IP spoof in Gmail?

[buick]

Hallo,
Ik krijg van een vage kennis, een paar emails in mijn Gmail, die ik niet helemaal vertrouw en wil kijken waar deze vandaan komen.
Normaal kun je dan op het driehoekje klikken en kiezen voor "origineel weergeven".

Als ik daar nu kijk, lijkt er een gespoofed IP adres te staan en niet een IP adres wat normaal gebruikt wordt.

Zie hieronder: (emailadres even veranderd in verwijderd@gmail.com, maar het gaat dus om een ander gmail adres)

Authentication-Results: mr.google.com; spf=pass (google.com: domain of verwijderd@gmail.com designates 10.216.38.71 as permitted sender) smtp.mail=verwijderd@gmail.com; dkim=pass header.i=verwijderd@gmail.com
Received: from mr.google.com ([10.216.38.71])
        by 10.216.38.71 with SMTP id z49mr1508152wea.76.1289994225329 (num_hops = 1);
        Wed, 17 Nov 2010 03:43:45 -0800 (PST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=gamma;
        h=domainkey-signature:mime-version:received:received:date:message-id
         :subject:from:to:content-type;
        bh=2MfrMKcc9D7Gvegx3CaFC58IwKSl7ENWT6Vxcea4mCo=;
        b=VJjoBVXMz6nRwNIyJcp5+x0XAba3gn/T2CrDlrcmKzCRoVkbDC3IOjflg+gywerY7q
         cEwsG8x6Ol9lkvXoHHAxMnt1Y6ovKEHjDzYVmO5aPixL2aRdvJ25uc53R0ZguWUMQDXD
         4ad3CoGGn9L95aOZP/V4e8QxeXqbWF/BSZTU8=
DomainKey-Signature: a=rsa-sha1; c=nofws;
        d=gmail.com; s=gamma;
        h=mime-version:date:message-id:subject:from:to:content-type;
        b=NR3t1JAspu9+eC3Jy9Gv3+itFXmZ5Hp0yYhkm/PgdeTnMkUFeeKAFi+RY4Y3G9p6Ud
         B95oAaJvqNLdINfmMESZyVAGNCvsuDq0K6Wrqrn64YPlmVw3BfKtHLRH4mdhzQZNRhEv
         HH/bnC4RUc5xXcJGCtTFM6xparCWZYsP0CxrQ=

Zoals jullie zien, is het enige IP adres wat wordt weergegeven (en ook de andere die bij de bron staan) een 10.x.x.x
Dit is een Private range die niet op internet gebruikt wordt. Ik lijk dus niet te kunnen zien vanaf welk IP adres de mail verzonden is. (zover als ik kan zien is dit het interne IP adres wat Gmail gebruikt)

Heeft iemand een suggestie?

Alvast bedankt.

 

[dnties]

Lijkt mij niet dat hier gespoofed is (afgeleid van deze link): De servers die iets mogen sturen met afzender @gmail.com zijn:
"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:7
2.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.
0.0/20 ip4:207.126.144.0/20 ip4:173.194.0.0/16 ?all"

Enige wat ietwat vaag eruit ziet is de ?all op het einde. Dat betekent dat alle (andere) ip-adressen als "neutraal" worden gezien. Neutraal als in:
"The SPF record specifies explicitly that nothing can be said about validity"

Voorzover mijn kennis reikt, echter, ik zie ook: "dkim=pass", wat lijkt op authenticatie van de 10.x.x.x server. Ik zou (gegeven de header) verwachten dat de mail via de Gmail website is verstuurd, dus niet via een mail-client.

Ik heb geen mailtjes van/aan mijn Gmail account kunnen bekijken voor overeenkomsten/verschillen. Dit is omdat het mij niet lukt om de mailheaders te zien van mijn Gmail berichten.
Kun je me vertellen hoe ik de mailheaders kan zien van een ontvangen/verzonden bericht, als ik gebruik maak van de Gmail/mail.google.com website?

Tijs.

 

[buick]

Als je het bericht opent in Gmail, dan staat er rechts (ook rechts van de knop "beantwoorden") een klein driehoekje. Als je daarop klikt kun je kiezen voor "origineel weergeven".
Dan laat hij de headers zien.
Als ik bv vanaf een tweede gmailaccount iets stuur, zie ik evengoed mijn eigen IP adres staan bij de header, onmdanks dat ik het via het web stuur.

 

[dnties]

Ok, ik heb de mailheader optie gevonden.

Ik heb geen enkele mailheader gevonden in mijn mail die in de buurt komt van wat je in je startposting laat zien, maar dat kan makkelijk komen omdat je (blijkbaar) een heel stuk van de header die eraan vooraf gaat niet getoond hebt én een stuk dat erna komt. Alvast een hint: Het X-Originating-IP: deel is extra interessant.

Oftewel: Geef ons de hele header (excl. de tekst van het bericht, en maak afzender en geadresseerde anoniem).

Tijs.

 

[buick]

Er is weinig wat voorafgaat. Ik zal de hele header posten en alleen de emailadressen wijzigen.

