Quelqu'un a envoyé un e-mail sensible depuis mon compte Gmail. Je voulais retrouver l'adresse IP en vérifiant le Received: by X
champ dans l'en-tête du message envoyé.
Cependant, chaque message envoyé depuis Gmail et dont je vérifie l'en-tête a (la même) adresse IP privée dans le Received: by X
section. Le champ ressemble toujours à ceci:
Received: by 10.42.43.138 with HTTP; {Date}
D'où vient cette IP? Pourquoi est-ce l'adresse IP "Reçu par" dans tous les messages envoyés? Les messages envoyés via les clients de messagerie (comme Apple Mail) affichent les bonnes adresses IP "Reçu par". Est-ce une sorte de chose que Gmail fait en matière de confidentialité?
Lors de la lecture d'un e-mail brut comprenant tous ses en-têtes, le Received:
les en-têtes sont mieux lus de bas en haut. Ici, je vais montrer un exemple d'un e-mail que j'ai reçu sur mon compte GMail
Delivered-To: [email protected]
Received: by x.x.x.x with SMTP id xxxxxxxx;
Tue, 3 Sep 2013 xx:xx:xx -0700 (PDT)
Received: from a.b.c.com (a.b.c.com. [x.x.x.x])
by mx.google.com with ESMTP id xxx;
Tue, 03 Sep 2013 xx:xx:xx-0700 (PDT)
Received: from localhost (127.0.0.1) by a.b.c.com id xxx for [email protected]>; Tue, 3 Sep 2013 xx:xx:xx +0000 (envelope-from <[email protected]>)
From: xxxx<[email protected]>
Sender: xxxx <[email protected]>
Subject: xxxxxxxx
Lorsque vous souhaitez envoyer un e-mail, vous le donnez à votre fournisseur de services qui joindra le premier Received:
en-tête, et lorsque le message passe par différents relais et serveurs de messagerie, chacun d'eux attache sa propre adresse jusqu'à ce que le message atteigne sa destination finale - le fournisseur de services du destinataire.
Donc, ce que vous voyez là dans le premier Received:
header est en fait le serveur de GMail. C'est pourquoi vous l'avez dans tous vos messages, car c'est là que tous les messages finissent dans votre cas, dans votre compte sur les serveurs de GMail.
Veuillez noter qu'il n'y a vraiment aucun moyen d'identifier de manière fiable l'adresse IP d'un expéditeur d'email. Cependant, Received:
la chaîne d'en-tête peut vous donner une idée.
Chaque serveur de messagerie (utilisant le protocole SMTP ) ajoute un Received:
en-tête spécifiant qui est le serveur, d'où il a reçu l'e-mail et quand. Dans votre cas, l'un des serveurs internes à l'architecture Gmail a reçu l'e-mail, apparemment via une interface HTTP, et cette machine prétend avoir l'adresse IP spécifiée.
Voyons un exemple. "Exemple Alice" (utilisateur Gmail, adresse [email protected]
) envoie un e-mail à son frère "Bob Example", propriétaire du example.com
domaine et le [email protected]
adresse électronique. Bob trouve l'en-tête suivant dans sa boîte aux lettres:
Return-Path: <[email protected]>
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on smtp.example.com
X-Spam-Level:
X-Spam-Status: No, score=-0.7 required=5.0 tests=FREEMAIL_FROM,HTML_MESSAGE,
RCVD_IN_DNSWL_LOW,SPF_PASS,T_DKIM_INVALID autolearn=disabled
version=3.3.2
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from mail-ee0-f54.google.com (mail-ee0-f54.google.com [74.125.83.54])
by smtp.example.com (Postfix) with ESMTP id 56C8520390
for <[email protected]>; Thu, 5 Sep 2013 14:21:21 +0200 (CEST)
Received: by mail-ee0-f54.google.com with SMTP id e53so864366eek.13
for <[email protected]>; Thu, 05 Sep 2013 05:21:20 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=gmail.com; s=20120113;
h=mime-version:date:message-id:subject:from:to:content-type;
bh=0zesmB8vj1jNhyDLWCXsRKUD13aND4CAAU820514d0w=;
b=N23J2OcAYXeyQct0JWqbGk68bACsXlk47ETNGj+YlOua8iQk6t+EtyW1SoaryS5c1B
FlWybsPDbJpb3zkuJNvq6o6o1JD2qandN9GKERAyT1CS+bjjO/WyDHOtSDFQjoWNyTcr
lY3cXxcaUdjsylpdHADmt7mbS7hYWlLwc6e0fvi9MY370xZ6gRrsRGt9yPX3KQTT2nOI
oEB6ei3o5uSKDhHHftlz0MIrAoo1ZMfHiavmFkmHX+AnADabqu8kddhA3vWBeYOAo366
ny3VMtO4AzrUoN9sfrlCbGauQ43+a8B+5CxcsRkVs395WtLojNIhDhlmiSJz+exNjqla
hlzA==
MIME-Version: 1.0
X-Received: by 10.14.107.68 with SMTP id n44mr13246148eeg.26.1378383680460;
Thu, 05 Sep 2013 05:21:20 -0700 (PDT)
Received: by 10.15.90.131 with HTTP; Thu, 5 Sep 2013 05:21:20 -0700 (PDT)
Date: Thu, 5 Sep 2013 08:21:20 -0400
Message-ID: <CADXjcB87cEC=YF-_GSgYojmVdxGWF5QPE_=T3pPT9T6i8-BcjA@mail.gmail.com>
Subject: essai
From: Alice Example <[email protected]>
To: Bob Example <[email protected]>
Content-Type: multipart/alternative; boundary=001a11c29ad2a386e504e5a1f573
Les en-têtes sont ajoutés en haut par chaque serveur successif, donc le premier Received:
(et les en-têtes qui précèdent) ont été ajoutés par le dernier serveur SMTP, c'est-à-dire smtp.example.com
. Le contenu de cet en-tête signifie que ce serveur a reçu l'e-mail d'un autre serveur qui a prétendu être nommé mail-ee0-f54.google.com
, et avait l'adresse IP 74.125.83.54, et cette adresse IP se résout (via DNS inversé) en mail-ee0.f54.google.com
(le même nom que le nom revendiqué, ce qui est bien).
