Google

World Wide Web anti-scam


Seitenindex umschalten Seiten: 1 Thema versenden
Normales Thema Woher kommt eine Email? (Gelesen: 14971 mal)
 
Webmaster
Themenstarter Themenstarter
Forum Administrator
*****
Offline


Abgeschlafft und ausgepufft!!

Beiträge: 24024
Standort: Йошкар-Ола
Mitglied seit: 06. Januar 2008
Geschlecht: männlich
Woher kommt eine Email?
06. Januar 2008 um 08:18
 
Eine Möglichkeit, ob die Frau, mit der sie schreiben, auch wirklich in dem Ort wohnt, den sie angibt, ist, die IP-Adresse zu verfolgen. Wie das im einzelnen funktioniert, erkläre ich unterhalb an Hand eines Beispiels aus derzeit aktueller Zeit. 
Wenn sie also in der Mail schreibt, sie lebt in Moskau, die Mail aber an Hand des Headers "Yoskar-Ola" zugeordnet werden kann, dann kannst du fragen, warum sie log. Ob du allerdings darauf noch eine Antwort bekommst, steht wohl in den Sternen. 

Noch etwas: Einige Antiscam-Seiten oder Foren listen verdächtige IP-Adressen auf. Diese solltest du ignorieren. Lassen sie mich sagen, dass eine riesige SCAM-Gruppe einen Wähldienst nutzt. Dann listet diese dumme Antiscam-Seite diese IP als verdächtig auf. So bekommt ein ehrliches Mädschen, das zufällig den selben Wähldienst nutzt, zwangsläufig diese gleiche IP-Adresse, die auch für die Ergaunergruppe aufgezeichnet wurde.

Ignoriere solche Seiten, die verdächtige IP-Adressen auflistet. Wichtig ist, dass du weißt, woher deine Mail kommt.

Doch nun zum Beispiel:

Return-path: <moonlaska25@yahoo.com>
Delivery-date: Sat, 05 Jan 2008 12:16:06 +0100
Received: from [195.4.92.17] (helo=7.mx.freenet.de)
by mbox14.freenet.de with esmtpa (ID exim) (Exim 4.68 #6)
id 1JB70X-0003vK-T0
for xxxxxxxxxx@01019freenet.de; Sat, 05 Jan 2008 12:16:06 +0100
Received: from smtp104.plus.mail.re1.yahoo.com ([69.147.102.67]:48691)
by 7.mx.freenet.de with smtp (port 25) (Exim 4.68 #1)
id 1JB70j-0003kh-Og
for xxxxxxxxxx@01019freenet.de; Sat, 05 Jan 2008 12:16:17 +0100
Received: (qmail 51977 invoked from network); 5 Jan 2008 11:16:17 -0000
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
 s=s1024; d=yahoo.com;
 h=Received:X-YMail-OSG: ontent-Type:Content-Transfer-Encoding;
BSpd11MlsJPf3g=  ;
Received: from unknown (HELO COMP2) (moonlaska25@91.144.161.130 with plain)
 by smtp104.plus.mail.re1.yahoo.com with SMTP; 5 Jan 2008 11:16:16 -0000
X-YMail-OSG: bxsXBAwVM1k.Bmg_VSjDmetdyYoQnUdwn2b3dQ7zvWSzf8xj
Date: Sat, 5 Jan 2008 13:53:57 +0300
From: tanya <moonlaska25@yahoo.com>
X-Priority: 3 (Normal)
Message-ID: <192259016.20080105135357@yahoo.com>
To: "xxxxxxxxxx" <xxxxxxxxxx@01019freenet.de>
Subject: Re:
In-Reply-To: <008f01c84eff$82f4fde0$8e7ba8c0@merlin>
References: <008f01c84eff$82f4fde0$8e7ba8c0@merlin>
MIME-Version: 1.0
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
X-Warning: yahoo.com is listed at abuse.rfc-ignorant.org
Envelope-to: xxxxxxxxxx@01019freenet.de
X-purgate-ID: 149285::080105121605-3AF106B0-1F4D672A/0-0/0-0
Delivered-To: xxxxxxxxxx@01019freenet.de




Legen wir also los:

Return-path: Absender der E-Mail (dies dürfte wohl jedem bekannt sein).
Wichtig ist jetzt die letzte Received-Zeile:

Received: from unknown (HELO COMP2) (moonlaska25@91.144.161.130 with plain)
 by smtp104.plus.mail.re1.yahoo.com with SMTP; 5 Jan 2008 11:16:16 -0000


Hier kann man zum Beispiel lesen:

moonlaska25@91.144.161.130

und diese IP-Adresse (91.144.161.130) ist ausschlaggebend um den Standort des E-Mail-Servers zu bestimmen.

Nun wollen wir feststellen, wo der Server sich befindet. Dazu öffnen wir folgende Seite:

  Smiley   

in einem extra geöffneten Fenster unten, geben die IP-Adresse ein und erhalten folgendes Ergebnis:


IPv4-adress:  91.144.161.130
addr-out:   net161.144.91-130.yoladom.ru



inetnum:    91.144.160.0 - 91.144.163.255
netname:    ERTH-YOLA-NET
descr:    ZAO "Company "ER-Telecom" Yoshkar-Ola address space
country:    RU
admin-c:    ETHD12-RIPE
tech-c:   ETHD12-RIPE
status:   ASSIGNED PA
mnt-by:   MNT-ERTHOLDING

role:     Network Operation Center CJSC ER-Telecom Company Mari El branch
address:    12, Lenina st. , 424000, Yoshkar-Ola, Russia
phone:    +7 8362 210035
fax-no:   +7 8362 210035
e-mail:   noc@yola.ertelecom.ru
admin-c:    SMS68-RIPE
tech-c:   ALB49-RIPE
tech-c:   AVA89-RIPE
nic-hdl:    ETHD12-RIPE
mnt-by:   MNT-ERTHOLDING


route:    91.144.160.0/22
descr:    "Company "ER-Telecom" Yoshkar-Ola route object
origin:   AS41786
mnt-by:   MNT-ERTHOLDING



Jetzt dürf ihr dreimal raten, wo die Dame wohnt. Jedenfalls nicht in Moskau, wie sie in ihrer Mail schreibt.


Alternativ könnt ihr auch hier nachsehen und erhaltet nach Eingabe des vollständigen Headers die komplette Tracer-Route:

 
Smiley

Allerdings habe ich hier festgestellt, dass die Auskünfte nicht immer genau sind.

Das Ergebnis von Traceroute zeigt nicht immer den tatsächlichen Weg. Er wird beeinflusst von Firewalls, fehlerhaften Implementierungen des IP-Stacks, Network Address Translation, IP-Tunneln oder der Wahl eines anderen Pfades bei Netzwerküberlastung und anderen Faktoren.
Im obigen Fall zum Beispiel wird moonlaska25@91.144.161.130 nicht erkannt.  Dies kommt durch eine fehlerhafte Implementierung der IP-Stacks zustande, was die vielen "Errors" beweisen.
Hier wird zum Beispiel Kiel als Einlieferungsort angegeben, der Server von Freenet und damit der Server des Empfängers.





Spezielle Notiz: Viele russische Server laufen durch Moskau. Wenn du also die IP eines Mädchens verfolgen willst und sie sagt, dass sie in Moskau lebt, glaube es nicht unbedingt. Überprüfe mehrere ihrer E-Mails. 


 







Zwischenzeitlich hat sich eine neue Variante des E-Mail-Versandes aufgebaut.
Manche SCAMMER versuchen sogenannte "Socks-Proxies" oder "Open-Relay-Server" zu verwenden um den Header zu verschleiern (von SPAMMERN gerne benutzt), ihre E-Mail-Adresse wird aber nicht verschleiert (klar, sie wollen ja Antwort haben). Seit einiger Zeit setzt sich auch VPN für solche Sachen in der Netzwelt durch. Wahrscheinlich sehen wir dann "Mari-El-IP´s überhaupt nicht mehr. An dem Bild oben ist also durchaus etwas wahres dran. Wenn sie also etwas entdecken, was dort nicht sein sollte, ist es eine Gaunerei. Ihre IP sollte aus Rußland sein und entsprechend der Stadt, aus der sie behauptet zu schreiben. Es sollte zumindest eine in der Nähe liegende Großstadt sein.
Keine amerikanische IP, keine kanadische IP, keine britische IP und erst recht keine afrikanische, lateinamerikansche 
oder asiatische IP.



Was ist noch wichtig? Wie ich bereits erläutert habe, wird die Route einer Mail immer dadurch bestimmt, wo sie eingeliefert wurde, nicht wo sie tatsächlich abgesendet wurde. Das verhält sich so, als würde ich einen Brief in München schreiben, aber ihn erst in Berlin zur Post bringen. Legt sich ein SCAMMER zum Beispiel eine Adresse bei einem deutschen Provider an, nehmen wir als Beispiel "t-online", so beginnt der Tracer bei Köln, obwohl sich der SCAMMER in Yoshkar-Ola befindet. Die Strecke zwischen Yoshkar-Ola und Köln wird unterschlagen. 
Man kann also der Tracerroute nicht immer blind vertrauen.






Support: Solltest du nicht in der Lage sein, trotz der guten Beschreibung hier einen E-Mail-Header auszulesen, so bin ich gerne behilflich. Melde dich hier an und poste deinen Header hier mit einem kurzen Vermerk.
Kein Mensch kann alles.



Anmerkung: SCAM und SPAM sind eng miteinander verknüpft. Deshalb lohnt sich bei solchen Kontakten eine Wegwerfadresse, wie sie von fast allen großen E-Mailprovider angeboten wird. Ich empfehle hier Freenet, weil hier die Header sehr leicht auszulesen sind.

Ich möchte jetzt nicht näher auf dieses Thema eingehen, weil es sonst irgendwann den Rahmen sprengt und sich diese Seite nur mit dem SCAM befaßt.

« Zuletzt geändert: 24. Juni 2010 um 12:24 von Webmaster »  
Zum Seitenanfang
IP gespeichert
 
Seitenindex umschalten Seiten: 1
Thema versenden
Link zu diesem Thema