Как понять с какого IP пришло письмо, если в письме его нет, но...

konoplya

konoplya

Постоялец
Заблокирован
Регистрация
3 Авг 2008
Сообщения
104
Реакции
20
  • Автор темы
  • Заблокирован
  • #1
Как понять с какого IP пришло письмо, если в письме его нет, но отправлено оно с почтового интерфейса яндекса, то есть, человек (вроде бы) зашёл на почту по протоколу хттп в стандартный интерфейс и отправил письмо, но айпи при этом почему-то не спалился. Просто в моём представлении, если не используется никаких анонимок, то айпи должен отображаться. Вот посмотрите, что скажете, как это понимать вообще:

Received: from mxback9g.mail.yandex.net ([127.0.0.1])
by mxback9g.mail.yandex.net with LMTP id TnuJjI2Y
for <(не имеет значения)>; Thu, 3 Sep 2015 13:09:18 +0300
Received: from web14g.yandex.ru (web14g.yandex.ru [2a02:6b8:0:1402::24])
by mxback9g.mail.yandex.net (nwsmtp/Yandex) with ESMTP id aVo67y13ps-2It4KD0P;
Thu, 3 Sep 2015 13:09:18 +0300
X-Yandex-Front: mxback9g.mail.yandex.net
X-Yandex-TimeMark: 1991274778
Authentication-Results: mxback9g.mail.yandex.net; dkim=pass header.i=@yandex.ru
Received: from 127.0.0.1 (localhost [127.0.0.1])
by web14g.yandex.ru (Yandex) with ESMTP id 51B8EZC023E;
Thu, 3 Sep 2015 13:09:18 +0300 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail;
t=1441294778; bh=d3s7Q71wJSA3zAZuYJrq8sT7KYqSEs1vDZWvmG149tA=;
h=From:To:In-Reply-To:References:Subject:Date;
b=FZ6e8YKJHLLlkjlnK:JHKGGGF/HJHGgddgsFA6HKfFHGHSGF+F99
DGkjkGjghHgf05EYTBYEfH4vuMyhLq/979nW72A8HKhkjhHhDDbdLWpiRJxUF6rB
IcQ+l639kfH3vuMyhzqWS8uHaN6YxIWcjdA5RXck=
X-Yandex-Spam: 1
X-Yandex-Front: web14g.yandex.ru
X-Yandex-TimeMark: 1991274778
Received: by web14g.yandex.ru with HTTP;
Thu, 03 Sep 2015 13:09:16 +0300
From: (не имеет значения)
To: =?koi8-r?B?68HHKJGgFDE5Jo9I=?= <(не имеет значения)>
In-Reply-To: <1349951539837575@web25j.yandex.ru>
References: <1045061459796514@web5j.yandex.ru> <1349951439837975@web25j.yandex.ru>
Subject: =(не имеет значения)
MIME-Version: 1.0
Message-Id: <109614133141274776@web14g.yandex.ru>
X-Mailer: Yamail [ Для просмотра ссылки Войди или Зарегистрируйся ] 5.0
Date: Thu, 03 Sep 2015 13:09:16 +0300
Content-Transfer-Encoding: base64
Content-Type: text/plain; charset=koi8-r
Return-Path: (не имеет значения)
X-Yandex-Forward: be1f0cafac50b30da864c5b0d8d0e50f
 
Никак, яндекс скрывает подобную информацию, ровно как и 99% любых почтовиков.

Насколько помню, даже exim в штатной настройке IP не передаёт.

В лучшем случае Вы увидите IP Web-сервера, который инициализировал отправку письма (сервера WEB-морды у Яндекса отделены от почтовых).
 
отправил тестовое письмо с яндекса из веб интерфейса (kazladoev@yandex.ru) на мыло.сру (vasya_pupkin@mail.ru) и, как и сказал Для просмотра ссылки Войди или Зарегистрируйся , IP компьютера отправителя не палится:

Код: 
Delivered-To: vasya_pupkin@mail.ru
Return-path: <kazladoev@yandex.ru>
Authentication-Results: mxs.mail.ru; spf=pass (mx132.mail.ru: domain of yandex.ru designates 77.88.31.15 as permitted sender) smtp.mailfrom=kazladoev@yandex.ru smtp.helo=forward20p.cmail.yandex.net;
     dkim=pass header.i=yandex.ru
Received-SPF: pass (mx132.mail.ru: domain of yandex.ru designates 77.88.31.15 as permitted sender) client-ip=77.88.31.15; envelope-from=kazladoev@yandex.ru; helo=forward20p.cmail.yandex.net;
Received: from forward20p.cmail.yandex.net ([77.88.31.15]:41592)
    by mx132.mail.ru with esmtp (envelope-from <kazladoev@yandex.ru>)
    id 1ZXUjT-0003jX-Ie
    for vasya_pupkin@mail.ru; Thu, 03 Sep 2015 16:39:15 +0300
X-Mru-TLS: TLSv1.2:AES256-GCM-SHA384
X-Mru-BadRcptsCount: 0
X-Mru-PTR: *off*
X-Mru-NR: 1
X-Mru-OF: Linux (generic tunnel or VPN)
X-Mru-RC: RU
Received: from web2g.yandex.ru (web2g.yandex.ru [95.108.252.102])
    by forward20p.cmail.yandex.net (Yandex) with ESMTP id 6EAAA2232D
    for <vasya_pupkin@mail.ru>; Thu,  3 Sep 2015 16:39:15 +0300 (MSK)
Received: from 127.0.0.1 (localhost [127.0.0.1])
    by web2g.yandex.ru (Yandex) with ESMTP id 0AC284861FE4;
    Thu,  3 Sep 2015 16:39:14 +0300 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail;
    t=1441287555; bh=Pb6s/Xlf4u1eDlYyO0NCaMRMrCg6xDNkK5byz8RDY1s=;
    h=From:To:Subject:Date;
    b=GX4ggMsjCR1JkHo/hrTNOQwgudXBELla/SlEXf4s/ycqIO8seiwju3NfKJpIo162X
     fdPDSv6s3hZdsnfx2nvhk6DLpoyQQeBGDnkGFf+QuVXJnxUxZsT2D6ONq/NptH28TI
     poUNOqnft52p+Gfmea62WxVARXeNp+xfzp/fV9w8=
Received: by web2g.yandex.ru with HTTP;
    Thu, 03 Sep 2015 16:39:14 +0300
From: kazladoev <kazladoev@yandex.ru>
Envelope-From: kazladoev@yandex.ru
To: vasya_pupkin@mail.ru
Subject: test
MIME-Version: 1.0
Message-Id: <40061441287554@web2g.yandex.ru>
X-Mailer: Yamail [ http://yandex.ru ] 5.0
Date: Thu, 03 Sep 2015 16:39:14 +0300
Content-Transfer-Encoding: 7bit
Content-Type: text/plain
X-DMARC-Policy: none
X-DMARC-Result: pass
X-Mras: Ok
X-Mru-Authenticated-Sender: kazladoev@yandex.ru
X-Spam: undefined
 
  • Автор темы
  • Заблокирован
  • #4
metsys написал(а):
отправил тестовое письмо с яндекса из веб интерфейса (kazladoev@yandex.ru) на мыло.сру (vasya_pupkin@mail.ru) и, как и сказал Для просмотра ссылки Войди или Зарегистрируйся , IP компьютера отправителя не палится:
Нажмите для раскрытия...

Не, в моём случае отправлено с яндекса на яндекс, два ящика от разных владельцев но на одном мыло-провайдере, причём я предполагаю, что отправитель не в моём городе. Теоретически заголовок должен был хотя бы показать примерное месторасположение, где другой товарищ находится(его город, локация), так и этого нет.

А в вашем случае(Для просмотра ссылки Войди или Зарегистрируйся) айпи хоть как-то да палятся, московские (95.108.252.102, 77.88.31.15), это уже что-то, то есть, вы где-то там рядом находитесь по радиусу, точно не в африке ))). А вот в моём примере вообще по нулям, даже этого нет, вот меня и возмутил данный момент, мол, как же так и что за подлость. Вот горбуша как раз про это и написал "лучшем случае Вы увидите IP Web-сервера, который инициализировал отправку письма" которую мы у metsys и видим (спасибо, кстати)

Вот и размышляю, мол, что за ерунда такая, даже примерного местоположения нет :(
 
web2g.yandex.ru [95.108.252.102]
forward20p.cmail.yandex.net [77.88.31.15]
это ресурсы яндекса, а я как раз в "африке" и оооочень далеко от москвы

вам же остается только вариант соц инженерии: делайте ссылку на каком нибудь ресурсе (или своём крайний случай) отправляйте абоненту и смотрите в логи (или с разных ящиков с разными предлогами - зависит от вашей изобретательности и знания психологии атакуемого, его интересов и т д) с какого айпи будут ломиться .... но если абонент на другом конце параноик и сидит за впн или прокси - то это никчему будет
 
Последнее редактирование:
konoplya, я же говорил - в лучем случае это будет сервер с веб-мордой, который отправил письмо... В худшем - там будет IP только самого SMTP-сервера.

По сути, если не используется SMTP-протокол, то отправителем является не браузер, а веб-скрипт... И exim в душе не ... какой там IP у человека с браузером - он о нём даже не подозревает. К нему подключился некий сервак - вот его IP и зафиксируется.
Есть призрачный шанс, что exim спалит IP с которого подключились по SMTP, но это вариант без веб-интерфейса... И то шанс на уровне 0,000001%

metsys написал(а):
вам же остается только вариант соц инженерии: делайте ссылку на каком нибудь ресурсе (или своём крайний случай) отправляйте абоненту и смотрите в логи (или с разных ящиков с разными предлогами - зависит от вашей изобретательности и знания психологии атакуемого, его интересов и т д) с какого айпи будут ломиться .... но если абонент на другом конце параноик и сидит за впн или прокси - то это никчему будет
Нажмите для раскрытия...
Только в варианте с SMTP-клиентом... В веб-интерфейсе все картинки и прочее скачивается Яшей... И IP не запалится... Остаётся только "Перейдите по ссылке" и то бредовый...

Ну да не суть важно... А в чём вообще цель получения IP? Ну узнаете провайдера, в лучшем случае город... 90% IP динамические и даже забанить будет бестолку...
 
Последнее редактирование модератором:
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху