有人从我的 Gmail 帐户发送了一封敏感电子邮件。我想通过检查Received: by X已发送消息标头中的字段来跟踪 IP 地址。
但是,从 Gmail 发送的每封邮件以及我从中检查标头的邮件都在该Received: by X部分中具有(相同的)私有 IP 地址。该字段始终如下所示:
Received: by 10.42.43.138 with HTTP; {Date}
这个IP是哪里来的?为什么这是所有已发送消息中的“接收者”IP 地址?通过电子邮件客户端(如 Apple Mail)发送的消息会显示正确的“接收方”IP 地址。这是 Gmail 所做的某种隐私保护措施吗?
阅读包含所有标题的原始电子邮件时,Received:最好从下到上阅读标题。在这里,我将展示我在 GMail 帐户中收到的一封电子邮件的示例
Delivered-To: MYEMAIL@gmail.com
Received: by x.x.x.x with SMTP id xxxxxxxx;
Tue, 3 Sep 2013 xx:xx:xx -0700 (PDT)
Received: from a.b.c.com (a.b.c.com. [x.x.x.x])
by mx.google.com with ESMTP id xxx;
Tue, 03 Sep 2013 xx:xx:xx-0700 (PDT)
Received: from localhost (127.0.0.1) by a.b.c.com id xxx for MYEMAIL@gmail.com>; Tue, 3 Sep 2013 xx:xx:xx +0000 (envelope-from <bounce-xxxxxxxx@c.com>)
From: xxxx<xxxxx@xxxxx.com>
Sender: xxxx <xxxx@a.b.c.com>
Subject: xxxxxxxx
当你想发送一封电子邮件时,你把它交给你的服务提供商,他们将附上第一个Received:标题,当邮件通过不同的中继和邮件服务器时,每个人都会附上自己的地址,直到邮件到达最终目的地 -收件人的服务提供商。
因此,您在第一个Received:标头中看到的实际上是 GMail 的服务器。这就是为什么您在所有邮件中都有它的原因,因为这就是所有邮件在您的案例中的最终位置,在您的 GMail 服务器上的帐户中。
请注意,实际上没有办法可靠地识别电子邮件发件人的 IP 地址。但是,Received:标题链可以给您一些想法。
每个电子邮件服务器(使用SMTP协议)添加一个Received:标头,指定服务器是谁、从哪里获得电子邮件以及何时收到。在您的情况下,Gmail 架构内部的一台服务器显然是通过一些 HTTP 接口收到了电子邮件,并且该机器声称具有指定的 IP 地址。
让我们看一个例子。“Alice Example”(Gmail 用户,地址example@gmail.com)向此处的兄弟“Bob Example”发送电子邮件,该兄弟是example.com域和example@example.com电子邮件地址的所有者。Bob 在他的邮箱中发现以下标题:
Return-Path: <example@gmail.com>
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on smtp.example.com
X-Spam-Level:
X-Spam-Status: No, score=-0.7 required=5.0 tests=FREEMAIL_FROM,HTML_MESSAGE,
RCVD_IN_DNSWL_LOW,SPF_PASS,T_DKIM_INVALID autolearn=disabled
version=3.3.2
X-Original-To: example@example.com
Delivered-To: example@example.com
Received: from mail-ee0-f54.google.com (mail-ee0-f54.google.com [74.125.83.54])
by smtp.example.com (Postfix) with ESMTP id 56C8520390
for <example@example.com>; Thu, 5 Sep 2013 14:21:21 +0200 (CEST)
Received: by mail-ee0-f54.google.com with SMTP id e53so864366eek.13
for <example@example.com>; Thu, 05 Sep 2013 05:21:20 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=gmail.com; s=20120113;
h=mime-version:date:message-id:subject:from:to:content-type;
