Manipulation von E-Mails

#1 Ich hätte da mal eine Frage:

Einem Bekannten von mir wird vorgeworfen, Drohungen per E-Mail an eine andere Person geschickt zu haben.
Die Polizei hat seinen Computer eingezogen, aber keinen Trojaner bei ihm gefunden.

Da die E-Mails im Header seine IP enthalten und diese IPs zu seinem Anschluss zurückverfolgt wurden, steht er jetzt vor Gericht.


Ich würde jetzt gerne mal wissen, wie man eine E-Mail ohne Verwendung eines Trojaners so manipulieren kann, dass sie von einer anderen IP kommt und somit jemandem fälschlich zugeordnet wird.


Ich verlange hier keine Anleitungen, sondern möchte einfach nur wissen, ob es die Möglichkeiten überhaupt gibt.

#2 Hallo Jim, willkommen im Forum.

http://www.anomail.net/pages.php
http://www.vote4us.de/anomail/mail.htm

Probiers selber aus und staune.

Ansonsten google mit "anonymous email"

Gruß Reinhart

#3 Haut nicht hin.

Außerdem glaube ich, dass man da keine anderen IPs eintragen kann.

#4 Wie meinste das? Natürlich haut das hin. Schick dir ne Mail mit einem der beiden Links und schau im Header nach, da KANN deine eigene IP überhaupt nicht auftauchen.
Dann gebe ich dir nen anderen Tipp: Setz dich in ein Internetcafe in eine Ecke und mach dasselbe nochmal. Glaubst du jetzt an anonyme Mails?

Wenn du immer noch nicht überzeugt bist: Nimm eines der im Internet angebotenen anonymen Mail-Progs, installier es. Dann richte fürs Internet einen anonymen Proxy ein und verschicke jetzt deine Mail mit diesem Programm.
Wenn der AnoProxy auf den Fidschi-Inseln sitzt, dann möchte ich den gerne sehen, der deine IP rauskriegt.

#5 Jeder Mailserver, über den eine Mail läuft, kann deren Herkunft beliebig verändern oder auch sämtliche Informationen über ihre Herkunft vernichten. Was ein Mailserver genauso wenig kann wie jeder andere Rechner im Internet, ist sich als Jemand anderes auszugeben, als er wirklich ist, wenn er - und das ist der springende Punkt - eine direkte TCP-verbindung mit dem anderen Rechner hat.
Das ist beschissen vormuliert und deswegen nochmal etwas klarer an einem Beispiel:
Kommuniziert Mailserver1 mit Mailserver2 so kann er unmöglich seine IP-Adresse vor ihm verstecken.
Mailserver1 kann aber folgendes machen:
Er kann Mailserver2 einen beliebigen namen vorlügen.
Macht aber nichts, denn Mailserver2, hat ja die ip von MAilserver1 und kann dessen echten namen per lookup ermitteln.
Mailserver1 kann beliebige Informationen aus der MAil und ihrem SMTP-Envelope löschen, hinzufügen, ändern.
Dagegen kann Mailserver2 nichts tun.

Nun wird im header einer jeden mail angezeigt, über welche mailserver die mail vorher gelaufen ist. Dies wird in den "received:" zeilen festgehalten. nun kann man hingehen und jede dieser zeilen überprüfen.
Dabei ermittelt man zum einen welche mailserver in welcher reihenfolge am transport beteiligt waren.
zum anderen kann an ermitteln ob sich alle mailserver auch brav mit ihrem echten namen identifiziert haben.
findet man jetzt einen beteiligten server, dessen ip darauf hindeutet, dass er in bulgarien oder auf dem mond steht, so ist dieser server wahrscheinlich nicht als vertrauenswürdig einzustufen und somit auch keine der zuvor in die mail eingetragenen informationen.

letztendlich kann man sich also an den nicht vertrauenswürdigen mailserver bzw. dessen besitzer wenden und prüfen ob hier schlicht geschlampt wurde oder tatsächlich bösartiges verhalten vorliegt. dazu wird dann wahrscheinlich ein gerichtsbeschluss notwendig werden.

du hast nichts verstanden? hier findest du eine viel bessere erklärung:
http://th-h.de/faq/headerfaq.php3
bis einschliesslich III. musst du mindestens durchhalten (der rest ist eher optional). ist ne menge holz, aber sehr verständlich geschrieben.

#6 @Jim.Daniels

Zitat

Da die E-Mails im Header seine IP enthalten und diese IPs zu seinem Anschluss zurückverfolgt wurden, steht er jetzt vor Gericht.

Dein Bekannter hat offensichtlich ein kleines Problem.

Zitat

Ich würde jetzt gerne mal wissen, wie man eine E-Mail ohne Verwendung eines Trojaners...

Geht nicht.

@jmk
Was Du sagst ist schon richtig, allerdings mit einen Vorbehalt.

Zitat

Er kann Mailserver2 einen beliebigen namen vorlügen.
Macht aber nichts, denn Mailserver2, hat ja die ip von MAilserver1 und kann dessen echten namen per lookup ermitteln.

Ermitteln kann er ihn schon aber das bedeutet nicht zwingend daß es auch die IP des ursprünglichen Absenders ist...
Man könnte sogar das Tor-Netzwerk dazu missbrauchen auch wenn es ziemlich umständig wäre und es viel bessere Alternativen für so etwas gibt

Zitat

First of all, the default Tor exit policy rejects all outgoing port 25 (SMTP) traffic. So sending spam mail through Tor isn't going to work by default...
Of course, it's not all about delivering the mail. Spammers can use Tor to connect to open HTTP proxies (and from there to SMTP servers)...

