TIP#1154: Co je to hlavička e-mailu, jak ji mohu získat a k čemu je to dobré?

Elektronická pošta (e-mail) se přes Internet přenáší jako textové soubory a vedle samotného textu e-mailu a příloh (ty se pro přenos mění také v textové soubory) je součástí přenosu každé zprávy i hlavička e-mailu (e-mail header). Obsahuje postupně se rozšiřující informace o tom odkud e-mail začal putovat, kudy prošel a kam došel. Ale také informace o tom co ho vytvořilo, jak s ním zacházet, kdo je odesílatelem i adresátem. Mohou tam být i informace o proběhlých antispamových kontrolách.

Hlavičku e-mailu budete potřebovat například když hlásíte spam ÚOOÚ – ve formuláři pro podání stížnosti je potřeba nahrát nejenom samotný text e-mailu, ale právě hlavičky. Ty jsou důležité právě pro informace o odesílateli – hlavně o tom odkud byl odeslán.

Hlavička je „záznam“ o tom co se dělo s mailem a je nutné pamatovat i na to, že odesílatel je čisté jedna řádka textu – může tam být tedy uvedeno cokoliv. Stejně tak je možné do hlavičky vložit falešné informace o odesílajících systémech. Spammeři a hackeři to dělávají kdykoliv, kdy potřebují zamaskovat původ e-mailu. Ostatně, viz Jak je možné, že někdo může falšovat odesílatele e-mailu?

Protože jde o text zaznamenávající co se s e-mailem od vytvoření až po přijetí, tak nemá žádný pevný „databázový“ formát – informace jsou volně přidávány v podobě řádek a identifikovány řadou (většinou) známých klíčových slov.

Zcela určitě v hlavičce najdete řádky s From (odesílatel), To (adresát i všichni adresáti pokud je uvedena CC), Subject (Předmět e-mailu), Date (datum), Return-Path (kam vracet v případě problémů), Received (jednotlivé položky identifikující systémy přes které e-mail prošel).

Analýza hlaviček e-mailů

Pokud budete někdy pátrat po původu nějakého e-mailu, tak to můžete dělat ručně – bude to ale poněkud komplikované. Nebo zkusit některé z analyzátorů hlaviček.  Začít můžete třeba u MxToolbox Email Header Analyzer.

Analýza hlaviček se většinou pokusí zjistit odkud e-mail byl odeslán. Výše uvedený MxToolbox vám také prozradí, jestli odesílající systémy jsou na černých listinách spammerů. Jak už ale bylo řečeno výše, u důmyslných spamů to nemusí být určeno správně. To „odkud“ bude zpravidla IP adresa a bude se k ní hodit ještě tip Jak zjistit komu patří IP adresa? Případně alespoň odkud pochází?

Další analyzátory vám snadno najde Google, stačí hledat například „e-mail header analyzer„.

Jak získat hlavičku e-mailu

Tady už to začíná být trochu komplikovanější – hlavička e-mailu by měla být dostupná v každém poštovním programu i webové poště. Musíte ale vědět kde hledat – zpravidla někde v menu u zprávy, kontextovém menu u zprávy a tak podobně. Většinou je možné hlavičku zobrazit a vy si ji pomocí označení do bloku můžete zkopírovat (Ctrl+C), někde ji bude možné uložit (do textového souboru). V některých případech pomůže Uložit jako a zvolit EML formát – tím získáte textový soubor s hlavičkou i kompletním tělem e-mailu (tady například viz Jak v Gmailu uložit zprávu do podoby EML souboru?)

2018-08-23 07_20_40-Původní zpráva.png

V Gmailu se například k hlavičce dostanete cestou popsanou v onom výše uvedeném tipu o EML – vyvoláte si menu zprávy (vpravo nahoře) a po Zobrazit originál uvidíte hlavičku i tělo v textové podobě – stačí pak zkopírovat do schránky onu část co je hlavička. Poznat to půjde poměrně jednoduše – hlavička je to od samého počátku až po prvních jednu či více  prázdných řádek (po těch začíná tělo e-mailu) nebo Content-Type řádku..

TIP: Výše zmíněný MxToolbox má přehlednou stránku How to Get Email Headers s tipy jak hlavičku získat v množství poštovních klientů.

Příklad toho jak vypadá hlavička spamu

Delivered-To: daniel@justit.cz
Received: by 2002:ac9:6808:0:0:0:0:0 with SMTP id g8-v6csp1709968ocl;
        Sat, 18 Aug 2018 05:01:51 -0700 (PDT)
X-Google-Smtp-Source: AA+uWPxiFUUWa7GiI0R4HE1tSn/tV8tQhyt+T6ZsWHFcsQk5gc9cM7R28yivatvj3uQhUmvWkoyc
X-Received: by 2002:a1c:97cb:: with SMTP id z194-v6mr21806418wmd.35.1534593711528;
        Sat, 18 Aug 2018 05:01:51 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1534593711; cv=none;
        d=google.com; s=arc-20160816;
        b=s5IJGJIIK6xSbhLMKYz/Mx4WHPlhcIwGz39pkRr9kBw5fm/yFuLwfuSM9fWAjMtEyO
         UZtoZj0OIFCC9zKcrNfEHC/srBYidSdBN/hch5Ei4lSjF1hdxwh+SfNEtN/pzJ5ZUqHz
         VpBGYbPkFVm3PSdNwkeGvJqkWCkUbA1k7fYAZT7pgs/lkabUZgTxkgB/6HndV4oPmW5A
         aqU5j+IHoAgi7pfU6e/HJV7us6emaTNQ7KEHSarokyD/wJYjJyaKvbDacsAkoC6pgZSp
         veejKQJ280mY9MHVTMrRT4cMFLHST1yiDZQHJ2kNqd7gnlWYmIZHp/gDOO2M8h0Bo732
         S6Iw==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-transfer-encoding:precedence:to:message-id:reply-to
         :mime-version:list-unsubscribe:subject:from:date:domainkey-signature
         :dkim-signature:arc-authentication-results;
        bh=5XoRY/muVmIaXYtiv3gy6j4IHSbBH2FFswylqoYmy0Y=;
        b=O3z3UJz18pI8lIlmE248TmDs1jNb+rARYjbMFN0FjBIOyxO+sIVWweAsGhi7wyHHOk
         uHrMLASaZieC/6+iDu9wbddkLyZ2BHN6wVQwYy80y5gJCa1m9P0VwCEbJrLJmekkgIey
         4M4tvQrGYfsaxDsCr98HU1l+/ZHcWOf6RjVvnDOvoOmCf7BHIVruq204OqxRWz8DBT/m
         fYNAdXBsmY3nnydsHB3V7EuGScodQrttcnneBPn4eyrDtiECf0euFafdr/2k0RDv4tnD
         ABkc/0us1iiWGyr9h3uM2xUY9amdZEOlx6UOA45fBdAlU4EioO49JHj6rEyaIpoY4EuH
         rOnA==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@gtfuomp.com header.s=dkim header.b=OFFahsP7;
       spf=pass (google.com: domain of jaroslavhkczejpmacek@gtfuomp.com designates 31.220.43.11 as permitted sender) smtp.mailfrom=jaroslavhkczejpmacek@gtfuomp.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=gtfuomp.com
Return-Path: <jaroslavhkczejpmacek@gtfuomp.com>
Received: from kneel.gtfuomp.com (kneel.espeefit.com. [31.220.43.11])
        by mx.google.com with ESMTP id 194-v6si4790171wmk.174.2018.08.18.05.01.50
        for <daniel@justit.cz>;
        Sat, 18 Aug 2018 05:01:51 -0700 (PDT)
Received-SPF: pass (google.com: domain of jaroslavhkczejpmacek@gtfuomp.com designates 31.220.43.11 as permitted sender) client-ip=31.220.43.11;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@gtfuomp.com header.s=dkim header.b=OFFahsP7;
       spf=pass (google.com: domain of jaroslavhkczejpmacek@gtfuomp.com designates 31.220.43.11 as permitted sender) smtp.mailfrom=jaroslavhkczejpmacek@gtfuomp.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=gtfuomp.com
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=dkim; d=gtfuomp.com; h=Date:From:Subject:List-Unsubscribe:MIME-Version:Reply-To:Message-ID:To:Content-Type:Content-Transfer-Encoding; i=jaroslavhkczejpmacek@gtfuomp.com; bh=5tpqdFVcPjRFXsY/CuSoEY3sUQI=; b=OFFahsP7YN/7CPHe9UCmmwzoukQ4Yvk03FXkwK+3RYDkLj7DbcMCRuUuXGsBIkqSwlvJTE5wlCIC
   G8MGh7uOcTXnSIATh6Ttu2kIBvFVgRDv9PoiMO2FxBUvuRmFqZo7KKts0W5ckmK/pguXKCVl6lin
   bE+vipPkq4cOyzgZeO8=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=dkim; d=gtfuomp.com; b=pM9ZWfAUw8n6ywuZMqKaKkxjC5GsxUgGGTEcw81lGr2QC04xZu/Pjwe+j/qv1rcWfdc3dT1/Z9Md
   xuI+hS2GRkhj1mb9fAUnvpSaf8ySHq3faRDVC0AkvPc+GDVUw8IeAsPGDlENLh99PzJxnQTuN9lc
   T5//JcCT3P7av/vrNmw=;
Date: Sat, 18 Aug 2018 14:02:28 +0200
From: Jaroslav Macek <jaroslavhkczejpmacek@gtfuomp.com>
Return-Path: gtffkvyCBLQHYFXJVWDQRTBG@pqh.gtfuomp.com
Subject: BEZ ÚPALU: zchladí se rozprašovací bránou, na balkon, na dvůr i do zahrady
List-Unsubscribe: <http://gtfuomp.com/ub.php?b=zwwm792620072per1jfe1wrpjs2hfg7en2m9obo>
MIME-Version: 1.0
X-Priority: 1
Reply-To: jaroslavhkczejpmacek@gtfuomp.com
Message-ID: <GLGGCGYEHY337221667266737799048625@mwewf.gtfuomp.com>
To: <daniel@justit.cz>
X-Report-Abuse: <http://gtfuomp.com/aa.php?a=zwwm792620072per1jfe1wrpjs2hfg7en2m9obo>
Precedence: bulk
X-Mailer: PHPMailer 5.2.7
Reklamy