RIPE har en avancerad och kraftfull sökmotor, men den kan inte översätta adresser till ip-nummer själv, så det får vi göra åt den. Webben är full av tjänster för att översätta värdnamn till ip-nummer, följ t.ex länken till höger. Där får vi veta att ip-nummret är 217.75.192.12. Vi söker med det hos RIPE, och får veta att domänen registrerats av:

Datum registrerad: 2001-12-06 09:34:00
Kontakt e-postadress: richard@river.se
Status: Active

En väg vidare kan vara att titta närmare på sajtens dns (domain name server. Jag envisas med att skriva dns-server för att göra fungerande svenska av det. Får man skriva cd-skiva så...). Till dns-servern vänder sig den dator som vill ha ett begripligt ip-nummer att kontakta, men bara har ett otydbart namn, typ www.karleksinfo.nu. Internets dns-system är - mycket kort uttryckt - invecklat, barockt och förvirrat och kännetecknas av en till kosmiska proportioner gränsande obegriplighet. (Om någon kunde förklara det lite enkelt för mig vore jag hemskt tacksam.) Just nu behöver vi dock bara veta att: dns-servrar är ordnade i hierarkier där vissa servrar har rätt att uttala sig om vad de tror att andra servrar vet. Längst upp finns 13 rotservrar, de flesta i USA, några i Europa (en i Stockholm) och en i Japan. Med jämna mellanrum utbyter servrarna information. karleksinfo.nu bör ha en dns-server som kan tala om för andra dns-servrar och besökande datorer att det obegripliga kodnamnet www.karleksinfo.nu i själva verket står för adressen 40.253.22.84. I själva verket kan vi vänta oss att hitta flera dns-servrar, varav åtminstone en med viss sannolikhet rent fysiskt finns hos någon som underhåller sidan.

Om nu webbföretaget River sköter all uppdatering av karleksinfo.nu helt själva, skulle de också kunna sköta dns-servern för sidan. Men man kan också tänka sig att förtaget som står bakom sajten någonstan har en egen dns-server som är överordnad deras sajter, för att ge dem själva kontroll över sina domännamn. Verktyget för att ta reda på vilka dns-servrar som är överordnade (har rätt att uttala sig om) en specifik server heter Dig och finns på alla Unix- och Linuxsystem. Vi som använder Windows får leta på nätet, se till exempel länken till höger.
Då får vi veta att:

;; query(karleksinfo.nu, A, IN)
;; send_udp(127.0.0.1:53)
;; answer from 127.0.0.1:53 : 190 bytes
;; HEADER SECTION
;; id = 61681
;; qr = 1    opcode = QUERY    aa = 0    tc = 0    rd = 1
;; ra = 1    rcode  = NOERROR
;; qdcount = 1  ancount = 1  nscount = 4  arcount = 2
;; QUESTION SECTION (1 record)
;; karleksinfo.nu.	IN	A
;; ANSWER SECTION (1 record)
karleksinfo.nu	.7200	IN	A	40.253.22.84
;; AUTHORITY SECTION (4 records)
karleksinfo.nu.7200	IN	NS	ns1.iquest.net.
karleksinfo.nu.7200	IN	NS	dns1i.xh1.lilly.com.
karleksinfo.nu.7200	IN	NS	auth51.ns.uu.net.
karleksinfo.nu.7200	IN	NS	auth101.ns.uu.net.
;; ADDITIONAL SECTION (2 records)
auth51.ns.uu.net.165949	IN	A	198.6.1.162
auth101.ns.uu.net.165949	IN	A	198.6.1.210
;; query status: NOERROR

OrgName:    Eli Lilly and Company 
OrgID:      ELILIL
Address:    Lilly Corporate Center
City:       Indianapolis
StateProv:  IN
PostalCode: 46285
Country:    US
NetRange:   40.0.0.0 - 40.255.255.255 
CIDR:       40.0.0.0/8 
NetName:    LILLY-NET
NetHandle:  NET-40-0-0-0-1
Parent:     
NetType:    Direct Assignment
NameServer: DNS1I.XH1.LILLY.COM
NameServer: NS1.IQUEST.NET
NameServer: AUTH40.NS.UU.NET
NameServer: AUTH62.NS.UU.NET
Comment:    
RegDate:    1991-04-23
Updated:    2001-07-17
TechHandle: ZE16-ARIN
TechName:   Eli Lilly and Company 
TechPhone:  +1-317-277-7000
TechEmail:  hostmaster@lilly.com 

Glöm inte att leta efter ledtrådar på hemsidan, alltså. Kolla också källkoden (view -> source, eller något liknande). Mellan <META> och </META>, på de allra första raderna kan det t.ex. finnas andra adresser till ställen där bilder eller andra filer lagras, eller rent av en e-postadress till den som gjort sidan.

