Интернет-сообщения электронной почты предназначены для переноса IP-адреса компьютера, с которого было отправлено электронное письмо. Этот IP-адрес хранится в заголовке электронной почты, доставленном получателю вместе с сообщением. Заголовки писем можно рассматривать как конверты для почтовой почты. Они содержат электронный эквивалент адресации и почтовых штемпелей, которые отражают маршрутизацию почты от источника к месту назначения.
Поиск IP-адресов в заголовках электронной почты
Многие люди никогда не видели заголовка электронной почты, потому что современные почтовые клиенты часто скрывают заголовки от представления. Однако заголовки всегда поставляются вместе с содержимым сообщения. Большинство почтовых клиентов предоставляют возможность включить отображение этих заголовков, если это необходимо.
Заголовки электронной почты Интернета содержат несколько строк текста. Некоторые строки начинаются со слов Полученные от, После этих слов находится IP-адрес, например, в следующем фиктивном примере:
Поступило в редакцию: от teela.mit.edu (65.54.185.39)
по mail1.aol.com с SMTP; 30 июн 2003 02:27:02 -0000
Эти строки текста автоматически вставляются серверами электронной почты, которые направляют сообщение. Если в заголовке появляется только одна строка «Received: from», человек может быть уверен, что это фактический IP-адрес отправителя.
Понимание множественного 'Received: from' Lines
Однако в некоторых ситуациях несколько строк «Received: from» появляются в заголовке электронной почты. Это происходит, когда сообщение проходит через несколько почтовых серверов. В качестве альтернативы, некоторые почтовые спамеры вставляют дополнительные поддельные строки «Received: from» в сами заголовки, пытаясь запутать получателей.
Чтобы определить правильный IP-адрес, когда задействованы несколько строк «Received: from», требуется небольшая часть детективной работы. Если никакая поддельная информация не была вставлена, правильный IP-адрес содержится в последней строке «Received: from» заголовка. Это хорошее простое правило следовать при просмотре почты от друзей или семьи.
Понимание заголовков Faked Email
Если ложная информация заголовка была вставлена спамером, для идентификации IP-адреса отправителя должны применяться разные правила. Правильный IP-адрес обычно не содержится в последней строке «Received: from», поскольку информация, подделанная отправителем, всегда отображается внизу заголовка электронной почты.
Чтобы найти правильный адрес, в этом случае начинайте с последней строки «Received: from» и трассируйте путь, полученный сообщением, перемещаясь по заголовку. Расположение «по» (посылка), указанное в каждом заголовке «Получено», должно совпадать с местоположением «from» (получение), указанным ниже в следующем заголовке «Received». Не обращайте внимания на любые записи, содержащие имена доменов или IP-адреса, не соответствующие остальной цепочке заголовков. Последняя строка «Received: from», содержащая достоверную информацию, является той, которая содержит истинный адрес отправителя.
Обратите внимание, что многие спамеры отправляют свои электронные письма напрямую, а не через интернет-серверы электронной почты. В этих случаях все строки заголовков «Received: from», кроме первого, будут подделаны. Первая строка «Received: from» заголовка будет содержать истинный IP-адрес отправителя в этом сценарии.
Интернет-службы электронной почты и IP-адреса
Наконец, популярные интернет-службы электронной почты сильно различаются при использовании IP-адресов в заголовках электронной почты. Используйте эти советы для определения IP-адресов в таких письмах.
- Служба Gmail Google исключает информацию об IP-адресе отправителя из всех заголовков. Вместо этого только IP-адрес почтового сервера Gmail показан в Received: from. Это означает, что невозможно найти истинный IP-адрес отправителя в полученном Gmail.
- Служба Hotmail от Microsoft предоставляет расширенную строку заголовка под названием «X-Originating-IP», которая содержит фактический IP-адрес отправителя.
- Письма от Yahoo! содержать IP-адрес отправителя в последней записи Received:.
