Você já recebeu um e-mail e realmente se perguntou de onde veio? Quem mandou? Como eles poderiam saber quem você é? Surpreendentemente, muitas dessas informações podem vir do cabeçalho do email, ou usando informações do cabeçalho do email para fazer algum trabalho de detetive.
O cabeçalho é uma parte da mensagem de email que a maioria das pessoas nunca vê. Ele contém uma grande quantidade de dados que parecem gobbledygook para o usuário médio do computador, assim como o uso de e-mail tornou-se uma ferramenta diária na vida de todos, os clientes de e-mail começaram a esconder essas informações por conveniência. Hoje em dia, pode até ser um pouco problemático para mostrar o cabeçalho, mesmo para aqueles que sabem que está lá. Há tantos clientes de e-mail diferentes por aí, tanto na área de trabalho quanto na web, que para mostrar como exibir o cabeçalho do e-mail pode acabar sendo um livro pequeno. Hoje, vamos nos concentrar apenas em exibir o cabeçalho no Gmail e, em seguida, analisar o que podemos obter no cabeçalho.
O que é um cabeçalho de email?
Um cabeçalho de email é uma coleção de informações que documenta o caminho pelo qual o email chegou até você. Pode haver muita informação no cabeçalho ou apenas noções básicas. Existe um padrão para quais informações devem ser incluídas em um cabeçalho, mas não um limite para as informações que um servidor de email pode colocar no cabeçalho. Se você está curioso sobre como é um padrão para um protocolo de e-mail, confira RFC 5321 - Simple Mail Transfer Protocol. É um pouco difícil, especialmente se você não precisa saber disso.
Gmail - Mostrar o cabeçalho do email
Depois de abrir uma mensagem de e-mail no Gmail, clique na seta para baixo, próxima ao canto superior direito da mensagem. Um novo menu será exibido. Clique em Mostrar original para ver a mensagem de e-mail bruta com o conteúdo completo e o cabeçalho revelado.
Uma nova janela ou aba será aberta e você verá uma versão em texto sem formatação do seu e-mail com o cabeçalho no topo, é claro. O conteúdo do cabeçalho será algo como isto:
Entregue para: [email protected]
Recebido: por 10.223.200.70 com id de SMTP ev6csp162209fab;
Seg, 29 de julho de 2013 14:15:09 -0700 (PDT)
X-Received: por 10.236.227.202 com identificação de SMTP d70mr27737943yhq.86.1375132508769;
Seg, 29 de julho de 2013 14:15:08 -0700 (PDT)
Caminho de Retorno:
Recebido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
por mx.google.com com ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
para
(versão = cifra TLSv1 = bits RC4-SHA = 128/128);
Seg, 29 de julho de 2013 14:15:08 -0700 (PDT)
Recebido-SPF: neutro (google.com: 205.206.208.34 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) client-ip = 205.206.208.34;
Resultados de autenticação: mx.google.com;
spf = neutral (google.com: 205.206.208.34 não é permitido nem negado pelo melhor registro de adivinhação do domínio de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Resultado: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = ”4, 89, 772, 1367992800”;
d = ”jpg'145? scan'145, 208, 217, 145 ″; a =” 14712973 ″
Recebido: de desconhecido (HELO mail.exchange.telus.com) ([205.206.210.187])
por mx21.exchange.telus.com com ESMTP / TLS / AES128-SHA; 29 de julho de 2013 15:15:07 -0600
Recebido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por
HEXHUB13.hostedmsx.local ([:: 1]) com mapi; Seg, 29 de julho de 2013 15:13:48 -0600
De: Guy McDowell
Para: “[email protected]”
Data: seg, 29 de julho de 2013 15:15:03 -0600
Assunto: O que é um cabeçalho de e-mail?
Tópico: Tópico O que é um cabeçalho de e-mail?
Índice de threads: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
ID da mensagem:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach: sim
Correlator X-MS-TNEF:
acceptlanguage: en-US
Tipo de Conteúdo: multipartes / relacionados;
limite = ”_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type = ”multiparte / alternativa”
Versão MIME: 1.0
Isso é bom. O que isso significa?
Como o cabeçalho de e-mail é criado?
Ao saber como o cabeçalho é criado ao longo do caminho percorrido por um e-mail, você desenvolverá uma percepção mais profunda sobre o significado dos dados de um cabeçalho. Vamos ver as partes à medida que são adicionadas e o que as partes mais importantes significam.
No computador do remetente
Parte do cabeçalho é criada quando o remetente cria o email para enviar ao destinatário. Isso incluirá informações como quando o email foi composto, quem o compôs, o assunto e para quem o email está sendo enviado. Essa é a parte do cabeçalho que você mais conhece como as linhas Data :, De :, Para: e Assunto: na parte superior do seu e-mail.
