Jak śledzić e-maile z powrotem do ich źródłowego adresu IP

Pierwszą rzeczą, którą robisz, gdy słyszysz powiadomienie e-mail, jest sprawdzenie nadawcy, prawda? Jest to najszybszy sposób ustalenia, od kogo pochodzi wiadomość e-mail, a także prawdopodobnej treści.

Ale czy wiesz, że każdy e-mail zawiera o wiele więcej informacji niż te, które pojawiają się w większości klientów poczty e-mail? W nagłówku e-maila znajduje się wiele informacji o nadawcy — informacji, których można użyć do prześledzenia wiadomości e-mail aż do źródła.

Oto jak prześledzić ten e-mail z powrotem do miejsca, z którego pochodzi i dlaczego możesz chcieć.

Dlaczego warto śledzić adres e-mail?

Zanim nauczysz się, jak śledzić adres e-mail, zastanówmy się, dlaczego w ogóle miałbyś to robić.

W dzisiejszych czasach złośliwe wiadomości e-mail są zbyt częste. Oszustwa, spam, złośliwe oprogramowanie i wiadomości phishingowe to częsty widok w skrzynce odbiorczej. Jeśli prześledzisz e-mail z powrotem do jego źródła, masz niewielką szansę na odkrycie, kto (lub skąd!) pochodzi e-mail.

W innych przypadkach możesz prześledzić pochodzenie wiadomości e-mail, aby zablokować trwałe źródło spamu lub obraźliwych treści, trwale usuwając je ze skrzynki odbiorczej; administratorzy serwerów śledzą wiadomości e-mail z tego samego powodu.

(Jeśli chcesz zapobiec ujawnieniu swojej tożsamości e-mail, naucz się wysyłać całkowicie anonimowe e-maile).

Jak śledzić adres e-mail

Możesz prześledzić adres e-mail do nadawcy, patrząc na pełny nagłówek e-maila . Nagłówek wiadomości e-mail zawiera informacje o routingu i metadane wiadomości e-mail — informacje, które zwykle nie są dla Ciebie ważne. Ale te informacje są niezbędne do śledzenia źródła wiadomości e-mail.

Większość klientów poczty e-mail nie wyświetla standardowo pełnego nagłówka wiadomości e-mail, ponieważ jest on pełen danych technicznych i nieco bezużyteczny dla niewprawnego oka. Jednak większość klientów poczty e-mail oferuje sposób sprawdzenia pełnego nagłówka wiadomości e-mail. Musisz tylko wiedzieć, gdzie patrzeć, a także na co patrzysz.

• Pełny nagłówek e-maila Gmaila : otwórz swoje konto Gmail, a następnie otwórz wiadomość e-mail, którą chcesz śledzić. Wybierz menu rozwijane w prawym górnym rogu, a następnie z menu wybierz opcję Pokaż oryginał .
• Pełny nagłówek wiadomości e-mail programu Outlook : kliknij dwukrotnie wiadomość e-mail, którą chcesz śledzić, w nagłówku Plik > Właściwości . Informacje pojawiają się w nagłówkach internetowych.
• Pełny nagłówek wiadomości e-mail Apple Mail: Otwórz wiadomość e-mail, którą chcesz śledzić, a następnie przejdź do Widok > Wiadomość > Surowe źródło .

Oczywiście istnieje niezliczona liczba klientów poczty e-mail. Szybkie wyszukiwanie w Internecie ujawni, jak znaleźć pełny nagłówek wiadomości e-mail w wybranym kliencie. Po otwarciu pełnego nagłówka e-maila zrozumiesz, co miałem na myśli, mówiąc „pełen danych technicznych”.

Zrozumienie danych w pełnym nagłówku wiadomości e-mail

Wygląda na dużo informacji. Należy jednak wziąć pod uwagę następujące kwestie: czytasz nagłówek wiadomości e-mail chronologicznie, od dołu do góry (tj. najstarsze informacje na dole), a każdy nowy serwer, przez który przechodzi wiadomość, dodaje do nagłówka Odebrane .

Sprawdź ten przykładowy nagłówek e-maila pobrany z mojego konta MakeUseOf Gmail:

Linie nagłówka e-maila Gmaila

Jest dużo informacji. Rozbijmy to. Najpierw zrozum, co oznacza każda linia (czytając od dołu do góry ).

