 |
Tolka mejlets brevhuvud |
2. Vad är ett brevhuvud?
3. Tolka ett brevhuvud
4. Förfalskade brevhuvuden
5. Abuse-anmälan
1. Bakgrund
Vet du vem som skickar e-post till dig? Har du fått brev som ser ut att komma från dig själv? Vet du hur du tar reda på vem den verklige avsändaren är? På den här sidan skall jag berätta om hur man tolkar mejlets brevhuvud och hur man anmäler den verkliga avsändaren till rätt internetleverantör.
I krönikan "Brevet från mig var inte från mig!" kan du läsa om en incident där någon skickade mejl med virus i mitt namn och hur jag då gjorde. Läs mer >
Om du inte vill läsa hela krönikan gör jag nu en sammanfattning: Vid ett tillfälle under sommaren 2003 fick jag ta emot ungefär 550 brev från olika mailservrar runt om i världen. Samtliga deras meddelanden berättade att jag försökt skicka e-post med en bilaga innehållandes viruset Bugbear.
För att ta reda på omständigheterna kring mejlet, gick jag in i de returnerade kopiorna av det och läste både brevet och brevhuvudet. Det jag ville ha reda på var ju dels vad det var för brev och dels också från vem det hade skickats.
Tack vare att jag kunde tyda brevhuvudet kunde jag också få reda på vem som skickat brevet. Det visade sig att det var en användare hos Tele2. Denne saknade virusskydd och blev som följd avstängd från sitt konto.
Eftersom jag tror att fler än jag drabbas av detta följer nu en text om hur man tolkar brevhuvudet i ett mejl.
2. Vad är ett brevhuvud?
All e-post som skickas över Internet förses med ett brevhuvud. På engelska kallas det för en header. Hela huvudet kan vara ganska långt, beroende på hur många servrar mejlet har passerat genom. Som du kanske vet skickas ju ett brev inte direkt till mottagaren utan bara till den närmsta servern, som i sin tur skickar det vidare till nästa server på vägen till mottagaren. Hela huvudet visar alltså den fullständiga vägen från avsändaren till mottagaren.
Det brevhuvud du ser i ett vanligt brev är en förkortad variant av det långa brevhuvudet. Detta är oftast bra, eftersom man annars skulle behöva rulla neråt i brevet för att läsa det avsändaren skrivit. Det du ser när du öppnar ett brev är därför bara det här:
Ämne: Brev från Jonas Webresurs
Datum: Sun, 22 Jun 2003 13:22:50 +0200
Till: mottagare@eposttjänsten.se
Bilaga: Rolig sida.doc
Oftast kommer brevet ifrån den avsändaren som det förkortade brevhuvudet säger. Oftast stämmer också bilagans namn. Men det går att lura e-postprogrammet så att avsändarens namn blir ett annat eller att bilagans namn inte stämmer. Många virus kan idag ändra sådana uppgifter och lura programmen så att den intet ont anande mottagaren tror att brevet kommer ifrån en kompis och att bilagan därmed är säker.
För att ta fram brevhuvudet måste man starta sitt e-postprogram och öppna ett brev. Sedan går man in under någon av de olika menyerna i sitt e-postprogram. Tyvärr har olika program olika vägar in till rätt ställe. Ibland heter brevhuvudet bara "brevhuvud", men ibland kan det kallas andra saker, t.ex "Internet-rubriker".
I min version av Outlook finns det under menyn Visa och sedan Internet-rubriker. I vissa versioner får man gå in under Visa-menyn men i stället välja Alternativ. Då öppnas en ruta där man kan se brevhuvudet i en särskild ruta. Det finns säkert också andra sätt. Titta i hjälpen för ditt e-postprogram om du känner dig osäker.
