Internet e-mails er designet til at bære IP-adressen til den computer, hvorfra e-mailen blev sendt. Denne IP-adresse gemmes i en e-mailoverskrift, der leveres til modtageren sammen med meddelelsen. E-mail overskrifter kan tænkes som konvolutter til post. De indeholder den elektroniske ækvivalent adressering og poststempler, der afspejler routing af post fra kilde til destination.
Find IP-adresser i e-mail-overskrifter
Mange mennesker har aldrig set en e-mail header, fordi moderne e-mail-klienter ofte skjuler overskrifterne fra visning. Men overskrifter leveres altid sammen med meddelelsens indhold. De fleste e-mail-klienter giver mulighed for at aktivere visning af disse overskrifter, hvis det ønskes.
Internet e-mail overskrifter indeholder flere linjer med tekst. Nogle linjer starter med ordene Modtaget af. Efter disse ord er en IP-adresse, som i følgende fiktive eksempel:
Modtaget: fra teela.mit.edu (65.54.185.39)
via mail1.aol.com med SMTP; 30. juni 2003 02:27:02 -0000
Disse tekstlinjer indsættes automatisk af e-mail-servere, der ringer meddelelsen. Hvis kun en "Received: from" -linje vises i overskriften, kan en person være sikker på at dette er den egentlige IP-adresse for afsenderen.
Understanding Multiple 'Received: from' Lines
I nogle situationer vises der dog flere "Modtaget: fra" linjer i en e-mailoverskrift. Dette sker, når meddelelsen går gennem flere e-mail-servere. Alternativt vil nogle e-mail-spammere indsætte yderligere falske "Modtaget: fra" linjer i overskrifterne selv for at forvirre modtagere.
For at identificere den korrekte IP-adresse, når flere "Modtaget: fra" linjer er involveret, kræver en lille smule detektivarbejde. Hvis der ikke er indsat nogen falsk information, er den korrekte IP-adresse indeholdt i den sidste "Modtaget: fra" linje i overskriften. Dette er en god simpel regel at følge, når man ser på mail fra venner eller familie.
Forståelse af falske e-mail-overskrifter
Hvis faked header information blev indsat af en spammer, skal der anvendes forskellige regler for at identificere en afsenderens IP-adresse. Den korrekte IP-adresse vil normalt ikke være indeholdt i den sidste "Modtaget: fra" -linje, fordi oplysninger, der er fakket af en afsender, altid vises nederst i en e-mailoverskrift.
For at finde den rigtige adresse starter i dette tilfælde fra den sidste linje "Modtaget: fra" og sporer den vej, der er taget af beskeden, ved at rejse op gennem overskriften. Stedet "efter" (afsendelse), der er angivet i hver overskrift "Modtaget", skal svare til den "fra" (modtagende) placering, der er angivet i det næste "Modtaget" overskrift nedenfor. Se bort fra eventuelle poster, der indeholder domænenavne eller IP-adresser, der ikke passer til resten af header kæden. Den sidste "Received: from" -linje indeholdende gyldig information er den, der indeholder afsenderens sande adresse.
Bemærk, at mange spammere sender deres e-mails direkte i stedet for via internet-e-mail-servere. I disse tilfælde vil alle "Modtaget: fra" overskriftslinjer undtagen den første blive faked. Den første "Received: from" header linje vil så indeholde afsenderens sande IP-adresse i dette scenario.
Internet-e-mail-tjenester og IP-adresser
Endelig adskiller de populære internetbaserede e-mail-tjenester sig meget i deres brug af IP-adresser i e-mail-overskrifter. Brug disse tips til at identificere IP-adresser i sådanne e-mails.
- Googles Gmail-tjeneste udelader afsenderens IP-adresseoplysninger fra alle overskrifter. I stedet vises kun IP-adressen til Gmails mailserver i Modtaget: fra. Det betyder, at det er umuligt at finde en afsender sande IP-adresse i en modtaget Gmail.
- Microsofts Hotmail-tjeneste giver en udvidet overskriftslinje kaldet "X-Originating-IP", der indeholder afsenderens faktiske IP-adresse.
- E-mails fra Yahoo! indeholde afsenderens IP-adresse i den sidst modtagne: post.
