E-mails zijn de digitale berichten die over een netwerk kunnen worden verzonden. Er kunnen een afzender en meerdere ontvangers zijn. E-mail gebruikt het model voor opslaan en doorsturen voor het verzenden van pakketten. Bij het verzenden of ontvangen van e-mails worden bepaalde protocollen gevolgd. SMTP is voor het verzenden van een e-mail en POP / IMAP is voor het ontvangen van de e-mails. De e-mails zijn toegankelijk via e-mailclients of met behulp van een webbrowser.
E-mails die van de ene computer naar de andere worden verzonden, worden vervoerd door MTA (Berichtoverdrachtagent). Elke keer dat e-mail wordt verzonden of doorgestuurd, voegt de MTA een tijdstempel met datum en tijd toe aan het bericht. Mailserver kan de berichten ontvangen, opslaan, bezorgen en doorsturen.
Zie ook: Technieken en hulpmiddelen voor forensisch onderzoek van e-mail
Een e-mail bestaat uit drie componenten: berichtenenvelop, berichtkop en berichttekst. Berichtenvelop is de verpakking rond de e-mailinhoud en wordt gebruikt voor het routeren van de pakketten. De berichttekst bevat de feitelijke inhoud van de e-mail en de bijlagen. Berichtkop bestaat uit informatie zoals afzender, ontvanger, datum, tijd, enz.
Koptekstinformatie verkennen
Een e-mailheader bestaat uit essentiële informatie zoals afzender, ontvanger, retourpad, onderwerp, CC, datum, bericht-ID, inhoudstype enz. Hier is een voorbeeld van een e-mailheader met gemeenschappelijke kenmerken erin.
[Html]
Return-Path: [e-mail beveiligd]
Ontvangen: van abcabc (Onbekend [192.168.2.67])
per email1.xyz.in met ESMTPA
; ma, 13 jul 2015 18:04:33 +0530
Van: "ABC"[e-mail beveiligd]>
Naar:[e-mail beveiligd]>,
<[e-mail beveiligd]>,
cc:[e-mail beveiligd]>,
<[e-mail beveiligd]>,
Onderwerp: Roosterblad 14 juli 2015 dinsdag
Datum: ma, 13 jul 2015 18:06:36 +0530
Bericht-ID:[e-mail beveiligd]>
MIME-Version: 1.0
Inhoudstype: multipart / gemengd;
boundary=”—-=_NextPart_000_00B5_01D0BD96.A902C720″
X Mailer: Microsoft Outlook 15.0
Thread-Index: AdC9aHd9Jc+d/OIUTWOX3WVE85ug1w==
Inhoud-taal: en-us
[/ Html]
- Terugweg: Wanneer de uiteindelijke bezorging van het bericht wordt gedaan door de SMTP-server, wordt deze informatie bovenaan het kopbericht ingevoegd.
- Ontvangen: Dit is het trackrecord van het bericht dat door de SMTP-server is ingevoegd en het staat ook bovenaan het kopgedeelte.
- Van: Het e-mailadres en de naam van de afzender. De naam is optioneel.
- Naar: De ontvangers van de e-mail samen met hun e-mailadressen.
- Cc (koolstofkopie): Zij zijn de secundaire ontvangers van de e-mail.
- Onderwerp: Het is de korte beschrijving van de inhoud van het bericht.
- Datum: De lokale datum en tijd waarop de e-mail door de afzender is gemaakt.
- Message-ID: Dit is een automatisch gegenereerde code om de meervoudige bezorging van berichten te voorkomen en is uniek voor elk bericht.
- MIME-versie: De gebruikte versie van MIME en hier is het versie 1.0.
- X-mailer: De naam samen met de versie van de e-mailclient die wordt gebruikt voor e-mailen. Hier is het Microsoft Outlook 15.0.
- Onderwerpindex: Dit is een exclusieve vermelding in de e-mailheader van Microsoft Outlook om de berichten te volgen.
- Inhoud taal: De gebruikte taal, hier is het Amerikaans Engels.
ZIE OOK: Outlook versus Gmail
Dit zijn de algemene kenmerken in een e-mailheader. Er zijn nog enkele velden zoals Message-ID, ENVID, List-ID, DKIM Signature, etc. te vinden. De DKIM-handtekening in de header bevat alle header- en sleutelophaalgegevens. Het bevat berichten en domeinhandtekeningen. De ENVID (Envelope Identifier) is de identificatie voor berichtinhoud en overdracht. In de e-mailheader zijn verschillende identiteitsvelden opgenomen die kunnen dienen voor de diepgaande analyse van een e-mail.
Als u de koptekstinformatie van de e-mail van onder naar boven leest, krijgt u een duidelijk idee over de e-mail. In het ontvangen veld staan de naam en het IP-adres van de afzender zodat de volledige gegevens vanaf IP te herleiden zijn. Het volgen van de e-mailheader kan spamberichten voorkomen. E-mail Tracer-tools zijn beschikbaar om de e-mailheader te analyseren. De levendige informatie in de e-mailheader maakt het waardevol voor een e-mailonderzoeker.
Suraj
Hoi,
Ik heb een vraag. Als we de e-mail verzenden, worden het IP-adres en de tijdstempel verzonden via MTA (Message Transfer Agent), maar er zijn nep-mailafzenders waar geen IP wordt verzonden, hoe kunnen we deze dan volgen?
Julian
Het oorspronkelijke afzender-IP is niet vereist in e-mailheaders. Het wordt toegevoegd door messaging-software of MTA's. Als u uw eigen SMTP-verzoek maakt, wordt uw IP niet vermeld.
In mijn land voegt de belangrijkste ISP (Oranje) MTA een X-Originating-IP toe aan elke verzonden e-mail. Maar dit is hun MTA-gedrag, om spammers te vermijden.
Om deze reden gebruik ik nooit hun SMTP en installeer ik liever mijn eigen speciale postfix-omgeving. Dan wordt mijn eigen IP nooit getoond, alleen mijn VPS uitgaande IP, gebeurtenis als de mail 2-3-4-... keer eerder is doorgestuurd door MX-back-ups
Als je bovendien wat headers on-the-fly wilt laten vallen door een postfix-relay op een VPS te gebruiken, kun je de postfix-headercontrolerichtlijn gebruiken om onzin te verwijderen zoals:
/^Ontvangen: van 127.0.0.1/ NEGEREN
/^Ontvangen: van localhost.localdomain/ IGNORE
/^Ontvangen: van localhost/ NEGEREN
/^X-Originating-IP: / NEGEER
/^X-Mailer: / NEGEREN
...
Alexa Jackson
Hoi,
Om de e-mails te volgen die door nepmailers zijn verzonden, moet u in het bericht graven - id; een attribuut dat beschikbaar is in de e-mailheaders.
Met vriendelijke groet
Bhumi
Bedankt voor het delen. erg informatief.
Teresa
Mijn man en ik delen een e-mailadres, ik merkte dat ik sommige e-mails op mijn laptop die hij op zijn telefoon krijgt, zoals lokale datingsites en andere e-mail op sociale media, niet kreeg. Hoe en waarom zou dat zijn?
Rajesh Namasé
Misschien verwijdert hij die e-mails onmiddellijk.