3. Tolka ett brevhuvud
Brevhuvudet i förra avsnittet har svensk text. Men många gånger står texten i stället på engelska och kan då se ut så här:
Subject: Brev från Jonas Webresurs
Date: Sun, 22 Jun 2003 13:22:50 +0200
To: mottagare@eposttjänsten.se
Attachment: Rolig sida.doc
Eller så här:
Subject: Brev från Jonas Webresurs
Date: Sun, 22 Jun 2003 13:22:50 +0200
Delivered-To: mottagare@eposttjänsten.se
Lines: 39
Det är ganska lätt att läsa båda dessa. Man ser överst vem som skickade brevet, antingen den e-postadress brevet kommer ifrån eller den ip-adress avsändaren använde. Är det ett falskt brevhuvud, t.ex om en spammare skickat mejlet, är denna information normalt förfalskad.
På raden under kommer det ämne avsändaren angivit för brevet. Datumet är normalt inställt för den server som tog emot brevet, men tidsangivelser är svårtolkade. Alla servrar utgår officiellt ifrån GMT, alltså där Greenwich är normen. GMT anges med -0000. Sedan lägger servern till eller drar ifrån timmar för att ange vilken tidszon den har.
I exemplet är klockan 13:22:50 (timmar:minuter:sekunder) och sedan i den tidszon två timmar öster om Greenwich, som alltså är den som gäller för Sverige. Vissa servrar missar det där med sommartid och andra anger en amerikansk tid, t.ex PDT, EDT, EST, osv. Många icke-amerikaner anger istället en lokal tid, t.ex JST, som står för "Japan Standard Time". Tiden anges efter hur servern är programmerad och inte alla gör tyvärr rätt. Därför får man ibland ta tidsangivelserna med en nypa salt.
Mottagaradressen brukar vara den man har själv. I första exemplet finns en bilaga och i det andra står i stället hur långt brevet är, räknat i antal rader.
Det brev som returnerades till mig från jordens alla hörn, som jag skrev om i min krönika, hade ett lite mer komplext brevhuvud. Det såg ut så här:
Return-path: <per.nilsson@domän.com>
Received: from remail2.edu.stockholm.se ([172.16.3.11] helo=remail2.stockholm.se)
by mail2.edu.stockholm.se with esmtp (Exim 3.12 #1 (Debian))
id 19ROTV-0005Hp-00
for <anders@dpc.edu.stockholm.se>; Sun, 15 Jun 2003 05:46:37 +0200
Received: from remail2.stockholm.se (webshield2.stockholm.se [172.16.3.20])
by remail2.stockholm.se (8.11.6p2/8.11.6) with SMTP
id h5FBXQt405173
for <anders@dpc.edu.stockholm.se>; Sun, 15 Jun 2003 13:33:26 +0200 (CEST)
Received: from itis.uclu.lu.se(130.235.215.22) by remail2.stockholm.se via csmap
id 15796; Sun, 15 Jun 2003 13:29:14 +0200 (CEST)
Received: from linuxadmin.citu.lu.se (linuxadmin.uclu.lu.se [130.235.215.51])
by itis.uclu.lu.se (8.12.3/8.12.3/Debian-6.4) with ESMTP
id h5FBQHO2011226
for <xalla@motesplatsen.org>; Sun, 15 Jun 2003 13:26:17 +0200
Received: from fep01-svc.swip.net (fep01.swip.net [130.244.199.129])
by linuxadmin.citu.lu.se (8.12.3/8.12.3/Debian-7) with ESMTP
id h5FBMrEc025521
for <xalla@motesplatsen.org>; Sun, 15 Jun 2003 13:22:54 +0200
Received: from s-410390 ([212.151.56.96]) by fep01-svc.swip.net with SMTP
id <20030615112208.OJNK1150.fep01-svc.swip.net@s-410390>; Sun, 15 Jun 2003 13:22:08 +0200
------
Den header jag fick upp hade sex olika servernamn. Ofta kommer hela brevhuvudet i en stor klump. Jag har därför delat upp den lite i olika delar. Den första avsändaren i listan är också den sista. Känner man sig osäker kan man alltid titta på klockslagen. Jag har markerat dessa tider med rött för att du skall se lättare.
Tittar vi närmare på den tidigaste adressen (längst ner i listan) ser vi några olika saker. Jag har markerat det intressantaste med fet stil. Först och främst står det att brevet är från en som har användarnummer 410390. Det är i det här fallet den användare som skickade brevet.
