Come Risalire all’Ip di un’Email

Risalire all’indirizzo Ip di un’email è relativamente semplice. Riuscire invece a scoprire la località geografica o l’identità dell’autore dell’email è decisamente più complicato.
Vediamo come risalire all’indirizzo Ip di un’email analizzando gli header SMTP, consci del fatto che se l’autore ha utilizzato un proxy o un’altra infrastruttura di anonimizzazione come Tor, l’Ip rilevato sarà appunto quello utilizzato come “maschera”.

Il procedimento si articola in due fasi: il recupero degli header dell’email e l’analisi alla ricerca di un particolare campo, contenente l’informazione ricercata.

Recuperare gli header

Per prima cosa si apre il client di posta elettronica, client che può essere un programma stand-alone come Outlook o Thunderbird, oppure un’interfaccia webmail come Gmail o Hotmail.
Le operazioni da compiere per recuperare gli header differiscono da client a client: ne presento due. In genere tutti gli altri client hanno funzioni analoghe che divergono solamente dalla terminologia adottata.

Con Outlook 6 selezionate l’email di cui volete rivelare l’Ip del mittente, quindi
tasto destro -> proprietà -> dettagli -> messaggio originale.

In Gmail andate in alto a destra sul menu rispondi
Rispondi -> Mostra originale.

In entrambi i casi vi troverete di fronte ad una lunga lista di righe dal contenuto apparentemente criptico.

Analizzare gli header

Questi dati sono gli header SMTP. Contengono varie informazioni, sul mittente, il destinatario, i passaggi tra i vari server coinvolti nell’operazione di recapito, le date e le ore di queste operazioni. Tra questi campi uno in particolare ci interessa: il campo received.

In un’email ci sono diversi campi received. Partendo dall’alto scendiamo fino a trovare l’ultimo campo received.
Mi sono mandato un’email dal mio account su Yahoo al mio account su Gmail. Ho contato 11 header received. L’ultimo contiene l’Ip del mittente (ovvero il mio, che ho oscurato):

Received: from [xyz.xyz.xyz.xyz] by web24701.mail.ird.yahoo.com via HTTP; Thu, 14 Apr 2009 06:30:47 PDT

Dopo la scritta from tra parentesi quadre appare l’Ip del mittente, seguito da altre informazioni tra le quali l’ora in cui il server SMTP di Yahoo ha ricevuto tramite HTTP l’email da recapitare.

Per recuperare l’Ip di un’email bisogna quindi ottenere gli header con un’operazione che varia da client a client; quindi si cerca l’ultimo campo header; dopo il from troviamo l’indirizzo del mittente.

Naturalmente se il mittente ha utilizzato proxy o altri strumenti di anonimato la conoscenza dell’Ip non sarà molto utile per accertare l’identità del mittente. Inoltre l’autore dell’email  potrebbe cercare di confondere le acque con alcuni trucchi, come la creazione di header received falsi.

7 Comments
  1. Per amore dell’argomento segnalo che per chi usasse Thunderbird il metodo per recuperare gli header del mittente è il seguente (dopo aver selezionato il messaggio):

    Visualizza/sorgente messaggio

    Oppure usate la scorciatoia CTRL+U

  2. Per chi usa Foxmail (vers. 5 0 6) posizionarsi sulla mail arrivata – poi click col tasto destro –> Visualizza sorgente oppure Ctrl + I – Enjoy

  3. Io leggo la posta direttamente dal web ma con windows live non si riesce più a vedere l’header di una mail ricevuta. Ho necessità di sapere l’ip di una mail che ho ricevuto come posso fare?

  4. Per chi usa : WINDOWS LIVE MAIL

    1) Selezionare la vostra email d’interesse

    2)Click sul tasto destro poi su proprietà

    3)Cliccare su DETTAGLI

    Saluti :)

  5. salve,volevo sapere se da un blog (come il Vostro) da cui Vi sto scrivendo,se e possibile risalire all’autore di un email ovvero il PC da cui e’partito l’ INVIO,conoscendo la data e l’ora. grazie Marco.

Comments are closed.