Vymazání metadat z mailu

FKoudelka

Vymazání metadat z mailu
« kdy: 26. 04. 2021, 17:56:54 »
Čepiga s Miškinem se do Vrbětic objednali e-mailem, který byl podle policejní expertizy zbaven všech metadat. To znemožňuje určit, odkud přesně byl odeslán.
Má někdo představu jak ? Nedovedu si představit, co by na to řekl přijímací server ...


Re:Vymazání metadat z mailu
« Odpověď #1 kdy: 26. 04. 2021, 19:02:23 »
Přijímající server potřebuje znát akorát obálkového odesílatele a adresáta. Přičemž odesílatel může být podvržený, pokud se nekontroluje DKIM nebo SPF.

Metadaty se nejspíš myslí různé X- hlavičky přidávané poštovními klienty a servery po cestě, hlavičky Received – tj. pravděpodobně ten e-mail ručně poslali přímo na cílový server, nebo přes nějakého jednoho anonymizačního prostředníka, který např. zatajil IP adresu původního klienta.

jouda2

Re:Vymazání metadat z mailu
« Odpověď #2 kdy: 26. 04. 2021, 19:03:17 »
Čepiga s Miškinem se do Vrbětic objednali e-mailem, který byl podle policejní expertizy zbaven všech metadat. To znemožňuje určit, odkud přesně byl odeslán.
Má někdo představu jak ? Nedovedu si představit, co by na to řekl přijímací server ...
Asi tím chce novinář naznačit, že to obsahovalo čistý plaintext/ořezaný html a ne kompletní Microsoftí bordel, nejlépo v podobě .docx přílohy, kterej obsahuje spoustu pro vyšetřování potřebného bordelu, včetně komu ten word patří.

Jasně že alespoň z jakého IP to přišlo (to doplňuje cílový server) a nutné (envelope from/to, a hlavička mailu tam asi bude.) taky.

FKoudelka

Re:Vymazání metadat z mailu
« Odpověď #3 kdy: 26. 04. 2021, 21:47:15 »
Přijímající server potřebuje znát akorát obálkového odesílatele a adresáta. Přičemž odesílatel může být podvržený, pokud se nekontroluje DKIM nebo SPF.

Metadaty se nejspíš myslí různé X- hlavičky přidávané poštovními klienty a servery po cestě, hlavičky Received – tj. pravděpodobně ten e-mail ručně poslali přímo na cílový server, nebo přes nějakého jednoho anonymizačního prostředníka, který např. zatajil IP adresu původního klienta.
Nojo asi spíš použili IP prostředníka , aspoň jeden Received tam musí být vidět nehledě na logy spojení. Tohle se na straně odesilatele vymazat nedá. Ošidit DNS a SPF check, to už umí i spammeři, natož GRU.
« Poslední změna: 26. 04. 2021, 21:49:22 od FKoudelka »

Re:Vymazání metadat z mailu
« Odpověď #4 kdy: 26. 04. 2021, 22:22:10 »
Nojo asi spíš použili IP prostředníka , aspoň jeden Received tam musí být vidět nehledě na logy spojení.
Ano, ale ten jeden Received tam vložil až server příjemce. Případně více, pokud to u příjemce putuje přes víc serverů. Tedy při odeslání ten e-mail neměl žádná metadata. V přijatém e-mailu pak máte z metadat jenom datum a čas přijetí a IP adresu, odkud byl e-mail předán cílovému serveru.


McFly

  • *****
  • 594
    • Zobrazit profil
    • E-mail
Re:Vymazání metadat z mailu
« Odpověď #5 kdy: 28. 04. 2021, 11:56:55 »
V Postfixu není problém nastavit, aby průchozí e-maily osekal o "nedůležité" hlavičky.

Např. https://www.srv24x7.com/postfix-remove-received-header/ (nezkoušel jsem)

Re:Vymazání metadat z mailu
« Odpověď #6 kdy: 29. 04. 2021, 10:18:12 »
Skor mi to pripomina scenar ktory som uz mnohokrat videl, ked zamestnanec chcel argumentovat mailom ktory odosielatel nikdy nenapisal. Mail bol zrejme napisany na mieste a presunuty do prijatej posty.

Mali by tam byt minimalne metadata cieloveho mta. Ak tam nie su, tak mail bol vytvoreny rucne a na server nahrany cez imap. Ip servrov cez ktore by mal mail putovat tam nie su, je dost komplikovane upravit logy mail serverov po ceste...

Karmelos

  • *****
  • 1 048
    • Zobrazit profil
    • E-mail
Re:Vymazání metadat z mailu
« Odpověď #7 kdy: 29. 04. 2021, 10:40:57 »
Skor mi to pripomina scenar ktory som uz mnohokrat videl, ked zamestnanec chcel argumentovat mailom ktory odosielatel nikdy nenapisal. Mail bol zrejme napisany na mieste a presunuty do prijatej posty.

Mali by tam byt minimalne metadata cieloveho mta. Ak tam nie su, tak mail bol vytvoreny rucne a na server nahrany cez imap. Ip servrov cez ktore by mal mail putovat tam nie su, je dost komplikovane upravit logy mail serverov po ceste...

Otázkou je, zda mohl být ten email takový podvrhl... Což v případě, že by to tak čirou náhodou bylo, přináší spoustu dalších otázek...
Gréta je nejlepší.

Logik

  • *****
  • 1 034
    • Zobrazit profil
    • E-mail
Re:Vymazání metadat z mailu
« Odpověď #8 kdy: 29. 04. 2021, 11:00:29 »
IMHO hledáte složitosti, kde nejsou. Nejpravděpodobnější varianta je, že to byl úplně normální mail, kde si jen odesílatel dal pozor, aby tam nebylo nic prozrazujícího (tzn. poslaný třeba někde z freemailu) a novinář (nebo policajt?), kterej tomu nerozumí, to "přebásnil".


Re:Vymazání metadat z mailu
« Odpověď #9 kdy: 29. 04. 2021, 11:53:37 »
IMHO hledáte složitosti, kde nejsou. Nejpravděpodobnější varianta je, že to byl úplně normální mail, kde si jen odesílatel dal pozor, aby tam nebylo nic prozrazujícího (tzn. poslaný třeba někde z freemailu) a novinář (nebo policajt?), kterej tomu nerozumí, to "přebásnil".

Myslite ze ak poslete mail z freemailu, tak nie je mozne zistit z acces logov ip adresu browseru v ktorom bol ten freemail otvoreny?

Re:Vymazání metadat z mailu
« Odpověď #10 kdy: 29. 04. 2021, 12:29:55 »
Myslite ze ak poslete mail z freemailu, tak nie je mozne zistit z acces logov ip adresu browseru v ktorom bol ten freemail otvoreny?
Access logy po takové době nemusí být dostupné. Ale freemaily obvykle IP adresu klienta dávají rovnou do hlaviček e-mailu.

Nemyslím si ale, že to byl e-mail poslaný z nějakého freemailu. Ona by asi žádost o návěštěvu muničního skladu poslaná z freemailu vypadala dost podezřele.

Re:Vymazání metadat z mailu
« Odpověď #11 kdy: 29. 04. 2021, 13:40:23 »
Myslite ze ak poslete mail z freemailu, tak nie je mozne zistit z acces logov ip adresu browseru v ktorom bol ten freemail otvoreny?
Access logy po takové době nemusí být dostupné. Ale freemaily obvykle IP adresu klienta dávají rovnou do hlaviček e-mailu.

Nemyslím si ale, že to byl e-mail poslaný z nějakého freemailu. Ona by asi žádost o návěštěvu muničního skladu poslaná z freemailu vypadala dost podezřele.

Tie access logy, pripadne iny sposob identifikacie klienta by mali byt dostupne. Podla smernic EU musi byt elektronicka komunikacia zalohovana, teraz z hlavy neviem kolko rokov.

Ten najpouzivanejsi freemail tu ip do hlavicky nedava, je tam len ip webserveru.

S ostatnym suhlasim.

Re:Vymazání metadat z mailu
« Odpověď #12 kdy: 29. 04. 2021, 13:47:16 »
Tie access logy, pripadne iny sposob identifikacie klienta by mali byt dostupne. Podla smernic EU musi byt elektronicka komunikacia zalohovana, teraz z hlavy neviem kolko rokov.
Otázka je, zda by GRU používala zrovna freemail spadající pod jurisdikci EU.

FKoudelka

Re:Vymazání metadat z mailu
« Odpověď #13 kdy: 29. 04. 2021, 14:11:37 »
Skor mi to pripomina scenar ktory som uz mnohokrat videl, ked zamestnanec chcel argumentovat mailom ktory odosielatel nikdy nenapisal. Mail bol zrejme napisany na mieste a presunuty do prijatej posty.

Mali by tam byt minimalne metadata cieloveho mta. Ak tam nie su, tak mail bol vytvoreny rucne a na server nahrany cez imap. Ip servrov cez ktore by mal mail putovat tam nie su, je dost komplikovane upravit logy mail serverov po ceste...
Vida, zkusim telnet na smtp.

FKoudelka

Re:Vymazání metadat z mailu
« Odpověď #14 kdy: 29. 04. 2021, 14:13:12 »
IMHO hledáte složitosti, kde nejsou. Nejpravděpodobnější varianta je, že to byl úplně normální mail, kde si jen odesílatel dal pozor, aby tam nebylo nic prozrazujícího (tzn. poslaný třeba někde z freemailu) a novinář (nebo policajt?), kterej tomu nerozumí, to "přebásnil".
No asi přebásnil, ale stejně mne zajímá technická  stránka věci.