Rintracciare e-mail

di **polifemimo** » 07/08/02 09:06

E' possibile sapere se due indirizzi e-mail es. pippo@dominio.it e pluto@dominio.it (aventi quindi lo stesso dominio) provengano dallo stesso computer ? e se si come? Grazie.

di **Frengo78** » 07/08/02 10:37

si, con un controllo sugli header. Zello è piu esperto di me in questo ma ci sono altri che possono risponderti al posto suo dato che è in ferie. Cmq l'header di una mail ci dice non solo da che server arriva ma anche qual è il nome della macchina che l'ha spedito e mi pare anche l'ip.

di **Nicola** » 07/08/02 10:52

sugli headers si vedono tutti i passaggi che fanno l'email
il primo è l'ip poi sopra tutti gli altri server e-mail.
E poi se l'email è pippo@gg.it non è detto che sia passata x il server mail di gg.it.
Ciao,
Nicola

di **Frengo78** » 07/08/02 11:14

giusta osservazione. Io posso far passare le mie mail in uscita da un qualsiasi mail server.

e poi, Nicola correggimi se dico male, se le mail sono state scritte dal web non ci sarà nessun riferimento al pc di chi le ha scritte perche fisicamente non passano di li ma solamente dal web server del sito da cui provengono

di **piercing** » 07/08/02 11:28

se le mail sono state scritte dal web non ci sarà nessun riferimento al pc di chi le ha scritte

fortunatamente il riferimento c'è quasi sempre in questo caso...

di **Frengo78** » 07/08/02 11:42

che stupido, e faccio pure il webmaster di mestiere! Immagino che quando le mail vengono formattate da web vengano cmq presi l'ip e il nome della macchina e le altre informazioni del pc collegato al web mail.

Ho bisogno cmq del corso di zello. Mi considero rimandato a settembre!

di **piercing** » 07/08/02 11:50

solo l'ip.... quello su protocollo http viaggia tranquillo...

non il nome macchina e le informazioni specifiche...

di **Nicola** » 07/08/02 12:53

piercing ha scritto:solo l'ip.... quello su protocollo http viaggia tranquillo...

non il nome macchina e le informazioni specifiche...

e se uno entra in web-mail con PROXY magari anonimo ???????? IP del proxy

di **piercing** » 07/08/02 13:24

ovvio...

"fatta la legge... trovato l'inganno...!"

di **polifemimo** » 07/08/02 16:21

Ragazzi siete mitici,

vi chiedo soltanto un piccolo aiuto ancora, se mi potete fare un esempio di headers e dove posso trovare il nome della macchina, purtroppo ho bisogno di imparare ancora molto, ma prima o poi riuscirò anch'io ad aiutare qualcuno a risolvere i suoi problemi, spero!

di **Frengo78** » 07/08/02 16:44

Quando arrivo a casa.. ora sto fuggendo... io voglio il corso di zello!!!!

di **dado** » 07/08/02 16:57

Nicola ha scritto:E poi se l'email è pippo@gg.it non è detto che sia passata x il server mail di gg.it.

Quando hai più indirizzi di posta e ti colleghi solo con il solito provider, è così.
Io ad esempio uso x spedir tutto il server di virgilio...

[quote="Polifemimo"]
L'header lo trovi facendo click su un email col tasto destro, poi andando su Proprietà e poi Dettagli.
Ad es, l'header di un'email di notifica di Pc-Facile è questo.

Return-Path: <pc-facile@buddy.siteprotect.com>
Received: from buddy.siteprotect.com ([64.26.0.87] verified)
by infinito.it (CommuniGate Pro SMTP 3.5.9)
with SMTP id 943061 for miaemail@dominio.it; Wed, 07 Aug 2002 16:50:00 +0200
Received: (from pc-facile@localhost)
by buddy.siteprotect.com (8.9.3/8.9.3) id JAA17690;
Wed, 7 Aug 2002 09:50:01 -0500
Message-Id: <200208071450.JAA17690@buddy.siteprotect.com>
To: miaemail@dominio.it
Subject: Notifica di risposta all'argomento - Hackme Challenge - Diario
MIME-Version: 1.0
Content-type: text/plain; charset=iso-8859-1
Date: Wed, 07 Aug 2002 14:50:01 UT
From: webmaster!AT!pc-facile.com
Content-Transfer-Encoding: quoted-printable
X-MIME-Autoconverted: from 8bit to quoted-printable by buddy.siteprotect.com id JAA17690

di **dado** » 07/08/02 16:58

dado ha scritto:
Nicola ha scritto:E poi se l'email è pippo@gg.it non è detto che sia passata x il server mail di gg.it.