De: Guy McDowell
Para: “[email protected]”
Data: seg, 29 de julho de 2013 15:15:03 -0600
Assunto: O que é um cabeçalho de email?
No serviço de e-mail do remetente
Mais informações são adicionadas ao cabeçalho quando o email é realmente enviado. Isso é fornecido pelo serviço de email que o remetente está usando. Nesse caso, o remetente está usando um serviço de e-mail hospedado, portanto, o endereço IP mostrado é um endereço interno da rede do provedor de serviços. A realização de uma pesquisa WHOIS não fornecerá informações úteis. O que podemos fazer é realizar uma pesquisa no Google sobre o nome do servidor HEXMBVS12.hostedmsx.local e podemos descobrir que o provedor de serviços é a Telus. Se fizermos alguma pesquisa no site da Telus, descobriremos que eles oferecem um serviço Hospedado do Microsoft Exchange. Isso sugere que o remetente provavelmente está usando o Microsoft Outlook, o Outlook Express ou o Outlook Web Access. As informações adicionadas aqui incluem o endereço IP do remetente ([10.9.6.115]), a hora enviada pelo serviço de e-mail do remetente (seg, 29 jul 2013 15:13:48 -0600) e o ID da mensagem para esse particular mensagem adicionada pelo serviço de e-mail.
(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Recebido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por HEXHUB13.hostedmsx.local ([:: 1]) com mapi; Seg, 29 de julho de 2013 15:13:48 -0600
ID da mensagem:
Ao longo do caminho para o serviço de e-mail do destinatário
A partir daí, o email pode levar qualquer número de rotas para acabar no serviço de email do destinatário. Isso pode ser adicionado ao cabeçalho para mostrar os "saltos" que o email teve que fazer para chegar até você. Esses saltos começam no servidor que mais recentemente manipulou o email e retornam ao servidor que originalmente o manipulou, em ordem cronológica inversa. Neste exemplo, todos os saltos são internos no serviço de email do remetente.
Terceiro e Final Hop
Recebido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
por mx.google.com com ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
para
(versão = cifra TLSv1 = bits RC4-SHA = 128/128);
Seg, 29 de julho de 2013 14:15:08 -0700 (PDT)
Recebido-SPF: neutro (google.com: 205.206.208.34 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) client-ip = 205.206.208.34;
Resultados de autenticação: mx.google.com;
spf = neutral (google.com: 205.206.208.34 não é permitido nem negado pelo melhor registro de adivinhação do domínio de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Resultado: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = ”4, 89, 772, 1367992800”;
d = ”jpg'145? scan'145, 208, 217, 145 ″; a =” 14712973 ″
Explicação do terceiro lúpulo
Este é o salto que leva da Telus para o servidor de email dos destinatários. Podemos dizer que ele foi recebido por mx.google.com, para que o destinatário tenha seu serviço de e-mail com o Google. Aqui é bom anotar a linha Received-SPF: SPF, ou Sender Policy Framework, é um padrão pelo qual o servidor de e-mail de um remetente pode declarar-se o remetente legítimo do e-mail. Nesse caso, o qualificador é neutro, o que significa que nada pode ser dito sobre a validade desse e-mail, bom ou ruim. Se tivesse sido registrada como falha, ela teria sido rejeitada pelos servidores do Gmail. Se fosse softfail, o Gmail teria aceitado, mas denunciado como possivelmente não sendo de quem diz que é.
Logo abaixo, você também verá três linhas começando com o X-IronPort-Anti-Spam . O primeiro, X-IronPort-Anti-Spam-Filtered: true, é acrescentado pelo dispositivo anti-spam IronPort da Telus. O IronPort é uma parte da Cisco, por isso é considerado bastante confiável. A linha X-IronPort-Anti-Spam-Result destina-se exclusivamente aos appliances IronPort e não pode ser decodificada para olhos humanos - a menos que você trabalhe para a Cisco e precise decodificá-la. O terceiro, X-IronPort-AV, mostra que o remetente tem seu próprio aparelho anti-spam da Sophos. Poderia ter lido o McAfee ou o Norton, ou qualquer filtro que o seu e-mail passe. Como destinatário, isso pode lhe dar um pouco mais de confiança de que o email é válido.
Segundo lúpulo
Recebido: de desconhecido (HELO mail.exchange.telus.com) ([205.206.210.187])
por mx21.exchange.telus.com com ESMTP / TLS / AES128-SHA; 29 de julho de 2013 15:15:07 -0600
Explicação do segundo salto
Torna-se óbvio aqui que a Telus é o provedor de serviços. Se houver alguma dúvida sobre isso, faça uma verificação WHOIS no endereço IP mostrado: 205.206.210.187. Você verá que o endereço IP também leva ao Telus. Isso lhe dá um pouco mais de confiança de que o email é legítimo. Também podemos dizer que a mensagem demorou um pouco mais de um minuto para ir do primeiro salto ao segundo salto. Isso não nos diz muito, a menos que você seja um engenheiro de rede. Em teoria, você poderia calcular aproximadamente quão distantes são os dois servidores.
