Guida Come tracciare il mittente delle email

[Volatility]

Buonasera a tutti utenti di inforge. Voglio creare un paio di guide con la tematica forense ,sia di windows che riguarda l'identità sul web. Pero oggi (visto che ne ho poca voglia)cerco di aprire questa discussione.

E-mail track - e semplicemente una technica per scoprire chi e da dove vi manda i messaggi.
Per prima cosa (visto che parliamo di mail) bisogna loggarsi nel vostro account di posta elettronica. Le configurazioni della pagina del mail sono diverse da un gestore al altro , e comunque io tratero per oggi solo la gmail per semplificare la comprensione,pero devo precisare che tutti i gestori hanno il setup per vedere il messaggio originale (ovvero quello che ci interessa a noi e il Header)
http://

Ecco ,in questa immagine ho apperto un mesaggio spam che mi promette un anno di benzina (non sanno minimamente quanto consuma la mia auto ,pero andiamo avanti).Sempre sul lato destro in altro ,rappresentato da una freccia rivolta in basso ,ci sono opzioni per visualizzare il messaggio sotto un altra forma ,contrasegnarlo come phishing ecc ecc . Andremo su Mostra originale per visualizzare il mesaggio ,del quale ,come spiegato ci interessa solo il header,esempio :

Delivered-To: [email protected]
Received: by 10.194.104.170 with SMTP id gf10csp1344191wjb;
        Wed, 17 Dec 2014 01:18:18 -0800 (PST)
X-Received: by 10.180.126.99 with SMTP id mx3mr12603744wib.66.1418807898817;
        Wed, 17 Dec 2014 01:18:18 -0800 (PST)
Return-Path: <bounce-back.mnidm.2234.13312.647535.877021465._@mn1.futurmailer.it>
Received: from mx204.203.futurmailer.it (mx204.203.futurmailer.it. [46.29.203.204])
        by mx.google.com with ESMTP id bm5si7157233wib.57.2014.12.17.01.18.18
        for <[email protected]>;
        Wed, 17 Dec 2014 01:18:18 -0800 (PST)
Received-SPF: pass (google.com: domain of bounce-back.mnidm.2234.13312.647535.877021465._@mn1.futurmailer.it 
designates 46.29.203.204 as permitted sender) client-ip=46.29.203.204;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of bounce-back.mnidm.2234.13312.647535.877021465._@mn1.futurmailer.it 
       designates 46.29.203.204 as permitted sender) smtp.mail=bounce-back.mnidm.2234.13312.647535.877021465._@mn1.futurmailer.it;
       dkim=pass [email protected]
Return-Path: bounce-back.mnidm.2234.13312.647535.877021465._@mn1.futurmailer.it
Received: from raw ([10.200.86.11])
    by traiano.rozzano.diennea.lan with MNDelivery;
    Wed Dec 17 09:49:20 CET 2014
Date: Wed, 17 Dec 2014 09:49:20 +0100 (CET)
From: Inchiesta remunerata <[email protected]>
Reply-To: [email protected]
To: [email protected]
Message-ID: <mnidm.2234.13312.647535.877021465._@mn1>
Subject: Diana un anno di benzina per te
MIME-Version: 1.0
Content-Type: multipart/alternative; 
    boundary="----=_Part_4858749_479236948.1418806160598"
Content-Transfer-Encoding: 7bit
DKIM-Signature: q=dns/txt; a=rsa-sha256; b=QDEskYywOhMeomRGn+wAhsRuPNOL8f9LrqGDrHxHivWyCrYMPCdRCuTKzz+/
mE0LK4HK1nvyhjR/VWM72qHJNF2IKMBTTwj95sEvP0sbCxUf73r730FVtd1UuvE60GhqjJzcF0kUoVTy/yr4SSYsEpdYzCquVMwBpubryOdoYn0=; 
c=relaxed/relaxed; s=sign2; d=futurmailer.it; t=1418806160; v=1; bh=vYdU61Z9efBAbnz1+6N0vnNSnZRdkZbpNTUTp+MbBeg=; 
h=from:to:subject:date:reply-to:message-id:mime-version:content-type; [email protected];
List-Unsubscribe: <mailto:bounce-back.mnidlu.2234.13312.647535.877021465._@mn1.futurmailer.it>
X-Complaints-To: [email protected]
x-mn-notify: MN1
X-MNBodyCharset: UTF-8
X-MNID: mnidm.2234.13312.647535.877021465._
X-MNIDS: 2234_13312_647535
X-MNSubjectCharset: UTF-8
X-Pool: Fmit
X-QueueName: fm_d
X-Return-Path: bounce-back.mnidm.2234.13312.647535.877021465._@mn1.futurmailer.it
X-Sender: bounce-back.mnidm.2234.13312.647535.877021465._@mn1.futurmailer.it
X-GatewayId: bounce-back.mnidm.2234.13312.647535.877021465._
=077084107121077106089050077084073048079081061061.1814557755@mn1.futurmailer.it

Una volta preso questo header ,dobbiamo andare sul sito Ip2location
e incollando il testo copiato(header) andremo a clickare su Lookup.
Ecco la risposta del header controllata con il link descritto:http://

Come si puo notare , abbiamo un ip , abbiamo delle coordinate geografiche ,insomma ce ne qualche informazione utile.
Possiamo anche vedere la sede del nostro mittente andando sul sito http://www.coordinate-gps.it/ e /o anche googlemaps riceve i coordinati geografici ,incollando i primi valori della latitudine e longitudine. Potete vedere una mappa stradale , arrivando persino a bussare alla porta del mittente
http://

La mia spammer ha scelto bene il posto perche le foto scattate con il camioncino googlemap non sono molto chiare

Spero che questa piccola guida , vi crea almeno una idea di come rintracciare un mittente.

 

[vanelsing]

Ma che dici?!
Al limite quello è l'IP del server di posta!
Se poi la mail fosse fraudolenta gestita da spammatori di professione
ti darebbero un bel IP di un server sepolto in moldavia...forse
Ciao

 

[Volatility]

Ma che dici?!
Al limite quello è l'IP del server di posta!
Se poi la mail fosse fraudolenta gestita da spammatori di professione
ti darebbero un bel IP di un server sepolto in moldavia...forse
Ciao

Guarda -non so neanche come ringraziarti.Il tuo primo mesaggio in questo forum e lo dedichi a me. Rileggi per favore tutto cio che ho scritto, e se non capisci ,rileggilo ancora - perche da qualche parte io ho detto che quello e solo un esempio.Non potevo usare i miei contatti -sai?
Era piu semplice dare l'esempio di un inoccuo contatto , quindi non cercare pelli nel uovo.Io ho detto solo come fare per rintracciare un mittente.

 

[.Mike.]

[MENTION=187656]volatility[/MENTION] melio che stai attenta già so dove abiti ahahahha

 

[Volatility]

@volatility melio che stai attenta già so dove abiti ahahahha

Non mi nascondo - ti aspetto a braccia aperte, il baddile ce l'o dietro di me , e un teaser fintoso di essere un telefono.Stende che e una meraviglia

 

[text]

Sposto su guide

 

[IOYFMANAGER]

mi serviva, grazie.