發信人說他是在英國發這發信的,但查來源IP是在馬來西亞,
我是查 202.151.200.133 這個IP,
請問:
1.這封MAIL的來源IP是在馬來西亞嗎?
2.如果在英國,有沒有可能用馬來西亞的IP發信?
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MjtTQ0w9MA==
X-Message-Status: n
X-SID-PRA: El*** P***on <el*****yton@yahoo.com>
X-AUTH-Result: NONE
X-Message-Info:
Received: from nm2.bullet.mail.ne1.yahoo.com ([98.138.90.65]) by bay0-mc4-f19.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 6 Jan 2011 00:10:36 -0800
Received: from [98.138.90.55] by nm2.bullet.mail.ne1.yahoo.com with NNFMP; 06 Jan 2011 08:10:36 -0000
Received: from [98.138.87.9] by tm8.bullet.mail.ne1.yahoo.com with NNFMP; 06 Jan 2011 08:10:36 -0000
Received: from [127.0.0.1] by omp1009.mail.ne1.yahoo.com with NNFMP; 06 Jan 2011 08:10:36 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 51629.28744.bm@omp1009.mail.ne1.yahoo.com
Received: (qmail 3498 invoked by uid 60001); 6 Jan 2011 08:10:34 -0000
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.com;
h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type;
b=dtOWpCft9cQH22x3Np+91rRfFYTS6MpPmAtJbbVayX2ZFnXDYuZoSIJyx7n+XSpg5F71eh7r1vVq59rqkcvOlMPqzHtyYU0JLG4MW1Q16unly8AUeDAmSvIvaBFrlVu6oy7pAr69N71omHR8qFYPoHezdlRKU5np0oj0mPZjQ9I=;
Message-ID: <879776.9***.qm@web112607.mail.gq1.yahoo.com>
X-YMail-OSG: VFdE_WIVM1n2oIEGnf102bP0dmyB_20xtv08UnaS7o2k804
Received: from [202.151.200.133] by web***607.mail.gq1.yahoo.com via HTTP; Thu, 06 Jan 2011 00:10:34 PST
X-Mailer: YahooMailClassic/11.4.20 YahooMailWebService/0.8.107.285259
Date: Thu, 6 Jan 2011 00:10:34 -0800 (PST)
From: El*** P***ton <el*****yton@yahoo.com>
Subject: Re: hello
To: **** **te <**te*****@hotmail.com>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="0-1210268245-1294301434=:91606"
Return-Path: el*****ton@yahoo.com
X-OriginalArrivalTime: 06 Jan 2011 08:10:36.0781 (UTC) FILETIME=[32F5D1D0:01CBAD79]
這種用 IP 反推所在地的方式, 並不是很準確. 可能的因素有:
早期各國 NIC 並不普及的時候, 經常有跨國申請 IP 的狀況發生. 像台灣早期的 IP 是由 APNIC 發出來的, 註冊地是在澳洲, 如果你是反查這群 IP, 只會查到澳洲去, 而不是台灣.
若用戶是透過雲端技術發信(例如: Gmail, Yahoo, Hotmail...), 他們在全球各地都有伺服器平行運作, 但用戶不一定是連到他自己國家的伺服器, 而是服務商會依據當時的狀況, 把用戶引導到全球某一台最合適的伺服器, 而這台伺服器有可能在其他國家.
如果用戶是透過 Web 介面發信, 通常發信的 IP 會是伺服器的 IP, 而不是用戶電腦的 IP. 所以如果用戶在英國, 但是連上馬來西亞的 Web Server 去發信, IP 就會是馬來西亞.
連到GAMIL 寄 TEST MAIL到公司信箱, 然後查看MAIL的表頭,
還是會看到上網的IP,所以就算USER在英國連到馬來西亞的WEB SERVER發信,
應該還是會秀出USER上網的IP, 只是如您所說這個IP是否為該所有就不一定了,
可是這樣的話,查跨國網路犯罪要怎麼查?
那也要看 Web Mail 系統是否有依照 RFC 標準把 X-Originating-IP 完整的表達出來.
Gmail 是大廠, 做事不馬虎, 當然會有 X-Originating-IP 可供追蹤. 但其他小型的 WebMail 恐怕就沒這麼完整. 例如, OpenWebMail v2.53 裡面, 把 X-Originating-IP 寫錯了, 寫成 X-OriginatingIP, 造成自動化程式無法判讀出正確的 IP, 會誤以為信件是由 127.0.0.1 所發出的.
此外, 如果 User 是透過 Proxy Server 再去連 Web Mail 的話, 也要看 Proxy Server 是否願意將 X-Originating-IP 傳遞給 Web Mail 系統? 如果 Proxy Server 傳遞出去的是自己的 IP, 不是真正的用戶 IP, 那也一樣追查不到.
君不見, 很多外面寄進來的垃圾信件, 他的 X-Originating-IP 竟然可以是: 255.255.255.255, 若不透過偽造, 怎麼可能從這個 IP 寄信出來?
Email 的地址資訊是很容易偽造的, 追查源頭本來就不能信任 IP 標頭.
可以試試上面那個網址, 來查察看下面這個表頭, 看能否顯示出用戶端的 IP:
<pre class="c" name="code">Return-Path: <xxx@xxx.com>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on mail.raytracy.com
X-Spam-Level:
X-Spam-Status: No, score=-1.8 required=6.0 tests=ALL_TRUSTED,BAYES_50
autolearn=ham version=3.2.5
X-Original-To: xxx@xxx.com
Delivered-To: xxx@xxx.com
Received: from mail.xxx.com (mail [127.0.0.1])
by mail.xxx.com (Postfix) with ESMTP id 1B5A8A5DB69
for <xxx@xxx.com>; Fri, 25 Feb 2011 20:47:49 +0800 (CST)
From: "xxx" <xxx@xxx.com>
To: xxx@xxx.com
Subject: test
Date: Fri, 25 Feb 2011 20:47:49 +0800
Message-Id: <20110225124737.M72292@xxx.com>
X-Mailer: OpenWebMail 2.53
X-OriginatingIP: 203.77.79.210 (xxx)
MIME-Version: 1.0
Content-Type: text/plain;
charset=big5
Status: R
X-Status: A
如果你自己用眼睛看, 一定找得出 IP, 但是搜尋程式偏偏就找不出來...