Günümüz internetinde e-postanın yeri tartışılamayacak kadar önemlidir. Bir çok siber suç örgütü takibinin zor olması ve güvenli olması nedeniyle e-posta kullanımını tercih etmektedir.
E-postanın önemi bu kadar fazla olunca bu konuyla ilgili olarak adli bilişim analiz uzmanları da e-posta ve analizi konusunda oldukca fazla kafa yormaktadır.
Bu blog girdisi ülkemizde yeni yeni hizmet vermeye başlayan Yandex webmail hizmeti kullanılarak gönderilen e-postaların gönderici ip adresininin nasıl bulunacağını anlatmaktadır.
Yandex’in webmail hizmeti kullanılarak gönderilen e-postaların başlık bilgileri analiz edilerek göndericinin ip adresi ve diğer bilgiler elde edilebilir. Hotmail ve Yahoo üzerinden gönderilen (web mail ) e-postalarda da benzeri şekilde göndericinin IP adres bilgisi elde edilebilmektedir. TÜm dünyada olduğu gibi ülkemizde de her geçen gn kullanım oranı artan Gmail ise kullanıcılarının mahremiyetini düşünerek e-posta göndericisinin gerçek IP adresini başlık bilgilerinden bilinçli olarak silmektedir.
Burada dikkat edilmesi gereken husus, webmaili gönderen Ultrasurf, TOR veya benzeri bir ip gizleme, proxy programı kullanıyorsa başlık bilgilerinden analiz edilerek çıkartılan ip adresi kullanıcının değil kullandığı proxy’nin ip adresi olacaktır.
Aşağıdan yukarıya doğru ilk received by satırı incelenirse hangi ip adresinden gönderildiği belirlenebilir. Başlık bilgisi analizi konusunda https://www.iptrackeronline.com/email-header-analysis.php adresine ilgili e-postaya ait başlığı kopyalyarak daha görsel bir analiz çıkarılabilir.
—
Delivered-To: huzeyfe.onal@gmail.com
Received: by 10.60.64.72 with SMTP id m8csp143392oes;
Mon, 23 Apr 2012 11:42:29 -0700 (PDT)
Received: by 10.152.145.1 with SMTP id sq1mr16401158lab.22.1335206549080;
Mon, 23 Apr 2012 11:42:29 -0700 (PDT)
Return-Path: <huzeyfe.onal@yandex.ru>
Received: from forward10.mail.yandex.net (forward10.mail.yandex.net. [77.88.61.49])
by mx.google.com with ESMTP id o2si7713877lbl.59.2012.04.23.11.42.28;
Mon, 23 Apr 2012 11:42:29 -0700 (PDT)
Received-SPF: pass (google.com: domain of huzeyfe.onal@yandex.ru designates 77.88.61.49 as permitted sender) client-ip=77.88.61.49;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of huzeyfe.onal@yandex.ru designates 77.88.61.49 as permitted sender) smtp.mail=huzeyfe.onal@yandex.ru; dkim=pass header.i=@yandex.com
Received: from web19e.yandex.ru (web19e.yandex.ru [77.88.60.23])
by forward10.mail.yandex.net (Yandex) with ESMTP id 385E71020BB8
for <huzeyfe.onal@gmail.com>; Mon, 23 Apr 2012 22:42:28 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.com; s=mail;
t=1335206548; bh=YLpZHmN8ti5R2UxR74fJXJntJeZ6TGnSlZyxDaMzgV8=;
h=From:To:Subject:MIME-Version:Message-Id:Date:
Content-Transfer-Encoding:Content-Type;
b=xKcgo0av9792pW817UpdS+p8/fpAcnL2YQZ+uX+o0/jLHcyqQlaP8or4YQBkrJnaK
YWg9/FXrsAwIwBPQtfP+6BDmcKz6PA9cn7l2T6qgJRoMrfv6/EqpTITOh5i/Byajoc
cvJVEzIhiOPqV0wcMjd0ag3aBO5amN/IYkZJSSqM=
Received: from 127.0.0.1 (localhost.localdomain [127.0.0.1])
by web19e.yandex.ru (Yandex) with ESMTP id 0D89D1628081;
Mon, 23 Apr 2012 22:42:28 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.com; s=mail;
t=1335206548; bh=YLpZHmN8ti5R2UxR74fJXJntJeZ6TGnSlZyxDaMzgV8=;
h=From:To:Subject:MIME-Version:Message-Id:Date:
Content-Transfer-Encoding:Content-Type;
b=xKcgo0av9792pW817UpdS+p8/fpAcnL2YQZ+uX+o0/jLHcyqQlaP8or4YQBkrJnaK
YWg9/FXrsAwIwBPQtfP+6BDmcKz6PA9cn7l2T6qgJRoMrfv6/EqpTITOh5i/Byajoc
cvJVEzIhiOPqV0wcMjd0ag3aBO5amN/IYkZJSSqM=
Received: from [94.55.16.1] ([94.55.16.1]) by web19e.yandex.ru with HTTP;
Mon, 23 Apr 2012 22:42:27 +0400
From: onal huzeyfe <huzeyfe.onal@yandex.com>
Envelope-From: huzeyfe.onal@yandex.ru
To: huzeyfe.onal@gmail.com
Subject: Yandex webmail baslik analizi
MIME-Version: 1.0
Message-Id: <111951335206547@web19e.yandex.ru>
Date: Mon, 23 Apr 2012 21:42:27 +0300
X-Mailer: Yamail [ https://yandex.ru/ ] 5.0
Content-Transfer-Encoding: 7bit
Content-Type: text/plaindeneme.