Dónde está el IP del emisor?

bandolera · #1 (**permalink**) 03/01/2011, 21:07

Hola chicos, a una amiga le envian correos algo maliciosos pero no sabemos de dónde los envían.
Entramos a las propiedades del correo y esto es lo que muestra:

Código HTML:

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9Mw==

X-Message-Status: n

X-SID-PRA: Paolo <[email protected]>

X-AUTH-Result: NONE

X-Message-Info: JGTYoYF78jG6fh1laSuky2w4l3CLLXIHj017tT3MU2Eaf4OcWnc5KTjJEUGWtSazNAXlg6gjRM/cbhp9pufUGNodPrx7AcwXFnte1tmQRvJWAsJET7pCSQ==

Received: from nm12.bullet.mail.ird.yahoo.com ([77.238.189.65]) by snt0-mc1-f46.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);

	 Thu, 30 Dec 2010 14:24:44 -0800

Received: from [77.238.189.49] by nm12.bullet.mail.ird.yahoo.com with NNFMP; 30 Dec 2010 22:24:44 -0000

Received: from [212.82.108.243] by tm2.bullet.mail.ird.yahoo.com with NNFMP; 30 Dec 2010 22:24:44 -0000

Received: from [127.0.0.1] by omp1008.mail.ird.yahoo.com with NNFMP; 30 Dec 2010 22:24:44 -0000

X-Yahoo-Newman-Property: ymail-3

X-Yahoo-Newman-Id: [email protected]

Received: (qmail 65973 invoked by uid 60001); 30 Dec 2010 22:24:43 -0000

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.es; s=s1024; t=1293747883; bh=vahIvFsyQ92ww00oxfhtT8vZp+5r5E1yuIj5ZhpCFCY=; h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type; b=gONLC1OgX24R3SK6jq1EdJqyASKz9zVDxH0Ym1QIx1l3qNlIlr1y3MkMuWgAtC7QM8gEroDIpkUL8ePMRIAkoy1gCS1dRi1DaDo9vDhk6UjJMdRevCdl/hPCwjSWmmrUXaJNFGgsnSaEvzMT/sODFIXYNHvuZFRFBACJYNR0zUY=

DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;

  s=s1024; d=yahoo.es;

  h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type;

  b=fw05P95O+HBADmEZIOH5+eab2K53Gbm+uH44rF74dN+UjUYqmTlC1Kl2aucowI/L+84VsoCwKCz1AD+n5b9yAI6SfDdzqS2zcPoI/6x5DZkbOlpq4MlSG75Ct+x92hw0I7pGPsoROjbwTKRnfLbWW/fqfFIVIEQ2yQPHdM2oV2I=;

Message-ID: <[email protected]>

X-YMail-OSG: MHv3NmkVM1knY4OIRLgk3i10MTDe8Rp9keYBwMJKAScKu7e

 U16b0e6s2w2Y_5SZIyucipXvkINZa0DMHOQpXNvDBx9k5a5hQfwhmsZB9hGn

 z.ExBItTZInxltHLE24nlTHKTwlXu4DUfAqhyEPzSJCm5iiiXdu5wzIc_IcA

 vW1TOvMKO_LTGHiezG63HlT.E7NTJ8GctuU7mfG.nv9zCCOZFo1UYQVgQ8dJ

 7syVg0Yj5mk3fBLBQ.sSSXFA8cH22KZpaop3nFvMfbjvfsygAJoKCvzVOM4h

 q38K20uMAaFxE.r4pKuPfPUYgL5GkXoWNg2f_ZO1PNA--

Received: from [190.223.42.106] by web24706.mail.ird.yahoo.com via HTTP; Thu, 30 Dec 2010 22:24:43 GMT

X-Mailer: YahooMailClassic/11.4.20 YahooMailWebService/0.8.107.285259

Date: Thu, 30 Dec 2010 22:24:43 +0000 (GMT)

From: Paolo <[email protected]>

Subject: Hola quiero conocerte

To: Gladys <[email protected]>

MIME-Version: 1.0

Content-Type: multipart/alternative; boundary="0-1755156820-1293747883=:64640"

Return-Path: [email protected]

X-OriginalArrivalTime: 30 Dec 2010 22:24:45.0077 (UTC) FILETIME=[5C6EF450:01CBA870]

