Como rastrear e-mails de volta ao endereço IP de origem

A primeira coisa que você faz quando ouve essa notificação por e-mail é verificar o remetente, certo? É a maneira mais rápida de descobrir de quem é o e-mail, bem como o conteúdo provável.

Mas você sabia que cada e-mail vem com muito mais informações do que aparece na maioria dos clientes de e-mail? Há uma série de informações sobre o remetente incluídas no cabeçalho do e-mail – informações que você pode usar para rastrear o e-mail até a origem.

Veja como rastrear esse e-mail de onde veio e por que você pode querer.

Por que rastrear um endereço de e-mail?

Antes de aprender como rastrear um endereço de e-mail, vamos considerar por que você faria isso em primeiro lugar.

Hoje em dia, e-mails maliciosos são muito frequentes. Golpes, spam, malware e e-mails de phishing são comuns na caixa de entrada. Se você rastrear um e-mail até sua origem, terá uma pequena chance de descobrir de quem (ou de onde!) o e-mail veio.

Em outros casos, você pode rastrear a origem de um e-mail para bloquear uma fonte persistente de spam ou conteúdo abusivo, removendo-o permanentemente de sua caixa de entrada; os administradores do servidor rastreiam e-mails pelo mesmo motivo.

(Se você deseja impedir que sua própria identidade de e-mail seja revelada, aprenda a enviar e-mails completamente anônimos.)

Como rastrear um endereço de e-mail

Você pode rastrear um endereço de e-mail até o remetente observando o e-mail completo cabeçalho. O cabeçalho do e-mail contém informações de roteamento e metadados do e-mail – informações que normalmente não são importantes para você. Mas essa informação é vital para rastrear a origem do e-mail.

A maioria dos clientes de e-mail não exibe o cabeçalho de e-mail completo como padrão porque está cheio de dados técnicos e um tanto inútil para um olho destreinado. No entanto, a maioria dos clientes de e-mail oferece uma maneira de verificar o cabeçalho completo do e-mail. Você só precisa saber para onde olhar, bem como o que você está olhando.

• Cabeçalho de e-mail completo do Gmail: abra sua conta do Gmail e, em seguida, abra o e-mail que deseja rastrear. Selecione o menu suspenso no canto superior direito e, em seguida, Mostrar original do menu.
• Cabeçalho de e-mail completo do Outlook: Clique duas vezes no e-mail que deseja rastrear, vá para Arquivo > Propriedades. A informação aparece no cabeçalhos de internet.
• Cabeçalho de e-mail completo do Apple Mail: Abra o e-mail que deseja rastrear e vá para Exibir > Mensagem > Fonte Bruta.

Claro, existem inúmeros clientes de e-mail. Uma rápida pesquisa na Internet revelará como encontrar o cabeçalho de e-mail completo no cliente de sua escolha. Depois de abrir o cabeçalho completo do e-mail, você entenderá o que quero dizer com “cheio de dados técnicos”.

Compreendendo os dados em um cabeçalho de e-mail completo

Parece muita informação. No entanto, considere o seguinte: você lê o cabeçalho do e-mail cronologicamente, de baixo para cima (ou seja, as informações mais antigas na parte inferior) e cada novo servidor pelo qual o e-mail passa adiciona Recebido ao cabeçalho.

Confira este exemplo de cabeçalho de e-mail retirado da minha conta MakeUseOf do Gmail:

Há muita informação. Vamos decompô-lo. Primeiro, entenda o que cada linha significa (lendo de inferior para principal).

• Responder a: O endereço de e-mail para o qual você envia sua resposta.
• A partir de: Exibe o remetente da mensagem; é fácil de forjar.
• Tipo de conteúdo: Diz ao seu navegador ou cliente de e-mail como interpretar o conteúdo do e-mail. Os conjuntos de caracteres mais comuns são UTF-8 (visto no exemplo) e ISO-8859-1.
• Versão MIME: Declara o padrão de formato de e-mail em uso. A versão MIME é normalmente “1.0.”
• Sujeito: O assunto do conteúdo do e-mail.
• Para: Os destinatários pretendidos do e-mail; pode mostrar outros endereços.
• DKIM-Assinatura: Ddomíniokolhos EUidentificado Mail autentica o domínio de onde o e-mail foi enviado e devemos proteger contra falsificação de e-mail e fraude do remetente.
• Recebido: A linha “Recebido” lista cada servidor pelo qual o e-mail passa antes de chegar à sua caixa de entrada. Você lê as linhas “Recebidas” de baixo para cima; a linha inferior é o originador.
• Autenticação-Resultados: Contém um registo das verificações de autenticação efetuadas; pode conter mais de um método de autenticação.
• Recebido-SPF: o Sfim Policia Framework (SPF) faz parte do processo de autenticação de e-mail que impede a falsificação do endereço do remetente.
• Caminho de retorno: O local onde terminam as mensagens não enviadas ou devolvidas.
• ARC-Autenticação-Resultados: o UMAautenticado Rreceber Chain é outro padrão de autenticação; O ARC verifica as identidades dos intermediários e servidores de e-mail que encaminham sua mensagem ao seu destino final.
• Assinatura de Mensagem ARC: A assinatura tira um instantâneo das informações do cabeçalho da mensagem para validação, semelhante ao DKIM.
• Vedação ARC: “Lacra” os resultados da autenticação ARC e a assinatura da mensagem, verificando o seu conteúdo; semelhante ao DKIM.
• X-Recebido: Difere de “Recebido” por ser considerado fora do padrão; ou seja, pode não ser um endereço permanente, como um agente de transferência de e-mail ou servidor SMTP do Gmail. (Veja abaixo.)
• X-Google-Smtp-Source: Mostra a transferência de e-mail usando um servidor SMTP do Gmail.
• Entregue a: O destinatário final do e-mail neste cabeçalho.

