mail, il pourrait s'agir d'un petit livre. Aujourd'hui, nous allons nous concentrer uniquement sur la façon d'afficher l'en-tête dans Gmail, puis sur ce que nous pouvons tirer de l'en-tête.

Qu'est-ce qu'un en-tête d'e-mail?

Un en-tête d'e-mail est une collection d'informations qui documente le chemin par lequel l'e-mail vous est parvenu. Il peut y avoir beaucoup d'informations dans l'en-tête ou juste les bases. Il existe une norme pour les informations à inclure dans un en-tête, mais pas vraiment une limite aux informations qu'un serveur de messagerie peut mettre dans l'en-tête. Si vous êtes curieux de savoir à quoi ressemble une norme pour un protocole de messagerie, consultez RFC 5321 - Protocole de transfert de courrier simple. C'est un peu dur pour la tête, surtout si vous n'avez pas besoin de connaître ce genre de choses.

Gmail - Afficher le titre de l'e-mail

Une fois que vous avez ouvert un e-mail dans Gmail, cliquez sur la flèche orientée vers le bas près du coin supérieur droit du message. Un nouveau menu apparaîtra. Cliquez sur Afficher l'original pour voir le message électronique brut avec son contenu complet et son en-tête révélés.

Une nouvelle fenêtre ou un nouvel onglet s'ouvrira et vous verrez une version en texte brut de votre e-mail avec l'en-tête en haut, bien sûr. Le contenu de l'en-tête ressemblera à ceci:

Livré à: [email protected]. Reçu: le 10.223.200.70 avec l'ID SMTP ev6csp162209fab; Lun.29 juil.2013 14:15:09 -0700 (PDT) X-Received: par 10.236.227.202 avec l'ID SMTP d70mr27737943yhq.86.1375132508769; Lun.29 juil.2013 14:15:08 -0700 (PDT) Chemin de retour:Reçu: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) par mx.google.com avec l'ID ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. pour(version = chiffre TLSv1 = bits RC4-SHA = 128/128); Lun.29 juil.2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 n'est ni autorisé ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) ip-client = 205.206.208.34; Résultats d'authentification: mx.google.com; spf = neutral (google.com: 205.206.208.34 n'est ni autorisé ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: vrai. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAGJJBJJ X-IronPort-AV: E = Sophos; i = "4,89 772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Reçu: de inconnu (HELO mail.exchange.telus.com) ([205.206.210.187]) par mx21.exchange.telus.com avec ESMTP / TLS / AES128-SHA; 29 juil. 2013 15:15:07 -0600. Reçu: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) par. HEXHUB13.hostedmsx.local ([:: 1]) avec mapi; Lun, 29 juil 2013 15:13:48 -0600. De: Guy McDowell
À: "[email protected]" Date: lun.29 juil.2013 15:15:03 -0600. Objet: Qu'est-ce qu'un en-tête de courrier électronique? Sujet de discussion: Qu'est-ce qu'un en-tête d'e-mail? Index des discussions: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == Identifiant du message: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Accept-Language: en-US. Langue du contenu: en-US. X-MS-Has-Attach: oui. X-MS-TNEF-Corrélateur: acceptlanguage: en-US. Type de contenu: en plusieurs parties / lié; limite = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multipart / alternative" Version MIME: 1.0

C'est zonte. Qu'est-ce que ça veut dire?

Comment l'en-tête de l'e-mail est-il créé?

En sachant comment l'en-tête est créé le long du chemin parcouru par un e-mail, vous développerez un aperçu plus précis de la signification des données d'un en-tête. Examinons les pièces au fur et à mesure de leur ajout et ce que signifient les pièces les plus importantes.

Sur l'ordinateur de l'expéditeur

Une partie de l'en-tête est créée lorsque l'expéditeur crée l'e-mail à envoyer au destinataire. Cela comprendra des informations telles que la date de rédaction de l'e-mail, qui l'a composé, la ligne d'objet et à qui l'e-mail est envoyé. Il s'agit de la partie de l'en-tête que vous connaissez le mieux en tant que lignes Date:, De:, À: et Objet: en haut de votre e-mail.

De: Guy McDowell
À: "[email protected]"
Date: lun.29 juil.2013 15:15:03 -0600
Objet: Qu'est-ce qu'un en-tête d'e-mail?

