Napjainkban sokszor kapunk olyan emaileket, amiknél nem lehetünk biztosak a feladó személyazonosságában. A spammelők gyakran nyilvános SMTP szervereket használnak, így más domain címét használhatják. Nézzük meg, hogy hogyan tudjuk kideríteni, hogy milyen IP címről érkezett a levél és kihez tartozik.
Minden email rendelkezik egy fejléccel, amit a levelezőprogramok elrejtenek, mert rontanák a felhasználói élményt, ennek ellenére szinte minden kliensből el lehet érni őket. Ez a fejléc tartalmazza azokat a fontos információkat, aminek segítségével be lehet azonosítani, hogy ki küldte a levelet és kinek (mint a postai címzés).
Ha kliensünkön keresztül megnyitjuk a levél forrását, akkor láthatjuk, hogy jó sok információt rejt. A fejlécben találunk néhány olyan sort, ami "Received: from" -al kezdődik és egy IP címmel folytatódik.
Nézzünk egy példát:
Received: from teela.qwert.com (63.50.182.07)
by mail1.aol.com with SMTP; 30 Jun 2017 02:27:02 -0000
Ezeket a sorokat a levelező szerver illeszti a fejrészbe, mikor továbbítja a levelet. Ha csak egy ilyen sort találunk egy IP-vel, akkor szinte biztosak lehetünk benne, hogy az IP cím a feladóhoz tartozik.
Ha több received: from sort találunk a fejlécben, annak az lehet az oka, hogy több levelező szerveren keresztül küldték a mailt és mindegyik hozzátette a maga információit. Előfordulhat, hogy a spammerek további received: from információt helyeznek el a levélben, így próbálják elrejteni a kilétüket. Ha nem nem manipulálták a fejlécet akkor az utolsó received: from információ tárolja a küldő IP címét.
Ha hamisítják a fejlécet, akkor végig kell vennünk, hogy milyen szervereken keresztül érkezett az üzenet, amelyek egy láncot alkotnak, ha megtaláljuk a hamisított adatot, akkor a felette elhelyezkedő IP lesz a valódi.
Ha megvan az IP cím, akkor keressünk egy IP keresőt a weben, pl ezt(http://whatismyipaddress.com/ip-lookup) és már láthatjuk is, hogy kihez tartozik és hol található.
Webes email
Sokan web alapú levelezőklienst használnak, nézzük miben különböznek az eddigiektől:
Gmail - A Gmail levelek fejlécében a Gmail levelező szervere található feladóként, ugyanis kínosan ügyelnek a felhasználók adatainak védelmére, így nem visszakövethető, hogy kitől kaptuk a levelet.
Hotmail - Hotmail esetén az “X-Originating-IP” sor tartalmazza a valódi IP-t.
Yahoo - Yahoo esetén az utolsó “Received:” bejegyzés tartalmazza az IP-t.
Ha tetszett a cikk, kövesd a blogot vagy nyomj egy like-ot Facebook-on.
A kép forrása: pexels.com
