Как понять с какого IP пришло письмо, если в письме его нет, но...

Тема в разделе "Анонимность в сети", создана пользователем konoplya, 3 сен 2015.

Модераторы: stooper
  1. konoplya

    konoplya Постоялец

    Регистр.:
    3 авг 2008
    Сообщения:
    88
    Симпатии:
    16
    Как понять с какого IP пришло письмо, если в письме его нет, но отправлено оно с почтового интерфейса яндекса, то есть, человек (вроде бы) зашёл на почту по протоколу хттп в стандартный интерфейс и отправил письмо, но айпи при этом почему-то не спалился. Просто в моём представлении, если не используется никаких анонимок, то айпи должен отображаться. Вот посмотрите, что скажете, как это понимать вообще:

    Received: from mxback9g.mail.yandex.net ([127.0.0.1])
    by mxback9g.mail.yandex.net with LMTP id TnuJjI2Y
    for <(не имеет значения)>; Thu, 3 Sep 2015 13:09:18 +0300
    Received: from web14g.yandex.ru (web14g.yandex.ru [2a02:6b8:0:1402::24])
    by mxback9g.mail.yandex.net (nwsmtp/Yandex) with ESMTP id aVo67y13ps-2It4KD0P;
    Thu, 3 Sep 2015 13:09:18 +0300
    X-Yandex-Front: mxback9g.mail.yandex.net
    X-Yandex-TimeMark: 1991274778
    Authentication-Results: mxback9g.mail.yandex.net; dkim=pass header.i=@yandex.ru
    Received: from 127.0.0.1 (localhost [127.0.0.1])
    by web14g.yandex.ru (Yandex) with ESMTP id 51B8EZC023E;
    Thu, 3 Sep 2015 13:09:18 +0300 (MSK)
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail;
    t=1441294778; bh=d3s7Q71wJSA3zAZuYJrq8sT7KYqSEs1vDZWvmG149tA=;
    h=From:To:In-Reply-To:References:Subject:Date;
    b=FZ6e8YKJHLLlkjlnK:JHKGGGF/HJHGgddgsFA6HKfFHGHSGF+F99
    DGkjkGjghHgf05EYTBYEfH4vuMyhLq/979nW72A8HKhkjhHhDDbdLWpiRJxUF6rB
    IcQ+l639kfH3vuMyhzqWS8uHaN6YxIWcjdA5RXck=
    X-Yandex-Spam: 1
    X-Yandex-Front: web14g.yandex.ru
    X-Yandex-TimeMark: 1991274778
    Received: by web14g.yandex.ru with HTTP;
    Thu, 03 Sep 2015 13:09:16 +0300
    From: (не имеет значения)
    To: =?koi8-r?B?68HHKJGgFDE5Jo9I=?= <(не имеет значения)>
    In-Reply-To: <1349951539837575@web25j.yandex.ru>
    References: <1045061459796514@web5j.yandex.ru> <1349951439837975@web25j.yandex.ru>
    Subject: =(не имеет значения)
    MIME-Version: 1.0
    Message-Id: <109614133141274776@web14g.yandex.ru>
    X-Mailer: Yamail [ http://yandex.ru ] 5.0
    Date: Thu, 03 Sep 2015 13:09:16 +0300
    Content-Transfer-Encoding: base64
    Content-Type: text/plain; charset=koi8-r
    Return-Path: (не имеет значения)
    X-Yandex-Forward: be1f0cafac50b30da864c5b0d8d0e50f
     
  2. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.039
    Симпатии:
    2.045
    Никак, яндекс скрывает подобную информацию, ровно как и 99% любых почтовиков.

    Насколько помню, даже exim в штатной настройке IP не передаёт.

    В лучшем случае Вы увидите IP Web-сервера, который инициализировал отправку письма (сервера WEB-морды у Яндекса отделены от почтовых).
     
    konoplya, metsys и alider нравится это.
  3. metsys

    metsys

    Регистр.:
    27 апр 2014
    Сообщения:
    382
    Симпатии:
    386
    отправил тестовое письмо с яндекса из веб интерфейса (kazladoev@yandex.ru) на мыло.сру (vasya_pupkin@mail.ru) и, как и сказал Горбушка , IP компьютера отправителя не палится:

    Код:
    Delivered-To: vasya_pupkin@mail.ru
    Return-path: <kazladoev@yandex.ru>
    Authentication-Results: mxs.mail.ru; spf=pass (mx132.mail.ru: domain of yandex.ru designates 77.88.31.15 as permitted sender) smtp.mailfrom=kazladoev@yandex.ru smtp.helo=forward20p.cmail.yandex.net;
         dkim=pass header.i=yandex.ru
    Received-SPF: pass (mx132.mail.ru: domain of yandex.ru designates 77.88.31.15 as permitted sender) client-ip=77.88.31.15; envelope-from=kazladoev@yandex.ru; helo=forward20p.cmail.yandex.net;
    Received: from forward20p.cmail.yandex.net ([77.88.31.15]:41592)
        by mx132.mail.ru with esmtp (envelope-from <kazladoev@yandex.ru>)
        id 1ZXUjT-0003jX-Ie
        for vasya_pupkin@mail.ru; Thu, 03 Sep 2015 16:39:15 +0300
    X-Mru-TLS: TLSv1.2:AES256-GCM-SHA384
    X-Mru-BadRcptsCount: 0
    X-Mru-PTR: *off*
    X-Mru-NR: 1
    X-Mru-OF: Linux (generic tunnel or VPN)
    X-Mru-RC: RU
    Received: from web2g.yandex.ru (web2g.yandex.ru [95.108.252.102])
        by forward20p.cmail.yandex.net (Yandex) with ESMTP id 6EAAA2232D
        for <vasya_pupkin@mail.ru>; Thu,  3 Sep 2015 16:39:15 +0300 (MSK)
    Received: from 127.0.0.1 (localhost [127.0.0.1])
        by web2g.yandex.ru (Yandex) with ESMTP id 0AC284861FE4;
        Thu,  3 Sep 2015 16:39:14 +0300 (MSK)
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail;
        t=1441287555; bh=Pb6s/Xlf4u1eDlYyO0NCaMRMrCg6xDNkK5byz8RDY1s=;
        h=From:To:Subject:Date;
        b=GX4ggMsjCR1JkHo/hrTNOQwgudXBELla/SlEXf4s/ycqIO8seiwju3NfKJpIo162X
         fdPDSv6s3hZdsnfx2nvhk6DLpoyQQeBGDnkGFf+QuVXJnxUxZsT2D6ONq/NptH28TI
         poUNOqnft52p+Gfmea62WxVARXeNp+xfzp/fV9w8=
    Received: by web2g.yandex.ru with HTTP;
        Thu, 03 Sep 2015 16:39:14 +0300
    From: kazladoev <kazladoev@yandex.ru>
    Envelope-From: kazladoev@yandex.ru
    To: vasya_pupkin@mail.ru
    Subject: test
    MIME-Version: 1.0
    Message-Id: <40061441287554@web2g.yandex.ru>
    X-Mailer: Yamail [ http://yandex.ru ] 5.0
    Date: Thu, 03 Sep 2015 16:39:14 +0300
    Content-Transfer-Encoding: 7bit
    Content-Type: text/plain
    X-DMARC-Policy: none
    X-DMARC-Result: pass
    X-Mras: Ok
    X-Mru-Authenticated-Sender: kazladoev@yandex.ru
    X-Spam: undefined
     
    konoplya нравится это.
  4. konoplya

    konoplya Постоялец

    Регистр.:
    3 авг 2008
    Сообщения:
    88
    Симпатии:
    16
    Не, в моём случае отправлено с яндекса на яндекс, два ящика от разных владельцев но на одном мыло-провайдере, причём я предполагаю, что отправитель не в моём городе. Теоретически заголовок должен был хотя бы показать примерное месторасположение, где другой товарищ находится(его город, локация), так и этого нет.

    А в вашем случае(metsys) айпи хоть как-то да палятся, московские (95.108.252.102, 77.88.31.15), это уже что-то, то есть, вы где-то там рядом находитесь по радиусу, точно не в африке ))). А вот в моём примере вообще по нулям, даже этого нет, вот меня и возмутил данный момент, мол, как же так и что за подлость. Вот горбуша как раз про это и написал "лучшем случае Вы увидите IP Web-сервера, который инициализировал отправку письма" которую мы у metsys и видим (спасибо, кстати)

    Вот и размышляю, мол, что за ерунда такая, даже примерного местоположения нет :(
     
  5. metsys

    metsys

    Регистр.:
    27 апр 2014
    Сообщения:
    382
    Симпатии:
    386
    web2g.yandex.ru [95.108.252.102]
    forward20p.cmail.yandex.net [77.88.31.15]
    это ресурсы яндекса, а я как раз в "африке" и оооочень далеко от москвы

    вам же остается только вариант соц инженерии: делайте ссылку на каком нибудь ресурсе (или своём крайний случай) отправляйте абоненту и смотрите в логи (или с разных ящиков с разными предлогами - зависит от вашей изобретательности и знания психологии атакуемого, его интересов и т д) с какого айпи будут ломиться .... но если абонент на другом конце параноик и сидит за впн или прокси - то это никчему будет
     
    Последнее редактирование: 3 сен 2015
    konoplya нравится это.
  6. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.039
    Симпатии:
    2.045
    konoplya, я же говорил - в лучем случае это будет сервер с веб-мордой, который отправил письмо... В худшем - там будет IP только самого SMTP-сервера.

    По сути, если не используется SMTP-протокол, то отправителем является не браузер, а веб-скрипт... И exim в душе не ... какой там IP у человека с браузером - он о нём даже не подозревает. К нему подключился некий сервак - вот его IP и зафиксируется.
    Есть призрачный шанс, что exim спалит IP с которого подключились по SMTP, но это вариант без веб-интерфейса... И то шанс на уровне 0,000001%

    Только в варианте с SMTP-клиентом... В веб-интерфейсе все картинки и прочее скачивается Яшей... И IP не запалится... Остаётся только "Перейдите по ссылке" и то бредовый...

    Ну да не суть важно... А в чём вообще цель получения IP? Ну узнаете провайдера, в лучшем случае город... 90% IP динамические и даже забанить будет бестолку...
     
    Последнее редактирование модератором: 3 сен 2015