[Muhekas]

Tere

Kui keegi on saatnud mulle mingilt x- aadressilt emaili ja mind nüüd huvitab kes see isik oli siis kas seda on võimalik kindlaks teha ja kuidas?

Tänan

[A.S.]

Ei ole võimalik kindlaks teha.

[Muhekas]

[A.S.]

Keegi on ilmselt hiljuti CSI seriaale vaadanud.
Politsei saab küll kindlaks teha, sina mitte.
 

[Dogbert]

Kui kirja päises on kirjas, siis loed sealt ja kui pole, siis ei saagi. Pean silmas kirja täielikku lähtekoodi loomulikult, mida sa veebikeskkonnas ei pruugi näha. Gmailis näed seda, kui valid menüüst "show original" (ma ei tea, kuidas see eesti keelde on tõlgitud). Kui veebiliides ei võimalda, siis tuleb kiri ikka arvutisse alla laadida kas IMAP või POP3 kliendiga. Kui kiri on saadetud mingist veebimeili keskkonnast või läbi autentiva SMTP serveri, siis võib päises olla ka info kirja välja saatnud konto nimega, mis ei pruugi midagi öelda selle tegeliku omaniku kohta.
Kõik see info võib päises olla, aga ei pea olema, kui kirja välja saatnud SMTP seda infot jagada ei taha.

Näiteks gmaili aadressile saadetud Starmani arve päis on selline:

Spoiler

Delivered-To: xxxx Received: by 10.224.79.18 with SMTP id n18csp202907qak;         Wed, 7 Aug 2013 09:35:37 -0700 (PDT) X-Received: by 10.14.38.196 with SMTP id a44mr3919540eeb.78.1375893337182;         Wed, 07 Aug 2013 09:35:37 -0700 (PDT) Return-Path: <arved-no-reply@starman.ee> Received: from mx2.starman.ee (smtp-out4.starman.ee. [85.253.0.10])         by mx.google.com with ESMTP id n7si6791373eeg.138.2013.08.07.09.35.36         for <xxxx>;         Wed, 07 Aug 2013 09:35:37 -0700 (PDT) Received-SPF: pass (google.com: domain of arved-no-reply@starman.ee designates 85.253.0.10 as permitted sender) client-ip=85.253.0.10; Authentication-Results: mx.google.com;        spf=pass (google.com: domain of arved-no-reply@starman.ee designates 85.253.0.10 as permitted sender) smtp.mail=arved-no-reply@starman.ee X-Virus-Scanned: by Amavisd-New at mx2.starman.ee Received: from mx2.starman.ee ([127.0.0.1])    by localhost (mx2.starman.ee [127.0.0.1]) (amavisd-new, port 10024)    with ESMTP id 3boouU0lyWJI for <xxxx>;    Wed,  7 Aug 2013 19:35:34 +0300 (EEST) Received: from PCAKAD-KO59 (62.65.249.147.int.starman.ee [62.65.249.147])    by mx2.starman.ee (Postfix) with ESMTP id 2E6B7278183    for <xxxx>; Wed,  7 Aug 2013 19:32:11 +0300 (EEST) From: "Starman klienditeenindus" <arved-no-reply@starman.ee> To: xxxx Subject: Starmani e-arve august 2013 Date: Wed, 7 Aug 2013 19:32:12 +0300 Organization: Starman MIME-Version: 1.0 (produced by Starman) X-mailer: Starvara Content-type: Multipart/mixed; boundary="071524F0_50063C74_Starman_boundary" Content-Description: Multipart message Message-Id: <20130807163211.2E6B7278183@mx2.starman.ee>

Ülevalt alla liikudes näed kõige esimesena läbitud teekonna viimast sammu, edasi liikudes jõuad lõpuks kirja välja saatnud masinani, milleks antud juhul on PCAKAD-KO59 (62.65.249.147.int.starman.ee [62.65.249.147]). Väga tihti on kirja väljasaatjaks sisevõrgu aadressiga masin, siin on tal avalik aadress olemas. Kiri on saadetud Starmani SMTP-le mx2.starman.ee, kus seda on viiruste suhtes skännitud ja siis saadetud edasi Gmaili serverile. Google'i sisevõrgus on ta teinud veel ühe sammu.
Meiler (kirja genereerinud programm) ütleb enda nimeks olevat "Starvara" ja saatja ütleb enda aadressiks olevat arved-no-reply@starman.ee. Need kumbki ei pruugi olla tõesed (antud juhul küllap on, aga põhimõtteliselt ei ole seda võimalik kontrollida)

[Etz]

[Dogbert]

Ma vaatasin jah, et on midagi ise valmis treitud. Tublid ju.

[A.S.]

[Dogbert]

Ega ta siis ka kirja saatnud isikut ei tea ju tegelikult
Parimal juhul on isegi politseil võimalik välja selgitada vaid isikute grupp, kellel oli selle avaliku IP tagant kiri võimalik välja saata. Edasi läheb tavaliseks detektiivitööks.

[A.S.]

Üks isik, üks IP - nii on tänapäeval kombeks. Kaks inimest ühe arvuti taha lihtsalt ära ei mahu, isegi parema tahtmise juures mitte (kui just kooli arvuti pole).

[Dogbert]

Mobiilseadmete (mobiilside võrgus olevate seadmete) puhul võib seda eeldada, aga kindel selles ikkagi olla ei saa.

Kui koduvõrgus on rohkem seadmeid, siis võib seal küll olla üks arvuti inimese kohta, aga SMTP-ni läheb info ikkagi vaid kirja välja saatnud avalikust aadressist. Kui on kellelgi oma isiklik SMTP sisevõrgus või on tegemist oma SMTP-d omava asutusega, siis võib see anda infot ka sisevõrgu aadressi kohta. Kui aga IPv6 tuleb, siis küll praegusest suhtelisest privaatsusest midagi järele ei jää...

[Muhekas]

[perenoel]

[A.S.]

[aht0]

[Dogbert]

Mainisin varemalt seda, et headeris võib olla ka autentinud konto nimi - siin on üks värske näide headerist, kus on ära toodud lisaks veebimeili kontole sisse loginud spämmeri masina IP-aadressile ka (ilmselt tema poolt üle võetud) konto nimi - sellist asja võib kohata meilikonto veebiliidese kaudu saadetud kirjadel ja autentiva SMTP kaudu saadetud kirjadel juhul, kui server on seadistatud seda infot headerisse lisama. IP-aadress ei pruugi muidugi olla spämmeri isiklik aadress - see võib olla tema poolt üle võetud masina aadress. Antud juhul aga võib see vabalt ka spämmeri aadress olla, sest asub see Indias (seal tundub spämmeri amet olevat üsna levinud ja ma ei imestaks, kui oma aadressi ei varjatagi).
Ärge pahandage, et kirja väljasaatnud konto nime ma siin mingi sigrimigriga ei asendanud - see, ilmselt liiga nõrga parooliga või näiteks "Microsofti" petukõne ohvriks langenu konto on spämmeri poolt üle võetud ja "reklaamib" ennast nagunii praegu massiliselt, tõenäoliselt üle maailma - veel üks kord selle avaldamine ei mõjuta enam midagi. Jääb vaid öelda - vaene Marju, kesiganes ta siis pole.

Spoiler

From it-support@email.com Thu Jan  1 00:00:01 1970 Received: from webmail.zone.eu ([217.146.65.70])    by xxxx with esmtp (Exim 4.80)    (envelope-from <it-support@email.com>)    id 1VFnhN-0002Ew-Vv    for yyyy; Sat, 31 Aug 2013 19:06:54 +0300 Received: from webmail.zone.ee (webmail.zone.eu [IPv6:2a02:29e8:700:0:1::70])    by webmail.zone.eu (Postfix) with ESMTPA id 49F0B24029E1;    Wed, 28 Aug 2013 17:12:16 +0300 (EEST) Received: from [116.203.121.18] (Authenticated sender: marju@maainfo.ee)    by webmail.zone.ee ([217.146.65.71]) with HTTP;    Wed, 28 Aug 2013 17:12:16 +0300 (EEST) Reply-To: no-reply@email.com From: "IT-Support Team" <it-support@email.com> To: me@mymail.com Date: Wed, 28 Aug 2013 17:12:16 +0300 X-Mailer: DataZone Webmail/2.4 X-Priority: 3 Message-ID: <1377699136.9ec0dbd0@webmail.zone.ee> MIME-Version: 1.0 Content-Type: multipart/alternative;    boundary="--=_c7a9448581751c7855d5fbc505804b4a" X-SA-Exim-Connect-IP: 217.146.65.70 X-SA-Exim-Rcpt-To: yyyy X-SA-Exim-Mail-From: it-support@email.com Subject: *****SPAM***** Dear Webmail user X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on xxxx X-Spam-Flag: YES X-Spam-Level: ************************************************** X-Spam-Status: Yes, score=7777801.0 required=5.0 tests=EMAIL_URI_PHISH,    FREEMAIL_FROM,FREEMAIL_REPLYTO,HTML_MESSAGE,LOCAL_dear_email_user_scam,    RAZOR2_CHECK autolearn=no version=3.3.2 X-SA-Exim-Version: 4.2.1 (built Mon, 26 Dec 2011 16:57:07 +0000) X-SA-Exim-Scanned: Yes (on xxxx)

[Betamax]

[Dogbert]

Ega see otsimine eriti keeruline ei ole, kui aadress olemas ja domeeninimi asutuse oma

[napoleon]

Antud juhul on küll pisut keeruline, kuid peab siiski mainima, et spämmer võib ka headereid võltsida.

[Dogbert]

Jah, kuni kirja väljapritsinud SMTP-ni võib ta sinna kirjutada mida tahes ja kui SMTP on tema "oma", siis kuni kirja vastu võtnud SMTP-ni. Täiesti tüüpiline on spämmitõrje ja antiviiruse kirjete lisamine, meileri nime võltsimine jne.
Antud juhul on see siiski webmail.zone.ee-st või eu-st tulnud ja seega on need nende serverite poolt lisatud, suure tõenäosusega seega mitte võltsitud.

[macc]

Oskab keegi öelda midagi sellise päise kohta, kes võiks olla kirja saatja või kuskohast? :
Received: from smtp-out.postimees.ee (smtp-out.postimees.ee. [213.168.24.48])
by mx.google.com with ESMTPS id r6si13866482lag.118.2015.08.03.23.04.11)
Received: from smtp-out.postimees.ee (localhost [127.0.0.1])
by smtp-out.postimees.ee (Postfix) with ESMTP id 1B5453ED6D

[Etz]

[Dogbert]

Selle info põhjal pole võimalik midagi täpsemat öelda, kui et kiri tuli tõepoolest smtp-out.postimees.ee kaudu ja näha olev IP vastab DNS-ile, ei ole võltsitud.
Kust see kiri postimees.ee väljuvate kirjade meiliserverisse jõudis, ei ole sellest lõigust näha.
Võimalik, et see on moodustatud otse serveris (localhost 127.0.0.1), aga see võib olla ka märge sellest, et kiri lasti läbi mingisuguse (spämmi- ja viiruse-)skänneri seal serveris. Algne lähtekoht, kui see üldse on säilinud või eksisteeris, asub päises kusagil allpool.

Kirja on vastu võtnud üks Google'i meiliserveritest.

[macc]

Kirja saatja ip on 84.50.52.62. Oskab keegi öelda, mis asutusele see võib kuuluda?

[A.S.]

Mõtled seda, et kellele Elion on selle IP välja jaganud? Vaevalt Elioni töötajad seda infot siia teemasse avalikult kirja panevad.