Author Topic: Zurückverfolgen unschöner Mails  (Read 67196 times)

Offline Salto

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
Zurückverfolgen unschöner Mails
« on: Wednesday, 16.03.2005 17:14 »
Hallo

Ich habe eine Unschöne Mail erhalten und würde gerne wissen von wem die kommen.
Könnt ihr mir da weiter helfen?

Offline Martin

  • Administrator
  • Full Member
  • *****
  • Posts: 58
  • Karma: 0
    • http://geotek.de/
Re: Zurückverfolgen unschöner Mails
« Reply #1 on: Wednesday, 16.03.2005 17:49 »
...aber gerne!

zum Zurückverfolgen der Mail musst du dir den sog. MIME-Header der Nachricht ansehen. Jedes Mailprogramm hat eine Möglichkeit diesen MIME-Header darzustellen, es ist der Textkopf der Nachricht, so wie er über das Internet hereingekommen ist. Hier ist z.B. der Mime-Header einer Spam-Mail, die hier gerade ankam:

Quote
Received: from hosting-smtp.descom.es ([195.235.166.35])
   by IP-1-117.geotek.de ([192.168.1.117], envelope-sender=<agentur@agentur-espana.com>)
   with No Spam Today! Service V2.0.4.4 25 Recipients
   for 192.168.1.117; Thu, 10 Mar 2005, 04:16:14 +0100
Received: from illi-qga28kn5iz (253.Red-81-33-121.pooles.rima-tde.net [81.33.121.253])
   (authenticated bits=0)
   by hosting-smtp.descom.es (8.12.11/8.12.2) with ESMTP id j2A2HAlJ013066
   for <info@geotek.de>; Thu, 10 Mar 2005 04:18:27 +0100
From: Agentur =?ISO-8859-1?Q?Espa=F1a?= <agentur@agentur-espana.com>
Subject: Wir bitten Sie um Ihre Einwilligung

Das einzig wichtige daran ist die rot markierte Adresse, alles andere kann gefälscht sein. Gib diese Adresse z.B. unter meineipadresse.de ein, um den Inhaber der Domäne und des Netzbereichs herauszufinden. Wenn es ein DFÜ-Einwahl-Account über ISDN oder Modem war, hast du Pech gehabt, denn nur dessen Provider weiß, welcher Benutzer sich zu dieser Zeit eingewählt hat, und er wird (und darf) dir den Namen nicht nennen.

Hast du allerdings schon einen Verdacht wer es sein könnte, gibt die Mail möglicherweise weitere Anhaltspunkte. Wenn du sofort nach Erhalt der Mail reagierst, kannst du vielleicht sogar noch mehr über den Absender erfahren, solange er seinen Internetzugang noch nicht wieder getrennt hat, aber das würde hier zu weit führen.

Wenn du nicht klar kommst, poste doch bitte hier die ersten zehn Zeilen des MIME-Headers (ersetze dabei deine echte Email-Adresse durch xxxx, wenn du nicht willst, dass sie hier veröffentlicht wird)

Offline Salto

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
Re: Zurückverfolgen unschöner Mails
« Reply #2 on: Wednesday, 16.03.2005 17:53 »
Davon hab ich gehört, nun aber mein Problem diese Adresse die bei dir rot ist, gibt es bei mir nicht.
Return-Path: <jpkthrjs@gmx.de>
> Received: from mail.gmx.net
> by imo-m26.mx.aol.com (mail_out_v37_r3.4.) id 7.157.3c29e86a (4410)

Was nun?

Offline Martin

  • Administrator
  • Full Member
  • *****
  • Posts: 58
  • Karma: 0
    • http://geotek.de/
Re: Zurückverfolgen unschöner Mails
« Reply #3 on: Thursday, 17.03.2005 09:01 »
Hallo Salto,

dieser MIME-Header ist unvollständig. Am Ende der ersten "Received:"-Zeile muss in Klammern die IP-Adresse stehen), ohne die ist alles weitere reine Spekulation.

Entweder ist das nicht der richtige oder vollständige MIME-Header der ursprünglichen Mail (sondern vielleicht der weitergeleiteten?), dein Provider lässt die aus (was sehr unfein wäre), oder dein Email-Client zeigt sie nicht an (habe ich aber noch bei keinem üblichen Mail-Client beobachtet)

Wenn ich jetzt mal davon ausgehe, dass das der richtige Header ist, hast du die störence Mail von einem Account bei AOL empfangen, und AOL sagt, sie haben die Mail von einem gmx-User erhalten, und zwar von jpkthrjs@gmx.de. Diese Adresse kann gefälscht sein, muss aber nicht.