Você não precisa entender o que todas essas coisas significam para rastrear um e-mail. Mas se você aprender a examinar o cabeçalho do e-mail, poderá começar a rastrear rapidamente o remetente do e-mail.

Além disso, cada provedor de e-mail tem uma maneira diferente de listar endereços IP. Por exemplo, o Gmail mostra o endereço IP do último servidor de e-mail na linha Recebido (não o endereço IP do remetente), enquanto se você estiver usando o Yahoo Mail, a linha Recebido pode mostrar o endereço IP real do remetente. Infelizmente, isso significa que você terá que brincar com os dados para rastrear quem enviou o e-mail.

Rastreando o remetente original de um e-mail

Para rastrear o endereço IP do remetente do e-mail original, vá para o primeiro Recebido no cabeçalho completo do e-mail. Ao lado da primeira linha Recebido está o endereço IP do servidor que enviou o e-mail. Às vezes, isso aparece como X-IP de Origem ou IP original.

Encontre o endereço IP e vá para o MX Toolbox. Digite o endereço IP na caixa, altere o tipo de pesquisa para pesquisa reversa usando o menu suspenso e pressione Enter. Os resultados da pesquisa exibirão uma variedade de informações relacionadas ao servidor de envio.

A menos que o endereço IP de origem seja um dos milhões de endereços IP privados. Nesse caso, você encontrará a seguinte mensagem:

Os seguintes intervalos de IP são privados:

• 0.0.0-10.255.255.255
• 16.00-172.31.255.255
• 168.0.0-192.168.255.255
• 0.0.0-239.255.255.255

As pesquisas de endereço IP para esses intervalos não retornarão nenhum resultado.

Claro, existem algumas ferramentas úteis que automatizam esse processo para você. É útil aprender sobre cabeçalhos de e-mail completos e seus conteúdos, mas às vezes você precisa de informações rápidas. Além disso, você deseja rastrear e-mails gratuitamente, não desembolsar muito dinheiro.

Confira os seguintes analisadores de cabeçalho:

Os resultados nem sempre correspondem, no entanto. No exemplo abaixo, eu sei que o remetente é nenhum lugar perto a suposta localização, declarada como no meio de um reservatório perto de Wichita.

Nesse sentido, seu sucesso no rastreamento de um e-mail varia de acordo com o provedor de e-mail do remetente. Por exemplo, se você estiver tentando rastrear um e-mail enviado de uma conta do Gmail, descobrirá apenas a localização do último servidor do Google que processou seu e-mail, não o endereço IP do remetente original.

A mídia social é outra opção quando se trata de rastrear o remetente de um e-mail, mas, como os outros métodos, não há garantia de que funcione. O rastreamento de e-mail de mídia social depende do remetente adicionar o mesmo endereço de e-mail à sua conta e deixar essas informações voltadas para o público.

Por exemplo, você pode usar a ferramenta de pesquisa do Facebook para vasculhar o site em busca de um endereço de e-mail, mas se a pessoa que você está procurando não tiver adicionado esse endereço de e-mail específico a uma conta, não funcionará. O rastreamento de um e-mail através da mídia social pode funcionar com um serviço mais específico, como o LinkedIn, onde os usuários têm maior probabilidade de deixar endereços de e-mail voltados para o encaminhamento.

Novamente, depende de por que você está rastreando um endereço de e-mail para começar. É extremamente improvável que você esteja rastreando uma conta de golpista por meio de uma conta do LinkedIn, mas aprender OSINT para sites de mídia social geralmente é útil.

Você pode realmente rastrear um endereço IP de um e-mail?

Há casos em que é útil rastrear um endereço IP por meio do cabeçalho do e-mail. Um spammer particularmente irritante, talvez, ou a fonte de e-mails regulares de phishing.

Certos e-mails virão apenas de determinados locais; seus e-mails do PayPal não serão originários da China, por exemplo. Nisso, rastrear a origem de um e-mail não é uma ciência precisa, pelo menos não com ferramentas facilmente acessíveis. Como um grande número de pessoas usa serviços de e-mail gratuitos como Gmail, Outlook e Yahoo, rastrear um e-mail enviado desses serviços ou um endereço IP relacionado ao remetente permanecerá extremamente difícil, se não impossível, para usuários regulares da Internet.

Além disso, se o remetente estiver usando uma VPN ou outro serviço de anonimato (talvez um servidor proxy ou enviado de uma conta de e-mail na Rede Tor), você nunca rastreará o remetente do e-mail.