web-dev-qa-db-ja.com

電子メールメッセージを送信しているOriginのコンピューターに通知する方法

私はセキュリティの専門家ではありません。
この質問をここに投稿するのか、「エクスプロイト」で投稿するのかわかりませんでした。
投稿する前に回答を検索しました...

特定のコンピューターから電子メールが送信されているかどうかを確認する方法を誰かに教えてもらえますか?

状況はこれです。私の友人がいたずらまたは「偽の」電子メールメッセージを受け取っています。彼はそれがいたずらとして彼の生徒の一人によって送られていると信じています。彼は両親から正当なメールを受け取ります。しかし、彼は子供が母親のメールアカウントを使用していると考えています。

このパンクな子供は、母親のメールアカウントを使用してメールを作成したようです。また、彼は "myzamana.com"という名前のデート(またはポルノサイト?)にサインアップし、母親の名前に署名したので、私の友人はそのWebサイトから勧誘メールを受け取っています。

DHCPルーターは、ルーター構成で設定されたIPアドレス割り当てを一定期間保持することを知っています。通常、家庭では接続するデバイスが多すぎず、ルーターは各接続デバイスのIPアドレス割り当てを保持できます。しかし、電子メールアドレスを送信する発信元デバイスを決定するには、最初にデバイスのアドレス割り当てを知っている必要があります。正しい?

私の友人への最初の答えは、上記の理由の一部もあって、電子メールメッセージのヘッダーを見ただけでは、実際に使用されたコンピューター(たとえば、子供が自分のコンピューターを使用したが、母親のアカウントを使用してログインした)を特定することはできないということです。添付の電子メールヘッダーから収集できるのは、いくつかの10.x.x.x IPアドレスがあることですが、これらは単なるプライベートLAN IPアドレスです。

友達から転送されたメールヘッダーをいくつか囲んでいます(下記)。プライバシーを考慮して、正当なメールアドレスを編集しました。誰かが私を啓発することはできますか?それが、関連する適切なテクノロジーについて読むことができるいくつかの教育リンクを私に示すことを意味する場合でも。

どうもありがとう、

"punk kid name"
Delivered-To: [email protected]
Received: by 10.58.24.131 with SMTP id u3csp144140vef;
        Fri, 30 May 2014 17:40:50 -0700 (PDT)
X-Received: by 10.42.244.201 with SMTP id lr9mr19465050icb.2.1401496850161;
        Fri, 30 May 2014 17:40:50 -0700 (PDT)
Return-Path: <[email protected]>
Received: from nm49.bullet.mail.ne1.yahoo.com (nm49.bullet.mail.ne1.yahoo.com. [98.138.120.56])
        by mx.google.com with ESMTPS id d9si11587227icm.107.2014.05.30.17.40.49
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Fri, 30 May 2014 17:4punk kid name0:50 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 98.138.120.56 as permitted sender) client-ip=98.138.120.56;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 98.138.120.56 as permitted sender) [email protected];
       dkim=pass [email protected];
       dmarc=pass (p=REJECT dis=NONE) header.from=yahoo.com
Received: from [127.0.0.1] by nm49.bullet.mail.ne1.yahoo.com with NNFMP; 31 May 2014 00:40:49 -0000
Received: from [98.138.100.111] by nm49.bullet.mail.ne1.yahoo.com with NNFMP; 31 May 2014 00:37:49 -0000
Received: from [66.196.81.173] by tm100.bullet.mail.ne1.yahoo.com with NNFMP; 31 May 2014 00:37:46 -0000
Received: from [98.139.212.244] by tm19.bullet.mail.bf1.yahoo.com with NNFMP; 31 May 2014 00:37:46 -0000
Received: from [127.0.0.1] by omp1053.mail.bf1.yahoo.com with NNFMP; 31 May 2014 00:37:46 -0000
X-Yahoo-Newman-Property: ymail-4
X-Yahoo-Newman-Id: [email protected]
Received: (qmail 94636 invoked by uid 60001); 31 May 2014 00:37:46 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1401496666; bh=ZQq8j8cv0S/vLsuV2Vmu786k69/gyMEKBYaXT4My+6I=; h=Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type; b=oU1u4UVl7cNrpXN9BdprnCIBkVmUnBeh7y3rC+YQMjvXoOc265CsjYfkzwpWv40CSnACtefYnJAE621Y63zS9aLJATta2d5VoiSiJN4TV1Z88cnIDLGBunEpxq9YjtUhbLWkqEtK4yoPbwiQ2lnbBEpgHxhMKVadD3i4NtW4Skw=
X-YMail-OSG: Tv93FNQVM1nHpslRrq38uX54Qs1mrXND6AGkLivh4iV67LF
 lCGJX5KJXeoCJom2DvBuq80yRsnpHgFDFvRWGKiOQ8AgdnS7dB38VIFB0Glh
 DC5Tsgn52YN4WelLywOQRkPRTKxrTIGotKWe8OAcWpcjMrELuo87QlgUEuWq
 vxTRdiRIFGpWspv7pinbxDDrAMLLDKzY4rdHs6qQGMm7w.sQNit7WZaDkoKu
 Ab5KJpg.gctZAcgpTiijQdNQY35v5H8YDQoKxpqpDdorOXbQrRIJrLBzZ6Yw
 MCQMqFWnMydophCUClmzCjxuoClI5sdQie5c3aBQ8C92KjhraX4MdWYoO__u
 co.BT4Nl9sM7bbm47S9CcOSIeMUdQhSufdZUBV2ac.ItfI516XK.R7iMrr8r
 0L5XWGIjoLQWt1muuxXg_DqR7wSXJtqOKzJh7USPWNwAG13fUrSihEmUuSAz
 iJOPoFPCk7b8q3QShmHXPvTbxtj5kHwIv4UPXSMyVv0qTVwGIzSj9zdKLFcu
 4QMaqe0WlyJOi8Ac-
Received: from [209.79.72.16] by web162306.mail.bf1.yahoo.com via HTTP; Fri, 30 May 2014 17:37:45 PDT
X-Rocket-MIMEInfo: 002.001,SGVsbG8gT1ZIUyB0ZW5uaXMgY29hY2guIE15IG5hbWUgaXMgUm9nZXIgV2lsc29uIGFuZCBJIGFtIGN1cnJlbnRseSBhbiA4dGggZ3JhZGVyIGF0dGVuZGluZyBNYXJpbmUgVmlldyBNaWRkbGUgU2Nob29sIGFuZCBhbSBpbnRlcmVzdGVkIGluIGNvbWluZyBvdXQgYW5kIHBsYXlpbmcgZm9yIE9WIG5leHQgeWVhci4gSSBoYXZlIGFwcHJveGltYXRlbHkgNyB5ZWFycyBvZiBleHBlcmllbmNlIGFuZCBoYXZlIHBhcnRpY2lwYXRlZCBpbiBzZXZlcmFsIGxvY2FsIHRvdXJuYW1lbnRzLiBJIGFtIGF3YXJlIHRoYXQBMAEBAQE-
X-Mailer: YahooMailWebService/0.8.188.663
Message-ID: <[email protected]>
Date: Fri, 30 May 2014 17:37:45 -0700 (PDT)
From: punk kid name <[email protected]>
Reply-To: punk kid name <[email protected]>
Subject: Freshmen Tennis
To: "[email protected]" <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="1844268657-78743074-1401496665=:6237"

