Você já recebeu um e-mail e se perguntou de onde veio, ou quem realmente o enviou? Surpreendentemente, muitas dessas informações podem ser obtidas dos metadados no cabeçalho do email.
O cabeçalho é uma secção de todos os e-mails que a maioria das pessoas nunca vê. Ele contém uma tonelada de dados que parecem gobbledygook para o usuário médio. Aliás, a maioria dos clientes de e-mail oculta os metadados, muitas vezes dificultando o aproximação.
Uma vez que existem muitos clientes de e-mail por aí, tanto para desktop quanto para web, mostrar uma vez que restabelecer cabeçalhos de e-mail pode perfazer sendo um livro pequeno. Portanto, vamos nos concentrar em uma vez que visualizar o cabeçalho de e-mail no Gmail e o que você pode aprender com ele.
Um cabeçalho de email é uma coleção de metadados que documenta o caminho pelo qual o email chegou até você. Você pode encontrar uma enxurrada de informações no cabeçalho ou exclusivamente o substancial.
Existe um padrão para quais informações devem ser incluídas em um cabeçalho, mas não há realmente um limite para quais informações um servidor de e-mail pode colocar no cabeçalho.
Se você está curioso sobre uma vez que é um padrão para um protocolo de e-mail, confira RFC 5321 – Simple Mail Transfer Protocol. É um pouco difícil para a cabeça, principalmente se você não precisa saber dessas coisas.
Depois de ter uma mensagem de e-mail ocasião no Gmail, clique no botão ícone de três pontos no esquina superior recta da mensagem para expandir o Mais cardápio. Clique em Mostrar original para ver a mensagem de e-mail bruta com seu teor completo e cabeçalho revelados.
Uma novidade janela ou guia será ocasião e você verá uma versão em texto simples do seu e-mail com o cabeçalho na secção superior, é simples. O teor do cabeçalho ficará mais ou menos assim:
Isso é legítimo, mas o que isso significa?
Ao saber uma vez que o cabeçalho é criado ao longo do caminho que um e-mail percorre, você desenvolverá uma visão mais apurada sobre o que significam os dados de um cabeçalho. Vejamos as partes à medida que são adicionadas e o que significam as partes mais importantes.
No computador do remetente
Secção do cabeçalho é criada quando o remetente cria o email para enviar ao destinatário. Isso incluirá informações uma vez que quando o email foi escrito, quem o escreveu, a traço de tópico e o destinatário do email.
Essa é a secção do cabeçalho que você mais conhece uma vez que as linhas Data:, De:, Para: e Matéria: na secção superior do seu e-mail.
No serviço de e-mail do remetente
Mais informações são adicionadas ao cabeçalho logo que o e-mail é realmente enviado. Isso é fornecido pelo serviço de e-mail que o remetente está usando. Nesse caso, o remetente está usando um serviço de e-mail hospedado, portanto, o endereço IP mostrado é um endereço interno à rede do provedor de serviços.
Realizar uma pesquisa WHOIS nele não fornecerá nenhuma informação útil. O que podemos fazer é realizar uma pesquisa no Google sobre o nome do servidor, neste caso tilos.inmoo.net. Com um pouco de pesquisa, podemos encontrar o nome do servidor e o endereço IP em bgp.tools.
Uma inspeção mais aprofundada do endereço IP revela que o remetente estava usando a LeaseWeb, uma empresa holandesa de computação em nuvem e serviços da web.
Além do endereço IP do remetente, o cabeçalho do e-mail também revela a hora em que o e-mail foi enviado pelo serviço de e-mail do remetente (Qui, 10 de fevereiro de 2022 14:58:13 -0800 (PST)) e o ID da mensagem para esse determinado mensagem adicionada pelo serviço de e-mail.
Ao longo do caminho para o serviço de e-mail do destinatário
A partir daí, o e-mail pode seguir vários caminhos para chegar ao serviço de e-mail do destinatário. Isso pode ser adicionado ao cabeçalho para mostrar os “saltos” que o e-mail teve que fazer para chegar até você.
Esses saltos começam no servidor que mais recentemente tratou o e-mail e voltam ao servidor que o tratou originalmente, em ordem cronológica inversa. Em nosso exemplo, o primeiro salto leva o e-mail do remetente para o Google, de onde leva mais dois saltos até chegar ao seu fado final.
Salto Final:
Received: from tilos.inmoo.net (tilos.inmoo.net. [81.171.26.235])
by mx.google.com with ESMTPS id nc18si9066695ejc.964.2022.02.10.14.58.13
for <xxx@gmail.com>
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Thu, 10 Feb 2022 14:58:13 -0800 (PST)
Received-SPF: pass (google.com: domain of news@lastbacker.com designates 81.171.26.235 as permitted sender) client-ip=81.171.26.235;
Authentication-Results: mx.google.com;
dkim=pass header.i=@lastbacker.com header.s=ms header.b=frJ635H2;
spf=pass (google.com: domain of news@lastbacker.com designates 81.171.26.235 as permitted sender) smtp.mailfrom=news@lastbacker.com
Leste é o salto que o leva do servidor da LeaseWeb para o servidor de e-mail do destinatário. Podemos proferir que foi recebido por mx.google.com, logo o destinatário tem seu serviço de e-mail com o Google.