--0-1755156820-1293747883=:64640

Content-Type: text/plain; charset=utf-8

Content-Transfer-Encoding: quoted-printable


Paolo 

=0ABachiller en Ingenieria=0A=0A=0A      

--0-1755156820-1293747883=:64640

Content-Type: text/html; charset=utf-8

Content-Transfer-Encoding: quoted-printable

<table cellspacing=3D"0" cellpadding=3D"0" border=3D"0" ><tr><td valign=3D"=

top" style=3D"font: inherit;"><br><br>Paolo Gonzalez<br>=0ABachiller =

en Ingenieria</td></tr></table><br>=0A=0A=0A=0A      &nbsp;

--0-1755156820-1293747883=:64640--

En donde figura el IP del emisor de este correo ??
Está oculto? o protegido??

bufom · #2 (**permalink**) 04/01/2011, 09:30

Muy buenas,

Como bien lo indica el MIME te esta describiendo el contenido del correo electronico mas no la IP de donde fue originada. Para tal fin habria que emplear otras herramientas o tecnicas.
Seria mas facil detectar al emisor si esta en la misma red LAN.

Suerte....

jariza · #3 (**permalink**) 05/01/2011, 12:47

Hola,

Viendo esta línea:
Received: from [190.223.42.106] by web24706.mail.ird.yahoo.com via HTTP; Thu, 30 Dec 2010 22:24:43 GMT
se diría que te lo mandan desde 190.223.42.106, que según DNS es mail.jcp.org.pe

De todas formas, los casos de correo ofensivo, acoso, etc es mejor notificarlos al abuse de la compañía en cuestión (yahoo en este caso).

Un saludo :)

bandolera · #4 (**permalink**) 25/01/2011, 10:49

Cita:

Iniciado por jariza

Hola,

Viendo esta línea:
Received: from [190.223.42.106] by web24706.mail.ird.yahoo.com via HTTP; Thu, 30 Dec 2010 22:24:43 GMT
se diría que te lo mandan desde 190.223.42.106, que según DNS es mail.jcp.org.pe

De todas formas, los casos de correo ofensivo, acoso, etc es mejor notificarlos al abuse de la compañía en cuestión (yahoo en este caso).

Un saludo :)

Y en este otro correo... cuál es el IP del remitente??

Código HTML:

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NQ==
X-Message-Status: n
X-SID-PRA: [email protected]
X-AUTH-Result: NONE
X-Message-Info: 6sSXyD95QpUiswt3+FsIRUsw6SPSFj8pkE1kyf0ALxGgPu+T6l4h0uUmc44gGnZEZF6PiVylVtOTZ+mnOlspRy7vxQ3uYy42N509ADatqIQ=
Received: from luxweb50.imountain.com ([76.79.77.50]) by BAY0-MC4-F30.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
	 Tue, 25 Jan 2011 08:38:43 -0800
Received: from luxweb50.imountain.com (luxweb50.imountain.com [127.0.0.1])
	by luxweb50.imountain.com (8.13.8/8.13.8) with ESMTP id p0PGcgNX011888
	for <[email protected]>; Tue, 25 Jan 2011 08:38:43 -0800
Received: (from httpd@localhost)
	by luxweb50.imountain.com (8.13.8/8.13.8/Submit) id p0PGcgLN011887;
	Tue, 25 Jan 2011 08:38:42 -0800
Date: Tue, 25 Jan 2011 08:38:42 -0800
Message-Id: <[email protected]>
To: [email protected]
Subject: Hola
FROM: [email protected]
Return-Path: [email protected]
X-OriginalArrivalTime: 25 Jan 2011 16:38:43.0130 (UTC) FILETIME=[5416C1A0:01CBBCAE]

Saludos

jariza · #5 (**permalink**) 25/01/2011, 19:03

Hola,

Según:

Cita:

Received: (from httpd@localhost)
by luxweb50.imountain.com (8.13.8/8.13.8/Submit) id p0PGcgLN011887;
Tue, 25 Jan 2011 08:38:42 -0800

parece haber sido enviado desde un webmail en la máquina luxweb50.imountain.com, pero no veo qué ordenador conecto a este webmail.

Un saludo.

bandolera · #6 (**permalink**) 26/01/2011, 08:48

Cita:

Iniciado por jariza

Hola,

Según:

parece haber sido enviado desde un webmail en la máquina luxweb50.imountain.com, pero no veo qué ordenador conecto a este webmail.

Un saludo.

hhmm.... y eso qué significa???

No se supone que todos los correos muestran el origen del mismo ??

jariza · #7 (**permalink**) 26/01/2011, 09:06

bandolera, si realmente te interesa conocer el origen del mail deberías ponerte en contacto con los propietarios de imountain.com

Un saludo :)