Sedan står att han var inloggad med ip-nummer 212.151.56.96, vilket avslöjar att han använder Tele2. Detta bekräftas också genom att det också står swip.net, som tillhör Tele2. Känner man sig osäker på vad siffrorna har för ägare kan man antingen slå upp dem hos en tjänst som gör det möjligt att söka efter ägare till domännamn och ip-adresser. Du hittar sådana på sidan med säkerhetslänkar: Läs mer >
Brevet är skickat via en mejlserver som heter fep01-svc.swip.net. Det vanliga e-postprotokollet SMTP är använt. Varje meddelande får ett identifikationsnummer, vilket syns på raden nedanför: id <20030615112208.OJNK1150.fep01-svc.swip.net@s-410390>.
Sedan följer ett klockslag och datum då servern registrerade att mejlet skickades.
Tar vi ett kliv uppåt i listan ser vi att brevet sedan hamnade hos och skickades vidare via mailservern linuxadmin.citu.lu.se med ip 130.235.215.51 (det numret står dock först i nästa del av headern). Även här fick brevet ett id-nummer. Likadant går sedan att utläsa längre upp i brevhuvudet.
Jag har här inte redogjort för exakt alla uppgifter som kan förekomma i brevhuvudet. Anledningen är att olika servrar har olika sätt att skicka meddelanden vidare, använder olika protokoll, olika mjukvara, osv. Men det jag skrivit räcker för att hitta en avsändares identitet. Sedan återstår bara att anmäla avsändaren till den internetleverantör brevet är skickat från.
4. Förfalskade brevhuvuden
Det finns två sätt att dölja sin avsändaridentitet. Man kan dels skicka sina brev via en oskyldig persons konto. Då använder man sig kanske av ett program som lagts på den oskyldiges dator, om denne saknar brandvägg och virusskydd. Man kan också försöka hacka sig in i en mejlserver och skicka posten därifrån. Alla sådana sätt resulterar i att en oskyldig person spåras upp och kanske stängs av från sitt konto.
Ett liknande sätt är att skaffa sig ett e-postkonto anonymt och sedan skicka brev via det. Det är därför bl.a Hotmail har lagt in olika slags hinder för den som vill registrera en egen e-postadress s dem. Allt är gjort med baktanken att en användare måste göra allt manuellt. Det finns annars programmerare som kan skapa program som skaffar konton automatiskt, vilka senare säljs vidare till dem som vill skicka ut reklam.
Det finns också olika sätt att förfalska brevhuvudet. Vanligast är att en tillfällig mailserver satts upp, med en dynamisk ip-adress. Den ip-adress avsändaren då har enligt brevhuvudet finns i själva verket inte när man kollar den, eftersom datorn stängts av och kopplats bort ifrån internet.
Servern kan också ha varit programmerad för att ange en felaktig avsändaradress eller andra felaktiga uppgifter. Hur man då än bär sig åt kommer man inte att kunna få reda på varifrån brevet skickades.
5. Abuse-anmälan
De stora internetleverantörerna tar inte emot abuse-anmälan om man inte har alla uppgifter om vem som skickade mejlet. Det är oftast inte ens någon idé att försöka få hjälp innan man vet avsändarens identitet.
De uppgifter man skall uppge är:
- Vad gäller ärendet?
- Vilken Ip-adress handlar det om?
- Exakt tidpunkt och datum för händelsen
- Din e-postadress (om annan än avsändaren)
- Fullständigt brevhuvud
- Övrigt (brandväggslogg, m.m.)
Man anmäler avsändaren via e-postadressen abuse@ föjlt av internetleverantörens adress. man kan också gå in på deras hemsida och se om de har några särskilda rutiner för abuseanmälan. Vissa företag vill t.ex ha in anmälan direkt via ett formulär på deras sajt.
Oftast får man inget svar på sin anmälan, men det betyder inte att ingenting händer. Oftast får den som gått över gränsen en tillsägelse eller blir avstängd från sitt konto. Straffen är dock inte särskilt hårda i början, eftersom det alltid är svårt att bevisa att det är användaren själv som har skickat ut de olämpliga breven.