Trouver l'adresse IP d'un mail

Meeuuuhhh

WRInaute passionné
Bonjour,

J'ai reçu un courriel, dans ma messagerie hotmail. Y'a-t'il un moyen d'obtenir des informations sur les métas ?
Peut-on trouver l'IP de ce courriel, sans passer par une demande d'obtention d'IP de la part de yahoo, messagerie depuis laquelle a été envoyé ledit courriel ?

Merci d'avance
 

Meeuuuhhh

WRInaute passionné
Ok, alors il faut trouver l'IP du gars qui a créé la boite email chez yahoo, c'est ça ?

Je pensais sottement qu'il y avait peut-être des informations sur l'ip dans les métas du mail (je sais pas si le terme méta est correct).

Merci pour cette réponse rapide, soit dit en passant, e-kiwi.
 

e-kiwi

WRInaute accro
Non, tu peux juste remonter à l'IP du serveur SMTP qui a envoyé le mail, c'est à dire généralement celui de son FAI, mais pas plus loin. c'est comme un lettre envoyé à la poste, tu remonte à l'agence grâce au cachet de poste, mais pas plus loin
 

Meeuuuhhh

WRInaute passionné
JTH a dit:
Tu veux IP de l'envoie de l'email?

Oui, je veux l'IP du gars qui a envoyé l'email. J'imagine qu'il n'y que la police qui peut la trouver.

e-kiwi a dit:
Non, tu peux juste remonter à l'IP du serveur SMTP qui a envoyé le mail, c'est à dire généralement celui de son FAI, mais pas plus loin. c'est comme un lettre envoyé à la poste, tu remonte à l'agence grâce au cachet de poste, mais pas plus loin
Hum... L'IP, elle n'est pas plutôt dans le serveur depuis lequel le mail a été envoyé (en l'occurrence yahoo.fr) ?
 

JTH

WRInaute discret
Voici un email un peu spammy (un malade qui veut un échange de lien) que j'ai recu (lis l'explication en bas)
store-info:sbevkl2QZR7OXo7WID5ZcVBK1Phj2jX/
Authentication-Results: hotmail.com; sender-id=temperror (sender IP is 217.70.183.196) header.from=son adresse email; dkim=none header.d=son nom de domaine; x-hmca=none
X-Message-Status: sF:0:n
X-SID-PRA: webmaster <son adresse email>
X-DKIM-Result: None
X-AUTH-Result: NONE
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtHRD0xO1NDTD0w
X-Message-Info: NhFq/7gR1vQuMIfKfsOYh3VAIMOKgrzN3epXP5OWtvFptmBlSo9esQ91/J6eou27NqULaW6hxKDqIJ2niW/C7zQEKCXoYkx2HA77ZrA/KgnTv8En0JYP0Yrxc2eLEQM+tGHo9wdiLCU=
Received: from relay4-d.mail.gandi.net ([217.70.183.196]) by BAY0-MC4-F28.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Tue, 14 Feb 2012 07:23:11 -0800
X-Originating-IP: 217.70.178.130
Received: from mfilter1-d.gandi.net (mfilter1-d.gandi.net [217.70.178.130])
by relay4-d.mail.gandi.net (Postfix) with ESMTP id F0806172076
for <XXXX@hotmail.fr>; Tue, 14 Feb 2012 16:23:10 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at mfilter1-d.gandi.net
Received: from relay4-d.mail.gandi.net ([217.70.183.196])
by mfilter1-d.gandi.net (mfilter1-d.gandi.net [10.0.15.180]) (amavisd-new, port 10024)
with ESMTP id e-mw2j3gbt62 for <xxxx@hotmail.fr>;
Tue, 14 Feb 2012 16:23:09 +0100 (CET)
X-Originating-IP: 196.217.20.2
Received: from poste (adsl196-2-20-217-196.adsl196-9.iam.net.ma [196.217.20.2])
(Authenticated sender: amine@sinader.fr)
by relay4-d.mail.gandi.net (Postfix) with ESMTPA id 7F505172070
for <xxxx@hotmail.fr>; Tue, 14 Feb 2012 16:23:08 +0100 (CET)
From: "webmaster" <son adresse email>
To: <mon adresse emailr>
Subject: Echange de liens
Date: Tue, 14 Feb 2012 15:23:22 -0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_008B_01CCEB2C.97674E40"
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Thread-Index: AczrLJbVLZPnWC76RFeTsjsH6Ys8TA==
Return-Path: son adresse email
Message-ID: <BAY0-MC4-F28oTlkjdC00166349@BAY0-MC4-F28.Bay0.hotmail.com>
X-OriginalArrivalTime: 14 Feb 2012 15:23:11.0824 (UTC) FILETIME=[90421500]

This is a multi-part message in MIME format.

------=_NextPart_000_008B_01CCEB2C.97674E40
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Bonjour,

=20

=20

Afin de favoriser notre r=E9f=E9rencement, nous recherchons des =
partenaires pour
=E9change de liens triangulaires tout en respectant=20

l'=E9quivalence du PR.
// fin


------=_NextPart_000_008B_01CCEB2C.97674E40
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<html xmlns:eek:=3D"urn:schemas-microsoft-com:eek:ffice:eek:ffice" =
xmlns:w=3D"urn:schemas-microsoft-com:eek:ffice:word" =
xmlns=3D"http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<meta name=3DGenerator content=3D"Microsoft Word 11 (filtered medium)">
<style>
<!--
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
a:link, span.MsoHyperlink
{color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:Arial;
color:windowtext;}
@page Section1
{size:595.3pt 841.9pt;
margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.Section1
{page:Section1;}
-->
</style>

</head>

<body lang=3DFR link=3Dblue vlink=3Dpurple>

XXXX

</html>

------=_NextPart_000_008B_01CCEB2C.97674E40--

IP du mec est: 196.217.20.2
Soit rabat => http://www.localiser-ip.com/?ip=196.217.20.2 (Maroc)
Il suffit d'afficher le code source du message et de trouver "X-Originating-IP".
Mais il faut faire attention au message automatique, basée sur un hébergeur ou autre service qui brouille parfois les pistes
:wink:
Ceci est plus fiable lors de vraie échange d'email (possibilité de confirmer) et que le mec se situé en occident.
Pour afficher la source, sur hotmail il faut sélectionner le message puis clique droit et enfin "afficher la source"
Pour Gmail; ouvre le message, puis la fleche près de l'heure à coter de "répondre" du message et puis 'afficher l'original"

La police utilise des softs qui font le même travail automatiquement, mais encore une fois; il ne peuvent rien faire contre les proxys ...sauf exception (remonter la source).
 

Meeuuuhhh

WRInaute passionné
Très intéressant JTH. Je savais bien qu'il était possible de voir le code source d'un mail.

Le problème est que ça me sort deux IP. L'une semble être celle du serveur yahoo :
Received: from web132108.mail.ird.yahoo.com ([87.248.103.17])

L'autre celle de l'expéditeur :
Received: from [192.251.226.205] by web132108.mail.ird.yahoo.com via HTTP

En Allemagne, ça m'étonne...
 

JTH

WRInaute discret
Envoie moi l’entête du message en MP, juste la partie similaire à celle ci-dessus

Je te confirmerais l'adresse IP
 

JTH

WRInaute discret
Meeuuuhhh a dit:
Le problème est que ça me sort deux IP. L'une semble être celle du serveur yahoo :
Received: from web132108.mail.ird.yahoo.com ([87.248.103.17])

L'autre celle de l'expéditeur :
Received: from [192.251.226.205] by web132108.mail.ird.yahoo.com via HTTP

En Allemagne, ça m'étonne...
Il y a plusieurs adresse IP, il faut faire la différence entre les serveurs, dans ton message, tu reçois l'ip de Yahoo (généralement en Irlande, alors que hotmail c'est plutôt W.DC et GG Irlande (peu impôts :?: ) ou Californie, c'est de là que les données sont stockés selon les parties du monde.
Pour l'ip du mec il faut voire;
Code:
X-Originating-IP:
Ou similaire selon la messagerie
 

Meeuuuhhh

WRInaute passionné
Salut JTH.

Tiens, voici l'entête du mail, si tu t'y retrouves. Note que sur le site, localiser-IP.com, cela indique ceci :
L'utilisateur de l'adresse IP 192.251.226.205 (anonymizer.blutmagie.de - AS6805 Telefonica o2 Germany Autonomous System) est situé à Gütersloh (Germany - Nordrhein-Westfalen).
Apparemment, le comique s'est servi d'un anonymiser pour créer la boite email et envoyer le message.

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtTQ0w9MA==
X-Message-Status: n
X-SID-PRA: =?iso-8859-1?Q?J=E9r=F4me_dubois?= <son adresse email>
X-AUTH-Result: NONE
X-Message-Info: JGTYoYF78jFgC8Fkcc76jxpzpc3IPsRSIIgWyYlS39EK5BVc5jNup4wG2CrlfKr44ZpOL5p6dwR9RlWNgqCIdEwerc+FbMZZryURMuEM0mc=
Received: from web132108.mail.ird.yahoo.com ([87.248.103.17]) by bay0-mc3-f46.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Wed, 27 Apr 2011 05:09:38 -0700
Received: (qmail 57276 invoked by uid 60001); 27 Apr 2011 12:09:37 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.fr; s=s1024; t=1303906177; bh=9NaL/++2Bid0cT3fySuoX05NO5uL0RYMSzdYfk4zo3A=; h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Reply-To:Subject:To:Cc:MIME-Version:Content-Type; b=oAeHYJHfvkynJbZp0LkISOKgCUIxgoNW92maMxd0gL2kYs1q0xoFG3NatMqHhPYhJliFQQUMhmxqaqS+JxPNkCn561XlMd9BHt9yGQz14ovOQEDNqsVhor/YUXT6DOUB+Q5PHkyn28R6PrHEHrWt8pM4MxbfLSUKspGe2bkJ+kc=
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.fr;
h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Reply-To:Subject:To:Cc:MIME-Version:Content-Type;
b=RrZeK2/NZjSEpNh5jdetHCrdDmT11GPvw+eq1cGjDf3zjdjJ8gc/wMRcUd/dHfUtOKL7TGrNrgSgzNomRCLLs8cyLREzWplRv75cCva+dPeyGxJlRR+FUkbDA8bDA37McttyoQZmhluIotupAFB+qeAr1WwegWDkGILnccfmpiU=;
Message-ID: <344354.56001.qm@web132108.mail.ird.yahoo.com>
X-YMail-OSG: Qj2cU8QVM1lb_tE6F9vvEj0ad6kFAKh1dxxApnNtp8DTUPU
cbYqSm8A6640e9nHJFZlGS55xpDUtApK51lEZ8VKpZ92GSe6TyUEPihb2vQ8
ptiICkAuPpMvKrhElLUZA_79vJPKTndqZW7dl_1juoNKMJkw147BSeG8nBDy
EBmfd6rlrpumXbFk5f.2MLm25st6WxtnmNAKP0OoC255dzPNoGDFw25F.Ydu
DNTi4WeQLIM9j9Og3uZAaFZWScFmj5GwCjWuw.DJ0EXDBdwEqKmrmiaXVsuf
cgq_546r4LlTWWj0Zh5irQ__n4GCOglxr6xG_l8PptgenKCRmf2Gs__ElYuO
TuGdc.DbEfJ4DpsfqGIm7XKlJvgiPBOLFRxQH2Mfc7uJ.KUEb5LaVLnVadOF
skwKeSEu8BCkHewDHZChv.RcJKA0sjiUMfHHBN_o6hdAPw5Vq6qIyt4JRwZy
NSeWUfaD3nE6U7Mb4EoptDk_GM7DovMwGT10gTwuMssvki3iv1Si8cJCQKN3
yENhxTGKTIZkDoEl2Sbt911LoDr97Kmo2OBc0reW9qcngvDsqhf5Yu4OJV3A
9dv_kGoljgM9fwub0MSUGHOhGSJGF9Uc-
Received: from [192.251.226.205] by web132108.mail.ird.yahoo.com via HTTP; Wed, 27 Apr 2011 13:09:37 BST
X-Mailer: YahooMailWebService/0.8.110.299900
Date: Wed, 27 Apr 2011 13:09:37 +0100 (BST)
From: =?iso-8859-1?Q?J=E9r=F4me_Dubois?= <son adresse email>
Reply-To: =?iso-8859-1?Q?J=E9r=F4me_Dubois?= <son adresse email>
Subject: tonsite.fr
To: "mail1@hotmail.com" <mail1@hotmail.com>
Cc: "mail2@hotmail.fr" <mail2@hotmail.fr>
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="0-1292031971-1303906177=:56001"
Return-Path: son adresse email
X-OriginalArrivalTime: 27 Apr 2011 12:09:38.0459 (UTC) FILETIME=[FB1E76B0]

--0-1292031971-1303906177=:56001
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Merci pour ton aide, soit dit en passant :)
 

JTH

WRInaute discret
Meeuuuhhh a dit:
L'utilisateur de l'adresse IP 192.251.226.205 (anonymizer.blutmagie.de - AS6805 Telefonica o2 Germany Autonomous System) est situé à Gütersloh (Germany - Nordrhein-Westfalen).
Apparemment, le comique s'est servi d'un anonymiser pour créer la boite email et envoyer le message.
L'enc*ler...c'est similaire à hide my ip (soft) ou plus facile Hide My Ass ou encore http://korbenproxy.appspot.com/ qui charge presque tout les types de script.
Cela m'étonne que c'est près de Paderborn (je ne savait pas que les habitants de cette région dispose d'internet :mrgreen: )

Là tu peux l’oublier, mais si il y a préjudice, tu as son adresse email, et les services Microsoft, Google, yahoo, (...) dispose de ses cordonnées "confidentielle", bonne chance :wink:
 

Meeuuuhhh

WRInaute passionné
Salut JTH,

Oui c'est pour une plainte, mais la police fera son travail (normalement...).

Ceci dit, que veux tu dire par "coordonnées personnelles" ? A priori, vu que le gars voulait nuire et s'ait créé un compte avec un anonymiseur, il n'a pas laissé de coordonnées personnelles lors de l'inscription.
 

JTH

WRInaute discret
Si il dispose d'une vraie adresse email, non créer pour te faire chier, il doit renter des donnés personnelle (vraie, et obligatoire encas de plainte, abus,...) pour avoir la messagerie et l'utiliser.

Pour hotmail, live, il faut l'adresse complète, pays, nom, prénom, age,...
Pour Gmail ou yahoo et autres, c'est similaire, et en cas de faux données, des peines sont prévu (rien est anonyme sur le net, et heureusement) car normalement, c'est comme un contrat qui relie utilisateur (qui a bien lu et qui a accepté les conditions d’utilisation) et la société qui donne gratuitement (ou pas) et met à disposition le produit.

La police, peut demander à la société des donnés personnelles en cas de poursuite judiciaire, et GG et Microsoft sont champions pour coopérer, même pour les petits délits.

Maintenant, si il a juste créer une adresse email juste pour t'emmerder, là si il a mis des vraies données, alors c'est le roi des .... :roll:

Maintenant, si tu connais la personne (un concurrent, ou que c'est qqn de "connu") et qu'il propose des services, essaye de rentrer en contact avec lui en tant que client qui pose des questions et au bout d'un moment, il devrait oublier les proxys qui sont très embettants à utiliser (lent), et là tu auras son IP.
Si il a créer un topic sur un forum (tu as posés cette questions il y a 3 jours, avec qqn qui avait posté qqch de hostile avec ton contact), il suffit de demander à admin de récupérer l'ip; normalement l'admin a accès aux ip des membres, mais cela dépend par quoi c'est "Powered "

Dans ce genre de situation, le lapin finit toujours par sortir du terrier... :mrgreen:
 

Meeuuuhhh

WRInaute passionné
Merci pour tes conseils JTH. Oui en l'occurrence, l'adresse email du gars n'a été créée que pour me faire ****, le nom de l'adresse ne prête pas à douter sur ça...
Donc pas de coordonnées personnelles, c'est sûr.

Ceci dit, si la police s'en donne les moyens, ça n'est pas un anonymiseur qui l'arrêtera. Mais elle ne se donnera pas les moyens, donc...

Mais le gars est un peu crétin, comme tous les gens malhonnêtes. Parce qu'il a fait chanter un ami et lui, il l'a fait chanter avec un email dont l'adresse est celle... De son site internet ! :lol:
 

Meeuuuhhh

WRInaute passionné
C'est une sorte de VPN, non ? Et pourquoi ça ne sert à rien de la géolocaliser ?

A toute fin utile, je précise que le gars que je soupçonne d'avoir expédié le courriel, est en France et peut-être dans le 92.
 

fredm

WRInaute occasionnel
Ca se situe effectivement en Allemagne, et vu le nom résolu "anonymizer.blutmagie.de" il y a des chances qu'il ait utilisé un proxy, donc pas de chance de remonter, à moins que tu sois copain avec l'administrateur du proxy...
 

Meeuuuhhh

WRInaute passionné
Donc c'est ce que je pensais, si la police veut vraiment trouver, il faut qu'elle s'occupe aussi de l'administrateur du proxy.

Mais le proxy, il est en Allemagne donc ?

Le gars est en France lui.

C'est difficile pour la police française d'avoir des informations sur un proxy en Allemagne ?
 

fredm

WRInaute occasionnel
C'est pas de mon ressort...
Puis je serais étonné que la police se penche sur une affaire d'échange de liens :) même triangulaire !
 

JTH

WRInaute discret
Non, l'échange de lien, c'est qqn qui a une légère défiance mental, et qui veut faire un échange de lien avec moi, j'ai pris l’entête du message comme exemple pour expliquer à MEUH le principe de basse :)
 

Meeuuuhhh

WRInaute passionné
fredm a dit:
Désolé j'ai dit une connerie, trop fatigué le matin...
Ca se situe effectivement en Allemagne, et vu le nom résolu "anonymizer.blutmagie.de" il y a des chances qu'il ait utilisé un proxy, donc pas de chance de remonter, à moins que tu sois copain avec l'administrateur du proxy...

Bon, revenons sur la bestiole en question. Concernant cet "anonymiser.blutmagie.de", imaginons qu'il s'agisse d'une super affaire d'Etat et que la police décide de retrouver le criminel anonymisé. Comment s'y prendrait-elle ?
 

fredm

WRInaute occasionnel
Meeuuuhhh a dit:
fredm a dit:
Désolé j'ai dit une connerie, trop fatigué le matin...
Ca se situe effectivement en Allemagne, et vu le nom résolu "anonymizer.blutmagie.de" il y a des chances qu'il ait utilisé un proxy, donc pas de chance de remonter, à moins que tu sois copain avec l'administrateur du proxy...

Bon, revenons sur la bestiole en question. Concernant cet "anonymiser.blutmagie.de", imaginons qu'il s'agisse d'une super affaire d'Etat et que la police décide de retrouver le criminel anonymisé. Comment s'y prendrait-elle ?
Genre Interpol, CIA, MI6, Mossad réunis ? je n'oserai dire...
Sinon commencer à appeler le service d'email qu'il a utilisé (Yahoo) ainsi que l'administrateur du service qui masque son IP (donné par whois blutmagie.de).
 

WebRankInfo

Olivier Duffez (admin)
Membre du personnel
Merci de ne plus diffuser de données personnelles (adresses email par exemple) en public sur ce forum...
 

Lyonnais

Nouveau WRInaute
Bonsoir
Je voulais savoir s'il était possible de trouver l'identité d'une personne malveillante via juste une adresse mail
C'est assez urgent merci pour vos réponses
 

Discussions similaires

Haut