Hierfür werde ich keine nähere Infos geben aber Du kannst mir glauben, es funktioniert.

Gruß
Ajax

#7 miese Sache!!

die Beweisführung kann sehr schwierig sein, aber man sollte folgendes erwähnen:
Wenn man einen Trojaner hat (und dieser zum versenden von Emails verwendet wurde) - kann man auch dem Trojaner den Befehl geben sich danach selbst wieder zu entfernen / sich zu löschen! - daher wird eventuell kein Trojaner mehr bei ihm gefunden?

ansonsten verwendet er vieleicht WLAN mit einem WEP Schlüssel?

Greetz Lp

#8 @ajax: Ich denke wir verstehen uns, aber für dritte möchte ich das hier nochmal aufdröseln:

Zitat

Ermitteln kann er ihn schon aber das bedeutet nicht zwingend daß es auch die IP des ursprünglichen Absenders ist...

Vielleicht habe ich mich missverständlich ausgedrückt, aber aus genau diesem Grund habe ich folgendes geschrieben:

Zitat

Mailserver1 kann beliebige Informationen aus der MAil und ihrem SMTP-Envelope löschen, hinzufügen, ändern.

Somit kann Mailserver1 einer beliebigen IP (und somit deren Besitzer) unterstellen, dass eine Mail mit beliebigem Inhalt von dieser IP/Besitzer versendet wurde, obwohl das garnicht der Fall ist.
Auch könnte ein user mit bösartigen absichten gezielt nach Mailservern suchen, welche Informationen über seine Identität nicht weiterleiten.

So eine Sache durch Netze wie TOR laufen zu lassen ist natürlich noch mieser. Wenn man dann noch hingeht und einen Wardrive fährt, wie von Laserpointa angedeutet wird man auch die Probleme mit Anonymisierern los, welche zB aus juristischen Gründen, aufzeichnen, wer ihre Tunnel benutzt.

Fazit: Wie Laserpointa bereits sagte, wird die Beweisführung verdammt schwierig, wenn die entsprechenden Behörden keine Hinweise auf dem beschlagnahmten PC finden, da jeder Mensch dieser Welt diese Mail abgesendet haben könnte.

#9 Man könnte doch auch die Absender Adresse in den Paketen fälschen ! Dazu müsste man aber wissen wie die momentane Ip von deinem Bekannten ist....

Ich würde es auch auf einen Trojaner zurückführen.
Gruß
DAFRA

#10 Es gibt ja noch die Möglichkeit, eine vom "Täter" empfangene, unverfängliche Mail zu ändern und einen "bösen" Text einfach einzufügen.

Leider hat es mein Kumpel versäumt, einfach zu sagen, es hätte mal Mailkontakt mit dem "Opfer" bestanden (hat's zwar nicht, aber egal), stattdessen behauptet er, ihr nie geschrieben zu haben.

#11 hmm, es geht auch anders!
Kann es sein, dass dein Freund WLAN nutzt?
Falls ja, gibt es die Moeglichkeit, dass ein Nachbar (bis 1KM!!!) oder ein Wardriver seine Connection genutzt hat!
In dem Fall ist es KOMPLETT EGAL wie gut er die Sicherheitseinstellungen bei WLAN hat, man braucht max 40 min und ist drin

#12 Könnte er zumindest sagen, auch wenn's unlogisch wäre, da es im Haus nur einen Compi gibt.

#13 nein, du verstehst mich nicht, Wireless LAN heisst, dass jeder von aussen auch ins Netz kommen kann (kommt)! Z.b jemand der draussen im Auto sitzt kann auch rein!

#14 Und wofür sollte er WLAN überhaupt installiert haben, wenn er nur einen PC im Haus hat?

#15 Mein Fazit:
Dein Freund hat gleichzeitig mehrere Fehler begangen.
Welche es waren werde ich nicht erläutern. Es soll ja keine Anleitung für unbedarfte Drohbriefschreiber sein.
Mit etwas Glück und Aufwand könnte die Polizei sogar Teile der besagten Mail wiederherstellen.
Lügen werden deinem Freund kaum weiterhelfen.

Zitat

Dafra postete
Man könnte doch auch die Absender Adresse in den Paketen fälschen ! Dazu müsste man aber wissen wie die momentane Ip von deinem Bekannten ist....

Damit 2 Server Daten austauschen können bedarf es ungefälschter IPs. Was dabei im Header gefälscht wurde ist Wurst!!!

Zitat

BleedR postete
Kann es sein, dass dein Freund WLAN nutzt?

Die Wireless LAN Geschichte kannst Du abhaken.
Von Anfang an war mir klar daß dies nicht der Fall war, ansonsten hätte die Polizei mindestens 2 und nicht 1 Rechner beschlagnahmt. So bescheuert wie manche das glauben möchten, sind die auch nicht.
Der Rechner wurde auch auf Malware untersucht.
Übrigens kann man mit etwas Aufwand auch feststellen falls ein Rechner als Trittbrett von Dritte benutzt wurde. Auch wenn sich die Malware inzwischen von selbst gelöscht hätte. Dies scheint hier nicht der Fall zu sein.

Gruß
Ajax