Delivered-To: mijnemail@gmail.com
Received: by 10.231.157.21 with SMTP id z21cs211463ibw;
        Wed, 17 Nov 2010 04:24:33 -0800 (PST)
Return-Path: <sender@gmail.com>
Received-SPF: pass (google.com: domain of sender@gmail.com designates 10.216.235.211 as permitted sender) client-ip=10.216.235.211;
Authentication-Results: mr.google.com; spf=pass (google.com: domain of sender@gmail.com designates 10.216.235.211 as permitted sender) smtp.mail=sender@gmail.com; dkim=pass header.i=sender@gmail.com
Received: from mr.google.com ([10.216.235.211])
        by 10.216.235.211 with SMTP id u61mr7400494weq.91.1289996671383 (num_hops = 1);
        Wed, 17 Nov 2010 04:24:31 -0800 (PST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=gamma;
        h=domainkey-signature:mime-version:received:received:date:message-id
         :subject:from:to:content-type;
        bh=y5vcJ2dcEIuBpDuUM/K6GIzzou07I4amS+FCpNg7E1k=;
        b=kn1707JfvhrozrqB3Xo5f1NCV+cSkvB9JpaJmqfBk/vQaPzSwGTWA6aUrqCX8gu883
         ZSh60GcW++GEaHxJziiD17QfsnMYZTp2Ae7fcememeCl54z/qHx9wGKrOPRhDk3QLKCH
         NopiSMeffE7Kgo/wfDhxObB/u1OkWNLpXaEBk=
DomainKey-Signature: a=rsa-sha1; c=nofws;
        d=gmail.com; s=gamma;
        h=mime-version:date:message-id:subject:from:to:content-type;
        b=qWoEmfnGkAZ01TOFanA2nXrlKld9/9g/8mIIOYPdP/ijpXezFwQ6AQY2tIPQy+DVBF
         9svA7QQ3RXqucyn7vQ3q/Q0XD2UfH02Qt89WAxu0RaSG+1VLmJDKBFMKVpUGmR1Dvj1g
         18DSAC7L6JVngd8+RAW8Rs6Jx85GdZhBFsO0I=
MIME-Version: 1.0
Received: by 10.216.235.211 with SMTP id u61mr7400494weq.91.1289996671376;
 Wed, 17 Nov 2010 04:24:31 -0800 (PST)
Received: by 10.216.173.138 with HTTP; Wed, 17 Nov 2010 04:24:31 -0800 (PST)
Date: Wed, 17 Nov 2010 13:24:31 +0100
Message-ID: <AANLkTinUu9iCbQbnpATDD4P5GQoO7W2bVRhtfkVy9MKj@mail.gmail.com>
Subject: zdravo
From: sender <sendersemail@gmail.com>
To: Ikke <mijnemail@gmail.com>
Content-Type: multipart/alternative; boundary=0015175934785be53004953ec105

Er lijkt dus geen originating email te zijn en als je uitgaat van de 10.x.x.x private range, dan zou je bijna denken dat de mail van een intern net van Google afkomt.

10.x.x.x wordt nl niet op het internet gerouteerd voor zover ik weet.

 

[dnties]

Vlgs. mij zit de crux hierin: Received: by 10.216.173.138 with HTTP

Bij mij staat, als ik mezelf een mail stuur via de gmail website:
Received: by 10.220.74.133 with HTTP

Het onderscheid tussen de 2 10.x.x.x ip-adressen zal 'm liggen in dat er meerdere interne ip-adressen zijn van gmail mail-websites, net zoals er meerdere externe ip-adressen zijn van gmail mail-websites.

Enige plek waar iets met spoofen gedaan zou kunnen worden is juist als er wél via SMTP afgeleverd zou zijn (en dus NIET via de website)...

Naar mijn mening ziet het er allemaal legaal uit, omdat naar mijn inschatting er geen SMTP-server van Gmail bij betrokken is (want verstuurd via de website).

Tijs.

 

[buick]

Het lijkt erop dat je gelijk hebt
Maar dat betekent dus eigenlijk ook dat mensen je bv kunnen lastigvallen via een al dan niet tijdelijk Gmail account, zonder dat je hun IP adres kunt achterhalen en repporteren?

 

[dnties]

Het lijkt erop dat je gelijk hebt
Maar dat betekent dus eigenlijk ook dat mensen je bv kunnen lastigvallen via een al dan niet tijdelijk Gmail account, zonder dat je hun IP adres kunt achterhalen en repporteren?

Ze hebben zich moeten aanmelden op de Gmail-website, en het ip-adres van de gebruiker zal best wel ergens door Gmail gelogd worden, voor gevallen van spam/misbruik.
Overigens heeft Gmail/Google verder ook niet veel aan die ip-adressen (veel ip-adressen zijn dynamisch, dus niet terug te herleiden naar een (spam-)organisatie of (spam-)individu). Ze zullen alleen het mail-account afsluiten, lijkt me, in dergelijke gevallen.

Tijs.