• www.whitehouse.com    kommentarer
• www.whitehouse.org    kommentarer
• www.whitehouse.gov
• www.levandehistoria.org
• www.levandehistoria.com    kommentarer
• www.levandehistoria.nu

Alla träffar är från vintern 1998 och våren 1999. De är undertecknade Charlie, Thomas N, Thomas Nord eller Carl Thomas Nord.

Härifrån kan vi givetvis gå vidare och söka på namnet snarare än adressen. Problemet är att en sökning på Thomas Nord ger en kolossal mängd träffar, där de senaste årens skörd handlar om honom. Själv använder han sedan några år tillbaka alltid psedonymer. För att hitta hans egna inlägg, och kanske spåra några av hans psedonymer, kan vi istället förflytta oss stegvis framåt i tiden, och leta efter den punkt där han bytte alias första gången. Prova att söka på "Thomas Nord", men sätt ett slutdatum för i sökningen och sortera reultaten efter datum.
Före den 1 mars 1999 är e-postadressen den samma, men byt månad till april och Thomas.Nord@ebox.tninet.se dyker upp. Ett användarnamn och en e-postadress utgör tillsammans ett alias i Googles sökmotor. Klicka på namnet "Thomas Nord" och alla meddelanden postade med hans nya alias, Thomas Nord (Thomas.Nord@ebox.tninet.se), dyker upp. De är 179 stycken. Därmed har vi en ny lista att ögna igenom efter intressanta meddelanden.

ibero@libertysurf.se blir voreb@yvoreglfhes.fr när vi caesarkodar det. En sökning ger 652 nya träffar, och här hittar vi nya alias, som t ex C, C T, CT, T och Ca.

Egentligen kan vi aldrig veta säkert vem som skickat ett meddelande, om vi inte känner någon som har hand om servern meddelandena postats via. Därmot kan vi skaffa oss en viss säkerhet genom att studera hela brevhuvudet ('Original format' på Google). Av Posting host, Message-ID, NTTP-host eller X-Trace (se vidare länken till höger) kan man oftast utläsa vilken server meddelandet postats genom. Det är normalt sett internetleverantören, eller i några fall någon webb-tjänst. Det finns dock öppna usenetservrar som vem som helst kan använda. Det är vanligt i grupper som många vanliga internetleverantörer valt att censurera, t ex alt.2600.*, som handlar om nyheter i hack-, phreak- och crackvärlden (för övrigt ett bra ställe om börja leta på om man vill få en hint om vem som står bakom ett dataintrång, t ex).

Vad som finns i brevhuvudet kan variera, beroende på med vilket program meddelandet skickats, genom vilka servrar det vandrat, till vilken grupp, i vilket nät det postats och slutligen var det arkiverats. Är man nyfiken på ett meddelande gäller helt enkelt att gå igenom den information som finns i brevhuvudet (se guiden till höger). Mycket går enkelt att förfalska, men nästan alltid finns det någon uppgift som är sann.

• Caesarkodning används ibland i ljusskygga grupper för att inlägg inte skall ge träffar i sökmotorerna. En sökning på 'holocaust' ger träffar i bland annat soc.history.* och soc.jewish. Prova att caesarkoda och se vilka grupper det kodade ordet återfinns i!    kommentarer
• Falska alias är vanligt på Usenet - rent av god ton i vissa grupper. Prova t ex att söka på meddelanden författade av goran.persson@regeringen.se!    kommentarer
• Tom Hjelte?
• Joachim Berner?