Primeiro lúpulo
Recebido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por
HEXHUB13.hostedmsx.local ([:: 1]) com mapi; Seg, 29 de julho de 2013 15:13:48 -0600
Explicação do primeiro salto
O primeiro salto é o servidor de e-mail do remetente que recebe sua mensagem de e-mail. Neste ponto, o email ainda está sendo movido internamente na rede do servidor de email do remetente. Você pode dizer pelo fato de que o endereço IP começa com 10 . Os endereços IP que começam com 10 são reservados apenas para uso interno.
No servidor de e-mail do destinatário
Entregue para: [email protected]
Recebido: por 10.223.200.70 com id de SMTP ev6csp162209fab;
Seg, 29 de julho de 2013 14:15:09 -0700 (PDT)
X-Received: por 10.236.227.202 com identificação de SMTP d70mr27737943yhq.86.1375132508769;
Seg, 29 de julho de 2013 14:15:08 -0700 (PDT)
Caminho de Retorno:
Assim que chega ao serviço de e-mail do destinatário, mais informações são adicionadas ao cabeçalho - quais servidores de serviços de e-mail receberam e quando, de que servidor de e-mail a mensagem foi recebida, o endereço de e-mail do destinatário e a resposta do remetente para 'endereço de email. no terceiro lúpulo, vimos que o serviço de e-mail do destinatário estava com o Google. Podemos dizer que este e-mail foi recebido por um servidor interno e repassado para outro - 10.236.227.202 a 10.223.200.70. Mais importante ainda, podemos dizer pelo Return-Path: que o email para responder e o email do remetente é o mesmo. Isso também nos diz que há uma boa chance deste email ser legítimo.
Outras coisas de outros cabeçalhos
Esse cabeçalho de email específico é limitado em suas informações porque um serviço de email hospedado está sendo usado. Se o remetente estivesse usando seu próprio servidor de e-mail, poderíamos obter um pouco mais de informações. Podemos determinar exatamente qual cliente de e-mail eles estão usando. Ou podemos executar um WHOIS no endereço IP do remetente e obter uma localização aproximada do remetente. Também poderíamos realizar uma pesquisa na Web simples no domínio do remetente e verificar se há um site para eles. Com base nesse website, poderemos obter ainda mais informações sobre o remetente. Você pode realizar uma pesquisa na Web no próprio endereço de e-mail e começar a doxing a pessoa. Se você não está familiarizado com o conceito de 'doxing' familiarize-se com o que é doxing de Joel Lee e como isso afeta sua privacidade? O que é o Doxing e como isso afeta sua privacidade? [MakeUseOf explica] O que é o Doxing e como isso afeta sua privacidade? [MakeUseOf Explains] A privacidade na Internet é um grande problema. Uma das vantagens declaradas da Internet é que você pode permanecer anônimo por trás de seu monitor enquanto navega, conversa e faz o que quer que você faça .... Leia mais Leia também o artigo de Ryan Dube, 15 sites para encontrar Pessoas na Internet 12 Sites para encontrar pessoas na Internet 12 Sites para encontrar pessoas na Internet Se você estiver procurando por um amigo perdido há muito tempo, ou se quiser fazer uma verificação de antecedentes em alguém, considere esses recursos gratuitos para encontrar pessoas na internet. Consulte Mais informação .
O Take Away
Todas as comunicações eletrônicas deixam pegadas. Alguns são maiores e mais fáceis de seguir. Alguns são obscurecidos por filtros da web e servidores proxy. De qualquer maneira, o que é deixado para trás nos diz algo sobre a pessoa que os criou. A partir desses metadados, poderemos realizar mais investigações para saber mais sobre as pessoas envolvidas. Eles estão escondendo algo usando uma VPN? Eles são realmente de um negócio legítimo com uma presença legítima na web? É alguém com quem eu realmente quero ir a um encontro? O que as pessoas comuns podem aprender sobre mim, quanto mais a NSA?
Dê uma olhada nos seus cabeçalhos de e-mail e veja o que eles dizem sobre você. Se você encontrar algumas linhas de cabeçalho que não fazem muito sentido, coloque-as nos comentários e tentaremos decodificá-las. Você teve que fazer algum cabeçalho de e-mail investigando? Conte-nos sobre isso! É assim que todos aprendemos.
Crédito da imagem: Sala de servidores por torkildr via Flickr.