• Reply-To: Adres e-mail, na który wysyłasz odpowiedź.
• Od: Wyświetla nadawcę wiadomości; jest łatwy do sfałszowania.
• Content-type: informuje przeglądarkę lub klienta poczty e-mail, jak interpretować treść wiadomości e-mail. Najpopularniejszymi zestawami znaków są UTF-8 (widoczne w przykładzie) i ISO-8859-1.
• MIME-Version: Deklaruje używany standard formatu wiadomości e-mail. Wersja MIME to zazwyczaj „1.0”.
• Temat: Temat treści wiadomości e-mail.
• Do: zamierzonych odbiorców wiadomości e-mail; może wyświetlać inne adresy.
• DKIM-Signature: D omain K eys I dentified Mail uwierzytelnia domenę, z której wysłano e-mail i powinien chronić przed fałszowaniem e-maili i oszustwami nadawcy.
• Otrzymano: wiersz „Otrzymano” zawiera listę wszystkich serwerów, przez które przechodzi wiadomość e-mail, zanim trafi do skrzynki odbiorczej. Czytasz wiersze „Otrzymano” od dołu do góry; najniższa linia to inicjator.
• Authentication-Results: Zawiera zapis przeprowadzonych kontroli uwierzytelnienia; może zawierać więcej niż jedną metodę uwierzytelniania.
• Received-SPF: S ender Policy Framework ( SPF) stanowi część procesu uwierzytelniania wiadomości e-mail, który zapobiega fałszowaniu adresu nadawcy .
• Ścieżka zwrotna: Miejsce, w którym trafiają wiadomości, które nie zostały wysłane lub zostały odesłane.
• ARC-Authentication-Results: Uwierzytelniony łańcuch odbiorczy to kolejny standard uwierzytelniania ; ARC weryfikuje tożsamość pośredników pocztowych i serwerów, które przekazują Twoją wiadomość do ostatecznego miejsca docelowego.
• ARC-Message-Signature: Podpis wykonuje migawkę informacji nagłówka wiadomości do weryfikacji, podobnie jak DKIM.
• ARC-Seal: „Plombuje” wyniki uwierzytelnienia ARC i podpis wiadomości, weryfikując ich zawartość; podobny do DKIM.
• X-Received: Różni się od „Otrzymano” tym, że jest uważany za niestandardowy; to znaczy, że może to nie być stały adres, taki jak agent przesyłania poczty lub serwer SMTP Gmaila. (Patrz poniżej).
• X-Google-Smtp-Source: Pokazuje przesyłanie wiadomości e-mail przy użyciu serwera SMTP Gmaila.
• Dostarczono do: ostateczny odbiorca wiadomości e-mail w tym nagłówku.

Nie musisz rozumieć, co to wszystko oznacza, aby śledzić wiadomość e-mail. Ale jeśli nauczysz się przeglądać nagłówek wiadomości e-mail, możesz szybko rozpocząć śledzenie nadawcy wiadomości e-mail.

Ponadto każdy dostawca poczty e-mail ma inny sposób wyświetlania adresów IP. Na przykład Gmail pokazuje adres IP ostatniego serwera e-mail w wierszu Odebrane (nie adres IP nadawcy), podczas gdy w przypadku korzystania z usługi Yahoo Mail w wierszu Odebrane może być wyświetlany rzeczywisty adres IP nadawcy. Niestety oznacza to, że będziesz musiał bawić się danymi, aby prześledzić, kto wysłał wiadomość e-mail.

Śledzenie pierwotnego nadawcy wiadomości e-mail

Aby prześledzić adres IP oryginalnego nadawcy wiadomości e-mail, przejdź do pierwszego pola Odebrano w pełnym nagłówku wiadomości e-mail. Obok pierwszego wiersza Odebrane znajduje się adres IP serwera, który wysłał wiadomość e-mail. Czasami pojawia się to jako X-Originating-IP lub Original-IP .

Znajdź adres IP, a następnie przejdź do MX Toolbox . Wprowadź adres IP w polu, zmień typ wyszukiwania na Wyszukiwanie wsteczne za pomocą menu rozwijanego, a następnie naciśnij Enter. W wynikach wyszukiwania zostaną wyświetlone różne informacje dotyczące serwera wysyłającego.

