Topic: Recuperare messaggi cancellati e analisi degli Headers di Thunderbird

[miki64]

Come recuperare i messaggi cancellati per errore?

Problema
Si è svuotato il Cestino cancellando, per errore, anche un messaggio di posta elettronica che si intendeva conservare.
È possibile recuperarlo?

Soluzione
ATTENZIONE: La seguente procedura non ha effetto se dopo la cancellazione della posta si è utilizzato anche il comando per compattare le cartelle; in questo caso i messaggi eliminati sono irrimediabilmente persi.
Prima di procedere, effettuare sempre una copia di backup del Profilo (e soprattutto del file Inbox se si tenta il recupero della Posta in arrivo, oppure di un altro file se si vuole recuperare la posta da una posizione personalizzata).

1. Chiudere Thunderbird
2. Navigare fino alla cartella del Profilo, poi passare alla cartella Mail (in caso di protocollo POP3) o IMAPMail (in caso di protocollo IMAP, ma in queso caso c'è la probabilità che i messaggi siano incompleti) e poi a quella dell'account a cui è successo il "fattaccio"
3. Cercare un file che si chiama "Inbox" (senza estensione)
4. Aprirlo con un editor di testo: si dovrebbero visualizzare tutti i messaggi.

NOTA BENE: Il file Inbox potrebbe essere però di dimensioni notevoli, e pertanto  impossibile da aprire con il normale Blocco Note di Windows: si consiglia di utilizzare un editor di testi che possa gestire anche file di grandi dimensioni con poco spreco di memoria e ad una velocità accettabile (ad esempio, gratuiti come HxD e open source come SciTE o Notepad++)

5. Cercare il messaggio che si vuole ripristinare. A causa delle dimensioni del file Inbox, questa operazione potrebbe non essere così agevole. Se si ricorda l'Oggetto della mail, o il nome del mittente, si può utilizzare la funzione di ricerca dell'editor di testo per velocizzare l'operazione.
6. Trovato il messaggio, si noteranno, prima del testo, alcune stringhe di intestazione del tipo:

From - Mon Jun 13 21:31:25 2005
X-Account-Key: account2
X-UIDL: bee242b52b451ab50a5aa23f242b0efb
X-Mozilla-Status: 0009

Il valore dell'intestazione X-Mozilla-Status è quello da considerare: l’ultima cifra è un numero variabile, in questo caso il numero 9, che identifica il messaggio come "già letto e marcato per l'eliminazione"
7. Per ripristinare il messaggio è sufficiente cambiare il valore dell'intestazione in questo modo:
X-Mozilla-Status: 0000
8. Salvare e chiudere il tutto, poi riavviare Thunderbird.
9. Alla riapertura di Thunderbird, sull'account "incriminato" apparirà il messaggio di posta che era stato cancellato, nuovamente a disposizione dell'utente e marcato come “da leggere”.

Commento
Per approfondire un po' i valori dell'intestazione X-Mozilla-Status, è possibile consultare questa pagina web: https://web.archive.org/web/20170619105411/http://www.eyrich-net.org/mozilla/X-Mozilla-Status.html?en che rimpiazza una nota pagina ormai cancellata da Internet, cioè https://www.eyrich-net.org/mozilla/X-Mozilla-Status.html?en .
C'è poi una pagina Web che analizza gli header di Thunderbird: https://emailheaders.net/thunderbird.html

Alcuni valori esadecimali comuni per X-Mozilla-Status:

0000 - niente contrassegnato, cioè ricevuto soltanto
0001 - il messaggio è stato letto
0002 - il messaggio è stato risposto a
0004 - hai impostato un flag su questo messaggio
0008 - messaggio inattivo (cioè cancellato o spostato in un'altra cartella)
0010 - era una risposta con RE: all'inizio della riga dell'oggetto
1000 - inoltrato.

Quando si applica più di uno di questi valori, i valori vengono sommati. Quindi un messaggio che è stato letto, risposto e cancellato avrebbe un valore di 1 (letto) + 2 (risposto) + 8 (cancellato) = 11 (decimale) = b (esadecimale), quindi il valore in X-Mozilla (lo stato) sarebbe 000b.
Quindi 0001 è stato letto.
E 1001 è stato letto e inoltrato. 
Quindi i numeri non sono enumerazioni (ordinate), sono schemi di bit. Pertanto un 9 sarebbe un 1 e un 8. Ciò significa che il messaggio è "letto" e "cancellato".


Grazie a fabrixx, a klades, a lucasali e a next per questa FAQ.

[miki64]

Che cosa significano gli Headers di Thunderbird?