Le dernier Received:
l'en-tête est celui qui a été ajouté en premier; il nous indique que ( apparemment) le premier serveur conscient de SMTP qui a reçu l'e-mail l'a obtenu via HTTP (c'est-à-dire un protocole personnalisé qui utilise HTTP comme transport) et que ce serveur a le name "10.15.90.131", qui est une adresse IP. On peut donc supposer que le serveur Web auquel le navigateur d'Alice s'est connecté possède, au sein du réseau de Gmail, une adresse IP privée (10.15.90.131). Cela ne nous dit pas grand-chose, car il s'agit d'une adresse IPv4 privée donc elle n'a aucune signification en dehors du réseau de Gmail.
Dans tous les cas, cette adresse IP pas indique beaucoup sur l'adresse IP de la machine d'Alice (où elle exécute son navigateur). Il est possible que les systèmes de Gmail soient répartis dans le monde entier et la connexion d'Alice a été acheminée vers un serveur Web dans la "même zone" (pour de meilleures performances). En analysant de nombreux en-têtes de nombreux e-mails, nous pourrions reconstruire une sorte de mappage de la zone géographique à l'adresse IP interne, donnant un indice sur la localisation actuelle d'Alice. Cependant, cela reposerait sur des hypothèses non documentées sur le réseau de Gmail et serait grossier. Notez que ce premier serveur SMTP interne utilise le fuseau horaire PDT , correspondant à la côte ouest de l'Amérique du Nord, tandis que (dans ce cas) la machine d'Alice est en Amérique du Nord - Est coût , à plus de 4000 km du Pacifique.
Résumé: les adresses IP que vous voyez se rapportent aux serveurs dans les systèmes de Gmail, et ne sont pas vraiment liées aux = celle du client adresse. C'est l'adresse interne du serveur qui a d'abord reçu l'e-mail. Ce qui est pertinent pour la confidentialité, c'est que le même serveur n'a pas spécifié l'adresse IP du client; l'adresse que vous voyez n'est pas l'adresse IP d'un client "brouillé"; c'est une autre adresse indépendante.
Il y a normalement plusieurs Received:
en-têtes dans un e-mail et l'ordre dans lequel ils sont répertoriés est important. Normalement, vous ne pouvez pas déterminer la signification d'un Received:
en-tête sans voir tous des en-têtes reçus pour déterminer lesquels peuvent être approuvés.
Celui-ci est un peu spécial. Le with HTTP
indique que la personne utilisait l'interface Web pour Gmail et que l'adresse IP est l'adresse IP interne du serveur Web qui a traité sa demande.
Dans Gmail, vous pouvez voir les adresses IP qui utilisent votre compte, que ce soit par l'interface Web ou un client de bureau ou mobile.
Faites défiler vers le bas. Regardez sur le côté droit où il est dit:
Dernière activité sur le compte: il y a 7 minutes
Ouvrir dans 1 autre emplacement Détails
Et cliquez sur "Détails".
Dans cette fenêtre contextuelle, vous verrez toutes les activités récentes, les adresses IP et les pays ainsi qu'un bouton pour vous permettre de déconnecter tous les autres clients.
Les adresses IP dans les en-têtes que vous voyez ne sont pas liées au client qui les a envoyées si c'est ce que vous pensez. Les adresses IP qui apparaissent lors de l'analyse des en-têtes sont des passerelles/serveurs de messagerie impliqués entre l'expéditeur et le destinataire. L'adresse IP répétée serait la passerelle de messagerie commune sur le chemin de votre courrier électronique.
Gmail ne révèle simplement jamais l'adresse IP de l'expéditeur conformément à sa politique. Bien que cette politique donne la tranquillité d'esprit aux utilisateurs de gmail, elle accorde au même endroit aux utilisateurs abusifs un coin confortable.