[Muhekas]

Tere

Kui keegi on saatnud mulle mingilt x- aadressilt emaili ja mind nüüd huvitab kes see isik oli siis kas seda on võimalik kindlaks teha ja kuidas?

Tänan

[A.S.]

Ei ole võimalik kindlaks teha.

[Muhekas]

[A.S.]

Keegi on ilmselt hiljuti CSI seriaale vaadanud.
Politsei saab küll kindlaks teha, sina mitte.
 

[Dogbert]

Kui kirja päises on kirjas, siis loed sealt ja kui pole, siis ei saagi. Pean silmas kirja täielikku lähtekoodi loomulikult, mida sa veebikeskkonnas ei pruugi näha. Gmailis näed seda, kui valid menüüst "show original" (ma ei tea, kuidas see eesti keelde on tõlgitud). Kui veebiliides ei võimalda, siis tuleb kiri ikka arvutisse alla laadida kas IMAP või POP3 kliendiga. Kui kiri on saadetud mingist veebimeili keskkonnast või läbi autentiva SMTP serveri, siis võib päises olla ka info kirja välja saatnud konto nimega, mis ei pruugi midagi öelda selle tegeliku omaniku kohta.
Kõik see info võib päises olla, aga ei pea olema, kui kirja välja saatnud SMTP seda infot jagada ei taha.

Näiteks gmaili aadressile saadetud Starmani arve päis on selline:

Spoiler

Delivered-To: xxxx Received: by 10.224.79.18 with SMTP id n18csp202907qak;         Wed, 7 Aug 2013 09:35:37 -0700 (PDT) X-Received: by 10.14.38.196 with SMTP id a44mr3919540eeb.78.1375893337182;         Wed, 07 Aug 2013 09:35:37 -0700 (PDT) Return-Path: <arved-no-reply@starman.ee> Received: from mx2.starman.ee (smtp-out4.starman.ee. [85.253.0.10])         by mx.google.com with ESMTP id n7si6791373eeg.138.2013.08.07.09.35.36         for <xxxx>;         Wed, 07 Aug 2013 09:35:37 -0700 (PDT) Received-SPF: pass (google.com: domain of arved-no-reply@starman.ee designates 85.253.0.10 as permitted sender) client-ip=85.253.0.10; Authentication-Results: mx.google.com;        spf=pass (google.com: domain of arved-no-reply@starman.ee designates 85.253.0.10 as permitted sender) smtp.mail=arved-no-reply@starman.ee X-Virus-Scanned: by Amavisd-New at mx2.starman.ee Received: from mx2.starman.ee ([127.0.0.1])    by localhost (mx2.starman.ee [127.0.0.1]) (amavisd-new, port 10024)    with ESMTP id 3boouU0lyWJI for <xxxx>;    Wed,  7 Aug 2013 19:35:34 +0300 (EEST) Received: from PCAKAD-KO59 (62.65.249.147.int.starman.ee [62.65.249.147])    by mx2.starman.ee (Postfix) with ESMTP id 2E6B7278183    for <xxxx>; Wed,  7 Aug 2013 19:32:11 +0300 (EEST) From: "Starman klienditeenindus" <arved-no-reply@starman.ee> To: xxxx Subject: Starmani e-arve august 2013 Date: Wed, 7 Aug 2013 19:32:12 +0300 Organization: Starman MIME-Version: 1.0 (produced by Starman) X-mailer: Starvara Content-type: Multipart/mixed; boundary="071524F0_50063C74_Starman_boundary" Content-Description: Multipart message Message-Id: <20130807163211.2E6B7278183@mx2.starman.ee>

Ülevalt alla liikudes näed kõige esimesena läbitud teekonna viimast sammu, edasi liikudes jõuad lõpuks kirja välja saatnud masinani, milleks antud juhul on PCAKAD-KO59 (62.65.249.147.int.starman.ee [62.65.249.147]). Väga tihti on kirja väljasaatjaks sisevõrgu aadressiga masin, siin on tal avalik aadress olemas. Kiri on saadetud Starmani SMTP-le mx2.starman.ee, kus seda on viiruste suhtes skännitud ja siis saadetud edasi Gmaili serverile. Google'i sisevõrgus on ta teinud veel ühe sammu.
Meiler (kirja genereerinud programm) ütleb enda nimeks olevat "Starvara" ja saatja ütleb enda aadressiks olevat arved-no-reply@starman.ee. Need kumbki ei pruugi olla tõesed (antud juhul küllap on, aga põhimõtteliselt ei ole seda võimalik kontrollida)

[Etz]

[Dogbert]

Ma vaatasin jah, et on midagi ise valmis treitud. Tublid ju.