Cá, é bom observar a traço Recebido-SPF: SPF, ou Sender Policy Framework, é um padrão pelo qual o servidor de e-mail de um remetente pode se declarar o remetente legítimo do e-mail.
Neste caso, o qualificador é passar, o que significa que o endereço IP foi autorizado a enviar do domínio. Se tivesse registrado uma vez que falhou, teria sido rejeitado pelos servidores do Gmail. Se isso fosse softfailo Gmail teria aceitado, mas sinalizou uma vez que possivelmente não sendo de quem diz ser.
Lúpulos anteriores:
O salto final pode ser precedido por um ou mais saltos. Os timestamps para cada um revelam quanto tempo cada servidor levou para transmitir a mensagem. Isso não lhe dirá muito, a menos que você seja um engenheiro de rede.
Em teoria, você poderia calcular aproximadamente a intervalo entre os dois servidores.
No servidor de e-mail do destinatário
Mal chegar ao serviço de e-mail do destinatário, mais informações serão adicionadas ao cabeçalho. Isso pode incluir os servidores de serviços de e-mail do destinatário e quando, de qual servidor de e-mail a mensagem foi recebida, o endereço de e-mail do destinatário solicitado e o endereço de e-mail “responder a” proferido pelo remetente.
De volta ao Final Hop, vimos que o serviço de e-mail do destinatário estava com o Google. Mais importante, podemos proferir pelo Caminho de Retorno: se o e-mail a ser respondido e o e-mail do remetente são os mesmos. Se for, também nos diz que há uma boa chance de levante e-mail ser legítimo.
Esse cabeçalho de e-mail específico é restringido em suas informações porque um serviço de e-mail hospedado está sendo usado. Se o remetente estiver usando seu próprio servidor de e-mail, poderemos obter um pouco mais de informações.
Podemos ser capazes de ordenar exatamente qual cliente de e-mail eles estão usando. Ou podemos realizar um WHOIS no endereço IP do remetente e obter uma localização aproximada do remetente.
Também poderíamos realizar uma simples pesquisa na web no domínio do remetente e ver se existe um site para eles. Com base nesse site, podemos deslindar ainda mais informações sobre o remetente.
Você pode realizar uma pesquisa na web no próprio endereço de e-mail, encontrar a pessoa online e encetar a doxá-la. No entanto, não recomendamos que você faça isso.
Pode ser difícil decodificar cabeçalhos de e-mail com base exclusivamente em dados brutos. Felizmente, você pode recorrer a ferramentas online para fazer o trabalho pesado para você. E o Gmail facilita a traslado de todo o cabeçalho com o clique do botão. Quando estiver visualizando a mensagem original (veja supra) com todos os metadados, clique no botão Plagiar para superfície de transferência botão, logo vá para um dos sites inferior.
- Cabeçalho da mensagem do Google Admin Toolbox: Leste site detalhará o substancial e o caminho que o e-mail percorreu do remetente ao destinatário.
- Caixa de ferramentas MX: detalha o cabeçalho com mais detalhes e revela atrasos, problemas de autenticação e cada salto que o email fez.
- WhatIsMyIP: Se você está curioso para saber de onde veio o e-mail, vá direto cá. Leste serviço realiza uma pesquisa WHOIS.
- Mail Header: No Mail Header, você obterá uma estudo detalhada do Message Transfer Agent (MTA), uma representação visual da rota que seu e-mail percorreu em todo o mundo, completa com detalhes de pontuação de salto e spam.
Todas as comunicações eletrônicas deixam pegadas. Alguns são maiores e mais fáceis de seguir. Alguns são obscurecidos por filtros da web e servidores proxy. De qualquer forma, o que fica para trás nos diz um pouco sobre a pessoa que os criou.
A partir desses metadados, podemos realizar mais investigações para saber mais sobre as pessoas envolvidas. Eles estão escondendo um pouco usando uma VPN? Eles são realmente de um negócio legítimo com uma presença legítima na web? É alguém com quem eu realmente quero transpor? O que as pessoas comuns podem aprender sobre mim, muito menos a NSA?
Dê uma olhada em seus cabeçalhos de e-mail e veja o que eles dizem sobre você. Se você encontrar algumas linhas de cabeçalho que não fazem muito sentido, peça ao Google para ajudá-lo a decodificá-las.
Leia a seguir
Sobre o responsável
