[FUGSPBR] [OFF-TOPIC] Cabeçalho de E-mail / Descobrir remetente !

Ricardo Campos Passanezi riccp em ige.unicamp.br
Qui Out 28 09:40:53 BRT 2004 

On Thu, Oct 28, 2004 at 09:04:54AM -0300, Jean Duarte wrote:
> Prezados,
> 
> Estou com um problema muito grave em minha empresa que recebeu
> uma mensagem caluniosa onde os destinatarios foram clientes e concorrentes
> da mesma.
> 
> O e-mail parece ter vindo do Hot Mail, mas o Hot Mail da ao entender
> que foi um e-mai falso, ou seja, alguem modificou o campo from:
> 
> Mas como eu faço pra descobrir de qual servidor SMTP realmente veio
> e de qual IP.

Olhando nos logs e nos cabeçalhos do email.

Nos logs você vê qual máquina conectou no seu servidor e nos header você
vê o caminho (mas este pode estar forjado), por isso os logs são mais
confiáveis.

Pra facilitar um pouco, tem um comando (mailroute.pl -
http://www.wizzu.com/mutt/) que mostra os headers de uma forma mais
legível. Exemplo: (cortei um pouco da saída para não ficar muito grande)

# cat [sua mensagem] | mailroute.pl
Thu 28 Oct 2004
09:04:54 +00:00:00 from casa (unknown [200.215.116.227]) 
                   by smtp.melim.com.br (Postfix) 
                   with ESMTP 
                   id 8D85DFD58 
                   for <fugspbr em fugspbr.org>
09:05:12 +00:00:18 from smtp.melim.com.br (unknown [200.180.44.25]) 
                   by spoon.dreamhost.com (Postfix) 
                   with ESMTP 
                   id 47EA513D8CF 
                   for <fugspbr em fugspbr.org>
         +00:00:18 from spoon.dreamhost.com (spoon.dreamhost.com [66.33.219.19]) 
                   by che.dreamhost.com (Postfix) 
                   with ESMTP 
                   id C9AAA985B0 
                   for <fugspbr em lists.fugspbr.org>
                   Delivered-To: fugspbr-fugspbr.org em che.dreamhost.com
09:28:28 +00:23:34 from che.dreamhost.com (localhost [127.0.0.1]) 
                   by che.dreamhost.com (Postfix) 
                   with ESMTP 
                   id 5ED51985CA
09:28:35 +00:23:41 from che.dreamhost.com (che.dreamhost.com [66.33.216.23]) 
                   by frida.dreamhost.com (Postfix) 
                   with ESMTP 
                   id 195CD16D22E
         +00:23:41 from frida.dreamhost.com (frida.dreamhost.com [66.33.206.23]) 
                   by saturno.ige.unicamp.br (Postfix) 
                   with ESMTP 
                   id C1946A915 
                   for <riccp em ige.unicamp.br>
...


-- 
Ricardo Campos Passanezi -  Administrador de Rede
Chave PGP e GPG Pública em: http://www.ige.unicamp.br/~riccp
Instituto de Geociências -  http://www.ige.unicamp.br - UNICAMP
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd