supervie

supervie

Analyse du mail de l'oomoaelaewe@usa.com

 

reference pages:

 

https://cr.yp.to/im.html

 

 

 L' en tête

 

 

x-store-info: 01234567890

Authentication-Results: hotmail.com; spf=none (sender IP

is 74.208.4.200) smtp.mailfrom=oomoaelaewae@usa.com;

dkim=none header.d=usa.com; x-hcma=none

header.id=oomoaelaewae@usa.com

X-SID-PRA: oomoaelaewae@usa.com

X-AUTH-Result: NONE

X-Message-Status: n:n

X-Message-Delivery: Vj0000000000000000TD0z

X-Message-Info:

3x21blahblah

 

Champs liés à l'anti spam (en X- quelque chose)

 

 

Ensuite on lit l'en tête smtp. de  haut en bas, le plus en haut étant le dernier relai de poste.

 

 

 

Received: from mout.gmx.net ([74.208.4.200]) by COL0-MC1-F46.Col0.hotmail.com with Microsoft SMTPSVC (6.0.3790.4900);

Wed, 28 Aug 2013 13:33:31 -0700

 

" COL0-MC1-F46.Col0.hotmail.com  "  reçoit le courriel , depuis mout.gmx.net   

 

L'utilisateur   /  destinataire  à récupéré  son mail  en se connectant  à  ce  serveur :

 

                                           COL0-MC1-F46.Col0.hotmail.com

 

( Il n'y a pas de  machine  ensuite,  à part le PC de l'utilisateur qui lit son courriel )

 

mout.gmx.net  indique qu'il à reçu le mail , donc de  

 

 mailout-us.gmx.com

 

Bon.

 

 

Ensuite  on repart vers un mail relay situé en Allemagne,  c'est  à  dire que  

 

 mailout-us.gmx.com

 

à reçu quand à lui le mail, depuis  mrigmx.server.lan  :

 

 

Received: from mailout-us.gmx.com ([172.19.198.46]) by mrigmx.server.lan

 (mrigmxus001) with ESMTP (Nemesis) id 0mD3m2-1  for ; Web, 28 Aug 2013 22:33:29 +0300

 

 

Ensuite, c'est plus confus, mais visiblement le message est passé par un serveur qmail   qui envoie le dit message vers mrigmx.server.lan (le serveur Allemand)         

 

Received: (qmail 29159 invoked by uid 0); 28 Aug 2013                   // ici  un Qmail (qmail-queue probablement, éxecutée en tant que root (uid = 0)

20:33:29 -0000

Received: from 192.228.104.221 by rm-us022 with HTTP         

 

(( HTTP ici indique probablement qu'un client webmail a été utilisé par le rédacteur  du mail)

 

mrigmx.server.lan 

 

 

La dernière "source" connue est donc ici :  une  @IP ,  c'est 192.228.104.221.

 

Cette IP  appartiendrait à une "plage d'adresses" réservées à l'époque par un  hébergeur  (un datacenter en fait )

 

Et donc, comme  on ne sait pas qui  utilisait  à l'époque  les services de cet  hébergeur,  qui se contentait de fournir  les services  suivant a priori :

  1. des locaux sécurisés (pour héberger des serveurs ,  sur demande de leurs
    clients qui devaient pour ainsi dire "apporter leur manger"  :)
  2. des plages d'  @IP

 

On ne peut donc pas savoir facilement  si le mail est parti de GMX  , mais on observe  dans la suite de l'analyse de l'en tête smtp que c'est bien  un  client  GMX web mail qui a été utilisé pour envoyer le mail.

 

 

IP Address 192.228.104.221
Location  United States, Nevada, Las Vegas
Latitude & Longitude of City 36.174970, -115.137220 (36°10'30"N   115°8'14"W)
ISP Vegasnap LLC

 

Content/Type: multipart/alternative;

 boundary="=========GMXBoundary33"

Date: Wed, 28 Aug 2013 16:33:28 -0400

From: "Oomo Aelaewae"

Message-ID: <20130828203329.1904440@gmx.com>

MIME-Version: 1.0

Subject: )+(

To: cornelius_singe@hotmail.fr

X-Flags: 0001

X-Mailer: GMX.com Web Mailer 

x-registered: 0

X-GMX-UID: 0123456789ABCDEF000

Return-Path:      oomoaelaewae@usa.com

X-OriginalArrivalTime: 28 Aug 2013 20:33:31.0225 (UTC)

   FILETIME=[04240220:224F4F8C]

 

 

Les décalages horaires sont  du  aux  situations des différents  mail relais  qui occupent des fuseaux horaires différents.

 

 

 

https://www.abuseipdb.com/check/74.208.4.201

 

 A noter la relation qu'il est possible d'établir  entre  "gmx" et  "caramail",  ce qui nous permet  de  reboucler  assez facilement  sur  l'auteur du mystérieux courriel :  SETH.

 

Eh oui, Seth Brundle Fly ,  il  aurait  donc encore  frappé.

 

( "il ou  elle" ,  car  le  monde  est  un  mystère profond)

 

 

 



23/06/2017
0 Poster un commentaire