Как установить подлинный адрес отправителя письма?
Обратный адрес заполняется самим отправителем письма и может содержать все, что угодно, или и вовсе не содержать ничего. Часто этим пользуются спаммеры, подставляя в качестве своего адреса адрес ни в чем неповинного человека; конкуренты, отвечающие от имени вашего партнера о разрыве отношений или просто шутники.
??? Рисунок "карикатура" Чел. рассматривает полученное письмо – обратный адрес Америка, тттттт…. Далее он смотрит на штемпель и видит – Россия, Сибирь, деревня Большие Гырыбы
Определить подлинный адрес отправителя в некоторых случаях принципиально невозможно (например, если письмо было послано через анонимайзер), но чаще всего анализ заголовка позволяет пролить свет на его происхождение его отправителя.
Для просмотра содержимого заголовка в программе "Outlook Express" подведите курсор к исследуемому сообщению, и в меню "Файл" выберите пункт "Свойства" (или же нажмите <Alt+Enter>) и на экране появится диалог с приблизительно следующим содержимым:
Return-Path: <listserv@security.nnov.ru>
Delivered-To: aport-kpnc@aport.ru
Received: (qmail 69428 invoked from network); 3 Apr 2001 19:22:17 -0000
Received: from relay1.aport.ru ([194.67.18.127]) (envelope-sender <>)
by relay2.aport.ru
for <>; 3 Apr 2001 19:22:17 -0000
Delivered-To: CLUSTERHOST relay1.aport.ru aport-kpnc@aport.ru
Received: from unknown (HELO adm.sci-nnov.ru) ([195.122.226.2]) (envelope-sender <listserv@security.nnov.ru>)
by mail.aport.ru
Received: (from majordom@localhost) by adm.sci-nnov.ru (8.9.3/Dmiter-4.1-AGK-0.5) id WAA36309; Tue, 3 Apr 2001 22:09:13 +0400 (MSD)
Received: from [195.122.226.40] by adm.sci-nnov.ru (8.9.3/Dmiter-4.1-AGK-0.5) with SMTP id WAA36304 for <general@security.nnov.ru>; Tue, 3 Apr 2001 22:09:12 +0400 (MSD)
Date: Tue, 3 Apr 2001 22:09:12 +0400 (MSD)
From: "SECURITY.NNOV" <daily@SECURITY.NNOV.RU>
Organization: http://www.security.nnov.ru
X-Mailer: 3APA3A news generator 1.0
X-Priority: 3 (Normal)
Message-ID: <10.9.22.03.04.01.general@security.nnov.ru>
To: General List <general@security.nnov.ru>
Comments: This message sent to list, send message to list-serv@security.nnov.ru
with 'unsubscribe general' command to unsubscribe.
Send 'Help' command for additional information.
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Subject: оПЧПУФЙ 3 БРТЕМС 2001 З.
Sender: listserv@security.nnov.ru
Precedence: bulk
Reply-To: "SECURITY.NNOV" <daily@SECURITY.NNOV.RU>
Moreinfo: e-mail list-serv@security.nnov.ru with HELP command
Поля "Received" (в тексте они выделены жирным шрифтом) оставлены промежуточными узлами, через которые прошло письмо, причем самое верхнее их них принадлежит последнему серверу в цепочке, а самое нижнее, как правило, первому (подробнее это объяснено ниже).
Стандарт не оговаривает формат поля "Received" и различные сервера заполняют его по-своему. В общем случае оно должно содержать:
а) адрес самого сервера, получившего письмо;
б) адрес узла, передавшего письмо серверу;
в) дату и время.
Например, содержимое первого сверху поля "Received": "from unknown (HELO adm.sci-nnov.ru) ([195.122.226.2]) (envelope-sender <listserv@security.nnov.ru>) by
mail.aport.ru" обозначает следующее: сообщение было получено от (from) неизвестного (unknown) узла, идентифицировавшего себя как adm.sci-nnov.ru (но эта информация может быть поддельной) и обладающего IP-адресом 195.122.226.2 (а вот этому можно поверить – т.к. свой IP адрес подделать нелегко); сообщение принял (by) узел mail.aport.ru
(этому тоже можно верить).
Спускаясь вниз по цепочке полей "Received" можно восстановить маршрут доставки письма, в конце - концов узнав IP адрес его отправителя. Однако отправитель мог различными способами замаскировать свой адрес. Например, добавить несколько собственных полей "Received", заполненных им самостоятельно, выдавая тем самым себя за транзитный узел. В таком случае, последнее поле "Received" будет указывать на ни в чем не повинный сервер, не имеющий никого отношения к пересылке.
Гарантированно отличить подложные поля от настоящих невозможно, но, с другой стороны, далеко не всякий злоумышленник способен грамотно подделывать заголовки. Грубая подделка заголовка облегчает выявление фальсифицированных полей. Основные ошибки, по которым узнается подлог, следующие:
а) указанных злоумышленником имен (IP-адресов) серверов вообще не существует в природе;
б) стиль заполнения сервером поля “Received” отличается от используемого злоумышленником;
в) реальное время пересылки писем сервером на порядок ниже (или выше), чем это следует из заголовка письма.
Если отправитель вошел в сеть через модем (как часто и бывает), то, скорее всего, он обладает динамическим IP-адресом и на его компьютере не установлен почтовый сервер. Перебрав все IP-адреса, указанные в полях Received, необходимо найти тот, с которым невозможно установить соединение по протоколу SMTP. Такую проверку можно осуществить с помощью утилиты telnet, вызывая ее следующим образом: "telnet.exe Адрес узла SMTP".
Чаще всего модемные пользователи получают имена в начале которых строит либо их логин (например, kris.krintel.ru), либо "ppp" (например, ppp32.krintel.ru) – сокращение от Point to Point Protocol – протокол, подключения к сети через модем, либо же они вовсе не получают никаких имен. Правая часть имени (krintel.ru) содержит домен провайдера, а большинство провайдеров имеют свои web-странички (www.krintel.ru), посетив которые можно узнать их контактные телефоны или адреса электронной почты для связи. Остается всего лишь связаться и пожаловаться провайдеру на хулиганские выходы его клиента.
Родственные вопросы:
Как послать анонимное сообщение?
(следующий)
