13.9.2010

Woher stammt diese Mail

default

 

Wo kommt diese Mail her?

Einige Angaben in einer Mail können gefälscht sein, insbesondere der Absender und seine Email-Adresse. Man kommt dem Ursprung auf die Spur durch die "Received-Header". Sie werden automatisch eingefügt von den Mail-Handlern der Zwischenstationen.

"Alle Header" anzeigen lassen. Je nach Mailprogramm heißen sie z.B. auch "Kopfzeilen" oder "Internetkopfzeilen". Normalerweise werden nur Absender, Empfänger, Datum und "Betreff" angezeigt.

Die Received-Header werden von unten nach oben eingefügt. Man sucht den ersten nicht fälschbaren Received-Header. Der stammt vom eigenen Mail-Provider. Hier ist ein Beispiel:

spammail

Die Mail wurde gesendet von der IP-Adresse 81.198.190.10 und wurde erstellt auf einem Rechner im lokalen Netzwerk dahinter, nämlich 10.0.98.17. Etwas eigenartig ist der "Name" des internen Rechners, aber das ignorieren wir erstmal.

Wir gehen auf einen Whois-Dienst, z.B. http://www.coolwhois.com und geben ein: 81.198.190.10. Wir kriegen den Rechnernamen, so wie er bei ARIN eingetragen ist: "mx.altava.lv". Wegen des IP-Adressbereichs 81.0.0.0/8 werden wir verwiesen auf den Whois-Dienst von RIPE: http://www.ripe.net/whois

Man kann jetzt schon sehen: Der Received-Header von altava.lv ist echt. Das ist wahrscheinlich eine echte Firma, und der Rechner im Firmennetzwerk hat vielleicht einen Trojaner. Eventuell ist aber auch die ganze Firma "böse".

Wir gehen also auch noch auf http://www.ripe.net/whois und geben ein: 81.198.190.10. Was wir dann kriegen, ist leicht verdächtig. Die Firma hat keine vernünftige Adresse, keine Straße, keine Stadt, kein Land (.lv ist Lettland). Und keine verantwortliche Person. Die Domain ist offensichtlich böse. Ich sperre in solchen Fällen die IP-Adresse dauerhaft.

Manchmal kriegt man aber auch sowas, daß die Absender-IP-Adresse zum Pool von Arcor gehört, oder so. Der Internet-Provider des Absenders, das ist dann die Adresse, wohin man sich mit einer höflichen Beschwerde wenden kann. Die Mail muß einschließlich aller Header mitgeschickt werden. Am besten hängt man sie nicht an, sondern fügt sie in die Beschwerdemail ein. Sonst denkt der Empfänger, er kriegt ein Virus zugeschickt.

abatz.de Jörn Abatz - Technische Software Impressum