Frage zu Email
Seite 1 von 1 Neuester Beitrag: 31.10.03 01:11 | ||||
Eröffnet am: | 27.10.03 15:19 | von: Bunny | Anzahl Beiträge: | 15 |
Neuester Beitrag: | 31.10.03 01:11 | von: Aktienbiene | Leser gesamt: | 4.362 |
Forum: | Talk | Leser heute: | 1 | |
Bewertet mit: | ||||
auf den Absender finden?
Meine natürlich wenn es ein Absender ist, den ich nicht zurodnen kann
danke bunny
Im Logfile des Mailservers, der die Nachricht aus dem Internet angenommen hat, kann man noch den sendenden Server ermitteln, wenn man an den Server (als Administrator) rankommt.
Beispiel Mailheader:
From: BreatNaynkyyoh@winning.com
To: xyz@dialogika.de
Subject: Our BreastSuccess Pi-ll-s Will qtjduomb ryfrsvn
MIME-Version: 1.0
Content-type: text/html
Return-Path: BreatNaynkyyoh@winning.com
X-OriginalArrivalTime: 26 Oct 2003 15:34:06.0389 (UTC) FILETIME=[97850650:01C39BD6]
Received: from [217.14.100.175]
nslookup 217.14.100.175
can't find 217.14.100.175: Non-existent domain
ping 217.14.100.175
Request timed out.
traceroute 217.14.100.175
...
8 60 ms 60 ms 70 ms ffm-k88-i2-geth1-2.telia.net [213.248.77.57]
9 60 ms 60 ms 70 ms ffm-tci-i2-geth1-1.telia.net [213.248.68.41]
10 60 ms 70 ms 60 ms ffm-bb2-pos1-0-0.telia.net [213.248.68.17]
11 70 ms 121 ms 80 ms prs-bb2-pos0-2-0.telia.net [213.248.64.197]
12 80 ms 81 ms 80 ms ldn-bb2-pos0-2-0.telia.net [213.248.64.165]
13 70 ms 80 ms 80 ms ldn-b2-pos8-0.telia.net [213.248.74.10]
14 80 ms 80 ms 80 ms satellitemedia-01220-ldn-tci-i1.c.telia.net [213.248.75.122]
15 80 ms 80 ms 80 ms 62.32.32.82
16 * * * Request timed out.
17 641 ms 641 ms 641 ms local037.intrans.baku.az [217.14.96.37]
18 651 ms 651 ms 671 ms 217.14.96.33
19 * * * Request timed out.
20 * 217.14.96.33 reports: Destination host unreachable.
Sieht in diesem Fall ziemlich nach gehacktem Mailserver aus, der inzwischen abgeschaltet ist...
- Heinz -
oder kann ich den Provider ersehen wie Telekom oder Netcologne
Danke Bunny
Der sollte eine feste Adresse und einen korrekten DNS-Eintrag haben, sonst lehnen die meisten Mailrelays (z.B. AOL) schon mal von Anfang an einen Verbindungswunsch ab.
In obigem Beispiel traf aber genau das nicht zu, weil wir das halt lockerer als AOL sehen...
Man kann an Hand der Adresse den Eigentümer des Servers ermitteln und mittels traceroute (unter W2K heißt das tracert) auch den Provider rauskriegen.
In obigem Beispiel hatte die Adresse keinen DNS-Eintrag und traceeroute kam nicht bis zum Server durch. Aber bei Hop 17 tauchte sowas auf: ...baku.az
Nachgesehen: .az ist Aserbaidschan - das sagt wohl alles: gehackter Server, der vom Netzgenommen wurde, würde ich wetten.
Wie lautet denn die Adresse, vielleicht kriege ich bei der IANA was darüber raus.
- Heinz -
Die erzählen einem dann, daß sie Unternetze davon verkauft haben (klar...), und zwar das Netz 217.14.96.0/20 an einen Provider namens "Intrans TC" in Aserbaitschan mit Sitz in Baku.
Intrans besitzt selber aber offiziell nur zwei /23er Netze, nicht aber das 217.14.100er.
... und da verliert sich dann die Spur.
by mx11.web.de with esmtp (WEB.DE 4.99 #517)
id 1AFByu-0002zv-00; Thu, 30 Oct 2003 13:32:52 +0100
From: knowone@freenet.de
To: All@web.de
Date: 30 Oct 2003 13:32:58
Subject:[Virus entfernt] Jetzt rate mal, wer ich bin !?
