E-MAILS ESTRANHOS Estas dicas são para aqueles que estão recebendo e-mails estranhos, pessoas que sentem que seu computador pode estar invadido, etc... Número IP é uma identificação única para cada computador conectado na internet. Mesmo quando se utiliza sistemas de mascaramento, sites de anonimato, e outros 'truques', o número de IP verdadeiro permanece registrado em vários servidores da rede, como se fossem as suas pegadas na areia. Não se iluda. Não existe anonimato na Internet. Identifique a origem do e-mail Como se faz? No Hotmail, entre com a sua senha normalmente, vá em Opções, Correio, Configurações de Exibição de Mensagens, Cabeçalhos de Mensagens, Avançada. No Yahoo, vá em Opções, E-mail, Preferências Gerais, Exibir cabeçalho completo nas mensagens recebidas. No GMail, abra a mensagem normalmente, escolhar para exibir 'Mais opções', e a seguir 'Mostrar original'. Nos outros serviços de webmail as opções são semelhantes. Eu sempre deixo assim, para exibir todo o cabeçalho da mensagem. Não se assuste, com o tempo você se acostuma com o novo 'visual' dos e-mails. Aprenda a ler o cabeçalho Sempre que aparecer quatro octetos, este é um número de IP. Exemplos: 66.163.178.125, 201.34.204.193, 209.73.178.87. Ou seja, quatro números entre 0 e 255 separados por pontos, no meio do cabeçalho da mensagem, indicam o número de IP de um computador que 'encaminhou', 'recebeu' ou 'enviou' a mensagem. Calma, ainda não é isto que nos interessa. Como saber quem é quem na internet??? Acesse o site http://lacnic.net/cgi-bin/lacnic/whois?l... e informe o número de IP. O que nos importa são as informações NetName e NetRange. Por exemplo, o primeiro IP citado anteriormente é do computador A-YAHOO-US2, que pertence a faixa 66.163.160.0 - 66.163.191.255. O segundo computador, o 201.34.204.193 é da Brasil Telecom Distrito Federal (nossa, a mensagem passou por Brasília!!!). O terceiro é do micro INTERNET-BLK-1-AV pertencente a faixa 209.73.160.0 - 209.73.191.255, empresa Altavista, do grupo Yahoo. Já deu para perceber que estou monitorando uma mensagem do Yahoo. Conhecendo o NetName, é um dos passos para chegar até a origem da mensagem (ou do post no Orkut). Conhecendo o NetRange facilita o trabalho, porque qualquer outro número naquele intervalo, vai ser da mesma empresa (o que poderíamos descartar, agilizando o nosso serviço). Mas quem sou eu na internet? Para não correr o risco de 'ficar correndo atrás do próprio rabo', quem sou eu na Internet? Ao acessar o site http://www.whatismyip.com/ será mostrado o seu número de IP. Ou então o www.meuip.com.br O site http://www.abusar.org/ informa no canto superior direito da tela o seu número atual. Como assim 'atual'??? É que a cada 7 dias a numeração dinâmica muda, e nesta 'janela de tempo' é que devemos correr atrás do autor da mensagem. Senão poderemos encontrar uma pessoa que não tem nenhuma relação com o ocorrido, que simplesmente está usando o IP dinâmico atribuído pelo servidor de internet. Está sem acesso a Internet? Tudo bem. O número de IP permanece em sua placa de rede. Entre no prompt de comandos (Iniciar, Programas, Acessórios, Prompt de Comandos) e execute o comando IPCONFIG.
Portanto, isole este número. Este número é você mesmo. A menos que alguém que usou este computador (no caso de lan-house) tenha enviado a mensagem para você, este número deve ser inicialmente ignorado quando aparecer nos relatórios. Quais são as possíveis origens de um e-mail? A mensagem pode ter sido enviada: leitor de mensagens (Outlook, Thunderbird, Eudora, etc) local e o IP informado é da pessoa; leitor de mensagens via web (Hotmail, Yahoo, BOL, GMail, etc) e o IP informado é do servidor de e-mails que a pessoa se conectou naquela data e hora para enviar a mensagem; sistemas automáticos de envio (BOTs), como servidores de grupo, o Orkut, Fotopages, etc, então o IP informado é do servidor que executou o aplicativo de envio. O IP interno de uma rede (padrão 192.xxx.xxx.xxx) mascarado por um roteador, pode ser descoberto? Sim. Apesar de dar mais trabalho é possível. Um computador na rede interna de uma empresa (ou numa lan-house) possui o endereço interno 192.xxx.xxx.xxx e o servidor que compartilha a Internet cria uma máscara, mudando o valor (supondo que seja o servidor 200.200.220.1) para 200.200.220.xxx por exemplo. Por este motivo é importante conhecer a NetRange informada na parte 1. Se você ainda não começou a anotar em um pedaço de papel todos os IPs que encontrou, comece agora. Além do mascaramento padrão, existem programas de camuflagem de IP? Existem, como o NO-IP www.no-ip.com que cria uma identidade falsa. Mas se pesquisarmos esta identidade falsa, chegaremos ao computador que está com o programa instalado, portanto, é um engodo temporário e não muito eficaz. Como saber onde estão registradas as pegadas da pessoa? Basicamente todo servidor que teve contato com a mensagem, por padrão do protocolo TCP/IP, o cabeçalho com remetente e destinatário ficará registrado. Usando no Prompt de Comandos o comando TRACERT serão exibidos os computadores (até 30) que registraram a passagem da mensagem. Esta informação não pode ser considerada 100% confiável, porque se um destes estiver desligado, automaticamente é criada uma rota diferente. Dá para confiar no primeiro (que é você) e no último (que é o destino). Existem programas de Trace Router, mas não recomendo nenhum em específico. Existem números de IP que sempre se repetem nas mensagens. Porque? São os chamados endereços reservados (ou especiais), que só podem ser usados em uma estrutura interna, como os iniciados por 10. As faixas 10.0.0.010.255.255.255, 172.16.0.0-172.16.255.255 e 192.168.0.0-192.168.255.255 quando aparecerem podem ser desconsiderados. E o endereço 127.0.0.1? Este endereço, também conhecido como localhost, é um sinal de que a mensagem foi enviada a partir de um servidor webmail, onde o sistema recebeu a mensagem do usuário e entregou a um servidor de email para ser encaminhada. Mas e se a pessoa criar um mini-servidor SMTP em casa? Depois da disseminação da internet de banda larga, esta possibilidade se tornou real. Neste caso, um único header Received é encontrado na mensagem, algo como
999.999.999.999-dsl.telesp.net.br (200.145.214.1). Não se precipite, porque esta conexão pode ser uma conexão a cabo compartilhada por um condomínio, e você estaria suspeitando de um prédio inteiro. Calma. Como saberei que ela tem um mini-servidor em casa ou não? Para isto existe o TRACERT. O comando permite traçar uma rota a partir do seu computador até o IP informado. Mas esta rota não lhe interessa? Verifique outras: http://tools.telpin.com.ar/cgi-bin/trace... (partindo de um servidor na Argentina), http://www.tracert.com/cgi-bin/trace.pl informando a partir de onde você quer que o pacote seja enviado. Quando todas as informações (dos 3 comandos TRACERT) apontam para um IP reverso, pode ser que seja um mini servidor SMTP criado e excluído só para aquele fim, enviar uma mensagem anônima para você. O que é um IP reverso? Alguns provedores exigem a configuração do DNS reverso para resolução de nomes. Assim, o endereço IP 192.164.125.1 tem como reverso 1.125.164.192.xxxxxx Se os comandos TRACERT estão atingindo um IP reverso em todos os casos, indica que o servidor SMTP pode não existir mais, o que indica que o usuário criou o mini servidor SMTP, enviou a mensagem para você e sumiu do mapa... Além destas configurações o que mais eu posso procurar? O site http://www.dnsstuff.com/ tem dezenas de opções para procurar dados relacionados a computadores e conexões. Nas próximas partes, usarei algumas de suas funções. Quais mensagens que não adianta procurar a cidade de origem? Mensagens com estas linhas de cabeçalho indicam que foram enviadas por um servidor de webmail. MIME-Version: 1.0 Received: from wproxy.gmail.com ([64.233.184.194]) by bay0-mc7-f3.bay0.hotmail.com MIME-Version: 1.0 Received: from web30102.mail.mud.yahoo.com ([68.142.200.75]) by MC8-F2.hotmail.com MIME-Version: 1.0 Received: from web32714.mail.mud.yahoo.com ([68.142.206.27]) by mc4f35.hotmail.com E quando não são mensagens enviadas por um webmail, e aparece o IP da pessoa, tem como saber de que cidade ela é? Na maioria das vezes sim. Se o cabeçalho conter as linhas: MIME-Version: 1.0 X-Originating-IP: [200.165.171.164] MIME-Version: 1.0 X-Originating-IP: [200.226.130.128] Este poderá ser localizado. Entre em http://www.dnsstuff.com/tools/city.ch?ip... e informe o número de IP. O primeiro IP endereço exemplo, é do Rio de Janeiro. O segundo é São Paulo. Outra opção é o site http://www.ripe.net/fcgi-
bin/whois?form_... onde você informa o IP e lhe retorna o Whois do site. Para saber se o computador e o e-mail é válido neste instante, tem como? Sim, também é possível. Em http://www.dnsstuff.com/pages/spf.htm você informa o endereço de e-mail e o IP que aparece no cabeçalho da mensagem. Aguarde alguns instantes e terá um resultado. Pass indica que está ligado e pode enviar e-mail neste momento. PermError indica que o endereço não existe mais no servidor, e assim por diante. Com base no e-mail podemos descobrir algo mais sobre o remetente? Sim, podemos. Apesar de que na maioria dos casos as informações que obtivermos poderá ser falsa. Por exemplo, se recebeu uma mensagem de algum endereço Hotmail, veja o spaces da pessoa (login exemplo_1 = endereço http://spaces.msn.com/members/exemplo_1)... Se foi do Yahoo, tente ver o perfil dela (login exemplo_2 = endereço http://br.profiles.yahoo.com/exemplo_2) ou a página (login exemplo_3 = endereço http://geocities.yahoo.com.br/exemplo_3)... Se foi do GMail, crie uma conta para você, acesse o GMail e depois mude o endereço na barra de links para o login da mensagem que deseja saber de quem é. O GMail, por ser um serviço mais novo, tem poucas falhas conhecidas.