Google

World Wide Web anti-scam


Seitenindex umschalten Seiten: 1 Thema versenden
Normales Thema E-Mail Header richtig interpretieren (Gelesen: 9027 mal)
 
Webmaster
Themenstarter Themenstarter
Forum Administrator
*****
Offline


Abgeschlafft und ausgepufft!!

Beiträge: 24026
Standort: Йошкар-Ола
Mitglied seit: 06. Januar 2008
Geschlecht: männlich
E-Mail Header richtig interpretieren
17. Oktober 2008 um 06:40
 
E-Mail Header richtig interpretieren: 
Nachfolgend eine kurze Erklärung an einer exemplarischen E-Mail, wie man die Header richtig interpretieren kann. Hier eine Mail, die von einer T-Online E-Mailadresse an abuse@anti-scam.de geschickt wurde (absichtlich kompiliziert). 

Received:  from [81.2.155.101] (helo=ns1.2xs.net)
     by mx06.web.de with esmtp (WEB.DE(Exim) 4.70 #5)
     id 17T3FH-0006mu-00
     for meinefinaleadresse@web.de; Fri, 12 Jul 2002 18:26:15 +0200  
Received:  from omta02.mta.everyone.net (sitemail3.everyone.net [216.200.145.37]) 
     by mail.2xs.net (8.11.6/8.11.6/SuSE Linux 0.5) with ESMTP id g6CGQCx29024 
     for ; Fri, 12 Jul 2002 18:26:12 +0200 

Received:  from imta01.mta.everyone.net (dsnat [216.200.145.62]) 
     by omta02.mta.everyone.net (Postfix) with ESMTP id 402BD1C3A7D 
     for ; Fri, 12 Jul 2002 09:26:07 -0700 (PDT) 

Received:  by imta01.mta.everyone.net (Postfix) 
     id AAC2457B34; Fri, 12 Jul 2002 09:26:01 -0700 (PDT)

Delivered-To:  abuse@anti-scam.de
Received:  from mailout08.sul.t-online.com (mailout08.sul.t-online.com [194.25.134.20]) 
     by imta01.mta.everyone.net (Postfix) with ESMTP id 9F00957B28 
     for ; Fri, 12 Jul 2002 09:26:00 -0700 (PDT)  
Received:  from fwd10.sul.t-online.de 
     by mailout08.sul.t-online.com with smtp  
     id 17T35E-0002Zj-06; Fri, 12 Jul 2002 18:15:52 +0200 

Diese Felder sind das eigentlich Wichtige und zeichnen den Weg nach, den die E-Mail bis in Ihr Postfach genommen hat. 
Dieser Weg ist von unten nach oben zu lesen!
 

Im ersten (also dem letzten) Feld hat der Mailserver mailout08.sul.t-online.com die Mail von fwd10.sul.t-online.de erhalten. 
Letzterer nimmt also offensichtlich die Mails von T-Online Kunden entgegen. 

Im nächsten Feld (also eins drüber), erhält der Mailserver imta01.mta.everyone.net, der für den Mailverkehr verantwortlich ist, 
die Mail von mailout08.sul.t-online.com. Hinter dem T-Online Mailserver stehen noch Informationen, 
die der Everyone.net Mailserver ermittelt hat. Nämlich der Name, mit dem sich der T-Online Mailserver identifiziert hat (leicht zu fälschen),
ganz hinten, in eckigen Klammern, die IP-Adresse (nicht zu fälschen) und davor der Reverse Lookup, d.h. die Domain, die von dem Nameserver von Everyone.net als zugehörig zur IP-Adresse ermittelt wurde (oftmals 'unknown'). Der tatsächliche Mailserver von dem die Mail kam, ist also im Zweifelsfall der, der über die angegebene IP-Adresse erreichbar ist. 

Das Delivered-To Feld bezeichnet in dem Fall, daß die Mail aus Sicht der T-Online Mailserver ihr Ziel erreicht hat. 

Die nächsten beiden Felder beschreiben ein 'Herumgereiche' der Mail bei Everyone.net. Dies ist nicht zu verallgemeinern oder typisch. 

Im darauffolgenden Feld wird beschrieben, daß die Mail um 18:26:12 Uhr von einem 2XS Mailserver namens mail.2xs.net von omta02.mta.everyone.net entgegengenommen wurde. Sie hat also das Everyone Netz verlassen. Schön zu sehen ist, daß sich der Everyone.net Mailserver bei mail.2xs.net mit omta02.mta.everyone.net vorgestellt hat, ein Reverse Lookup seines Hostnamens, aufgrund seiner IP-Adresse aber ergibt, daß er eigentlich sitemail3.everyone.net heisst. 

