Dette er en guide til hvordan man spore e-mail med forfalskede afsender adresser som fx SPAM eller virus e-mail.
Måden man sporer e-mail på er ved at kigge i den header som enhver e-mail har. Denne header er nogle tekst linjer som bliver skrevet ind både af det program der sender e-mailen, serverende det kommer igennem samt det modtagende e-mail program.
Disse linjer gør det muligt at følge e-mailen tilbage igennem den vej den har taget før den har nået dig.
Hvordan man ser disse header variere fra program til program:
– I Microsoft Outlook skal man højre klikke på e-mailen og vælge indstillinger.
– I Windows Mail skal man højreklikke på e-mailen og egenskaber. Derefter skal man så over på fanebladet detaljer.
– I gmail skal man vælge show original, i menuen til højre for reply.
Her kommer et eksempel på en e-mail jeg har sendt fra en e-mail adresse til min itsikkerhed.org adresse. Jeg har ændret lidt på e-mail adresserne for at undgå at de bliver spammet.
[email protected] Er den adresse som jeg har sendt e-mailen fra.
[email protected] Er den adresse som e-mailen er sendt til.
000.000.000.000 er min egen offentlige IP adresse på min hjemmemaskine.
Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from cicero0.cybercity.dk (cicero0.cybercity.dk [212.242.40.52])
by itsikkerhed.org (Postfix) with ESMTP id 1D64B24FA04A
for <[email protected]>; Sun, 14 Feb 2010 10:00:07 -0400 (EDT)
Received: from user5.cybercity.dk (user5.cybercity.dk [212.242.41.51])
by cicero0.cybercity.dk (Postfix) with ESMTP id 035EA29378
for <[email protected]>; Sun, 14 Feb 2010 16:00:06 +0200 (CEST)
Received: from [10.0.0.2] ([000.000.000.000])
by user5.cybercity.dk (Postfix) with ESMTP id C4E6A3A20A6
for <[email protected]>; Sun, 14 Feb 2010 16:00:05 +0200 (CEST)
Reply-To: [email protected]
From: [email protected] ( Martin Schultz)
To: [email protected]
Subject: Sporing af spam
Date: Sun, 14 Feb 2010 15:03:39 +0200
Message-Id: <410e3bab501d73.11216925@not right>
Første linje i headeren er:
Return-Path: <[email protected]>
Denne linje er skrevet ind af den afsende e-mail program/server og er ikke pålidelig, den kan meget nemt forfalskes.
Så kommer Delivered-To: [email protected] som er den adresse som e-mailen er afleveret til lokalt på din e-mail server. Den behøver ikke at være identisk med den adresse der står i to. Den kan man som regel godt stole på.
Nu kommer det egentlige kød i headeren:
Received: from cicero1.cybercity.dk (cicero1.cybercity.dk [212.242.40.4])
by itsikkerhed.org (Postfix) with ESMTP id D07DA24FA04A
for <[email protected]>; Sun, 14 Feb 2010 09:03:40 -0400 (EDT)
Denne linje fortæller at min e-mail server (itsikkerhed.org) har modtaget e-mailen fra serveren cicero1.cybercity.dk [212.242.40.4]. Man kan roligt vælge at stole på denne første recived linje da den er tilføjet af ens egen mail server. Hvis man ikke stoler på sin egen mailserver bør man skifte 😉 Når der står (postfix) angiver det navnet på det program mail serveren kører.
Det spændende her er at min mail server har modtaget e-mailen fra serveren (cicero0.cybercity.dk [212.242.40.52]). Da maskinen kan have oplyst et forkert domænenavn vil jeg anbefale at man slår ip adressen op. Hvis man ikke lige har en eller anden form for Unix maskine ved hånden kan man gøre det på [http://www.geektools.com/whois.php] (http://www.geektools.com/whois.php)
Her viser det sig at maskinen korrekt tilhører cybercity og der er også en kontakt e-mail i tilfælde af misbrug (fx. hvis den er blevet brugt til at sende spam eller virus).
Næste recived linie er:
Received: from user5.cybercity.dk (user5.cybercity.dk [212.242.41.51])
by cicero0.cybercity.dk (Postfix) with ESMTP id 035EA29378
for <[email protected]>; Sun, 14 Feb 2010 16:00:06 +0200 (CEST)
Den er kun pålidelig hvis den server vi fandt overfor er. Hvis serveren tilhører en stører Internet udbyder eller virksomhed kan man som regel godt stole på den (Tjek det på samme måde som overfor).
Sidste recived linie er:
Received: from [10.0.0.2] ([000.000.000.000])
by user5.cybercity.dk (Postfix) with ESMTP id C4E6A3A20A6
for <[email protected]>; Sun, 14 Feb 2010 16:00:05 +0200 (CEST)
Denne linje fortæller os at afsendende maskine har den offentlige IP adresse 000.000.000.000 og den lokale IP 10.0.0.2. Den lokale IP kan man ikke bruge til noget med mindre man selv administrere det afsendende netværk. Lokale IP adresser kan være i følgende puljer: 10.x.x.x eller 168.x.x.x eller 192.x.x.x
Hvis linjen ikke er forfalsket har man afsenderen af e-mailen og man kan klage til den udbyder der ejer [000.000.000.000])