Sicherheit im Internet > Spam

Zurückverfolgen unschöner Mails

(1/2) > >>

Salto:
Hallo

Ich habe eine Unschöne Mail erhalten und würde gerne wissen von wem die kommen.
Könnt ihr mir da weiter helfen?

Martin:
...aber gerne!

zum Zurückverfolgen der Mail musst du dir den sog. MIME-Header der Nachricht ansehen. Jedes Mailprogramm hat eine Möglichkeit diesen MIME-Header darzustellen, es ist der Textkopf der Nachricht, so wie er über das Internet hereingekommen ist. Hier ist z.B. der Mime-Header einer Spam-Mail, die hier gerade ankam:


--- Quote ---Received: from hosting-smtp.descom.es ([195.235.166.35])
   by IP-1-117.geotek.de ([192.168.1.117], envelope-sender=<agentur@agentur-espana.com>)
   with No Spam Today! Service V2.0.4.4 25 Recipients
   for 192.168.1.117; Thu, 10 Mar 2005, 04:16:14 +0100
Received: from illi-qga28kn5iz (253.Red-81-33-121.pooles.rima-tde.net [81.33.121.253])
   (authenticated bits=0)
   by hosting-smtp.descom.es (8.12.11/8.12.2) with ESMTP id j2A2HAlJ013066
   for <info@geotek.de>; Thu, 10 Mar 2005 04:18:27 +0100
From: Agentur =?ISO-8859-1?Q?Espa=F1a?= <agentur@agentur-espana.com>
Subject: Wir bitten Sie um Ihre Einwilligung
--- End quote ---

Das einzig wichtige daran ist die rot markierte Adresse, alles andere kann gefälscht sein. Gib diese Adresse z.B. unter meineipadresse.de ein, um den Inhaber der Domäne und des Netzbereichs herauszufinden. Wenn es ein DFÜ-Einwahl-Account über ISDN oder Modem war, hast du Pech gehabt, denn nur dessen Provider weiß, welcher Benutzer sich zu dieser Zeit eingewählt hat, und er wird (und darf) dir den Namen nicht nennen.

Hast du allerdings schon einen Verdacht wer es sein könnte, gibt die Mail möglicherweise weitere Anhaltspunkte. Wenn du sofort nach Erhalt der Mail reagierst, kannst du vielleicht sogar noch mehr über den Absender erfahren, solange er seinen Internetzugang noch nicht wieder getrennt hat, aber das würde hier zu weit führen.

Wenn du nicht klar kommst, poste doch bitte hier die ersten zehn Zeilen des MIME-Headers (ersetze dabei deine echte Email-Adresse durch xxxx, wenn du nicht willst, dass sie hier veröffentlicht wird)

Salto:
Davon hab ich gehört, nun aber mein Problem diese Adresse die bei dir rot ist, gibt es bei mir nicht.
Return-Path: <jpkthrjs@gmx.de>
> Received: from mail.gmx.net
> by imo-m26.mx.aol.com (mail_out_v37_r3.4.) id 7.157.3c29e86a (4410)

Was nun?

Martin:
Hallo Salto,

dieser MIME-Header ist unvollständig. Am Ende der ersten "Received:"-Zeile muss in Klammern die IP-Adresse stehen), ohne die ist alles weitere reine Spekulation.

Entweder ist das nicht der richtige oder vollständige MIME-Header der ursprünglichen Mail (sondern vielleicht der weitergeleiteten?), dein Provider lässt die aus (was sehr unfein wäre), oder dein Email-Client zeigt sie nicht an (habe ich aber noch bei keinem üblichen Mail-Client beobachtet)

Wenn ich jetzt mal davon ausgehe, dass das der richtige Header ist, hast du die störence Mail von einem Account bei AOL empfangen, und AOL sagt, sie haben die Mail von einem gmx-User erhalten, und zwar von jpkthrjs@gmx.de. Diese Adresse kann gefälscht sein, muss aber nicht.

Du könntest versuchsweise dieser Adresse mal eine freundliche Mail schicken. Je nachdem, ob die Mail als unzustellbar zurückkommt, sich eine ahnungslose junge Dame meldet, die von nichts weiss, oder die Mail zwar zugestellt wird, aber ohne Antwort bleibt, kannst du weitere Schlüsse ziehen.

Unabhängig davon würde ich mal AOL fragen, warum sie die IP-Adresse weglassen, die Antwort würde uns hier sehr interessieren.

Das basiert natürlich alles nur auf obiger Annahme. Ist die ursprüngliche, störende Mail denn tatsächlich auf einem AOL Emailaccount angekommen??

Salto:
Ja, erstmal danke für deine Hilfe.

Ich hab was den Header angeht nicht ganz die Wahrheit gesagt, aus eigenschutz,

Die E-Mail ging an eine Bekannte von mir. Ich forsche seit dem vom wem die E-Mail kam. Den Header hab ich von ihr bekommen. Durch deine Informationen und dem was ich noch gesammelt habe, habe ich denke das Ergebnis.
Ich denke der Header ist gefaked. Deswegen fehlen auch die IPs, weil es sonst aufgeflogen wäre.

Viel Dank. Wenn sich noch etwas ergibt geb ich euch bescheid.

Mfg

Salto

Navigation

[0] Message Index

[#] Next page

Go to full version