Che tipo di informazioni possono essere trovate dall'e-mail?

Naviga le tue risposte
0

Quando una persona media vede un'e-mail, può vedere solo una parte di un'informazione inclusa nella posta. Per vedere tutte le informazioni si può guardare la fonte di una e-mail, che mostra di più. L'esempio di un'origine email è simile a questo: 

Received: via dmail-2008.19 for +INBOX;
        Tue, 3 Feb 2009 19:29:12 -0600 (CST)
Received: from abc.luxsci.com ([10.10.10.10])
    by xyz.luxsci.com (8.13.7/8.13.7) with
        ESMTP id n141TCa7022588
    for <[email protected]>;
        Tue, 3 Feb 2009 19:29:12 -0600
Return-Path: <[email protected]>
Received: from [192.168.0.3] (verizon.net [44.44.44.44])
   ([email protected] mech=PLAIN bits=2)
   by abc.luxsci.com (8.13.7/8.13.7) with
   ESMTP id n141SAfo021855
   (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA
   bits=256 verify=NOT) for <[email protected]>;
   Tue, 3 Feb 2009 19:28:10 -0600
Message-ID: <[email protected]>
Date: Tue, 03 Feb 2009 20:28:13 -0500
From: "Test Sender" <[email protected]>
User-Agent: Thunderbird 2.0.0.19 (Windows/20081209)
MIME-Version: 1.0
To: "Test Recipient" <[email protected]>
Subject: Example Message
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
X-Comment: Lux Scientiae SMTP Processor Message ID -
   1233710941-9110394.93984519

La mia domanda è: che tipo di informazioni può ottenere una persona esperta da un'origine email in due casi:

  • una persona che invia un'email non è a conoscenza del computer tranne che per l'invio di e-mail / navigazione in Internet
  • una persona che invia un'email è abile e desidera nascondersi / cambiare il più possibile, ma non ha troppo controllo (con troppa controllo intendo che non ha il controllo sui grandi servizi di posta elettronica, ma può avere il suo proprio server di posta elettronica)

P.S.

  • Non sto parlando di questo specifico esempio (è solo per le persone che non conoscono l'origine della posta elettronica).
  • So che alcuni campi possono essere modificati dal mittente (ma non so quanti di essi potrebbero essere modificati).
  • Posso leggere, quindi vedo che posso trovare tramite quale provider di posta elettronica è stata inviata una email, a che ora, attraverso quale programma. Ma sono curioso di sapere se posso ottenere informazioni che possano restringere il possibile utente (potrebbe essere il suo SO, IP, fuso orario e così via)
posta Salvador Dali 27.06.2014 - 12:50
fonte

2 risposte

2

In primo luogo, ci si riferisce a RFC 5822 come fonte definitiva di informazioni sul formato della posta. RFC 5321 dovrebbe aiutare a capire come viene trasferita la posta. Ora, per essere più specifici:

Tutto sotto l'intestazione Date: (incluso) viene inviato a un server SMTP dal client di posta del mittente. Per una persona esperta non dovrebbe essere un grosso problema frustare un client di posta creato che invierà intestazioni arbitrarie. Le informazioni ottenute non possono essere considerate una prova di qualsiasi altro valore di byte utilizzato per rappresentarlo - non c'è modo di provare l'autenticità dei dati, entrambe le parti potrebbero aver falsificato le intestazioni - chi lo sa?

I am curious whether I can get information which can narrow down possible user (may be his OS, IP, timezone and so on)

Supponendo che il mittente non abbia interferito molto con i contenuti della posta elettronica:

User-Agent: Thunderbird 2.0.0.19 (Windows/20081209) Sender's OS disclosed by the mail agent itself.

Date: Tue, 03 Feb 2009 20:28:13 -0500 Sender's TZ disclosed.

Received: from [192.168.0.3] (verizon.net [44.44.44.44]) Sender's IP disclosed via the mail server.

A seconda dell'agente di posta utilizzato, potrebbero esserci più informazioni disponibili.

    
risposta data 27.06.2014 - 13:19
fonte
1

Dmitry ha ragione sui soldi. Inoltre, è necessario tenere presente che i server nel flusso di flusso della posta possono manipolare le intestazioni. Ad esempio, ho lavorato con un client che aveva il firewall che eliminava tutte le intestazioni dall'e-mail in uscita per impedire la condivisione di qualsiasi informazione interna dell'host (poiché l'e-mail in realtà richiedeva un paio di hop internamente prima di essere inviata dalla rete).

Ultimo ma non meno importante, non c'è nulla che dice che un client di posta debba essere usato. L'invio di un'e-mail può essere programmato o eseguito manualmente (tutto ciò che è necessario è telnet sulla porta 25 su un server che inoltrerà la posta per te).

    
risposta data 27.06.2014 - 15:32
fonte

Leggi altre domande sui tag

Chiarire gli attacchi MITM e il requisito del certificato digitale Perché le firme RSA si basano sull'hash del messaggio? [chiuso]