Problema
Quando si riceve un'e-mail in Thunderbird, è possibile leggere facilmente l'intestazione dell'e-mail di Thunderbird per estrarre le informazioni di instradamento del messaggio.
Queste informazioni sono dette "Headers". Ma che cosa significano?

Soluzione
Importanza delle intestazioni di Thunderbird
Ogni volta che un messaggio viene inviato tramite un client di posta elettronica, il server aggiunge automaticamente un campo speciale noto come "intestazione di posta elettronica" ("header") insieme ad esso.
I dati di tali intestazione del messaggio di posta elettronica contengono le informazioni di base per l'invio e la ricezione del messaggio di posta elettronica.
L'analisi dell'intestazione delle e-mail di Thunderbird può svolgere un ruolo importante nella comprensione del percorso del messaggio e-mail e nell'identificazione dello spoofing e dello spam.
Questo può essere tracciato controllando le informazioni del mittente e del destinatario e rilevando le manipolazioni effettuate nell'intestazione. Pertanto, qualsiasi tipo di manipolazione o discrepanza nell'intestazione del messaggio di posta elettronica è una chiara indicazione della discrepanza nella posta elettronica. Pertanto, molte squadre investigative forensi le intestazioni di posta elettronica il principale artefatto per indagare sui crimini informatici.

Visualizzare le informazioni sulle intestazioni delle e-mail di Thunderbird
Gli utenti di Thunderbird possono leggere facilmente le intestazioni dei messaggi di posta elettronica per ottenere informazioni dettagliate sulle e-mail ricevute. Poiché le intestazioni sono nascoste, è possibile visualizzarle in Thunderbird con i seguenti passaggi:

1.     Selezionare il messaggio del quale si vuole visualizzare l'intestazione in Thunderbird.
2.     Una volta aperta l'email, fare clic su "Visualizza" dalla barra dei menu.
3.     Nella scheda "Visualizza", scegliere "Sorgente del messaggio (CTRL+U)" per aprire le informazioni di intestazione.



La procedura apre immediatamente l'intestazione del messaggio di posta elettronica specifico. È possibile leggere l'intero contenuto ed estrarre le informazioni correlate.

Analisi degli Headers di Thunderbird
Quando vengono aperte le informazioni di intestazione di un'e-mail, Thunderbird visualizza le informazioni come:



Ecco il loro significato.

● From:
Il campo dell'intestazione del messaggio di posta elettronica From: (Da:) rappresenta l'ID di posta elettronica di un mittente, cioè colui che ci ha consegnato il messaggio di posta elettronica.
Nota: si può facilmente conoscere l'indirizzo e-mail del mittente per riferimento futuro. Tuttavia, molti criminali tentano di manipolare il campo. Pertanto, questo campo è meno affidabile per dipendere dall'analisi critica della posta elettronica.

● Date:
Lo studio del campo Date: (Data:) dell'intestazione dell'email di Thunderbird aiuta a conoscere la data e l'ora in cui il messaggio è stato inviato dal mittente.
Nota: questo campo consente di valutare l'ora e la data in base al fuso orario locale. Generalmente, un messaggio viene ricevuto entro una frazione di secondi. Tuttavia, se si riceve un messaggio che non corrisponde al campo temporale o presenta molti intervalli, allora si sospetta che ci siano altri problemi attraverso la rete (esempio: un errore nel server).

● X-UIDL:
Questo X-UIDL: è il codice univoco immesso dal server POP3 per recuperare un messaggio dal server. Questo ID è generalmente incorporato nell'intestazione tra il server di posta del destinatario e il software di posta del destinatario.
Nota: questa intestazione viene aggiunta al termine della catena del/dei server utilizzato/i dal destinatario. Quindi, se si trova il campo UIDL nella posizione finale del server, il messaggio potrebbe essere considerato come posta indesiderata, in quanto l'header potrebbe essere stato aggiunto dagli spammer.

● X-Mozilla status:
Il valore X-Mozilla status: indica lo stato di un messaggio in arrivo. Ogni e-mail è associata a un valore esadecimale a seconda del suo stato.
I codici di stato X-Mozilla più comunemente utilizzati sono spiegati nel post precedente.

● Return Path:
Il campo dell'intestazione Return Path: (Percorso di ritorno:) di Thunderbird indica l'indirizzo e-mail a cui devono essere inviate le notifiche di mancato recapito per il messaggio. Nella maggior parte dei casi, è uguale a quello dell'indirizzo e-mail del mittente.
Nota: quando un messaggio di posta elettronica non viene recapitato al destinatario specificato, il mittente deve essere riconosciuto in caso di errore del messaggio. Pertanto, il mittente può impostare il proprio indirizzo o un altro indirizzo per ricevere una notifica in caso di mancato recapito del messaggio.

