Risalire all’indirizzo Ip di un’email è relativamente semplice. Riuscire invece a scoprire la località geografica o l’identità dell’autore dell’email è decisamente più complicato.
Vediamo come risalire all’indirizzo Ip di un’email analizzando gli header SMTP, consci del fatto che se l’autore ha utilizzato un proxy o un’altra infrastruttura di anonimizzazione come Tor, l’Ip rilevato sarà appunto quello utilizzato come “maschera”.
Il procedimento si articola in due fasi: il recupero degli header dell’email e l’analisi alla ricerca di un particolare campo, contenente l’informazione ricercata.
Recuperare gli header
Per prima cosa si apre il client di posta elettronica, client che può essere un programma stand-alone come Outlook o Thunderbird, oppure un’interfaccia webmail come Gmail o Hotmail.
Le operazioni da compiere per recuperare gli header differiscono da client a client: ne presento due. In genere tutti gli altri client hanno funzioni analoghe che divergono solamente dalla terminologia adottata.
Con Outlook 6 selezionate l’email di cui volete rivelare l’Ip del mittente, quindi
tasto destro -> proprietà -> dettagli -> messaggio originale.
In Gmail andate in alto a destra sul menu rispondi
Rispondi -> Mostra originale.
In entrambi i casi vi troverete di fronte ad una lunga lista di righe dal contenuto apparentemente criptico.
Analizzare gli header
Questi dati sono gli header SMTP. Contengono varie informazioni, sul mittente, il destinatario, i passaggi tra i vari server coinvolti nell’operazione di recapito, le date e le ore di queste operazioni. Tra questi campi uno in particolare ci interessa: il campo received.
In un’email ci sono diversi campi received. Partendo dall’alto scendiamo fino a trovare l’ultimo campo received.
Mi sono mandato un’email dal mio account su Yahoo al mio account su Gmail. Ho contato 11 header received. L’ultimo contiene l’Ip del mittente (ovvero il mio, che ho oscurato):
Received: from [xyz.xyz.xyz.xyz] by web24701.mail.ird.yahoo.com via HTTP; Thu, 14 Apr 2009 06:30:47 PDT
Dopo la scritta from tra parentesi quadre appare l’Ip del mittente, seguito da altre informazioni tra le quali l’ora in cui il server SMTP di Yahoo ha ricevuto tramite HTTP l’email da recapitare.
Per recuperare l’Ip di un’email bisogna quindi ottenere gli header con un’operazione che varia da client a client; quindi si cerca l’ultimo campo header; dopo il from troviamo l’indirizzo del mittente.
Naturalmente se il mittente ha utilizzato proxy o altri strumenti di anonimato la conoscenza dell’Ip non sarà molto utile per accertare l’identità del mittente. Inoltre l’autore dell’email potrebbe cercare di confondere le acque con alcuni trucchi, come la creazione di header received falsi.
Per amore dell’argomento segnalo che per chi usasse Thunderbird il metodo per recuperare gli header del mittente è il seguente (dopo aver selezionato il messaggio):
Visualizza/sorgente messaggio
Oppure usate la scorciatoia CTRL+U
Ottimo! Gli utilizzatori di altri client e/o webmail possono contribuire con le istruzioni relative alla propria piattaforma
Per chi usa Foxmail (vers. 5 0 6) posizionarsi sulla mail arrivata – poi click col tasto destro –> Visualizza sorgente oppure Ctrl + I – Enjoy
Per Mail di Mac OSX:
vista->messaggio-> intestazioni lunghe
Io leggo la posta direttamente dal web ma con windows live non si riesce più a vedere l’header di una mail ricevuta. Ho necessità di sapere l’ip di una mail che ho ricevuto come posso fare?