bh=0zesmB8vj1jNhyDLWCXsRKUD13aND4CAAU820514d0w=;
b=N23J2OcAYXeyQct0JWqbGk68bACsXlk47ETNGj+YlOua8iQk6t+EtyW1SoaryS5c1B
FlWybsPDbJpb3zkuJNvq6o6o1JD2qandN9GKERAyT1CS+bjjO/WyDHOtSDFQjoWNyTcr
lY3cXxcaUdjsylpdHADmt7mbS7hYWlLwc6e0fvi9MY370xZ6gRrsRGt9yPX3KQTT2nOI
oEB6ei3o5uSKDhHHftlz0MIrAoo1ZMfHiavmFkmHX+AnADabqu8kddhA3vWBeYOAo366
ny3VMtO4AzrUoN9sfrlCbGauQ43+a8B+5CxcsRkVs395WtLojNIhDhlmiSJz+exNjqla
hlzA==
MIME-Version: 1.0
X-Received: by 10.14.107.68 with SMTP id n44mr13246148eeg.26.1378383680460;
Thu, 05 Sep 2013 05:21:20 -0700 (PDT)
Received: by 10.15.90.131 with HTTP; Thu, 5 Sep 2013 05:21:20 -0700 (PDT)
Date: Thu, 5 Sep 2013 08:21:20 -0400
Message-ID: <CADXjcB87cEC=YF-_GSgYojmVdxGWF5QPE_=T3pPT9T6i8-BcjA@mail.gmail.com>
Subject: essai
From: Alice Example <example@gmail.com>
To: Bob Example <example@example.com>
Content-Type: multipart/alternative; boundary=001a11c29ad2a386e504e5a1f573
标头由每个连续的服务器添加在顶部,因此第一个Received:(以及之前的标头)是由最后一个 SMTP 服务器添加的,即smtp.example.com. 该标头的内容意味着该服务器收到来自另一台声称名为的服务器的电子邮件,其mail-ee0-f54.google.comIP 地址为 74.125.83.54,并且该 IP 地址解析(通过反向 DNS)为mail-ee0.f54.google.com(与声称的名称相同的名称,即很好)。
最后一个Received:标题是第一个添加的;它告诉我们(显然)第一个接收电子邮件的具有 SMTP 意识的服务器通过 HTTP(即使用 HTTP 作为传输的自定义协议)得到它,并且该服务器的名称为“10.15.90.131”,这是一个 IP地址。因此,我们可以推测 Alice 的浏览器所连接的 Web 服务器在 Gmail 的网络中具有一个私有 IP 地址(10.15.90.131)。这并没有告诉我们太多,因为它是私有 IPv4 地址,因此在 Gmail 网络之外没有任何意义。
无论如何,该 IP 地址并不能说明 Alice 的机器(她运行浏览器的地方)的 IP 地址。可能,Gmail 的系统遍布全球,Alice 的连接被路由到“同一区域”的 Web 服务器(以提高性能)。通过分析来自许多电子邮件的许多标头,我们可能会重建一种从地理区域到内部 IP 地址的映射,从而提供有关当前 Alice 行踪的线索。但是,这将依赖于有关 Gmail 网络的无证假设,并且会很粗糙。请注意,第一个内部 SMTP 服务器使用PDT 时区,对应于北美的西海岸,而(在这种情况下)Alice 的机器在北美的东部成本,
摘要:您看到的 IP 地址与 Gmail 系统中的服务器有关,与客户端地址无关。它是最先收到电子邮件的服务器的内部地址。与隐私相关的是同一服务器没有指定客户端的 IP 地址;您看到的地址不是“乱码”客户端的 IP 地址;这是另一个不相关的地址。
一封电子邮件中通常有多个Received:标题,它们的列出顺序很重要。通常,如果Received:不查看所有接收到的标头以确定哪些标头可以信任,则无法确定标头的含义。
这个有点特别。with HTTP表示此人正在使用 Gmail 的 Web 界面,并且该 IP 地址是处理其请求的 Web 服务器的内部 IP 地址。
在 Gmail 中,您可以通过 Web 界面、桌面或移动客户端查看正在使用您帐户的 IP 地址。
滚动到底部。看右边写着:
上次帐户活动:7 分钟前
在其他 1 个位置打开 详细信息
然后点击“详细信息”。
在该弹出窗口中,您将看到所有最近的活动、IP 地址和国家以及允许您退出所有其他客户端的按钮。
如果这是您的想法,您看到的标头中的 IP 地址与发送它们的客户端无关。分析标头时出现的 IP 地址是发送者和接收者之间涉及的邮件网关/服务器的 IP 地址。重复 IP 将是您的电子邮件路径中的通用邮件网关。