E-MAILS ESTRANHOS

Estas dicas são para aqueles que estão recebendo e-mails estranhos, pessoas que
sentem que seu computador pode estar invadido, etc... Número IP é uma
identificação única para cada computador conectado na internet. Mesmo quando se
utiliza sistemas de mascaramento, sites de anonimato, e outros 'truques', o número
de IP verdadeiro permanece registrado em vários servidores da rede, como se fossem
as suas pegadas na areia. Não se iluda. Não existe anonimato na Internet.

Identifique a origem do e-mail

Como se faz? No Hotmail, entre com a sua senha normalmente, vá em Opções, Correio,
Configurações de Exibição de Mensagens, Cabeçalhos de Mensagens, Avançada. No
Yahoo, vá em Opções, E-mail, Preferências Gerais, Exibir cabeçalho completo nas
mensagens recebidas. No GMail, abra a mensagem normalmente, escolhar para exibir
'Mais opções', e a seguir 'Mostrar original'. Nos outros serviços de webmail as
opções são semelhantes.
Eu sempre deixo assim, para exibir todo o cabeçalho da mensagem. Não se assuste,
com o tempo você se acostuma com o novo 'visual' dos e-mails.

Aprenda a ler o cabeçalho

Sempre que aparecer quatro octetos, este é um número de IP. Exemplos:

66.163.178.125, 201.34.204.193, 209.73.178.87. Ou seja, quatro números entre 0 e
255 separados por pontos, no meio do cabeçalho da mensagem, indicam o número de IP
de um computador que 'encaminhou', 'recebeu' ou 'enviou' a mensagem. Calma, ainda
não é isto que nos interessa.

Como saber quem é quem na internet???

Acesse o site http://lacnic.net/cgi-bin/lacnic/whois?l... e informe o número de

IP. O que nos importa são as informações NetName e NetRange.
Por exemplo, o primeiro IP citado anteriormente é do computador A-YAHOO-US2, que
pertence a faixa 66.163.160.0 - 66.163.191.255. O segundo computador, o
201.34.204.193 é da Brasil Telecom Distrito Federal (nossa, a mensagem passou por
Brasília!!!). O terceiro é do micro INTERNET-BLK-1-AV pertencente a faixa
209.73.160.0 - 209.73.191.255, empresa Altavista, do grupo Yahoo. Já deu para
perceber que estou monitorando uma mensagem do Yahoo.
Conhecendo o NetName, é um dos passos para chegar até a origem da mensagem (ou do
post no Orkut). Conhecendo o NetRange facilita o trabalho, porque qualquer outro
número naquele intervalo, vai ser da mesma empresa (o que poderíamos descartar,
agilizando o nosso serviço).

Mas quem sou eu na internet?

Para não correr o risco de 'ficar correndo atrás do próprio rabo', quem sou eu na
Internet? Ao acessar o site http://www.whatismyip.com/ será mostrado o seu número
de IP. Ou então o www.meuip.com.br O site http://www.abusar.org/ informa no canto
superior direito da tela o seu número atual. Como assim 'atual'??? É que a cada 7
dias a numeração dinâmica muda, e nesta 'janela de tempo' é que devemos correr
atrás do autor da mensagem. Senão poderemos encontrar uma pessoa que não tem
nenhuma relação com o ocorrido, que simplesmente está usando o IP dinâmico
atribuído pelo servidor de internet.
Está sem acesso a Internet? Tudo bem. O número de IP permanece em sua placa de
rede. Entre no prompt de comandos (Iniciar, Programas, Acessórios, Prompt de
Comandos) e execute o comando IPCONFIG.
Portanto, isole este número. Este número é você mesmo. A menos que alguém que usou
este computador (no caso de lan-house) tenha enviado a mensagem para você, este
número deve ser inicialmente ignorado quando aparecer nos relatórios.

Quais são as possíveis origens de um e-mail?

A mensagem pode ter sido enviada:

leitor de mensagens (Outlook, Thunderbird, Eudora, etc) local e o IP informado é
da pessoa;
leitor de mensagens via web (Hotmail, Yahoo, BOL, GMail, etc) e o IP informado é
do servidor de e-mails que a pessoa se conectou naquela data e hora para enviar a
mensagem;
sistemas automáticos de envio (BOTs), como servidores de grupo, o Orkut,
Fotopages, etc, então o IP informado é do servidor que executou o aplicativo de
envio.
O IP interno de uma rede (padrão 192.xxx.xxx.xxx) mascarado por um roteador, pode
ser descoberto?
Sim. Apesar de dar mais trabalho é possível. Um computador na rede interna de uma
empresa (ou numa lan-house) possui o endereço interno 192.xxx.xxx.xxx e o servidor
que compartilha a Internet cria uma máscara, mudando o valor (supondo que seja o
servidor 200.200.220.1) para 200.200.220.xxx por exemplo. Por este motivo é
importante conhecer a NetRange informada na parte 1. Se você ainda não começou a
anotar em um pedaço de papel todos os IPs que encontrou, comece agora.

Além do mascaramento padrão, existem programas de camuflagem de IP?

Existem, como o NO-IP www.no-ip.com que cria uma identidade falsa. Mas se
pesquisarmos esta identidade falsa, chegaremos ao computador que está com o
programa instalado, portanto, é um engodo temporário e não muito eficaz.

Como saber onde estão registradas as pegadas da pessoa?

Basicamente todo servidor que teve contato com a mensagem, por padrão do protocolo
TCP/IP, o cabeçalho com remetente e destinatário ficará registrado. Usando no
Prompt de Comandos o comando TRACERT <número do IP> serão exibidos os computadores
(até 30) que registraram a passagem da mensagem. Esta informação não pode ser
considerada 100% confiável, porque se um destes estiver desligado, automaticamente
é criada uma rota diferente. Dá para confiar no primeiro (que é você) e no último
(que é o destino). Existem programas de Trace Router, mas não recomendo nenhum em
específico.

Existem números de IP que sempre se repetem nas mensagens. Porque?

São os chamados endereços reservados (ou especiais), que só podem ser usados em
uma estrutura interna, como os iniciados por 10. As faixas 10.0.0.0-
10.255.255.255, 172.16.0.0-172.16.255.255 e 192.168.0.0-192.168.255.255 quando
aparecerem podem ser desconsiderados.

E o endereço 127.0.0.1?

Este endereço, também conhecido como localhost, é um sinal de que a mensagem foi
enviada a partir de um servidor webmail, onde o sistema recebeu a mensagem do
usuário e entregou a um servidor de email para ser encaminhada.

Mas e se a pessoa criar um mini-servidor SMTP em casa?

Depois da disseminação da internet de banda larga, esta possibilidade se tornou

real. Neste caso, um único header Received é encontrado na mensagem, algo como
999.999.999.999-dsl.telesp.net.br (200.145.214.1). Não se precipite, porque esta
conexão pode ser uma conexão a cabo compartilhada por um condomínio, e você
estaria suspeitando de um prédio inteiro. Calma.

Como saberei que ela tem um mini-servidor em casa ou não?

Para isto existe o TRACERT. O comando permite traçar uma rota a partir do seu
computador até o IP informado. Mas esta rota não lhe interessa? Verifique outras:
http://tools.telpin.com.ar/cgi-bin/trace... (partindo de um servidor na
Argentina), http://www.tracert.com/cgi-bin/trace.pl informando a partir de onde
você quer que o pacote seja enviado. Quando todas as informações (dos 3 comandos
TRACERT) apontam para um IP reverso, pode ser que seja um mini servidor SMTP
criado e excluído só para aquele fim, enviar uma mensagem anônima para você.

O que é um IP reverso?

Alguns provedores exigem a configuração do DNS reverso para resolução de nomes.

Assim, o endereço IP 192.164.125.1 tem como reverso 1.125.164.192.xxxxxx Se os
comandos TRACERT estão atingindo um IP reverso em todos os casos, indica que o
servidor SMTP pode não existir mais, o que indica que o usuário criou o mini
servidor SMTP, enviou a mensagem para você e sumiu do mapa...

Além destas configurações o que mais eu posso procurar?

O site http://www.dnsstuff.com/ tem dezenas de opções para procurar dados

relacionados a computadores e conexões. Nas próximas partes, usarei algumas de
suas funções.

Quais mensagens que não adianta procurar a cidade de origem?

Mensagens com estas linhas de cabeçalho indicam que foram enviadas por um servidor
de webmail.

MIME-Version: 1.0
Received: from wproxy.gmail.com ([64.233.184.194]) by bay0-mc7-f3.bay0.hotmail.com

MIME-Version: 1.0
Received: from web30102.mail.mud.yahoo.com ([68.142.200.75]) by MC8-F2.hotmail.com

MIME-Version: 1.0
Received: from web32714.mail.mud.yahoo.com ([68.142.206.27]) by mc4-
f35.hotmail.com

E quando não são mensagens enviadas por um webmail, e aparece o IP da pessoa, tem
como saber de que cidade ela é?

Na maioria das vezes sim. Se o cabeçalho conter as linhas:

MIME-Version: 1.0
X-Originating-IP: [200.165.171.164]

MIME-Version: 1.0
X-Originating-IP: [200.226.130.128]

Este poderá ser localizado. Entre em http://www.dnsstuff.com/tools/city.ch?ip... e

informe o número de IP. O primeiro IP endereço exemplo, é do Rio de Janeiro. O
segundo é São Paulo. Outra opção é o site http://www.ripe.net/fcgi-
bin/whois?form_... onde você informa o IP e lhe retorna o Whois do site.

Para saber se o computador e o e-mail é válido neste instante, tem como?

Sim, também é possível. Em http://www.dnsstuff.com/pages/spf.htm você informa o

endereço de e-mail e o IP que aparece no cabeçalho da mensagem. Aguarde alguns
instantes e terá um resultado. Pass indica que está ligado e pode enviar e-mail
neste momento. PermError indica que o endereço não existe mais no servidor, e
assim por diante.

Com base no e-mail podemos descobrir algo mais sobre o remetente?

Sim, podemos. Apesar de que na maioria dos casos as informações que obtivermos
poderá ser falsa. Por exemplo, se recebeu uma mensagem de algum endereço Hotmail,
veja o spaces da pessoa (login exemplo_1 = endereço
http://spaces.msn.com/members/exemplo_1)... Se foi do Yahoo, tente ver o perfil
dela (login exemplo_2 = endereço http://br.profiles.yahoo.com/exemplo_2) ou a
página (login exemplo_3 = endereço http://geocities.yahoo.com.br/exemplo_3)... Se
foi do GMail, crie uma conta para você, acesse o GMail e depois mude o endereço na
barra de links para o login da mensagem que deseja saber de quem é. O GMail, por
ser um serviço mais novo, tem poucas falhas conhecidas.