Administrace komentářů

Podvrhnout IP adresu tímto způsobem by bylo příliš složité – bylo by nutné falšovat IP adresu odesílatele v odchozích paketech, což by ještě nebyl takový problém, ale hlavně by bylo nutné zachytávat pakety směřující na tu falešnou IP adresu (protože tam by druhá strana odpovídala), tzn. mít přístup i do sítě, ze které je zfalšovaná IP adresa. Pokud by se jednalo o IP adresy ze stejné sítě, bylo by to jednodušší.

Ale jde o to, jak z e-mailu zjistit IP adresu, odkud byl odeslán. E-mail vypadá např. takhle:

Return-Path: <xxx @ gmail.com>
Received: from murder ([unix socket])
   by athos (Cyrus v2.2.12-Gentoo) with LMTPA;
   Fri, 07 Jul 2006 12:21:06 +0200
X-Sieve: CMU Sieve 2.2
Received: from py-out-1112.google.com (py-out-1112.google.com [64.233.166.xxx])
  by athos.gymancel.cz (Postfix) with ESMTP id 1DBF44C3AC33
  for <xxx @ gymnacel.cz>; Fri,  7 Jul 2006 12:21:05 +0200 (CEST)
Received: by py-out-1112.google.com with SMTP id x66so3298443pye
        for <xxx @ gymnacel.cz>; Fri, 07 Jul 2006 03:21:04 -0700 (PDT)
Received: by 10.35.34.xxx with SMTP id m18mr2013179pyj;
        Fri, 07 Jul 2006 03:21:04 -0700 (PDT)
Received: by 10.35.75.xxx with HTTP; Fri, 7 Jul 2006 03:21:04 -0700 (PDT)
Date: Fri, 7 Jul 2006 12:21:04 +0200
From: <xxx>
Sender: xxx @ gmail.com
To: xxx @ gymnacel.cz
Subject: TEST

Hlavičku Received: přidá na začátek každý server, přes který e-mail projde. První server, který e-mail přijal, tedy najdu teoreticky v nejspodnější hlavičce Received:, zde tedy konkrétně

Received: by 10.35.75.xxx with HTTP; Fri, 7 Jul 2006 03:21:04 -0700 (PDT)

Některé servery přidávají do Received i from, což by byla adresa odesílatele. Hlavní problém je ale v tom, že nic nebrání už odesílateli dát do mailu nějaké (falešné) hlavičky Received a pak to bude vypadat, že e-mail přišel od jinud. Vystopovat pak které hlavičky jsou falešné a kde začínají pravé už nemusí být tak jednoduché.

Odkud e-mail pochází se ale nejlépe pozná hned na prvním serveru, kam e-mail přijde, protože server do logu zaznamená IP adresu, odkud e-mail dostal. Pokud by tedy váš kolega rozesílal e-maily rovnou přes váš SMTP server, jde zjistit jeho IP adresa z logu. Např.:

Jul 14 10:04:04 [postfix/smtpd] connect from unknown[87.236.197.xx]
Jul 14 10:04:04 [postfix/smtpd] 527EB4C10B03: client=unknown[87.236.197.xx]
Jul 14 10:04:04 [postfix/cleanup] 527EB4C10B03: message-id=<000001c6a71c$0b2f7420$1de0a8c0@iip68>
Jul 14 10:04:04 [postfix/smtpd] disconnect from unknown[87.236.197.xx]
Jul 14 10:04:04 [postfix/qmgr] 527EB4C10B03: from=<xxx @ centralamerica.com>, size=2460, nrcpt=1 (queue active)
Jul 14 10:04:04 [postfix/local] 527EB4C10B03: to=<xxx @ gymnacel.cz>, orig_to=<xxx @ gymnacel.cz>, relay=local, delay=0, status=sent (forwarded as 89
Jul 14 10:04:04 [postfix/qmgr] 527EB4C10B03: removed

No a informace o tom, jak by bylo možné skutečně falšovat IP adresu odesílatele můžete dohledat třeba v seriálu Odposloucháváme data na přepínaném Ethernetu, který zrovna vychází na Lupě.