Quando hai più indirizzi di posta e ti colleghi solo con il solito provider, è così.
Io ad esempio uso x spedir tutto il server di virgilio...

Polifemimo ha scritto:Ragazzi siete mitici, vi chiedo soltanto un piccolo aiuto ancora, se mi potete fare un esempio di headers e dove posso trovare il nome della macchina, purtroppo ho bisogno di imparare ancora molto, ma prima o poi riuscirò anch'io ad aiutare qualcuno a risolvere i suoi problemi, spero!

L'header lo trovi facendo click su un email col tasto destro, poi andando su Proprietà e poi Dettagli.
Ad es, l'header di un'email di notifica di Pc-Facile è questo.

Return-Path: <pc-facile@buddy.siteprotect.com>
Received: from buddy.siteprotect.com ([64.26.0.87] verified)
by infinito.it (CommuniGate Pro SMTP 3.5.9)
with SMTP id 943061 for miaemail@dominio.it; Wed, 07 Aug 2002 16:50:00 +0200
Received: (from pc-facile@localhost)
by buddy.siteprotect.com (8.9.3/8.9.3) id JAA17690;
Wed, 7 Aug 2002 09:50:01 -0500
Message-Id: <200208071450.JAA17690@buddy.siteprotect.com>
To: miaemail@dominio.it
Subject: Notifica di risposta all'argomento - Hackme Challenge - Diario
MIME-Version: 1.0
Content-type: text/plain; charset=iso-8859-1
Date: Wed, 07 Aug 2002 14:50:01 UT
From: webmaster!AT!pc-facile.com
Content-Transfer-Encoding: quoted-printable
X-MIME-Autoconverted: from 8bit to quoted-printable by buddy.siteprotect.com id JAA17690

di **polifemimo** » 08/08/02 15:44

Scusate la mia ignoranza ma purtroppo non sono riuscito negli headers a trovare il nome del computer da cui sono partite le e-mail, anche perchè penso che sia l'unica conferma che posso avere al 100% dell'arrivo delle e-mail dallo stesso computer.
Grazie a tutti della disponibilità

di **Frengo78** » 08/08/02 18:47

Incolla qui l'header, te lo decifriamo noi

di **Nicola** » 12/08/02 10:01

Mi aiutate a decifrare questo ?? Adesso non c'è tutta la pubblicità :lol:

Codice: Seleziona tutto: Received: (qmail 31083 invoked from network); 12 Aug 2002 01:03:10 -0000 Received: from unknown (HELO buddy.siteprotect.com) (64.26.0.87) by mail.supereva.it with SMTP; 12 Aug 2002 01:03:10 -0000 Received: from 66.121.12.162 (adsl-66-121-12-162.dsl.snfc21.pacbell.net [66.121.12.162]) by buddy.siteprotect.com (8.9.3/8.9.3) with SMTP id UAA24253 for <nicola*chiocciola*pc-facile*punto*com>; Sun, 11 Aug 2002 20:02:45 -0500 Message-Id: <200208120102.UAA24253@buddy.siteprotect.com> Received: from unknown (52.127.142.42) by rly-xl04.mx.aol.com with smtp; Aug, 11 2002 8:53:10 PM -0200 Received: from [203.186.145.225] by hotmail.com (3.2) with ESMTP id MHotMailBE7297E1009B400437E7CBBA91E10D0B0; Aug, 11 2002 7:46:06 PM +0400 Received: from [121.102.119.231] by a231242.upc-a.chello.nl with NNFMP; Aug, 11 2002 6:48:50 PM +1200 From: Sandra Delgado <info@vaciones.soñadas> To: nicola*chiocciola*pc-facile*punto*com Cc: Subject: VACACIONES SOñADAS Sender: Sandra Delgado <info@vaciones.soñadas> Mime-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Date: Sun, 11 Aug 2002 21:06:35 -0400 X-Mailer: Microsoft Outlook IMO Build 9.0.2416 (9.0.2910.0) X-Priority: 1

Questa qui sarà la quinta o sesta e-mail verso il mio forwarder di !pc-facile !

di **zello** » 12/08/02 23:32

Ed ecco a voi il vostro lettore di header preferito, fresco fresco di ritorno dalle ferie (46 mail di puro spam in meno di 10 giorni, comunque).

Received: (qmail 31083 invoked from network); 12 Aug 2002 01:03:10 -0000
Received: from unknown (HELO buddy.siteprotect.com) (64.26.0.87)
by mail.supereva.it with SMTP; 12 Aug 2002 01:03:10 -0000

E fino qua tutto ok

Received: from 66.121.12.162 (adsl-66-121-12-162.dsl.snfc21.pacbell.net [66.121.12.162])
by buddy.siteprotect.com (8.9.3/8.9.3) with SMTP id UAA24253
for <nicola*chiocciola*pc-facile*punto*com>; Sun, 11 Aug 2002
20:02:45 -0500

E' effettivamente un adsl di pacbell net (il rDNS è effettivamente quello). E' un open proxy secondo Blitzed Open Proxy Monitor. Mi sa che il resto è fuffa. Cmq, non è listato da SPEWS o da altre liste maggiori. Un whois per gli abuse mi dà abuse*at*pbi.net (è l'abuse di packard bell).

Received: from unknown (52.127.142.42) by rly-xl04.mx.aol.com with smtp; Aug, 11 2002 8:53:10 PM -0200
Received: from [203.186.145.225] by hotmail.com (3.2) with ESMTP id MHotMailBE7297E1009B400437E7CBBA91E10D0B0; Aug, 11 2002 7:46:06 PM +0400
Received: from [121.102.119.231] by a231242.upc-a.chello.nl with NNFMP; Aug, 11 2002 6:48:50 PM +1200

false come giuda, secondo me. 52.127.142.42 è DuPont (52.0.0.0/8, what a lotta IPs!) non ha un server di posta in ascolto (non c'è niente sulla porta 25, appena provato), e non vedo perché avrebbe mai dovuto presentarsi come hotmail nel giro prima. 203.186.145.225, also known as 203186145225.ctinets.com, è un indirizzo asiatico, non olandese (e perché dovrebbe presentarsi come chello.nl, che esiste ma è 212.83.68.0/24?). 121.102.119.231 non è un indirizzo IP valido (da 96/8 a 126/8 sono riservati).

Salutoni, è bello essere a casa.

di **Nicola** » 13/08/02 10:33

thanks zello ma a te arrivano tutte quelle e-mail di SPAM :?:

Non sanno che mandi un abuse se no non te le mandavano :lol:

di **Mikizo** » 13/08/02 12:22

Ciao zello, visto che sei tornato, beccati questo:

Return-Path: <millyrosa@lycos.it>
Received: from md2.ksolutions.it ([194.153.172.186]) by mta1.alephint.it
with ESMTP id <20020812080911.TGDG6592.mta1@md2.ksolutions.it>
for <mia mail*at*katamail.com>;
Mon, 12 Aug 2002 10:09:11 +0200
Received: from 204.71.65.253 ([200.199.140.130])
by md2.ksolutions.it (Mirapoint)
with SMTP id ANX72724;
Mon, 12 Aug 2002 10:05:25 +0200 (CEST)
Message-Id: <200208120805.ANX72724@md2.ksolutions.it>
From: Marta R <millyrosa@lycos.it>
To: Undisclosed.Recipients
Subject: [Sex peach]
Sender: Marta R <millyrosa@lycos.it>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Mon, 12 Aug 2002 10.06.08 +0200
X-Mailer: Microsoft Outlook Build 10.0.2616

di **zello** » 13/08/02 13:53

Allora, oggi sono un po' didattico.
Regola 1) tutto può essere falso, ma i Received: sono almeno in parte autentici -> vengono aggiunti ad ogni passaggio da un mail server. Quelli più in alto sono i più recenti, e gli spammers possono solo aggiungerli "in basso". La prima riga - quella dell'ultimo server che riceve, quello del destinatario - è sicuramente autentica.

