Emaily dostávame každý deň a aj z nich sa dá vyčítať viac, než je na prvý pohľad vidieť. Nejde o žiadny „email hacking“. Samotná správa si so sebou nesie aj časť komunikačných informácií a doplnkových údajov. Toto využívajú programy na správu emailov. Aj vďaka tomu totiž môžete triediť emaily alebo dostávať od antivírusov informácie o podozrivých správach.

Informácie „pod kapotou“

Informácie z emailovej hlavičky sa zobrazujú bežne v každom emailovom klientovi. Nezáleží na tom, či používate webového klienta alebo aplikáciu pre počítač alebo napríklad klienta pošty pre smartfón. Aj dátum odoslania, predmet a adresáti sú vlastne obsahom hlavičky, a teda ich vždy vidíte. Skryté zostávajú ďalšie, v zásade nepodstatné informácie, ktoré využívajú buď programy na správu pošty alebo administrátori, prípadne policajné zložky, na bližšie zistenie informácií o danej správe.

Zobrazenie hlavičky v službe Gmail

Zobrazenie hlavičky v službe Gmail

V Gmaile sa kompletná hlavička dá zobraziť v otvorenej správe. V hornom paneli príkazov treba kliknúť na šípku nadol vedľa šípky pre odpoveď na email. Z menu vyberiete príkaz Zobraziť originál a na novej záložke v prehliadači sa zobrazí kompletná správa s doplnkovými údajmi aj telom správy.

Detaily správy v Microsoft Outlook. Hlavičkový text sa dá skopírovať

Detaily správy v Microsoft Outlook. Hlavičkový text sa dá skopírovať

V Microsoft Outlooku treba otvoriť správu a v príkaze Súbor – Vlastnosti sa zobrazí v spodnej časti rovnaký obsah ako zobrazuje Gmail.

Informácie poskytované v zozname dát majú svoju chronologickú štruktúru obrátenú. Ak teda chceme sledovať, čo sa s emailom dialo, ktorý klient ho poslal, musíme zrolovať hlavičku naspodok. Niektoré informácie budú akosi navyše, to sú metadáta programov, ktoré s nimi dokážu pracovať. Ostatné ich ignorujú, no v správach ponechávajú. Podobný princíp používajú aj rôzne kalendáre, ktoré pridávajú vlastné funkcie navyše. Napríklad ikony k udalosti, ktoré iný kalendár nemá. Po zmene, napríklad dátumu v udalosti, priradená ikona nezmizne, pretože metadáta zostávajú v štruktúre aj naďalej.

Hlavné polia

X-Mailer: Microsoft Outlook 15.0 – Toto je informácia pre klienta, no aj pre používateľa. Z identifikácie je vidieť, ktorý emailový klient správu odoslal. Napríklad Gmail takúto informáciu do správy nepridáva.

X-Spam-Level / X-Spam-Status – Pole na pridelenie informácie číselného alebo hviezdičkového skóre správy podľa antispamového filtra. Kto konfiguroval personálny spamový filter, videl, že v niektorých aplikáciách sa dá definovať toto rozpätie. Metadáta tohto poľa obsluhuje buď samotný klient (jeho antispamový plugin) alebo antispamová služba na serveri.

Content-Type: multipart/mixed; – Toto pole zobrazuje informáciu, v akom formáte je písaná správa. Napríklad či ide o neformátový text alebo HTML. Programy do tohto poľa zvyknú pridávať ďalšie špecifické informácie v podobe kódu z alfanumerických znakov.

MIME-Version: 1.0 – Multi-Purpose Internet Mail Extensions je rozšírenie pôvodného internetového protokolu, vďaka ktorému sa dá emailmi posielať rôzny multimediálny obsah. Túto hlavičku číta každý emailový klient, aby správne zobrazil emailovú správu. V prípade, že podporuje zobrazenia rôznych multimediálnych dát, zobrazí napríklad animovaný GIF priamo v tele správy.

Message-ID: <000e01d074f7$….$@touchit.sk> – Každá správa dostane jedinečné číslo. Je jasné, že ako jednoznačný prvok sa nedá použiť predmet alebo iné všeobecné pole, kde by hrozila duplicita. Preto emailový server prideľuje k správe takéto číslo a vlastne si ju pre seba zjednodušene povedané pomenováva. V našom príklade sme časť unikátneho kódu nahradili bodkami.

Received: from OndrejThinkPad ([xxx.xxx.xxx.xxx])
 (authenticated user omacko@touchit.sk)
by mail.keriocloud.sk (Kerio Connect 8.4.1)
(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 [256 bits]);
Sun, 12 Apr 2015 10:03:45 +0200

Toto je vlastne najpodstatnejšia časť hlavičky. Je tu presne vidieť, kto správu odoslal a kedy (podľa času servera). Podľa emailového klienta je pridávaná aj informácia o názve počítača a jeho verejnej IP adrese. Doplnok authenticated značí, že tento používateľ sa autorizoval ako odosielateľ správy. Táto informácia hovorí o tom, že emailový klient mal v sebe vložené meno a heslo na server pre odosielanie správ. Ak by sme chceli „dať ruku do ohňa“, nedá sa zaručiť, kto v skutočnosti sedel za počítačom.

Delivery Date – Dátum prijatia emailu serverom alebo klientom.

Return-Path – Toto pole nie je vidno v každej hlavičke. Znamená to, že emailová adresa pre odpoveď je rovnaká, ako odosielateľova pôvodná. Ak si v emailovom programe zmeníte adresu na odpoveď, po kliknutí na odpovedanie správy sa použije táto adresa.

Subject: Test notebookov – Príklad hlavičky správy, ktorú bežne vidíte zobrazenú. Ide o predmet správy.

From: „Janko Hraško“ <hacker@slovensko.it> – Toto je údaj vyplnený odosielateľom správy. Je to najmenej spoľahlivý údaj. Každý si tu môže vyplniť čokoľvek chce, meno aj emailovú adresu. Kto už dostal nejaký spam, vie ako je to s vymyslenými menami a emailovými adresami. Antispamové filtre využívajú okrem iného aj polia ReceivedFrom na porovnanie údajov.

To: „‚Michal Reiter'“ <mreiter@touchit.sk>, – zobrazenie informácie, komu bol email odoslaný. Niekedy nie sú adresy zobrazované.

Vystopovanie emailu

O tom, že email je asi tak anonymný ako internet samotný, ste sa mohli presvedčiť v hlavičkových informáciách. Uviedli sme len hlavné polia a každý program si môže vložiť vlastné, najčastejšie s prefixom X. Cez službu www.iplocation.net si môžete zistiť, cez aký server bol email odoslaný. Nebudete síce poznať domácu adresu používateľa, no z informácie sa dá zistiť minimálne, kde sídli poštový poskytovateľ. Stačí zadať IP adresu do vyhľadávacieho poľa na uvedenej stránke a zobrazia sa výsledky zo šiestich geolokačných služieb. Podľa toho, akú presnú a aktualizovanú databázu majú, sa dozviete polohu servera. Zabudnite na napínavé filmy a dianie v nich, ale to, že napr. poskytovateľom je Slovak Telekom a že ide o Trnavský kraj sa zistiť dá.

Značky: