[GTER] Como rastrear e-mail

rribeiro at unlimited.com.br rribeiro at unlimited.com.br
Mon Nov 15 23:45:27 -02 2004


Olá Cássio,

Além da análise do header citada pelo Weber, algum rastreamento pode ser feito 
através do envio de mensagens para o origem. Nessas mensagens, enviadas em 
html, seria incluído link para uma imagem externa que não é mostrada, 
basicamente forçando o acesso http a um servidor externo.

Essa "técnica" não é novidade. Diversos serviços são oferecidos 
para "rastreamento" de e-mails como o do readnotify.com. 

Particularmente adotei um esquema com nc (netcat) + p0f (ferramenta de "passive 
OS detection), conseguindo informações interessantes. O nc, escutando a 443 TCP 
por exemplo, é configurado para funcionar como um "web server" simples. O p0f, 
escuta a porta 443 e gera logs das conexões realizadas.

Basicamente vc envia uma mensagem para o cidadão com o source html contendo o 
link para seu "web server netcatiano". Baseado no GET realizado, um e-mail é 
enviado para você contendo: sistema operacional utilizado, distância aproximada 
em hops, IP utilizado, provável tipo de conexão, hora da leitura, etc. 

Premissas: 1) o cliente de e-mail acessará por http seu servidor (a maioria), 
2) Imagens externas não serão barradas (atualmente gmail, hotmail, etc 
bloqueiam imagens externas e possuem um "display external images" opcional. 3)A 
conta utilizada no envio é válida e será utilizada no futuro, lendo a msg 
enviada e 4) a porta utilizada para conexão será permitida em firewalls alheios 
(é prudente adotar 80 ou 443).

Note que diferente da análise do header, que informa o endereço IP utilizado no 
envio, esse "esquema" forneceria informações, incluindo end IP, no momento da 
leitura. Com o envio de mensagens sucessivas, um perfil interessante pode ser 
traçado.

Em um teste que realizei com dez profissonais de TI e/ou segurança, apenas 1 
bloqueou o acesso, impedindo o rastreamento. Em mais de um caso, conexões foram 
feitas por proxy e informaram endereços IP internos. Venho utilizando o mesmo 
modelo em "penetration tests" com sucesso.

Me perdoem pela msg grande mas foi um longo período acompanhando passivamente 
as contribuições da lista. Caso desejem maiores informaçoes, sintam-se livres 
para msgs em pvt.

Abraços,

Rinaldo Ribeiro

> Olá Cássio,
> 
> De posse do header da mensagem vc pode obter o IP de origem. A partir daí, 
> com um mandando judicial, vc pode contatar o ISP de origem da mensagem para 
> iniciar as medidas cabíveis.
> 
> []'s
> 
> Weber Ress
> 
> —————————————————————
> Weber Ress
> e-mail & MSN: weber_ress at hotmail.com
> 
> http://www.WeberRess.com
> 
> Phone: +55(11)8158-0100
> Voice Mail & Fax: 1-952-241-7997
> —————————————————————
> 
> 
> 
> 
> >From: cassio.noronha at zipmail.com.br
> >Reply-To: Grupo de Trabalho de Engenharia e Operacao de Redes 
> ><gter at eng.registro.br>
> >To: gter at eng.registro.br
> >Subject: [GTER] Como rastrear e-mail
> >Date: Thu, 11 Nov 2004 13:40:50 -0200
> >
> >Srs,
> >   é a segunda vez que posto nesse forum, por sinal muito bom,parabens a
> >todos.
> >  É o seguinte, ultimamente venho recebendo alguns e-mail indesejaveis, 
> >gostaria
> >muito de saber a origem desses e-mail, chegando até o responsavel desses
> >e-mail, não chega a ser spam.
> >   seria mais um processo de investigação sobre esses e-mail.
> >
> >Desde de já agradeço.
> >
> >Cássio Noronha
> >"O difícil e aprender a ler, o resto está escrito".
> >
> >
> >------------------------------------------
> >Use o melhor sistema de busca da Internet
> >Radar UOL - http://www.radaruol.com.br
> >
> >
> >
> >--
> >GTER list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list