После того, как установлены ip-адреса, через которые шло письмо, нередко представляется возможным определить город отправителя, а иногда – и физический адрес. Последнее чаще всего возможно в случае, когда письмо было послано из корпоративной сети, даже если при этом использовался веб-интерфейс бесплатной почтовой службы.
Вот пример «тела» письма, вызванного с помощью клавиши F9 в почтовой программе The Bat! (ip-адрес, адрес электронной почты и имя отправителя – вымышленные). Более крупным шрифтом выделены значимые участки текста, комментарии даны ниже этого текста.
Проверка ip-адреса на ресурсе Vline:
– дала приведенный ниже результат.
Network Whois record
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http: //www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http: //www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the «-B» flag.
% Information related to 87.89.76.0 – 87.90.255.255
inetnum: 87.89.76.0 – 87.90.255.255
netname: T-ONLINEFRANCE-ADSL
descr: Pools for VoIP ADSL customers
country: FR
admin-c: NOCT1-RIPE
tech-c: NOCT1-RIPE
status: ASSIGNED PA
mnt-by: T-ONLINEFRANCE
mnt-lower: T-ONLINEFRANCE
mnt-routes: T-ONLINEFRANCE
source: RIPE # Filtered
role: Network Operation Centre T-ONLINE FRANCE
address: T-Online France – Club Internet
address: 11 rue de Cambrai
address: 75019 Paris
address: France
phone: +33 1 55 45 45 00
fax-no: +33 1 55 45 47 78
e-mail: ripe@t-online.fr
admin-c: AV-RIPE
tech-c: AV-RIPE
tech-c: OB346-RIPE
tech-c: DA3757-RIPE
tech-c: OT1274-RIPE
nic-hdl: NOCT1-RIPE
mnt-by: T-ONLINEFRANCE
source: RIPE # Filtered
% Information related to 87.88.0.0/14AS5410
route: 87.88.0.0/14
descr: T-Online France – Club Internet
origin: AS5410
mnt-by: T-ONLINEFRANCE
source: RIPE # Filtered
Итак, если рассматривать приведенные фрагменты служебной информации последовательно сверху вниз, то можно увидеть, что в самом начале фигурирует некий ip-адрес 87.89.236.115.
Письмо оформлено от имени Ulyana Petroff-Smit (это видно из записи «From: „Ulyana Petroff-Smit“ ulyana-petroffsmit@yandex.ru») и направлено на адрес Evgeny-Yushchuk@yandex.ru (что отражено в строке «To: Evgeny-Yushchuk@yandex.ru»). Далее в тексте тела письма видно, что оно шло через серверы Яндекса: присутствуют многочисленные служебные адреса, принадлежащие данному ресурсу. В самом низу тела письма фигурирует ip-адрес, с которого был осуществлен вход в Яндекс (X-Source-Ip: 87.89.236.115). Проверка этого адреса показала, что он принадлежит французскому провайдеру и закреплен за ADSL. По всей вероятности, это фиксированный ip-адрес.
Причем, учитывая, что в «теле» письма нет никаких упоминаний о почтовом клиенте, это письмо уходило через веб-интерфейс. Тем не менее, реальный ip-адрес зафиксирован, поскольку именно с ним был произведен вход в почту Яндекса.
На практике, при проверке действительно содержавшихся в документе данных, наши предположения подтвердил отправитель письма, которому мы показали полученные результаты.