Vi fick ett mejl till jmkstud-listan från Steven Wright förra onsdagen. Några tomrader är borttagna:

For my birthday I got a humidifier and a de-humidifier... 
I put them in the same room and let them fight it out...
-- 
__________________________________________________________
Sign-up for your own FREE Personalized E-mail at Mail.com
http://www.mail.com/?sr=signup

______________________________
 
 to unsubscribe send mail to "listar@jmk.su.se" with empty subject line,
 and in the mail "unsubscribe jmkstud"
 
______________________________
 

Roligare än den om tomaterna som skulle gå över vägen, men ändå inte så att jag vek mig dubbel av skratt. Någon som är mer allmänbildad än jag visste kanske redan att Steven Wright är en amerikansk komiker, www.stevenwright.com. Vi är förstås nyfikna på om det är Steven Wright själv som skickat brevet (säkert...) och vem det annars skulle kunna vara.

För enkelhets skull antar vi att all information i brevet (utom skribentens namn) är äkta. Hade det innehållit ett erbjudande om att köpa ivorianska pass för dollar borde vi kanske varit lite mer försiktiga. Låt oss se vilken information brevet innehåller! Först kan vi notera att där finns reklam för en webbmejltjänst, mail.com. (Det är samma företag som har de populära mejladresserna med yrkestitlar, t ex @journalist.com
Mail.com har ingen e-postkatalog på nätet - annars kunde namnet kanske funnits där. Jag gjorde för säkerhets skull en sökning i några amerikanska e-postkataloger, och på ICQ, utan att hitta adressen. Antagligen finns den helt enkelt ingenstans där vi kommer åt den.

Nästa dag, på torsdagen, kom ett nytt brev från samma avsändare:

A friend of mine once sent me a postcard with a picture of the entire 
planet Earth taken from space. On the back it said 'Wish you were here.'

Av innehållet i brevet kan vi nog inte utläsa mer, däremot av brevhuvudet. Alla e-postprogram kan visa hela brevhuvudet på något sätt, se listan till höger. Däremot går det inte i alla webbmejltjänster. Hotmail har t ex tagit bort all extra information i inkommande brev, möjligen av snålhet - information kostar pengar att lagra. Så här såg brevhuvudet i fredagsbrevet ut när det kommit hem till mig (information kan läggas till av olika servrar längs vägen, som ett slags poststämplar. Eftersom den sista sträckan från jmk ser lite olika ut för oss, kan också några rader skilja sig en smula)

Många rader ser ut precis som dem i ett meddelande till en nyhetsgrupp (se avsnittet ovan), men några skiljer sig och några används lite annorlunda. En förteckning över alla delar i ett huvud kommer när jag får tid (typ 2008, lagom till min 30-årskris).
De nedersta raderna, X-listar-version, Sender, Errors-to, X-original-sender, Precedence, Reply-to, X-list är inlagda av Listar, programmet som sköter JMK:s e-postlista. Det är värt att notera att om det från början funnits en ReplyTo-adress som skilde sig från avsändaren så hade Listar låtit den stå kvar. Raderna X-Spam-Status och X-Spam-Level är möjligen infogade av något filterprogram.
From, To, Date och Subject är information vi antagligen kunde se redan tidigare. MIME-Version, Content-type, Content-Disposition och Content-Transfer-Encoding talar hur vårat mejlprogram skall läsa meddelandet (vilken teckenuppsättning som skall användas, t ex).
Message-ID är, precis som i fallet med nyhetsgrupper i föregående avsnitt, en id-kod som skapats av den server som användes för att skicka meddelandet. Eftersom varje meddelande måste ha ett unikt id-nummer, ingår ofta namnet på servern i koden. Här ingår mycket riktigt domännamnet mail.com. Överst finns en lång drapa Received-rader. En sådan rad läggs till först i huvudet för varje server meddelandet passerat. På så vis kan vi spåra meddelandet bakåt från mitt jmk-konto, ruth.jmk.su.se (mbox h-walleo), ända till avsändarservern. Varje rad kan tala om varifrån meddelandet kommer, vem som tagit emot det, hur, för vem och när, i den ordningen. Received: from av-in1.su.se (av-in1.su.se [130.237.162.111]) by ruth.jmk.su.se (8.9.3/8.9.1) with ESMTP id SAA00338 for <jmkstud@jmk.su.se>; Thu, 20 Mar 2003 18:37:19 +0100 (CET)