--1844268657-78743074-1401496665=:6237
Content-Type: text/plain; charset=us-ascii

Hello tennis coach. My name is punk kid name and I 

**************************
Mom's name - myzamana ..."
Delivered-To: [email protected]
Received: by 10.58.73.99 with SMTP id k3csp8490vev;
        Tue, 10 Jun 2014 09:01:52 -0700 (PDT)
X-Received: by 10.68.253.73 with SMTP id zy9mr12854824pbc.114.1402416112032;
        Tue, 10 Jun 2014 09:01:52 -0700 (PDT)
Return-Path: <noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com>
Received: from m1.myzamanamail.com (m1.myzamanamail.com. [192.155.81.148])
        by mx.google.com with ESMTP id bl3si34767769pbc.235.2014.06.10.09.01.51
        for <[email protected]>;
        Tue, 10 Jun 2014 09:01:52 -0700 (PDT)
Received-SPF: pass (google.com: domain of noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com designates 192.155.81.148 as permitted sender) client-ip=192.155.81.148;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com designates 192.155.81.148 as permitted sender) smtp.mail=noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com;
       dkim=pass (test mode) [email protected]
To: [email protected]
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=myzamanamail.com;
    s=230211; t=1402416111;
    bh=vQNWAs+8XofFui2UBUGRZW3n9/OFpvkEbBi5fDLy1ew=;
    h=From:Reply-To:Subject:Date:List-Unsubscribe;
    b=RIXG4mCEH5JbLPw9iuVS9Sm0gn9BPuOgbM6hlB69As12LOG+QfiLUMwsABcDFuKlE
     1sqXUm7f2rGkjGlaaEGH+cartvcwOAVBpxcZmptK0oy1jjOBI6IKDF5sx90pVQir7J
     OdqDt4CSXoTQJW3+sHPF1tDKv8YmotltGkqKYF1M=
From: Mom's name <[email protected]>
Reply-To: noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com
Subject: =?utf-8?B?4piFIE5pcywgTGluZGEncyBGYXZvcml0ZSBQaG90b3M=?=
Date: Tue, 10 Jun 2014 16:01:51 +0000
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="_=_Swift-121288024853972bef9e5808.62301993_=_"
Content-Transfer-Encoding: 7bit
X-Mailgun-Variables: {"email_id":"b-189953972bef97785214693711","hash":"48a8d467be3e320fd4c02dca0f600183"}
List-Unsubscribe: <mailto:abuse+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com>
Precedence: bulk
Message-ID: <20140610160151.23826.1626722214.Swift@dolores>

This is a message in multipart MIME format.  Your mail client should not
be displaying this. Consider upgrading your mail client to view this
message correctly.
--_=_Swift-121288024853972bef9e5808.62301993_=_
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit

Hi there,

Nis, Follow my favorite photos on Picbum!

https://www.picbum.com/?secret=b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183

Mom's name

****************************
Delivered-To: [email protected]
Received: by 10.58.73.99 with SMTP id k3csp264709vev;
        Fri, 13 Jun 2014 17:22:52 -0700 (PDT)
X-Received: by 10.68.190.74 with SMTP id go10mr7393567pbc.16.1402705371691;
        Fri, 13 Jun 2014 17:22:51 -0700 (PDT)
Return-Path: <noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com>
Received: from m10.myzamanamail.com (m10.myzamanamail.com. [192.155.80.145])
        by mx.google.com with ESMTP id rd13si6293369pac.216.2014.06.13.17.22.51
        for <[email protected]>;
        Fri, 13 Jun 2014 17:22:51 -0700 (PDT)
Received-SPF: pass (google.com: domain of noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com designates 192.155.80.145 as permitted sender) client-ip=192.155.80.145;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com designates 192.155.80.145 as permitted sender) smtp.mail=noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com
To: [email protected]
From: Mom's name <[email protected]>
Reply-To: noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com
Subject: =?utf-8?B?4piFIE5pcywgTGluZGEncyBGYXZvcml0ZSBQaG90b3M=?=
Date: Sat, 14 Jun 2014 00:22:51 +0000
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="_=_Swift-1367413788539b95db4e1080.38411787_=_"
Content-Transfer-Encoding: 7bit
X-Mailgun-Variables: {"email_id":"b-3424539b95db08b54849462487","hash":"879174704e403edcc51d159cfdef9361"}
List-Unsubscribe: <mailto:abuse+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com>
Precedence: bulk
Message-ID: <20140614002251.26711.117550881.Swift@hulk>

This is a message in multipart MIME format.  Your mail client should not
be displaying this. Consider upgrading your mail client to view this
message correctly.
--_=_Swift-1367413788539b95db4e1080.38411787_=_
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit

Hi there,

Nis, Follow my favorite photos on Picbum!

https://www.picbum.com/?secret=b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361

Mom's name
2
rhimbo

最初のメッセージを見ると、次のことがわかります。_Received: from [209.79.72.16] by web162306.mail.bf1.yahoo.com via HTTP; Fri, 30 May 2014 17:37:45 PDT_これはおそらく、メールの発信元のルーターのアドレスであり、ルーターの背後にあるPCのアドレスではありません。

209.79.72.16を検索すると、混乱する情報が得られます。テキサス州リチャードソンかカリフォルニア州オレンジ郡のどちらかにあります。少し突っ込んでいると、オレンジカウンティは正しいと思います。それで、パンク・キッドがありそうであるとあなたが思うところの文脈において、オレンジ郡は意味がありますか?

その場合、そのIPアドレスはオレンジ郡教育省に属しています。子供は学校からこれを送ったのでしょうか? OCDEのIT担当者は、タイムスタンプがある場合、ログから特定のコンピューターまで追跡できる可能性があります。

他の2つはmyzamana.comからのものであるように見えます。これは、子供がサインアップした場合に意味があります。 「パスワードを忘れた?」リンクし、サイトのパスワードを変更して、メールアドレスを削除します。

追加のために編集:OCDEから来たように思われるメッセージが5月からのものであることを考えると、OCDE ITスタッフがずっと前にそのログを持っている可能性は低いようです。ただし、質問しても問題はありません。

また追加:メールのヘッダーが上部に追加されます。最初のメールは、独自のメールサーバーまたはメールプロバイダーのメールサーバーによって追加されるため、信頼できます。次に、リストを読み、不連続性を探します。偽造されたヘッダーを示している可能性があります。

IPアドレス209.79.72.16のヘッダーにスコープを設定しました。他はすべて問題ないようで、YahooがHTTP経由でメールを受信したieので、 Webメールクライアントを使用する。

ここにメールヘッダーアナライザーがあります: http://mxtoolbox.com/EmailHeaders.aspx 何かを見落とさない限り、独自の分析に追加するものはありませんでした。

教育については、「重複の可能性あり」メッセージのリンクを参照してください。

2
Bob Brown