Received: from md2.ksolutions.it ([194.153.172.186]) by mta1.alephint.it

Regola 2) i received registrano i passaggi in questo modo:
from <server di posta da cui si riceve> by server di posta che riceve.
Regola 3) il nome dopo il from è quello che viene passato al server di posta al momento della connessione (il cosiddetto HELO), ma il server registra tra parentesi quadre il vero IP (in questo caso 194.153.172.186)
Morale: il server mta1.alephint.it ha ricevuto la posta da 194.153.172.186.

Occhei, è ora di andare su http://samspade.org/t , dove ci sono un po' di strumenti.
Cominciamo con un whois, per vedere chi è 194.153.172.186. Usiamo il registro arin (whois.arin.net), che controlla a quali organizzazioni sono assegnati i vari IP

Codice: Seleziona tutto: Trying whois -h whois.arin.net 194.153.172.186 European Regional Internet Registry/RIPE NCC (NETBLK-RIPE-C2)

Uh, bisogna rifare utilizzando il registro europeo (whois.ripe.net)

Codice: Seleziona tutto: % This is the RIPE Whois server. % The objects are in RPSL format. % Please visit http://www.ripe.net/rpsl for more information. % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-services/db/copyright.html inetnum: 194.153.172.0 - 194.153.175.255 netname: ALEPHSRL-NET descr: Aleph S.r.l. descr: I 56017 S. Martino Ulmiano PI

Quà usiamo un po' di naso (si potrebbe fare altrimenti, ma risparmiamo un po' di tempo). Dato che il server mta1.alephint.it è quello "legittimo", e data l'affinità del nome, prendiamo per legittimo questo passaggio (come "doppio passaggio" tra due server interni al provider di Mikizo), e passiamo al prossimo Received:

Codice: Seleziona tutto: Received: from 204.71.65.253 ([200.199.140.130]) by md2.ksolutions.it (Mirapoint)

ok, md2.ksolutions.it (cioé 194.153.172.186) lo ha ricevuto a sua volta da qualcuno che si è presentato come 204.71.65.253, ma che il server ha identificato (per fortuna che lo ha fatto, senno' avremmo finito di cercare) come 200.199.140.130. Dato che non ci sono altri received, i casi sono 2:
1) 200.199.140.130 è l'origine dello spam
2) 200.199.140.130 è un proxy, o un anonymizer relay - comunque un qualcosa che al momento in cui riceve posta cancella le linee received preesistenti (una vera sfiga).
Sempre samspade, vediamo prima chi è costui.

Codice: Seleziona tutto: Trying whois -h whois.arin.net 200.199.140.130 Latin American and Caribbean IP address Regional Registry (NET-LACNIC-200)

Ok, riproviamo usando whois.lacnic.net, responsabile per questa classe di indirizzi

Codice: Seleziona tutto: remarks: These addresses have been further assigned to Brazilian users. remarks: Contact information can be found at the WHOIS server located

Ok, allocato a brasiliani. Riproviamo con whois.registro.br. Dopo un po' di tentativi, pare che l'IP risulti allocato da:

Codice: Seleziona tutto: domain: TELEMAR-BA.NET.BR owner: TELECOMUNICACOES DA BAHIA S/A e-mail: abuse*at*TELEMAR.NET.BR remarks: Mail abuse issues should also be addressed to remarks: mail-abuse*at*nic.br

E' qualcosa. Controlliamo se è un proxy. Sempre samspade ha uno strumento "blackhole list check", che lista nelle principali liste di proxy/relay/known spammers se l'IP è blacklistato, e dà un po' di informazioni. E troviamo che:

Codice: Seleziona tutto: Blitzed Open Proxy Monitor (BOPM): open proxy - see http://www.blitzed.org/proxy/?ip=200.199.140.130

Bon, è un proxy. Non sapremo mai l'origine dello spam, ma in compenso (magrissima consolazione) possiamo scrivere agli abuse di cui sopra lamentandoci del proxy, e chiedendo che sia chiuso o messo fuori linea.

Ciao,

--
zello

Rintracciare e-mail

Rintracciare e-mail

Esempio di headers

Nome del computer

Topic correlati a "Rintracciare e-mail":

Chi c’è in linea