X-MailScanner: Checked
Importance: Normal
Message-ID:
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=SERVER_043AC0F6F8A15A553142"
Sender: knowone@freenet.de
hier Empfänger: all@web.de ist aber bei meiner Maiadresse angekommen und ich weis nicht wie man so was macht
wenn ich es abspeichere kommt ungültiges Format beim öffnen.
Was ist scr für ein Format
Die sind aber aufgebaut wie ganz normale .exe, also einfach ausführbar.
Der ESMTP-Server von web.de beschwerte sich außerdem darüber, daß der Absender sich mit "helo=SERVER.de" gemeldet hat. Bedeutet: er benutzt SMTP, nicht ESMTP, das sagt noch nicht allzuviel, läßt aber auf eine in einen Wurm eingebaute SMTP-Engine schließen.
Außerdem hält web.de die Domäne "server.de" für gefälscht, was wohl stimmt.
Sober (ein deutschsprachiger Wurm, der momentan gerade im Umlauf ist) macht z.B. auch diese Tricks, daß der Adressat ein ganz anderer zu sein scheint als man selbst; daß der Absender total gefaked ist, daran hat man sich bei SMTP ja schon gewöhnt...
Es gibt eine Möglichkeit durch geschickte Wahl der BCC-Adresse und des nice name (führt hier jetzt zu weit...) genau das zu erreichen. Auch genau das macht Sober.
Die IP-Adresse jetzt noch genauer zu erforschen lohnt kaum, wette es ist eine Dialin-Adresse und auf Ping antwortet niemand.
- Heinz -
Name: p508D2FEA.dip.t-dialin.net
aber:
nslookup -type=mx server.de
server.de MX preference = 101, mail exchanger = mail-gw.server.de
server.de MX preference = 102, mail exchanger = mailgw1.fhg.de
server.de nameserver = ns3.fraunhofer.de
server.de nameserver = ns.server.de
server.de nameserver = ns1.fraunhofer.de
server.de nameserver = ns2.fraunhofer.de
mail-gw.server.de internet address = 192.44.37.2
mailgw1.fhg.de internet address = 153.96.1.62
ns3.fraunhofer.de internet address = 153.97.66.3
ns.server.de internet address = 192.44.37.2
ns1.fraunhofer.de internet address = 192.44.37.1
ns2.fraunhofer.de internet address = 153.96.1.1
Server.de gibt's also tatsächlich, was aber nix heißt, weil web.de bereits gemerkt hat, daß diese IP-Adresse nit zu Fraunhofer paßt (deshalb wurde es im Header vermerkt).
Übrigens: .scr-Files, die in Mails als Anhang drin sind zu öffnen führt in 99% der Fälle dazu, daß man sich einen Wurm installiert, falls ein vorgeschalteter Virenscanner nicht bereits den Inhalt des Attachments entfernt und durch den Spruch "Virus xyz gefunden und entfernt" ersetzt hat. Wenn man z.B. aus Neugier solche Attachments mal abspeichert, dann benennt man sie zuerst mal zu .txt um, danach kann man sie bedenkenlos mit Notepad öffnen.
gibt es noch eine andere Möglichkeit der Computer sagt beim öffnen unter scr ist keine zulässige win 32 Anwendung.
Heute ist zu spät...
Wir telefonieren morgen mal miteinander?!
aber erst später, und nicht schon
um 18.09 Uhr ;-)
Würde mich freuen.....
R.
deutet hin auf:
http://www.antivir.de/vireninfo/sober.htm
R.
Dabei habe ich gute aktuelle Adressen gefunden:
http://www.heise.de/security/news/meldung/41432
Bin aber auch verwundert über web.de:
Habt ihr auch schon solche Mails bekommen.
Bei web.de wird diese Mail sogar in den Posteingang des drei Wege Spam Filters gelegt und trotzdem versagt der Virenscanner von web.de!
Teilweise sind sogar bekannte Mailadressen von Freunden und Bekannten dabei, die von nichts wissen.
Wenn ihr nicht sicher seit könnt ihr auch die E-Malanhänge mit denen folgender Seite vergleichen (ohne gewähr):
http://www.symantec.com/avcenter/venc/data/w32.sober@mm.html
gruß biene
P.S. : Das mit den Würmern wird immer schlimmer - ich habe zwei Virenscanner über meinen PC laufen. 1. Antivir und 2. Northon - bislang keine Konflikte festgestellt