Chyba że źródłowy adres IP jest jednym z milionów prywatnych adresów IP. W takim przypadku zobaczysz następujący komunikat:

Następujące zakresy adresów IP są prywatne:

• 0.0.0-10.255.255.255
• 16.00-172.31.255.255
• 168.0.0-192.168.255.255
• 0.0.0-239.255.255.255

Wyszukiwanie adresów IP dla tych zakresów nie zwróci żadnych wyników.

3 bezpłatne narzędzia do śledzenia wiadomości e-mail i adresów IP

Oczywiście istnieje kilka przydatnych narzędzi, które automatyzują ten proces. Przydatne jest zapoznanie się z pełnymi nagłówkami wiadomości e-mail i ich zawartością, ale czasami potrzebujesz szybkich informacji. Co więcej, chcesz śledzić e-maile za darmo, a nie wydawać kupę gotówki.

Sprawdź następujące analizatory nagłówków:

• Nagłówek wiadomości Narzędzia G Suite
• MX Toolbox Analizator nagłówków wiadomości e-mail
• Śledzenie nagłówków wiadomości e-mail z adresami IP (analizator nagłówków wiadomości e-mail + śledzenie adresów IP)

Jednak wyniki nie zawsze się zgadzają. W poniższym przykładzie wiem, że nadawcy nie ma nigdzie w pobliżu rzekomej lokalizacji, podanej jako środek zbiornika w pobliżu Wichita.

Twój sukces w śledzeniu wiadomości e-mail będzie się różnić w zależności od dostawcy poczty e-mail nadawcy. Na przykład, jeśli próbujesz prześledzić wiadomość e-mail wysłaną z konta Gmail, dowiesz się tylko o lokalizacji ostatniego serwera Google, który przetworzył Twoją wiadomość e-mail, a nie o adresie IP pierwotnego nadawcy.

Czy możesz śledzić e-mail za pomocą mediów społecznościowych?

Media społecznościowe to kolejna opcja, jeśli chodzi o śledzenie nadawcy wiadomości e-mail, ale podobnie jak w przypadku innych metod, nie ma żadnej gwarancji, że zadziała. Śledzenie wiadomości e-mail w mediach społecznościowych polega na tym, że nadawca dodaje ten sam adres e-mail do swojego konta i pozostawia te informacje publicznie.

Na przykład możesz użyć narzędzia wyszukiwania Facebooka, aby przeszukać witrynę w poszukiwaniu adresu e-mail, ale jeśli osoba, której szukasz, nie dodała tego konkretnego adresu e-mail do konta, nie zadziała. Śledzenie wiadomości e-mail za pośrednictwem mediów społecznościowych może działać z bardziej specyficzną usługą, taką jak LinkedIn, gdzie użytkownicy są bardziej skłonni do pozostawienia adresów e-mail skierowanych do przodu.

Ponownie, zależy to od tego, dlaczego śledzisz adres e-mail. Jest bardzo mało prawdopodobne, że wyśledzisz konto oszusta za pośrednictwem konta LinkedIn, ale nauka OSINT dla serwisów społecznościowych jest ogólnie przydatna.

Czy naprawdę możesz wyśledzić adres IP z wiadomości e-mail?

Istnieją przypadki, w których śledzenie adresu IP za pomocą nagłówka wiadomości e-mail jest przydatne. Być może szczególnie irytujący spamer lub źródło regularnych wiadomości phishingowych.

Niektóre e-maile będą pochodzić tylko z określonych lokalizacji; Twoje e-maile PayPal nie będą na przykład pochodzić z Chin. Pod tym względem śledzenie pochodzenia wiadomości e-mail nie jest nauką ścisłą, przynajmniej nie za pomocą łatwo dostępnych narzędzi. Ponieważ ogromna liczba osób korzysta z bezpłatnych usług e-mail, takich jak Gmail, Outlook i Yahoo, śledzenie wiadomości e-mail wysłanej z tych usług lub adresu IP związanego z nadawcą pozostanie niezwykle trudne, jeśli nie niemożliwe, dla zwykłych użytkowników Internetu.

Ponadto, jeśli nadawca korzysta z VPN lub innej usługi anonimizującej (być może serwera proxy lub wysyłanej z konta e-mail w sieci Tor), nigdy nie wyśledzisz nadawcy wiadomości e-mail.