Computerbeveiliging - Hoe je bad guys buiten de deur houdt

E-mail Headers

03-01-2013, 13:13 door 12348766754, 5 reacties
Hallo,

Het topic betreft: 'Hoe kan je het IP-adress van de afzender achterhalen?' zou wel vaker langs zijn komen.
Echter is er (volgens mij) een update geweest bij Hotmail.
Omdat de X-Originating-IP niet meer weer wordt gegeven.
Nu laten ze alleen zien vanaf welke server het bericht wordt verstuurd.
Is er nog een mogelijkheid om het IP door de header (dmv Hotmail) te achterhalen?

Alvast bedankt!
Reacties (5)
03-01-2013, 14:47 door Anoniem
Volgens mij staat er nu 'Source:' of iets in die trant.
03-01-2013, 14:59 door Erik van Straten
Door 12348766754: Is er nog een mogelijkheid om het IP door de header (dmv Hotmail) te achterhalen?
Kennelijk is de "X-Originating-IP" header sinds kort vervangen door een "X-EIP:" headerregel. Vermoedelijk kan Microsoft daarmee aantonen dat het om een gegeven IP-adres gaat (verkregen uit bijv. een niet publiek toegankelijk logbestand) maar kun jij hier niets mee.

Bijv. in http://dir.groups.yahoo.com/group/IgboWorldForum/message/157792?source=1&var=1 staat
X-EIP: [PbPNdeXSsR3exJRQxSWUvzvV/Yb6LaDE]
Ik heb 3 van dat soort strings (zonder de bakhaken) door een base64 decoder gehaald en dit levert in alle gevallen (zonder foutmeldingen) een 24 bytes lang binair verhaal op. Voor bovenstaande string is dat:

000000 3D B3 CD 75 E5 D2 B1 1D DE C4 94 50 C5 25 94 BF
000010 3B D5 FD 86 FA 2D A0 C4
Ik heb mezelf een mail gestuurd vanaf een hotmail account, als ik mijn afzender IP-adres in hex omzet vind ik daar geen enkele byte van terug.

Ik vermoed dat "EIP" (uit X-EIP) staat voor "Encoded IP" en dat deze uit een 192 bit lange hash bestaat, of uit een salt + hash; het zou dan om 64 + 128 (bijv. MD5) of om 32 + 160 (SHA1) kunnen gaan. Wellicht is de salt terug te vinden in een andere headerrregel, bijv. de datum/tijd van ontvangst door de 1e server.

Hoe dan ook, hieruit is niet eenvoudig het afzender-IP adres terug te herleiden. De reden om dit toe te voegen is dat Microsoft er hoogstwaarschijnlijk wel mee kan aantonen dat de mail vanaf een gegeven IP-adres verzonden is (zo zou ik het in elk geval gemaakt hebben). Een soort van non-repudiaton dus (zie https://en.wikipedia.org/wiki/Non-repudiation).
03-01-2013, 15:47 door RoeBus
Hoi "hooggetal",

Wellicht kunnen de boy's van mxtoolbox.com je helpen..http://mxtoolbox.com/EmailHeaders.aspx

Je kunt daar eenvoudig zien langs welke MTA's (mail servers) het mailtje is gekomen. Ook als je vertraging hebt, is het een handige tool.

Groetjes,
RB
03-01-2013, 16:28 door 12348766754
Bedankt voor jullie reacties,
Het is dus niet mogelijk om iemands thuis (of gebruikte) IP te achterhalen dmv de header?
(Als je Hotmail gebruikt, ik weet niet hoe het zit met andere e-mailprogramma's/websites.)

-Edit
Zonder de 192 bit lange hash, wat voor mij nogal lastig gaat worden.

--

Door Anoniem: Volgens mij staat er nu 'Source:' of iets in die trant.

De source geeft het IP van de server weer. In dit geval de Microsoft server.
Jammer genoeg niet het thuis IP wat vroeger wel (niet encoded) werd toegevoegd.
05-01-2013, 09:52 door Anoniem
Zijn er nog mensen die mail van hotmail-adressen accepteren?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search