Sur le service de messagerie de l'expéditeur

Plus d'informations sont ajoutées à l'en-tête une fois l'e-mail envoyé. Ceci est fourni par le service de messagerie que l'expéditeur utilise. Dans ce cas, l'expéditeur utilise un service de messagerie hébergé. L'adresse IP indiquée est donc une adresse interne au réseau du fournisseur de services. Effectuer une recherche WHOIS sur celui-ci ne fournira aucune information utile. Ce que nous pouvons faire, c'est effectuer une recherche Google sur le nom du serveur HEXMBVS12.hostedmsx.local et nous pouvons constater que le fournisseur de services est Telus. Si nous cherchons un peu sur le site Web de Telus, nous constaterons qu’ils offrent un service Microsoft Exchange hébergé. Cela suggère que l'expéditeur utilise probablement Microsoft Outlook, Outlook Express ou Outlook Web Access. Les informations ajoutées ici incluent l'adresse IP de l'expéditeur ([10.9.6.115]), l'heure envoyée par l'e-mail de l'expéditeur service (lun. 29 juil. 2013 15:13:48 -0600) et l'identifiant du message pour ce message particulier ajouté par l'e-mail un service.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Reçu: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) par HEXHUB13.hostedmsx.local ([:: 1]) avec mapi; Lun, 29 juil 2013 15:13:48 -0600. Identifiant du message: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

En route vers le service de messagerie du destinataire

À partir de là, l'e-mail peut emprunter un nombre illimité d'itinéraires pour aboutir au service de messagerie du destinataire. Cela peut être ajouté à l'en-tête pour afficher les «sauts» que l'e-mail a dû faire pour vous parvenir. Ces sauts commencent sur le serveur qui a traité le courrier électronique le plus récemment et reviennent au serveur qui le traitait à l'origine, dans l'ordre chronologique inverse. Dans cet exemple, tous les sauts sont internes au service de messagerie de l'expéditeur.

Troisième et dernier saut

Reçu: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) par mx.google.com avec l'ID ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. pour(version = chiffre TLSv1 = bits RC4-SHA = 128/128); Lun.29 juil.2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 n'est ni autorisé ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) ip-client = 205.206.208.34; Résultats d'authentification: mx.google.com; spf = neutral (google.com: 205.206.208.34 n'est ni autorisé ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: vrai. X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAGJJBJJ X-IronPort-AV: E = Sophos; i = "4,89 772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"

Explication du troisième saut
C'est le tronçon qui le transporte de Telus au serveur de messagerie des destinataires. Nous pouvons dire qu'il a été reçu par mx.google.com, donc le destinataire a son service de messagerie avec Google. Ici, il est bon de noter la ligne Reçu-SPF: SPF, ou Sender Policy Framework, est une norme par laquelle le serveur de messagerie d'un expéditeur peut se déclarer l'expéditeur légitime de l'e-mail. Dans ce cas, le qualificatif est neutre, ce qui signifie que rien ne peut être dit sur la validité de cet e-mail, bon ou mauvais. S'il s'était enregistré en tant que échouer, il aurait été rejeté par les serveurs de Gmail. Si c'était softfail, Gmail l'aurait accepté, mais l'a signalé comme n'étant peut-être pas de qui il est dit.

Juste en dessous, vous verrez également trois lignes commençant par X-IronPort-Anti-Spam. La première, X-IronPort-Anti-Spam-Filtered: vrai, est protégé par l’anti-spam IronPort de Telus. IronPort fait partie de Cisco, il est donc considéré comme assez fiable. le X-IronPort-Anti-Spam-Result La ligne est destinée uniquement aux appliances IronPort et ne peut pas être décodée pour les yeux humains - sauf si vous travaillez pour Cisco et devez la décoder. Le troisième, X-IronPort-AV, montre que l'expéditeur possède son propre dispositif anti-spam de Sophos. Il aurait pu lire McAfee ou Norton, ou quel que soit le filtre utilisé par votre courrier électronique. En tant que destinataire, cela peut vous donner un peu plus de confiance dans la validité de l'e-mail.

Deuxième saut

Reçu: de inconnu (HELO mail.exchange.telus.com) ([205.206.210.187])
par mx21.exchange.telus.com avec ESMTP / TLS / AES128-SHA; 29 juil. 2013 15:15:07 -0600

Explication du deuxième saut
Il devient évident ici que Telus est le fournisseur de services. En cas de doute, effectuez une vérification WHOIS sur l'adresse IP indiquée: 205.206.210.187. Vous constaterez que l'adresse IP mène également à Telus. Cela vous donne un peu plus de confiance que l'e-mail est légitime. Nous pouvons également dire que le message a mis un peu plus d'une minute pour passer du premier saut au deuxième saut. Cela ne nous en dit pas beaucoup, sauf si vous êtes ingénieur réseau. En théorie, vous pourriez calculer à peu près à quelle distance sont les deux serveurs.

First Hop

Reçu: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) par
HEXHUB13.hostedmsx.local ([:: 1]) avec mapi; Lun.29 juil.2013 15:13:48 -0600

Explication du premier bond
Le premier saut est le serveur de messagerie de l'expéditeur qui reçoit son e-mail. À ce stade, l'e-mail se déplace toujours en interne au sein du réseau du serveur de messagerie de l'expéditeur. Vous pouvez dire par le fait que l'adresse IP commence par 10. Les adresses IP commençant par 10 sont réservées à un usage interne uniquement.

Sur le serveur de messagerie du destinataire

Livré à: [email protected]
Reçu: le 10.223.200.70 avec l'ID SMTP ev6csp162209fab;
Lun.29 juil.2013 14:15:09 -0700 (PDT)
X-Received: par 10.236.227.202 avec l'ID SMTP d70mr27737943yhq.86.1375132508769;
Lun.29 juil.2013 14:15:08 -0700 (PDT)
Chemin de retour:

Une fois qu'il parvient au service de messagerie du destinataire, plus d'informations sont ajoutées à l'en-tête - quels serveurs de services de messagerie du destinataire ont reçus et quand, de quel serveur de messagerie électronique le message a été reçu, l'adresse e-mail du destinataire prévu et l'e-mail de réponse de l'expéditeur adresse. au troisième bond, nous avons vu que le service de messagerie du destinataire était avec Google. Nous pouvons dire que cet e-mail a été reçu par un serveur interne et transmis à un autre - 10.236.227.202 à 10.223.200.70. Plus important encore, nous pouvons dire par le Chemin de retour: que l'e-mail auquel répondre et l'e-mail de l'expéditeur sont les mêmes. Cela nous indique également qu'il y a de fortes chances que cet e-mail soit légitime.

Autres choses provenant d'autres en-têtes

Cet en-tête d'e-mail particulier est limité dans ses informations car un service de messagerie hébergé est utilisé. Si l'expéditeur utilisait son propre serveur de messagerie, nous pourrions peut-être obtenir un peu plus d'informations. Nous pourrons peut-être déterminer exactement quel client de messagerie ils utilisent. Ou nous pourrions effectuer un WHOIS sur l'adresse IP de l'expéditeur et obtenir un emplacement approximatif de l'expéditeur. Nous pourrions également effectuer une simple recherche sur le Web du domaine de l'expéditeur et voir s'il existe un site Web pour eux. Sur la base de ce site Web, nous pourrons peut-être trouver encore plus d'informations sur l'expéditeur. Vous pouvez effectuer une recherche Web sur l'adresse e-mail elle-même et commencer à faire un doxing à la personne. Si vous n'êtes pas familier avec le concept de «doxing», familiarisez-vous avec le Qu'est-ce que le Doxing et comment cela affecte-t-il votre vie privée? Qu'est-ce que le Doxing et comment cela affecte-t-il votre vie privée? [MakeUseOf explique]La confidentialité sur Internet est une énorme affaire. L'un des avantages déclarés d'Internet est que vous pouvez rester anonyme derrière votre moniteur pendant que vous naviguez, discutez et faites tout ce que vous faites ... Lire la suite Lisez également l'article de Ryan Dube, 15 sites Web pour trouver des gens sur Internet 13 sites Web pour trouver des personnes sur InternetVous cherchez des amis perdus? Aujourd'hui, il est plus facile que jamais de trouver des gens sur Internet avec ces moteurs de recherche de personnes. Lire la suite .

The Take Away

Toutes les communications électroniques laissent des empreintes. Certains sont plus grands et plus faciles à suivre. Certains sont masqués par des filtres Web et des serveurs proxy. Quoi qu'il en soit, ce qui reste nous dit quelque chose sur la personne qui les a créés. À partir de ces métadonnées, nous pourrions mener d'autres enquêtes pour en savoir plus sur les personnes impliquées. Cachent-ils quelque chose en utilisant un VPN? Proviennent-ils vraiment d'une entreprise légitime avec une présence Web légitime? Est-ce quelqu'un avec qui je veux vraiment sortir? Qu'est-ce que les gens ordinaires peuvent apprendre de moi, sans parler de la NSA?

Jetez un œil à vos en-têtes d'e-mails et voyez ce qu'ils disent de vous. Si vous trouvez des lignes d'en-tête qui n'ont pas beaucoup de sens, mettez-les dans les commentaires et nous essaierons de les décoder. Avez-vous dû faire un en-tête d'e-mail pour enquêter? Dis nous à propos de cela! C’est ainsi que nous apprenons tous.

Crédit d'image: Server Room par torkildr via Flickr.