[A.S.]

[Dogbert]

Ega ta siis ka kirja saatnud isikut ei tea ju tegelikult
Parimal juhul on isegi politseil võimalik välja selgitada vaid isikute grupp, kellel oli selle avaliku IP tagant kiri võimalik välja saata. Edasi läheb tavaliseks detektiivitööks.

[A.S.]

Üks isik, üks IP - nii on tänapäeval kombeks. Kaks inimest ühe arvuti taha lihtsalt ära ei mahu, isegi parema tahtmise juures mitte (kui just kooli arvuti pole).

[Dogbert]

Mobiilseadmete (mobiilside võrgus olevate seadmete) puhul võib seda eeldada, aga kindel selles ikkagi olla ei saa.

Kui koduvõrgus on rohkem seadmeid, siis võib seal küll olla üks arvuti inimese kohta, aga SMTP-ni läheb info ikkagi vaid kirja välja saatnud avalikust aadressist. Kui on kellelgi oma isiklik SMTP sisevõrgus või on tegemist oma SMTP-d omava asutusega, siis võib see anda infot ka sisevõrgu aadressi kohta. Kui aga IPv6 tuleb, siis küll praegusest suhtelisest privaatsusest midagi järele ei jää...

[Muhekas]

[perenoel]

[A.S.]

[aht0]

[Dogbert]

Mainisin varemalt seda, et headeris võib olla ka autentinud konto nimi - siin on üks värske näide headerist, kus on ära toodud lisaks veebimeili kontole sisse loginud spämmeri masina IP-aadressile ka (ilmselt tema poolt üle võetud) konto nimi - sellist asja võib kohata meilikonto veebiliidese kaudu saadetud kirjadel ja autentiva SMTP kaudu saadetud kirjadel juhul, kui server on seadistatud seda infot headerisse lisama. IP-aadress ei pruugi muidugi olla spämmeri isiklik aadress - see võib olla tema poolt üle võetud masina aadress. Antud juhul aga võib see vabalt ka spämmeri aadress olla, sest asub see Indias (seal tundub spämmeri amet olevat üsna levinud ja ma ei imestaks, kui oma aadressi ei varjatagi).
Ärge pahandage, et kirja väljasaatnud konto nime ma siin mingi sigrimigriga ei asendanud - see, ilmselt liiga nõrga parooliga või näiteks "Microsofti" petukõne ohvriks langenu konto on spämmeri poolt üle võetud ja "reklaamib" ennast nagunii praegu massiliselt, tõenäoliselt üle maailma - veel üks kord selle avaldamine ei mõjuta enam midagi. Jääb vaid öelda - vaene Marju, kesiganes ta siis pole.

Spoiler

From it-support@email.com Thu Jan  1 00:00:01 1970 Received: from webmail.zone.eu ([217.146.65.70])    by xxxx with esmtp (Exim 4.80)    (envelope-from <it-support@email.com>)    id 1VFnhN-0002Ew-Vv    for yyyy; Sat, 31 Aug 2013 19:06:54 +0300 Received: from webmail.zone.ee (webmail.zone.eu [IPv6:2a02:29e8:700:0:1::70])    by webmail.zone.eu (Postfix) with ESMTPA id 49F0B24029E1;    Wed, 28 Aug 2013 17:12:16 +0300 (EEST) Received: from [116.203.121.18] (Authenticated sender: marju@maainfo.ee)    by webmail.zone.ee ([217.146.65.71]) with HTTP;    Wed, 28 Aug 2013 17:12:16 +0300 (EEST) Reply-To: no-reply@email.com From: "IT-Support Team" <it-support@email.com> To: me@mymail.com Date: Wed, 28 Aug 2013 17:12:16 +0300 X-Mailer: DataZone Webmail/2.4 X-Priority: 3 Message-ID: <1377699136.9ec0dbd0@webmail.zone.ee> MIME-Version: 1.0 Content-Type: multipart/alternative;    boundary="--=_c7a9448581751c7855d5fbc505804b4a" X-SA-Exim-Connect-IP: 217.146.65.70 X-SA-Exim-Rcpt-To: yyyy X-SA-Exim-Mail-From: it-support@email.com Subject: *****SPAM***** Dear Webmail user X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on xxxx X-Spam-Flag: YES X-Spam-Level: ************************************************** X-Spam-Status: Yes, score=7777801.0 required=5.0 tests=EMAIL_URI_PHISH,    FREEMAIL_FROM,FREEMAIL_REPLYTO,HTML_MESSAGE,LOCAL_dear_email_user_scam,    RAZOR2_CHECK autolearn=no version=3.3.2 X-SA-Exim-Version: 4.2.1 (built Mon, 26 Dec 2011 16:57:07 +0000) X-SA-Exim-Scanned: Yes (on xxxx)

[Betamax]

[Dogbert]

Ega see otsimine eriti keeruline ei ole, kui aadress olemas ja domeeninimi asutuse oma

[napoleon]

Antud juhul on küll pisut keeruline, kuid peab siiski mainima, et spämmer võib ka headereid võltsida.

[Dogbert]

Jah, kuni kirja väljapritsinud SMTP-ni võib ta sinna kirjutada mida tahes ja kui SMTP on tema "oma", siis kuni kirja vastu võtnud SMTP-ni. Täiesti tüüpiline on spämmitõrje ja antiviiruse kirjete lisamine, meileri nime võltsimine jne.
Antud juhul on see siiski webmail.zone.ee-st või eu-st tulnud ja seega on need nende serverite poolt lisatud, suure tõenäosusega seega mitte võltsitud.

[macc]

Oskab keegi öelda midagi sellise päise kohta, kes võiks olla kirja saatja või kuskohast? :
Received: from smtp-out.postimees.ee (smtp-out.postimees.ee. [213.168.24.48])
by mx.google.com with ESMTPS id r6si13866482lag.118.2015.08.03.23.04.11)
Received: from smtp-out.postimees.ee (localhost [127.0.0.1])
by smtp-out.postimees.ee (Postfix) with ESMTP id 1B5453ED6D

[Etz]

[Dogbert]

Selle info põhjal pole võimalik midagi täpsemat öelda, kui et kiri tuli tõepoolest smtp-out.postimees.ee kaudu ja näha olev IP vastab DNS-ile, ei ole võltsitud.
Kust see kiri postimees.ee väljuvate kirjade meiliserverisse jõudis, ei ole sellest lõigust näha.
Võimalik, et see on moodustatud otse serveris (localhost 127.0.0.1), aga see võib olla ka märge sellest, et kiri lasti läbi mingisuguse (spämmi- ja viiruse-)skänneri seal serveris. Algne lähtekoht, kui see üldse on säilinud või eksisteeris, asub päises kusagil allpool.

Kirja on vastu võtnud üks Google'i meiliserveritest.

[macc]

Kirja saatja ip on 84.50.52.62. Oskab keegi öelda, mis asutusele see võib kuuluda?

[A.S.]

Mõtled seda, et kellele Elion on selle IP välja jaganud? Vaevalt Elioni töötajad seda infot siia teemasse avalikult kirja panevad.

[Dogbert]

Antud IP asub Elionile kuuluvas staatiliste IP-aadresside vahemikus. Kuna talle Elioni "standardsest" staatilise aadressi PTR kirjest midagi konkreetsemat ei ole määratud, siis täpsemalt teadasaamiseks peab seda küsima Elionilt. Lisaks ei pea vist isegi olema asutus, et seda või sarnast aadressi saada.
Elion ei ole aga kohustatud seda infot avaldama ja tõenäoliselt ilma konkreetse aadressi kohta käiva kohtumääruseta ei avaldagi.

:~$ dig @dns.estpak.ee +noall +answer -x 84.50.52.62
62.52.50.84.in-addr.arpa. 86348 IN PTR 62.52.50.84.sta.estpak.ee.

[fucs]

Tere.

Mul selline küsimus asjatundjatele, ehk keegi oskab vastata ja lollile ära seletada.

Saabus E-kiri GMaili postkasti.
Osa kirja metaandmetest:

Spoiler

Delivered-To: minupraegune@gmail.com
Received: by 2002:a05:6838:73d7:b0:76e:ca7e:43ea with SMTP id w23csp2161001nkm;
Wed, 27 Sep 2023 03:48:56 -0700 (PDT)
....

ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@gmail.com header.s=20230601 header.b=fcj6wb70;
spf=pass (google.com: domain of srs0+kli8=fl=gmail.com=guy.melanie2020@srsout.mailcore.com designates 81.7.169.175 as permitted sender) smtp.mailfrom="SRS0+KLI8=FL=gmail.com=guy.melanie2020@srsout.mailcore.com";
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com
Return-Path: <SRS0+KLI8=FL=gmail.com=guy.melanie2020@srsout.mailcore.com>
Received: from SMTPOUT02.DKA.mailcore.net (smtpout02.dka.mailcore.net. [81.7.169.175])
by mx.google.com with ESMTPS id s2-20020a170906354200b0099cfbdae62dsi14395926eja.590.2023.09.27.03.48.55
for <minupraegune@gmail.com>
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Wed, 27 Sep 2023 03:48:56 -0700 (PDT)
Received-SPF: pass (google.com: domain of srs0+kli8=fl=gmail.com=guy.melanie2020@srsout.mailcore.com designates 81.7.169.175 as permitted sender) client-ip=81.7.169.175;
Authentication-Results: mx.google.com;
dkim=pass header.i=@gmail.com header.s=20230601 header.b=fcj6wb70;
spf=pass (google.com: domain of srs0+kli8=fl=gmail.com=guy.melanie2020@srsout.mailcore.com designates 81.7.169.175 as permitted sender) smtp.mailfrom="SRS0+KLI8=FL=gmail.com=guy.melanie2020@srsout.mailcore.com";
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com
Received: from DKA-POSTFIX.mailcore.local (unknown [10.1.0.28]) by SMTPOUT05.DKA.mailcore.net (Postfix) with ESMTP id 62F3AE02F7 for <minupraegune@gmail.com>; Wed, 27 Sep 2023 12:48:53 +0200 (CEST)
Authentication-Results: SMTPOUT05.DKA.mailcore.net; dkim=pass (2048-bit key; unprotected) header.d=gmail.com header.i=@gmail.com header.b="fcj6wb70"; dkim-atps=neutral
Received: from MX.DKA.mailcore.net (unknown [10.1.0.217]) by DKA-POSTFIX.mailcore.local (Postfix) with ESMTP id 4RwYJ56hJLz2xQX for <minuendine@hot.ee>; Wed, 27 Sep 2023 12:48:53 +0200 (CEST)
Received: from localhost (unknown [10.1.0.188]) by MX.DKA.mailcore.net (Postfix) with ESMTP id 4RwYJ73mRsz2xHn for <minuendine@hot.ee>; Wed, 27 Sep 2023 12:48:55 +0200 (CEST)

....

Received: from MX.DKA.mailcore.net ([10.1.0.217]) by localhost (dka-amavis38.mailcore.local [10.1.0.30]) (amavisd-new, port 10024) with ESMTP id 4EvnyJwYfO1I for <minuendine@hot.ee>; Wed, 27 Sep 2023 12:48:53 +0200 (CEST)
X-Greylist: whitelisted by SQLgrey-1.8.0
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=209.85.160.179; helo=mail-qt1-f179.google.com; envelope-from=guy.melanie2020@gmail.com; receiver=<UNKNOWN>
Received: from mail-qt1-f179.google.com (mail-qt1-f179.google.com [209.85.160.179]) by MX.DKA.mailcore.net (Postfix) with ESMTPS id 4RwYJ50zZjz2xJ9 for <minuendine@hot.ee>; Wed, 27 Sep 2023 12:48:49 +0200 (CEST)
....
References: <CA+uWWP+wNLrviJY6i+_u8qiKNqMR_5UCDqAOS0Y2behxFwhz+Q@mail.gmail.com>
In-Reply-To: <CA+uWWP+wNLrviJY6i+_u8qiKNqMR_5UCDqAOS0Y2behxFwhz+Q@mail.gmail.com>
From: <blabla44@gmail.com>
Date: Wed, 27 Sep 2023 12:48:12 +0200
Message-ID: <CA+uWWPLUMMo3+0G=W5CKoU0F+7NZwAqo6KbV2etdafoEBouh8g@mail.gmail.com>

