Gli indirizzi IP in un'intestazione email includono informazioni dal dispositivo da cui viene inviata la posta o dal server di posta?
Di solito, ogni macchina su cui la posta transita:
Received: che indica da dove sembra arrivare l'email; Received: . Ecco un esempio in uno degli oltre 100 spam che ricevo quotidianamente:
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from davisandsons.net (213-238-65-230.adsl.inetia.pl [213.238.65.230])
by arges.bolet.org (Postfix) with ESMTP id 7951068C0D4
for <[email protected]>; Fri, 7 Oct 2011 21:49:22 +0200 (CEST)
Received: from apache by davisandsons.net with local (Exim 4.67)
(envelope-from <[email protected]>)
id XD1AV6-73T5L6-H9
for <[email protected]>; Fri, 7 Oct 2011 20:46:35 +0100
To: <[email protected]>;
Subject: Re:web site
(...)
Le righe di intestazione sono aggiunte in "ordine inverso": ogni server di posta aggiunge la sua riga all'inizio dell'intestazione. Quindi qui il mio server di posta (arges.bolet.org) ha ricevuto una connessione per una mail che, a livello SMTP, era destinata a me (tramite la connessione, l'altra macchina inviata: RCPT TO: [email protected] ). Come parte del protocollo SMTP, quella macchina prima ha inviato un comando HELO in cui ha affermato di essere "davisandsons.net"; il mio server di posta elettronica ha esaminato l'indirizzo IP di origine (213.238.65.230) e ha eseguito una risoluzione DNS inversa su di esso, restituendo "213-238-65-230.adsl.inetia.pl" (da un ISP in Polonia). Si scopre che "davisandsons.net" può essere risolto con un indirizzo IP abbastanza diverso, nominalmente dall'Inghilterra.
Questa prima intestazione Received: è stata aggiunta dal mio server di posta, quindi è affidabile. La riga successiva e tutte le righe successive, tuttavia, furono inviate così come da quella macchina polacca che iniziò la conversazione sostenendo che era in Inghilterra, una menzogna sfacciata, quindi non il modo migliore per costruire la fiducia reciproca. Quell'intestazione potrebbe essere completamente fasulla. Supponendo che sia non fasullo, indicherebbe che la posta proviene dalla macchina locale, da un utente chiamato "apache". Lo scenario probabile è quindi: il PC di casa di un povero ragazzo in Polonia è uno zombi infetto, che trasmette spam. L'infezione potrebbe essere iniziata attraverso un server Web Apache configurato male su quella macchina.
(Spamassassin ha valutato lo spam specifico con un punteggio di 20.5 e ho automaticamente zappato le email in entrata con un punteggio di 5.0 o superiore.)
È normale che ogni server di posta nella catena di consegna aggiunga una riga simile a
Received: from [sender-name] ([sender-ip])
by [server-name] ([server-ip]);
with SMPT; Fri, 7 Oct 2011 03:15:30 +0200
Il formato non è specificato e varia.
L'esposizione del server di posta precedente durante il transito è comune perché aiuta molto a combattere lo spam.
Ma esporre il primo mittente è spesso indesiderabile per motivi di privacy e sicurezza. Alcuni provider di posta elettronica quindi lo omettono dall'intestazione e altri provider di posta trattano il mittente originale come qualsiasi altra fonte.
Come nota a margine: le intestazioni "Received" possono essere contraffatte, quindi devi sempre iniziare a leggerle dall'alto e convalidarle attentamente.
Questa scelta dipende completamente dal server al quale parla il dispositivo. Potrebbe includere un'intestazione Received che contiene informazioni per identificare il dispositivo come il suo indirizzo IP. Ma può anche non includere alcun header di questo tipo. È completamente un'opzione di implementazione.
A livello logico, dipende dal fatto che consideri il dispositivo o il server l'origine della email. Ad esempio, i servizi basati sul Web come GMail considerano generalmente che il server abbia originato l'e-mail, quindi non sono incluse informazioni per identificare il dispositivo. I servizi di posta elettronica più tradizionali accessibili da IMAP e POP spesso considerano il dispositivo finale l'origine della posta elettronica.
Comprenderà l'indirizzo IP del dispositivo (in particolare, l'indirizzo del router che inoltra i pacchetti dalla stazione di lavoro) e tutti i server di posta attraverso i quali viene inoltrato.