Rastreando correio eletrônico: Primeiras Noções

Rastreando email

Toda  comunicação por e-mail na Internet é governada por regras e regulamentos consubstanciadas em dois protocolos diferentes: Simple Mail Transfer Protocol (SMTP Port 25) e o Post Office Protocol (POP Port 110).
Basicamente, o sistema de e-mail é análogo a uma caixa postal do correio. Cada vez que um e-mail deva ser enviado, o remetente se conecta a um servidor de email local (Post Office) e usa comandos pré-definidos SMTP para criar e enviar e-mail.
Este servidor de email local, em seguida, usa o protocolo SMTP para encaminhar o e-mail através de vários outros servidores de correio provisórios, até o último e-mail chega ao servidor de correio de destino (Post Office). O destinatário do e-mail se conecta ao servidor de destino dos correios para fazer o download do e-mail recebido usando comandos predefinidos POP (Post Office Protocol).
O SMTP (Simple Mail Transfer Protocol) é usado para enviar e-mails, enquanto o protocolo POP (Post Office Protocol)é usado para recebê-los.
Assim sendo, cada e-mail na internet tem origem no servidor do escritório remetente (Post), sendo encaminhado com o uso de comandos SMTP através de vários servidores de correio provisórios até finalmente alcançar o posto de destino, onde o receptor, utilizando comandos POP, consegue transferi-lo para o sistema local.
Conhecendo-se a forma pela qual as mensagens de correio eletrônico circulam pela internet seria possível realizar-se a identificação da fonte de um e-mail, bastando para isso fazer engenharia reversa do caminho percorrido por ele. Cada vez que um e-mail é enviado pela internet, ele não só carrega no corpo da mensagem, como também, transmite informações relevantes sobre o caminho percorrido por ele. Esta informação é conhecida como o cabeçalho do e-mail.
Uma mensagem de correio eletrônico consiste basicamente de duas seções:

HEADER: é estruturado em campos que contém o remetente, destinatário e outras informações sobre a mensagem, com inclusive, ip’s e caminho da mensagem até o servidor local do usuário.
BODY : corpo da mensagem, onde estão os anexos e o que foi escrito.

 Veja o exemplo a seguir:

 

Cabeçalho

A maneira mais eficaz e mais fácil de rastrear um e-mail é analisar seus cabeçalhos de e-mail. A maioria dos investigadores de cibercrimes utilizam os cabeçalhos de e-mail para investigar práticas delituosas e coletar as provas necessárias para comprová-las. Cabeçalhos de e-mail são automaticamente gerados e incorporados em uma mensagem de e-mail, tanto durante a composição quanto durante a transferência entre sistemas. Eles não só contêm informações valiosas sobre a origem do e-mail, mas também representam o caminho exato por ela tomadas.
Sempre, no processo de análise e rastreamento de uma mensagem vamos nos ater aos headers ( ou seja, ao cabeçalho da mensagem ) da mesma.
Depois disto, abra o arquivo com um editor de texto qualquer e se prenda a primeira seção:

Return-Path: usuario@quemmandou.com.br
X-Original-To: meuemail@meudominio.com.br
Delivered-To: meuemail@meudominio.com.br
Received: by mail.meudominio.com.br (Postfix, from userid 1001)
id 2B2D7522FC4; Tue, 21 Oct 2008 15:40:25 -0200 (BRST)
Received: from localhost (localhost [127.0.0.1])
by mail.meudominio.com.br (Postfix) with ESMTP id 66E37522FFB
for <meuemail@meudominio.com.br>; Tue, 21 Oct 2008 15:40:25 -0200 (BRST)
Received: from mail.meudominio.com.br ([127.0.0.1])
by localhost (mail.meudominio.com.br [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 25097-01 for meuemail@meudominio.com.br;
Tue, 21 Oct 2008 15:40:25 -0200 (BRST)
Received: from gwdeemail@meudominio.com.br (unknown [10.10.10.10])
by mail.meudominio.com.br (Postfix) with ESMTP id 2A51B4D50B5
for <meuemail@meudominio.com.br>; Tue, 21 Oct 2008 15:40:25 -0200 (BRST)
Received: from gwdeemail@meudominio.com.br (localhost [127.0.0.1])
by postfix.imss70 (Postfix) with ESMTP id 478961AED37
for <meuemail@meudominio.com.br>; Tue, 21 Oct 2008 15:36:12 -0200 (BRST)
Received: from hm507.locaweb.com.br (hm507-1.locaweb.com.br [200.234.205.193])
by gwdeemail@meudominio.com.br (Postfix) with SMTP id 65A8B1AEBEB
for <meuemail@meudominio.com.br>; Tue, 21 Oct 2008 15:36:09 -0200 (BRST)
Received: (qmail 21712 invoked from network); 21 Oct 2008 17:42:54 -0000
Received: from unknown (10.1.10.29)
by hm507.locaweb.com.br with QMQP; 21 Oct 2008 17:42:54 -0000
Message-ID: 20081021174254.12287.qmail@hm616.locaweb.com.br
From: “=?ISO-8859-1?Q?usuario=20=20quemmandou?=” usuario@quemmandou.com.br
Date: Tue, 21 Oct 2008 15:42:54 -0200
To: meuemail@meudominio.com.br
Subject: Fwd: Teste
References:
In-Reply-To:
X-Mailer: LocaMail
X-Auth-User: quemandou at dominio.com.br
X-IPAddress: xxx.xxx.xxx.xxx
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=OMAIL_ATT_001_0.748136299270303″
X-Virus-Scanned: amavisd-new at meudominio.com.br 

 Com o ping neste caso, pegamos o ip do servidor (pelo menos para saber se a hospedagem em questão é realmente a detentora do bloco de ip’s que os servidores dela estão hospedados).

 Ping

 

 De posse dos ip’s, é só ir ao “registro.br, por exemplo, e procurar quem é o dono do ip que gerou a mensagem:

  Busca no Registro BR

 

Na eventualidade de você ter algum tipo de dificuldade na coleta de informações de um “header” de correio eletrônico, poderá fazer uso de vários serviços na internet que identificam endereços IP de mensagens.
Um dos mais conhecidos e que facilita bastante o trabalho de identificação de ip’s em emails pode ser acessado pelo link ” http://whatismyipaddress.com/trace-email”.
É conveniente destacar-se que a obtenção de cabeçalhos (header) em serviços de webmail pode variar entre cada provedor deste tipo de serviço.
Por fim, emails que sejam oriundos do serviço “GMail” sempre apontarão para endereços IP daquele provedor, uma vez que o mesmo oculta a identificação dos ip’s de seus usuários.

Deixe uma resposta