● Envelope-to:
Il server SMTP stesso aggiunge il campo Envelope-to: (Busta a:) che rappresenta l'indirizzo e-mail della busta del destinatario previsto.
Nota: essendo un campo più affidabile, gioca un ruolo cruciale per determinare l'effettivo indirizzo del gruppo ricevente.

● Delivery Date:
Il campo Delivery Date: (Data di consegna) del messaggio di posta elettronica indica la data effettiva in cui il messaggio è stato inviato dal mittente. Alla fine di questo campo è associata anche l'ora esatta.
Nota: analizzando e confrontando la data di consegna e la data effettiva della e-mail, è possibile conoscere facilmente la differenza di orario tra la consegna del messaggio.

● Received:
Il campo Received: (Ricevuto: ) traccia le informazioni per l'e-mail specifica. È possibile estrarre l'indirizzo IP univoco, il nome host e altre informazioni relative al percorso di consegna della posta elettronica.
Nota: questo campo può essere utilizzato per trovare la traccia completa delle informazioni, compreso l'indirizzo IP del mittente. Svolge un ruolo importante per la ricerca e l'individuazione di criminali o sospetti.

● Message ID:
L'header Message ID: (ID Messaggio:) di un messaggio di posta elettronica è la chiave universalmente univoca generata dal server durante l'invio del messaggio. Ogni e-mail ha un ID messaggio diverso in modo che possa essere identificata in modo univoco.
Nota: poiché l'ID del messaggio è la chiave univoca, diversi spammer tentano di manipolarlo. Quindi, gli algoritmi di identificazione dei messaggi possono essere citati in giudizio per rilevare qualsiasi tipo di modifica eseguita con l'ID messaggio.

● User Agent:
Il campo dell'User Agent: associato ai messaggi di posta elettronica può essere utilizzato per identificare il servizio o l'applicazione  (esempio: Thunderbird, Outlook, eccetera) di posta elettronica che è stato utilizzato per inviare il messaggio di posta elettronica.
Nota: è possibile ricevere notifiche sull'applicazione o sul server di posta elettronica tramite il quale l'e-mail è stata inviata dal mittente.

● MIME Version:
L'header MIME Version: indica il MIME type (significato e tipologie) supportato da Thunderbird.
Nota: i messaggi di Thunderbird contengono sempre MIME 1.0 come versione MIME. Quindi, se viene trovato un altro MIME, il messaggio potrebbe essere danneggiato o manipolato.

● Content Type:
Il Content Type: (Tipo di contenuto:) di posta elettronica di Thunderbird rappresenta il modo o lo stile in cui vengono visualizzati i messaggi di posta elettronica nell'applicazione. Diverse varietà di tipo di contenuto denotano la struttura dei messaggi.
Nota: in genere, il client di posta elettronica Thunderbird ignora i meta tag per la visualizzazione del contenuto. Quindi, si basa sul tipo di contenuto dall'intestazione dell'email per scoprire il modo in cui deve essere visualizzato il messaggio.

● Content Transfer Encoding:
Durante l'invio di un messaggio e-mail sulla rete, viene abilitata una crittografia per mantenere l'autenticazione e-mail. Pertanto, il campo
Content Transfer Encoding: (Codifica del trasferimento del contenuto) specifica il tipo di crittografia eseguita sul contenuto. In genere, nei messaggi di Thunderbird viene applicata una crittografia a 8 bit.

● X-Antivirus:
L'intestazione X-Antivirus: del messaggio di posta elettronica riporta anche l'applicazione antivirus che è stata utilizzata per eseguire la scansione del messaggio di posta elettronica durante la sua consegna.
Nota: se l'applicazione antivirus è assente sia per il mittente che sia per il destinatario, il campo X-Antivirus non è presente nell'intestazione. Se il destinatario non dispone di alcun antivirus installato nel suo sistema operativo e il mittente ha un antivirus installato, il campo X-antivirus rappresenta l'applicazione di scansione utilizzata dal mittente come messaggio in entrata. Tuttavia, se l'applicazione antivirus è installata nel sistema operativo del destinatario, i dettagli dell'applicazione vengono visualizzati come messaggio in uscita.

● X-Antivirus status:
Quando un'e-mail viene scansionata dall'antivirus, il dedicato a X-Antivirus status: rappresenta lo stato di scansione dell'e-mail, ad esempio se è sicura o danneggiata.
Nota: se l'e-mail risulta danneggiata durante la scansione, l'utente deve prestare attenzione a utilizzarla.

Commento
Questo post si ispira a https://emailheaders.net/thunderbird.html