Yandex Webmail Başlık Bilgisi Analizi[E-posta Gönderici IP Bulma]

Günümüz internetinde e-postanın yeri tartışılamayacak kadar önemlidir. Bir çok siber suç örgütü takibinin zor olması ve güvenli olması nedeniyle e-posta kullanımını tercih etmektedir.

E-postanın önemi bu kadar fazla olunca bu konuyla ilgili olarak adli bilişim analiz uzmanları da e-posta ve analizi konusunda oldukca fazla kafa yormaktadır.

Bu blog girdisi ülkemizde yeni yeni hizmet vermeye başlayan Yandex webmail hizmeti kullanılarak gönderilen e-postaların gönderici ip adresininin nasıl bulunacağını anlatmaktadır.
Yandex’in webmail hizmeti kullanılarak gönderilen e-postaların başlık bilgileri analiz edilerek göndericinin ip adresi ve diğer bilgiler elde edilebilir. Hotmail ve Yahoo üzerinden gönderilen (web mail ) e-postalarda da benzeri şekilde göndericinin IP adres bilgisi elde edilebilmektedir. TÜm dünyada olduğu gibi ülkemizde de her geçen gn kullanım oranı artan Gmail ise kullanıcılarının mahremiyetini düşünerek e-posta göndericisinin gerçek IP adresini başlık bilgilerinden bilinçli olarak silmektedir.

Burada dikkat edilmesi gereken husus, webmaili gönderen Ultrasurf, TOR veya benzeri bir ip gizleme, proxy programı kullanıyorsa başlık bilgilerinden analiz edilerek çıkartılan ip adresi kullanıcının değil kullandığı proxy’nin ip adresi olacaktır.

Aşağıdan yukarıya doğru ilk received by satırı incelenirse hangi ip adresinden gönderildiği belirlenebilir. Başlık bilgisi analizi konusunda http://www.iptrackeronline.com/header.php adresine ilgili e-postaya ait başlığı kopyalyarak daha görsel bir analiz çıkarılabilir.


Delivered-To: [email protected]
Received: by 10.60.64.72 with SMTP id m8csp143392oes;
Mon, 23 Apr 2012 11:42:29 -0700 (PDT)
Received: by 10.152.145.1 with SMTP id sq1mr16401158lab.22.1335206549080;
Mon, 23 Apr 2012 11:42:29 -0700 (PDT)
Return-Path: <[email protected]>
Received: from forward10.mail.yandex.net (forward10.mail.yandex.net. [77.88.61.49])
by mx.google.com with ESMTP id o2si7713877lbl.59.2012.04.23.11.42.28;
Mon, 23 Apr 2012 11:42:29 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 77.88.61.49 as permitted sender) client-ip=77.88.61.49;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of [email protected] designates 77.88.61.49 as permitted sender) [email protected]; dkim=pass [email protected]
Received: from web19e.yandex.ru (web19e.yandex.ru [77.88.60.23])
by forward10.mail.yandex.net (Yandex) with ESMTP id 385E71020BB8
for <[email protected]>; Mon, 23 Apr 2012 22:42:28 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.com; s=mail;
t=1335206548; bh=YLpZHmN8ti5R2UxR74fJXJntJeZ6TGnSlZyxDaMzgV8=;
h=From:To:Subject:MIME-Version:Message-Id:Date:
Content-Transfer-Encoding:Content-Type;
b=xKcgo0av9792pW817UpdS+p8/fpAcnL2YQZ+uX+o0/jLHcyqQlaP8or4YQBkrJnaK
YWg9/FXrsAwIwBPQtfP+6BDmcKz6PA9cn7l2T6qgJRoMrfv6/EqpTITOh5i/Byajoc
cvJVEzIhiOPqV0wcMjd0ag3aBO5amN/IYkZJSSqM=
Received: from 127.0.0.1 (localhost.localdomain [127.0.0.1])
by web19e.yandex.ru (Yandex) with ESMTP id 0D89D1628081;
Mon, 23 Apr 2012 22:42:28 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.com; s=mail;
t=1335206548; bh=YLpZHmN8ti5R2UxR74fJXJntJeZ6TGnSlZyxDaMzgV8=;
h=From:To:Subject:MIME-Version:Message-Id:Date:
Content-Transfer-Encoding:Content-Type;
b=xKcgo0av9792pW817UpdS+p8/fpAcnL2YQZ+uX+o0/jLHcyqQlaP8or4YQBkrJnaK
YWg9/FXrsAwIwBPQtfP+6BDmcKz6PA9cn7l2T6qgJRoMrfv6/EqpTITOh5i/Byajoc
cvJVEzIhiOPqV0wcMjd0ag3aBO5amN/IYkZJSSqM=
Received: from [94.55.16.1] ([94.55.16.1]) by web19e.yandex.ru with HTTP;
Mon, 23 Apr 2012 22:42:27 +0400
From: onal huzeyfe <[email protected]>
Envelope-From: [email protected]
To: [email protected]
Subject: Yandex webmail baslik analizi
MIME-Version: 1.0
Message-Id: <[email protected]>
Date: Mon, 23 Apr 2012 21:42:27 +0300
X-Mailer: Yamail [ http://yandex.ru ] 5.0
Content-Transfer-Encoding: 7bit
Content-Type: text/plain

deneme.

This entry was posted in Forensic. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

13 − 5 =