Du könntest versuchsweise dieser Adresse mal eine freundliche Mail schicken. Je nachdem, ob die Mail als unzustellbar zurückkommt, sich eine ahnungslose junge Dame meldet, die von nichts weiss, oder die Mail zwar zugestellt wird, aber ohne Antwort bleibt, kannst du weitere Schlüsse ziehen.

Unabhängig davon würde ich mal AOL fragen, warum sie die IP-Adresse weglassen, die Antwort würde uns hier sehr interessieren.

Das basiert natürlich alles nur auf obiger Annahme. Ist die ursprüngliche, störende Mail denn tatsächlich auf einem AOL Emailaccount angekommen??

Offline Salto

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
Re: Zurückverfolgen unschöner Mails
« Reply #4 on: Sunday, 20.03.2005 19:54 »
Ja, erstmal danke für deine Hilfe.

Ich hab was den Header angeht nicht ganz die Wahrheit gesagt, aus eigenschutz,

Die E-Mail ging an eine Bekannte von mir. Ich forsche seit dem vom wem die E-Mail kam. Den Header hab ich von ihr bekommen. Durch deine Informationen und dem was ich noch gesammelt habe, habe ich denke das Ergebnis.
Ich denke der Header ist gefaked. Deswegen fehlen auch die IPs, weil es sonst aufgeflogen wäre.

Viel Dank. Wenn sich noch etwas ergibt geb ich euch bescheid.

Mfg

Salto

Offline Salto

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
Re: Zurückverfolgen unschöner Mails
« Reply #5 on: Saturday, 26.03.2005 16:44 »
> Return-Path: <jpkthrjs@gmx.de>
> Received: from mail.gmx.net
> by imo-m26.mx.aol.com (mail_out_v37_r3.4.) id 7.157.3c29e86a (4410)
> Received: (qmail 5417 invoked by uid 0);
> for <susanne.trompa@t-online.de>; Wed, 11 Aug 2004 16:13:57 -0400 (EDT)
> From: <jpkthrjs@gmx.de>
> Message-ID: <157.3c29e82a.2e4bd805@aol.com>
> Date: Wed, 11 Aug 2004 16:13:57 EDT
> Subject: Thorsten und Susi
> To: susanne.trompa@t-online.de
> MIME-Version: 1.0
> Content-Type: multipart/alternative; boundary="-----------------------------1092255236"
> X-Mailer: 9.0 for Windows sub 631
> Sender: jpkthrjs@gmx.de


Das ist übringens der komplette Header.
Ich gehe davon aus das der Absender auch der Empfänger ist, liege ich richtig?

Offline admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 250
  • Karma: 0
    • http://meineipadresse.de/
Re: Zurückverfolgen unschöner Mails
« Reply #6 on: Tuesday, 29.03.2005 09:49 »
Hallo Salto,

ich habe starke Zweifel, dass dies der komplette Header ist, weil in der zweiten Zeile die IP-Adresse fehlt. Wenn jemand dir einen gefakteten Header gegeben hat, macht es keinen Sinn, die IP-Adresse einfach zu löschen, weil gerade dadurch erst auffällt, dass da was nicht stimmt. Es wäre stattdessen ein Kinderspiel, einfach eine existierende IP-Adresse eines GMX-Servers einzusetzen. Eher ist anzunemen, dass jemand die IP-Adresse einfach gestrichen hat, weil er dachte, dass sie etwas über seine Identität aussagt (was natürlich Unsinn ist). So jemand hat wohl kaum die Kenntnis, den restlichen Header korrekt zu fälschen.

Wie kommst du drauf, dass der Absender auch der Empfänger ist? Wenn der Header stimmt, kommt die Mail von jpkthrjs@gmx.de (einem real existierenden Postfach), soll an susanne.trompa@t-online.de gehen (vermutlich deine Freundin), warum die Mail aber von einem AOL-Postfach abgeholt worden ist,, kannst nur du (bzw. deine Freundin) erklären, war das evl. eine Weiterleitung?

Falls das der komplette Header ist, was hat denn die Nachfrage bei AOL ergeben, warum die IP-Adresse fehlt?

Hat denn der Absender mal auf Nachfrage geantwortet?