Sõnaseletused:
Kiri saabus aadressile "minupraegune@gmail.com"
Mul on/oli vana meilikast "minuendine@hot.ee" mida ma ei külasta ega kasuta juba aastaid, kuid mida ma pole ka spetsiaalselt käinud likvideerimas/kinni panemas. Kuid seal on pandud minu varu E-maili aadressiks "minupraegune@gmail.com".
blabla44@gmail.com on kirja saatja GMaili saabuvate kirjade tavavaate kirjapäises kui "saatja"
IP 81.7.169.175 on Sentia Denmark A/S Kopenhaageni nimeserver / DNS server (smtpout02.dka.mailcore.net)
IP 209.85.160.179 on GMaili nimeserver

Küsimused:
kas ma saan õigesti aru, et e-mailiga "blabla44@gmail.com" saatja on tegelikult "guy.melanie2020@gmail.com", kes saatis oma kirja läbi Taanis asuva Sentia Denmark A/S DNS serveri (IP 81.7.169.175) kasutades "mailcore.com" või "mailcore.net" hostingu teenust kasutajana "guy.melanie2020@srsout.mailcore.com", aadressile "minuendine@hot.ee" kust see tuli mingit moodi edasi "minupraegune@gmail.com" postkasti ?

Kui ma tuvastan mõne isiku, kes saadab e-kirju samal ajal (kuupäev), sama smtpout02.dka.mailcore.net kaudu, sama DNS IP-ga 81.7.169.175, siis teda ei ole võimalik minule saadetud kirjaga eksole seostada, kuna selle DNS IP alt võivad väljuda ka kirjad paljudelt teistelt kirjasaatjatelt, kes kasutavad Sentia Denmark A/S teenust koos smtpout02.dka.mailcore.net IP 81.7.169.175 ?

Ehk, et kui ma leian veel E-kirju, kus metaandmetes on näiteks sama IP ja sama smtpout02.dka.mailcore.net , nagu näiteks:

Spoiler

Received: from SMTPOUT02.DKA.mailcore.net (smtpout02.dka.mailcore.net [81.7.169.175])
(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256
client-signature RSA-PSS (2048 bits) client-digest SHA256)
(Client CN "smtpout02.dka.mailcore.net", Issuer "R3" (verified OK))
by mx1.midaiganes.org (Postfix) with ESMTPS id 4RtF4550DXz4TGG;
Sat, 23 Sep 2023 16:30:29 +0000 (UTC)
(envelope-from üksteinekodanik@hot.ee)
Authentication-Results: mx1.midaiganes.org;
dkim=pass header.d=online.ee header.s=mailcore header.b="Jm/yIz2e";
spf=pass (mx1.midaiganes.org: domain of üksteinekodanik@hot.ee designates 81.7.169.175 as permitted sender) smtp.mailfrom=üksteinekodanik@hot.ee;
dmarc=pass (policy=reject) header.from=hot.ee
Received: from SMTP.DKA.mailcore.net (unknown [10.1.0.52])
by SMTPOUT05.DKA.mailcore.net (Postfix) with ESMTP id 14112E0150;
Sat, 23 Sep 2023 18:30:24 +0200 (CEST)
...

Received: from [127.0.0.1] (111-190-35-213.dyn.estpak.ee [213.35.190.111])
by SMTP.DKA.mailcore.net (Postfix) with ESMTPSA id 89879400A6;
Sat, 23 Sep 2023 18:30:23 +0200 (CEST)

...siis neid ei saa kuidagi ühe ja sama kirjasaatjaga seostada / neil puudub igasugune seos peale selle, et nende saatjate kirjad on läinud teele ühest ja samast Sentia Denmark A/S Kopenhaageni nimeserverist smtpout02.dka.mailcore.net teenusega, mille IP on 81.7.169.175 ?

Ja kui keegi viitsib natuke rohkem lahti seletada need seosed blabla44@gmail.com (mida näeb e-kirja päises tavavaates kui saatjat) ning guy.melanie2020@gmail.com (mida näeb kirja metaandmetest) vahel ning kuidas ja millal sai saatjast guy.melanie2020@gmail.com hoopis blabla44@gmail.com (mingi saabunud kirja edastamise teema? vms?)...

ja

... kuidas sai minu "minupraegune@gmail.com" postkasti kiri, mis oli saadetud (KUI oli saadetud ja ma sain ikka õigesti aru) "minuendine@hot.ee" postkasti, siis oleksin eriti tänulik

Aitäh!

[A.S.]

[fucs]

Aitäh kiire vastuse eest!

[Dogbert]