Frage zu Email

kann ich irgendwie in einer Email z.B. im Quelltext Hinweise
auf den Absender finden?
Meine natürlich wenn es ein Absender ist, den ich nicht zurodnen kann
danke bunny  

Ob das allerdings gelogen ist, kann man nicht auf Anhieb erkennen.
Im Logfile des Mailservers, der die Nachricht aus dem Internet angenommen hat, kann man noch den sendenden Server ermitteln, wenn man an den Server (als Administrator) rankommt.

Beispiel Mailheader:

From: BreatNaynkyyoh@winning.com
To: xyz@dialogika.de
Subject: Our BreastSuccess Pi-ll-s Will qtjduomb ryfrsvn
MIME-Version: 1.0
Content-type: text/html
Return-Path: BreatNaynkyyoh@winning.com
X-OriginalArrivalTime: 26 Oct 2003 15:34:06.0389 (UTC) FILETIME=[97850650:01C39BD6]
 

Der sendende Server steht natürlich auch im Header:

Received: from [217.14.100.175]


nslookup 217.14.100.175
can't find 217.14.100.175: Non-existent domain

ping 217.14.100.175
Request timed out.

traceroute 217.14.100.175
...
 8    60 ms    60 ms    70 ms  ffm-k88-i2-geth1-2.telia.net [213.248.77.57]
 9    60 ms    60 ms    70 ms  ffm-tci-i2-geth1-1.telia.net [213.248.68.41]
10    60 ms    70 ms    60 ms  ffm-bb2-pos1-0-0.telia.net [213.248.68.17]
11    70 ms   121 ms    80 ms  prs-bb2-pos0-2-0.telia.net [213.248.64.197]
12    80 ms    81 ms    80 ms  ldn-bb2-pos0-2-0.telia.net [213.248.64.165]
13    70 ms    80 ms    80 ms  ldn-b2-pos8-0.telia.net [213.248.74.10]
14    80 ms    80 ms    80 ms  satellitemedia-01220-ldn-tci-i1.c.telia.net [213.248.75.122]
15    80 ms    80 ms    80 ms  62.32.32.82
16     *        *        *     Request timed out.
17   641 ms   641 ms   641 ms  local037.intrans.baku.az [217.14.96.37]
18   651 ms   651 ms   671 ms  217.14.96.33
19     *        *        *     Request timed out.
20     *     217.14.96.33  reports: Destination host unreachable.


Sieht in diesem Fall ziemlich nach gehacktem Mailserver aus, der inzwischen abgeschaltet ist...

- Heinz -
 

der Betreiber z.B. wenn die  Mail von einem Absender wie WEb.de ist steht da Web.de
oder kann ich den Provider ersehen wie Telekom oder Netcologne
Danke Bunny      

ist der Kommunikationspartner "auf der anderen Seite" des Internet.
Der sollte eine feste Adresse und einen korrekten DNS-Eintrag haben, sonst lehnen die meisten Mailrelays (z.B. AOL) schon mal von Anfang an einen Verbindungswunsch ab.

In obigem Beispiel traf aber genau das nicht zu, weil wir das halt lockerer als AOL sehen...

Man kann an Hand der Adresse den Eigentümer des Servers ermitteln und mittels traceroute (unter W2K heißt das tracert) auch den Provider rauskriegen.
In obigem Beispiel hatte die Adresse keinen DNS-Eintrag und traceeroute kam nicht bis zum Server durch. Aber bei Hop 17 tauchte sowas auf: ...baku.az
Nachgesehen: .az ist Aserbaidschan - das sagt wohl alles: gehackter Server, der vom Netzgenommen wurde, würde ich wetten.

Wie lautet denn die Adresse, vielleicht kriege ich bei der IANA was darüber raus.

- Heinz -
 

kriegt man erzählt, daß 217 ein A-Netz ist (??? ich hätte es für ein C-Netz gehalten!) und RIPE in Holland gehört.
Die erzählen einem dann, daß sie Unternetze davon verkauft haben (klar...), und zwar das Netz 217.14.96.0/20 an einen Provider namens "Intrans TC" in Aserbaitschan mit Sitz in Baku.

Intrans besitzt selber aber offiziell nur zwei /23er Netze, nicht aber das 217.14.100er.
... und da verliert sich dann die Spur.
 

Received: from [80.141.47.234] (helo=SERVER.de)
by mx11.web.de with esmtp (WEB.DE 4.99 #517)
id 1AFByu-0002zv-00; Thu, 30 Oct 2003 13:32:52 +0100
From: knowone@freenet.de
To: All@web.de
Date: 30 Oct 2003 13:32:58
Subject:[Virus entfernt] Jetzt rate mal, wer ich bin !?
X-MailScanner: Checked
Importance: Normal
Message-ID:
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=SERVER_043AC0F6F8A15A553142"
Sender: knowone@freenet.de

hier Empfänger: all@web.de ist aber bei meiner Maiadresse angekommen und ich weis nicht wie man so was macht  

eine Anlage Format scr. Kann ich nicht öffnen kommt Zugriff wird verweigert
wenn ich es abspeichere kommt ungültiges Format beim öffnen.
Was ist scr für ein Format  

meines Wissens nach Bildschirmschoner, genau kenne ich mich da nicht aus. jedenfalls bekomme ich in den letzten Tagen regelmäßig mail aus unbekannten Quellen mit derartigen Anhängen. Meine Virenerkennung identifiziert diese meistens als Wurm und löscht die ganze Geschichte sofort. Es haben sich aber auch welche durchgemogelt. Da ahb ich dann noch so eine Taste ... (Aus Schaden wird man klug ;-)

Ciao!
Fuzzzi

 

.scr sind per se Screensaver.
Die sind aber aufgebaut wie ganz normale .exe, also einfach ausführbar.
Der ESMTP-Server von web.de beschwerte sich außerdem darüber, daß der Absender sich mit "helo=SERVER.de" gemeldet hat. Bedeutet: er benutzt SMTP, nicht ESMTP, das sagt noch nicht allzuviel, läßt aber auf eine in einen Wurm eingebaute SMTP-Engine schließen.
Außerdem hält web.de die Domäne "server.de" für gefälscht, was wohl stimmt.
Sober (ein deutschsprachiger Wurm, der momentan gerade im Umlauf ist) macht z.B. auch diese Tricks, daß der Adressat ein ganz anderer zu sein scheint als man selbst; daß der Absender total gefaked ist, daran hat man sich bei SMTP ja schon gewöhnt...
Es gibt eine Möglichkeit durch geschickte Wahl der BCC-Adresse und des nice name (führt hier jetzt zu weit...) genau das zu erreichen. Auch genau das macht Sober.
Die IP-Adresse jetzt noch genauer zu erforschen lohnt kaum, wette es ist eine Dialin-Adresse und auf Ping antwortet niemand.

- Heinz -

 

nslookup 80.141.47.234
Name:    p508D2FEA.dip.t-dialin.net

aber:

nslookup -type=mx server.de

server.de       MX preference = 101, mail exchanger = mail-gw.server.de
server.de       MX preference = 102, mail exchanger = mailgw1.fhg.de
server.de       nameserver = ns3.fraunhofer.de
server.de       nameserver = ns.server.de
server.de       nameserver = ns1.fraunhofer.de
server.de       nameserver = ns2.fraunhofer.de
mail-gw.server.de       internet address = 192.44.37.2
mailgw1.fhg.de  internet address = 153.96.1.62
ns3.fraunhofer.de       internet address = 153.97.66.3
ns.server.de    internet address = 192.44.37.2
ns1.fraunhofer.de       internet address = 192.44.37.1
ns2.fraunhofer.de       internet address = 153.96.1.1


Server.de gibt's also tatsächlich, was aber nix heißt, weil web.de bereits gemerkt hat, daß diese IP-Adresse nit zu Fraunhofer paßt (deshalb wurde es im Header vermerkt).

Übrigens: .scr-Files, die in Mails als Anhang drin sind zu öffnen führt in 99% der Fälle dazu, daß man sich einen Wurm installiert, falls ein vorgeschalteter Virenscanner nicht bereits den Inhalt des Attachments entfernt und durch den Spruch "Virus xyz gefunden und entfernt" ersetzt hat. Wenn man z.B. aus Neugier solche Attachments mal abspeichert, dann benennt man sie zuerst mal zu .txt um, danach kann man sie bedenkenlos mit Notepad öffnen.


 

allerdings nachdem ich es gespeichert habe. dann Fehlermeldung die Datei ist fehlerhaft
gibt es noch eine andere Möglichkeit der Computer sagt beim öffnen unter scr ist keine zulässige win 32 Anwendung.    

Viren-Scanner im Hintergrund laufen?!

Heute ist zu spät...

Wir telefonieren morgen mal miteinander?!

aber erst später, und nicht schon
um 18.09 Uhr  ;-)

Würde mich freuen.....
   
R.
 

":[Virus entfernt] Jetzt rate mal, wer ich bin !?"

deutet hin auf:

http://www.antivir.de/vireninfo/sober.htm

R.
 

werde derzeit auch von Würmern und ähnlichem befallen...
Dabei habe ich gute aktuelle Adressen gefunden:

http://www.heise.de/security/news/meldung/41432


Bin aber auch verwundert über web.de:

Habt ihr auch schon solche Mails bekommen.
Bei web.de wird diese Mail sogar in den Posteingang des drei Wege Spam Filters gelegt und trotzdem versagt der Virenscanner von web.de!
Teilweise sind sogar bekannte Mailadressen von Freunden und Bekannten dabei, die von nichts wissen.
Wenn ihr nicht sicher seit könnt ihr auch die E-Malanhänge mit denen folgender Seite vergleichen (ohne gewähr):
http://www.symantec.com/avcenter/venc/data/w32.sober@mm.html

gruß biene
P.S. : Das mit den Würmern wird immer schlimmer - ich habe zwei Virenscanner über meinen PC laufen. 1. Antivir und 2. Northon - bislang keine Konflikte festgestellt