• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Ip адрес

  • Автор темы doc
  • Дата начала
D

doc

Можно ли определить IP адрес отпрвителя мертвых писем, которые застряли в mail.box. Как это можно сделать?
Дело в том, что в mail.box скапливается много мертвых писем, необходимо узнать IP адрес машины, с которой они формируются.
 
L

ledi

Можно ли определить IP адрес отпрвителя мертвых писем, которые застряли в mail.box. Как это можно сделать?
Дело в том, что в mail.box скапливается много мертвых писем, необходимо узнать IP адрес машины, с которой они формируются.

А что - правой кнопкой мыши по письму->Свойства документа->Вторая закладка->Поле FROM не помогает?
 
E

etc

Да помоему не сможете определить.
Отправляет smtp сервер, а кто ему дал письмо и откуда это никого не касается.
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Письма из Интернета или локальные? Если первые, то смотрите поля Received.
 
L

ledi

Да помоему не сможете определить.
Отправляет smtp сервер, а кто ему дал письмо и откуда это никого не касается.

Да ну ладно.
В любом случае есть поля From и To. Из них можно извлечь данные об отправителе.
Далее, если письмо внутреннее, то в персон документе на последней закладке смотрите компьютеры на которых работает отправитель письма. Подключаетесь к журналу безопасности на этих компьютерах и смотрите, когда человек логинился. Таким образом вы вычислите, кто и откуда слал письма.
Если же отправитель внешний, то всегда есть возможность увидеть домен отправителя. Далее пингуете домен, получаете IP и лочите его.
Хотя, зачем это делать, если есть почтовый адрес, с которого слали почту. Создаете правило - не принимать почту, если отправитель xxx@xxx.com. И все.
 
E

etc

В любом случае есть поля From и To. Из них можно извлечь данные об отправителе.
Автору нужен ИП.
Во внутренней сети и так все ястно.
возможность увидеть домен отправителя
blah@blah.it вам о чем говорит?


Добавлено:
Создаете правило - не принимать почту, если отправитель xxx@xxx.com. И все.
Это уже другая задача. Возможно это и нужно автору.

Добавлено:
увидеть домен отправителя
Так можно прибить реальный ИП, что не есть гуд.
 
L

ledi

Автору нужен ИП.
Во внутренней сети и так все ястно.
blah@blah.it вам о чем говорит?

ping blah.it

Получаем IP. Это будет по-любому IP их либо мейлера либо гейта, через который они шлют почту.
Либо через сервис WhoIs.

В любом случае, в моей жизни по работе была ситуация, когда человек из конторы слал фотки со своего отдыха нашему сотруднику по надцать метров. Быстренько залочили его адрес и когда он не смог отправить важную информацию - провели беседу с получателем письма у нас, он провел беседу с отправителем письма у них и сразу все стало хорошо. Аналогично и с блокировкой по IP. Как только человек не сможет отправить нужную почту - он сам выйдет на связь и с ним можно будет провести беседу.

Опять-таки - зная домен можно списаться с админами и разрулить ситуацию.

Кроме того - человек просил всего лишь информацию о том, как найти IP отправителя и залочить его. Зачем ему это - нам неважно.
Я привел алгоритм поиска внутреннего и внешнего IP.

В чем я не прав? :)
 
E

etc

Это может указывать куда угодно но не на ип отправителя.
Я отправляю вам письмо с моего компа но говорю чтобы его отправил сервер смтп.маманегорюй.ком, при этом указываю отправителя как вася@папанегорюй.ком, сам увы нахожусь в сетке своей работы, + идем через прокси. Какие ваши действия?
В общем случае отправители/спамеры не глупые и просто светить свое место не будут, да и не со своего они чаще всего рассылают.

Вот так называемые черные списки это другое дело.

Добавлено:
И не факт что пинговый протокол врублем на источнике письма, тупо вырубят и все. Пинг пришлет анричибле какойнить.
 
L

ledi

Это может указывать куда угодно но не на ип отправителя.
Я отправляю вам письмо с моего компа но говорю чтобы его отправил сервер смтп.маманегорюй.ком, при этом указываю отправителя как вася@папанегорюй.ком, сам увы нахожусь в сетке своей работы, + идем через прокси. Какие ваши действия?

Мама и папа не горюй определятся через просмотр исходников письма. Далее, прочитав исходник и пошевелив мозгом можно вычислить реальный домен отправителя.

Вот кусочек исходника:
Received: from smtp1.uuu.net (omicron.uuu.net [195.1.191.72])
by router.zzz.dp.ua (Postfix) with ESMTP id BB932CEA93
for <qqq@qqq.com>; Wed, 14 Feb 2007 13:16:55 +0200 (EET)
Received: from arrow.bbb.com.ua ([217.1.65.135])

Даже если я подменю smtp1, router, qqq, arrow - все равно в скобках будет указан настоящий IP.

В общем случае отправители/спамеры не глупые и просто светить свое место не будут, да и не со своего они чаще всего рассылают.

Я так понимаю, что здесь речь может идти не столько о спаме, сколько о том, что у кого-то остался адрес уволенного сотрудника.
А о том, что отправители неглупые - это шутка хорошая. Если речь идет об отправителях (т.е. нормальных пользователях почты), то им вообще фиолетово, что там и где подставляется. И они уж точно не будут подменять свои реквизиты.

Добавлено: И не факт что пинговый протокол врублем на источнике письма, тупо вырубят и все. Пинг пришлет анричибле какойнить.

Конечно, вот только сервис WhoIs никто не отменял. :)
 
L

ledi

Сервера, а не отправителя. почувствуйте разницу.

Да, сервера, но реального сервера - того, с которого отправили почту.
После чего все домены мама-папа не горюй идут на йух и через пинг или whois или другие подобные сервисы узнаешь его IP. И можно увидеть, например, что отправляли не с маманегорюй через папанегорюй, а с домена бабушканеплачь. Далее можно действовать по разному. Можно IP залочить, а можно с их админами списаться и пусть сами решение принимают.

Естественно, что никто адрес типа 192.168.1.1 не увидит да и не нужен он на стороне получателя, т.к. он не дает возможности залочить конкретного отправителя по IP.

Добавлено: Вхуиз тоже не очень далекий, ему что дали туда и идет.

И тем не менее возможность найти реальный домен отправителя есть.
 
L

ledi

Да именно, например yahoo.com или mail.ru, или ..., зарубите их и живите спокойно...

Ну вы же прекрасно понимаете, что бывают разные ситуации и об этом я написал.
Никто не мешает списаться с админами - они с удовольствием залочат адрес.

А если это домен какой-то организации - то еще проще.
 
E

etc

Я вот думаю если все так просто зачем же черные списки сделали, под них какието спец сервисы с обновлениями постоянными, а тут списался и все в порядке.
 
L

ledi

Я вот думаю если все так просто зачем же черные списки сделали, под них какието спец сервисы с обновлениями постоянными, а тут списался и все в порядке.

Блин, вот вроде и давно тут обитаете и сообщений у вас много, но зачем же казаться не настолько умным, какой вы есть на самом деле? :rolleyes:
Естественно все просто. Ну вы ведь сами понимаете, что основная задача спам-листов заключается в том, чтобы избавить системных администраторов разных организаций от необходимости внесения в свои локальные спам-листы одних и тех же спамеров. Ну и вторая задача - превентивная защита от тех спамеров, которые не успели пока нагадить в твою организацию.

И естественно, что нет смысла списываться с доменом ххх.com - проще его сразу забанить.
Но также естественно списаться с администрацией mail.ru, для того, чтобы они забанили какого-то одинокого спамера, который тебя бомбит.

Ведь эти спам-листы тоже не панацея. Все равно приходится на почтовом файле пользователей или в настройках сервера делать дополнительные фильтры.

Вот только от темы, заданной топик-стартером мы отклонились донельзя.

Я еще раз повторю то, что уже один раз писал. Человек попросил показать, как можно вычислить IP отправителя письма. Без указания того, что последует после определения IP.
Я показал, как это сделать, если почта внутренняя и если почта внешняя. Других IP он либо не сможет получить либо не сможет ими воспользоваться. Это я о локальных IP сторонней организации - отправителе письма.
И еще раз повторю свой вопрос: что я сделал не так? Может, не ответил на вопрос топик-стартера?
 
E

etc

естественно списаться с администрацией mail.ru, для того, чтобы они забанили какого-то одинокого спамера, который тебя бомбит
Вы пробовали? и как получилось?
Ведь эти спам-листы тоже не панацея.
Так панацея только одна, выключить комп, и выбросить на помойку.
Вон антивирусы какие крутые, бабла косят не мерянно, а какойто пацан, раз и наломал дров...
Я показал, как это сделать, если почта внутренняя и если почта внешняя.
Я тоже уже сказал, что для внутренней, ничего искать ненадо и так все ястно, а для внешней, в общем случае никак.
Ну дойдет он до сервера и че?
Я вот работаю в хостовой компании, у нас тут админы свои есть, так вот не стоит гул перезвонов аднимов разных стран, нет его и не шуршат письмами.
При чем тут что сделали чего не сделали, кто куда чего.... мы обсуждаем на то и форум.
 
H

HotDog

Если решать проблему СПАМА, не проще ли на антиспаме для начала проверять spf-запись, а не пытаться найти иголку в стоге сена?
Про BlackList я уже молчу.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!