Weitere 3 Sekunden später endet die Reise der Mail, denn der 2XS Mailserver (der sich mit ns1.2XS.net vorgestellt hat) hat die Mail bei mx06.web.de, einem Web.de Mailserver abgeliefert, und zwar für den finalen Empfänger meinefinaleadresse@web.de




Message-ID:  <000b01c229bf$69edf510$9666a8c0@fwd10.sul.t-online.de>  
Die Message-ID wird vom ersten Mailserver gesetzt. Unter Umständen könnte man die Mail auf diese Weise eindeutig identifizieren, die Mailing-Software benutzt sie normalerweise. In diesem Fall ist sie 000b01c229bf$69edf510$9666a8c0 und wurde von fwd10.sul.t-online.de gesetzt! 

From:  Paul.Puschmann@t-online.de (Bademeister)  
To:  <abuse@anti-scam.de>  
From und To sind die Felder, die bei jeder Mail vom Anwender auszufüllen sind. Sie sind ohne Probleme zu fälschen. 

Subject:  Re: Anti-Scam ist toll!
Der Betreff der Mail wird intern natürlich englisch bezeichnet, als Subject! 

Date:  Fri, 12 Jul 2002 18:16:00 +0200 
Das Zeitstempel der Mail. Wird normalerweise vom Mailprogramm des Absenders gesetzt (Outlook, Eudora, etc.) und ist somit natürlich auch fälschbar, bzw. so falsch wie die Systemuhr des Absenders...   

MIME-Version:  1.0  
Content-Type:  multipart/alternative;  
X-Priority:  3  
X-MSMail-Priority:  Normal  
X-Mailer:  Microsoft Outlook Express 6.00.2600.0000  
X-MimeOLE:  Produced By Microsoft MimeOLE V6.00.2600.0000  
X-Sender:  0123456789-0001@t-dialin.net  
X-Virus-Scanned:  by AMaViS-perl11-milter (http://amavis.org/)
Alle Zeilen, die mit einem X beginnen, sind EXtrainformationen! Sie können in der Mail drin sein, haben aber rein gar nichts mit dem Versand zu tun. Die verschiedensten Instanzen fügen einen X-Eintrag hinzu! In diesem Fall sind das: 

X-Priority, die Priorität der Mail. Nur interessant für Empfänger und Absender, hat keinen Einfluß auf die Geschwindigkeit des Versands. X-MSMail-Priority, nur Microsoft (MS) weiß, was das soll!  X-Mailer, das Mailprogramm, mit dem die Mail verfasst wurde, in dem Fall Outlook Express. X-Sender, eine Information, die vom T-Online Mailserver hinzugefügt wurde. Sie identifiziert den T-Online Kunden eindeutig. X-Virus-Scanned, eine Information, die vom 2XS Mailserver hinzugefügt wurde und den Empfänger darauf hinweist, daß die Mail einen Virusscanner durchlaufen hat. 

Felder wie MIME-Version und Content-Type helfen dem Empfangsmailprogramm, die Mail richtig darzustellen. 





Wie bereits oben angemerkt, ist dieser Mailheader besonders kompiliziert. Normalerweise durchläuft eine Mail nicht derartig viele Stationen. Wichtig ist nur festzuhalten, daß die für Menschen so einfach lesbaren Informationen, wie Absender oder Empfänger, oder Name des Mailservers, etc. ohne jegliche Probleme vom Absender zu fälschen sind. 

Sicher kann man sich nur der Informationen sein, die ein Mailserver dem wir vertrauen, vom Mailserver des Absenders ermittelt hat. Und das ist eigentlich nur die IP-Adresse. 

In unserem Falle würden wir also imta01.mta.everyone.net vertrauen (da er von uns als Mailserver benutzt wird) und sehen, daß die Mail via Server 194.25.134.20 kam, der sich selber als mailout08.sul.t-online.com identifizierte, was mit dem Host übereinstimmt, der als zugehörig zur IP-Adresse ermittelt wurde. 

Und damit steht fest, daß die Mail über mailout08.sul.t-online.com kam. Mehr wissen wir nicht. Das brauchen wir aber auch nicht, denn im Falle von SCAM muß jetzt die Abuse-Abteilung von T-Online informiert werden, der wir die kompletten Header mitschicken müßten. Diese würde dann wahrscheinlich anhand des X-Sender Feldes den Versender identifizieren und zur Rechenschaft ziehen (wenn er aus Deutschland kommt). 


Sollte es noch weitere Fragen geben, dann scheuen Sie sich nicht, sie in unserem Forum zu stellen!


Quellenangabe: Antispam e.V.
« Zuletzt geändert: 10. April 2012 um 16:31 von Webmaster »  
Zum Seitenanfang
IP gespeichert
 
Seitenindex umschalten Seiten: 1
Thema versenden
Link zu diesem Thema