Av raden ovan får vi alltså veta att ruth.jmk.su.se (Jmk:s e-postserver) tog emot meddelandet från av-in1.su.se (universitetets e-postserver) med ett protokoll som heter ESMTP, för jmkstud@jmk.su.se, klockan 18:37 på torsdagen i vår tidzon. Den sista Recieved-raden skall normalt vara inlagd av den första server som hanterade meddelandet, och alltså tala om vilken server meddelandet skickades från. Vår sista (tidigaste) rad ser ut så här: Received: from [134.25.0.196] by ws1-2.us4.outblaze.com with http for steven.wright@mindless.com; Thu, 20 Mar 2003 12:36:42 -0500

I just det här meddelandet finns ytterligare två rader av intresse: X-Originating-Ip och X-Originating-Server. De skall egentligen inte säga någonting vi inte kan utläsa ur Recieved-raderna, men om de finns är de praktiska. Den första server som hade hand om vårt brev var sw1-2.us4.outblaze.com (som framgår av X-Originated-Server och den äldsta Recieved-raden). Outblaze (www.outblaze.com) är ett amerikanskt webbförtag som sköter e-postservrar. Bland annat har de hand som e-posten åt mail.com. I många fall kunde det ha varit stopp här; vi hade fått veta att meddelandet var skickat från ett mail.com-konto, på en server hos Outblaze med adress jmkstud@jmk.su.se, men inget mer (jo, att brevet gått via universitetet, förstås). Lyckligtvis är servern hos Outblaze av det meddelsammare slaget. Den talar om vilken ip-adress som bad den skicka meddelandet: 134.25.0.196

Vi kan översätta ip-nummret till ett namn (som vi gjorde när vi skulle använda WhoIs-tjänsterna hos någon RIR, fast åt andra hållet nu.), och söka med det i lämplig whois-tjänst. Vi får veta att meddelandet skickades från en dator hos:

musk.SR.SE was returned from IP Address 134.25.0.196 

*holder:                         Sveriges Radio AB
*orgno:                          556419-3232
*contact_info.coaddr:            -
*contact_info.address:           Oxenstjärnsgatan 10
*contact_info.zipcode:           105 10
*contact_info.postal_town:       Stockholm
*contact_info.countrycode:       SE
*contact_info.phone_no:          08-784 00 00
*contact_info.fax:               08-784 15 00
*contact_info.contact:           Roland Janvi
*contact_info.email:             anna.buren@vd.sr.se

Torsdagens brev då? Det skickades från:

ua-213-112-147-140.cust.bredbandsbolaget.se was returned
 from IP Address 213.112.147.140 

role:         Bredbandsbolaget Rouingregistry
address:      Stockholm, Sweden
e-mail:       noc@bredband.com

Det är med andra ord inte Steven Wright själv som skickat brevet, såvitt han inte flyttat till Sverige, skaffat internetabonnemang hos Bredbandsbolaget och jobb på Sveriges Radio. Något namn på personen i fråga får vi dock knappast om vi inte lyckas flirta oss in hos någon på SR:s dataavdelning, eller lyckas lista ut vilken person med anknytning till JMK som stämmer in på beskrivningen.
Det kom för ännu ett brev från samma avsändare precis när jag skrivit färdigt det här, postat på fredagen från bredbandsbolaget Bonet.

When I was little, my grandfather used to make me stand in a closet
for five minutes without moving. He said it was elevator practice.

Lördagens meddelande sedan, var postat från Bredbandsbolaget igen.

Vecka 12

	Dag	Postat klockan	Från
Onsdag		Sveriges Radio
Torsdag	18:36	Bredbandsbolaget
Fredag		BoNet
Söndag	23:41	BoNet

Ibland kan man faktiskt av ip-adressen avgöra exakt var en dator finns - i många studentbostäder ingår t.om rumsnummret i någon form. En del internetleverantörer tar reda på vilken användare som haft vilket ip-nummer vid en viss tid mot betalning. Det kostade 600- 700 kronor för ett par år sedan.

För en gångs skull skall jag börja i den lättaste änden. Det finns nämligen flera nyhetsgrupper på Usenet dit man kan vända sig och få svar på varifrån ett brev kommer. En del av dem som svarar kan inte så mycket som de skulle önska, andra kan snabbt ta reda på mer än man önskar att de borde kunna. Har du kommit över ett e-brev och vill vara säker på att avsändaren är den du tror, så kan du alltid prova att posta en kopia av hela brevhuvudet till någon sådan grupp.

Några grupper som används just nu är:

• alt.spam
• alt.kill.spammers
• alt.stop.spamming
• news.admin.net-abuse.email

blablablablablablablabla