Mail-Rückverfolgung

#1 gibt es eine Möglichkeit herauszufinden, aus welchem land eine an mich adressierte Mail stammt?

Und kann man heraus finden, ob die Mail von einem Millitärserver verschickt worden ist?

Haben in unserer Firma eine Mail erhalten und bezweifeln die Angaben des Versenders. Wir möchten herausfinden, ob die Informationen stimmen.

#2 wirklich sicher sein kann man sich leider nie, dafür ist das SMTP Protokoll einfach nicht ausgelegt.
Aber billige Fakes kannst du enttarnen indem du dir einfach mal den kompletten Header der Email im Klartext anguckst.

N1con
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier
Protecus Spenden

#3

Zitat

N1con postete

Aber billige Fakes kannst du enttarnen indem du dir einfach mal den kompletten Header der Email im Klartext anguckst.

N1con

wie geht so etwas?

#4 z.B. in Outlook in die Email dann auf "Ansicht" => "Optionen"

Outlook Express => Rechte Maustaste auf email => Eigenschaften, dann auf "Details".

Dort siehst du, welchen Weg die Email "gegangen" ist.
Allerdings kann man das wohl leicht fälschen.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 hab mir den header mal ausgedruckt, allerdings erkenne ich nix ausser zusammengewürfelte Buchstaben :-D

#6 In den Headern stehen neben vielen anderen - manchmal interessanten Dingen, die Mailserver, die am verteilen der Mail beteiligt waren. Meist mit Namen und IP-Adresse. Stimmen beide nicht überein, kann man davon ausgehen, dass Spammer und ähnliches Gesocks am Werke waren und die Header gefälscht haben, damit man ihnen nicht so leicht auf die Schliche kommt. In dem Fall wäre also davon auszugehen, dass man Dich aufs Glatteis führen möchte.

Lies Dir mal folgendes durch:

http://th-h.de/faq/headerfaq.php

Übrigens: man kann auch keine Bildchen in den Headern unterbringen, die manche Mailprogramme anzeigen. Zwar nur Grobzeug, aber bei geschickt gewählten Bildern kann man sein Gegenüber erkennen - dass nennt sich X-Face.

#7 aber ich kann nicht sehen aus welchem land die Mail stammt stimmts? Das ist ja das was ich möchte.

#8 Wenn in den Headern die IP-Adressen drinstehen - und das sollten sie eigentlich, kann man das prüfen. Aufpassen muß man, dass die Adressen echt sind.
Ich glaube, Du hast meinen Link nicht gelesen.

Gruß
Faun

#9

Zitat

Faun postete
Wenn in den Headern die IP-Adressen drinstehen - und das sollten sie eigentlich, kann man das prüfen. Aufpassen muß man, dass die Adressen echt sind.
Ich glaube, Du hast meinen Link nicht gelesen.

Gruß
Faun

Doch habe ich, aber ich bin ein Leie, habe angefangen zu lesen und habe es schnell aufgegeben, ich verstehe rein gar nichts. Auch mit dem ausgedruckten Header daneben erschließt sich mir das nicht. trotzdem danke!

#10 Du könntest den Header ja hier rein kopieren (bitte zumindest Deine E-Mail-Adresse unkenntlich machen), damit wir uns das anschauen können.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#11 Der Proponent hat mir die Header zukommen lassen - ich schreibe das folgende nur deshalb öffentlich, damit man nicht meint, das Thema wäre eingeschlafen. Vielleicht ist hier jemand mit Kenntnissen im Headerauswerten, um eine 2. Meinung zu bekommen. Falls sich jemand meldet, kann der Proponent diesem ggf. die Header ebenfalls zukommen lassen. Öffentlich sollte man das nicht machen.

Ich habe mir die Header nun mal angeschaut und bin etwas konfus. Offensichtlich habe ich zu wenig Übung mit den Dingern oder es ist tatsächlich Unfug.

Folgendes ist mir aufgefallen:
die Mail wurde in einem Netzwerk mit privaten IP-Adressen geschrieben und versendet - ist durchaus ok. Sie lief dort über mehrere Server, wovon einer vermutlich in den USA, Kanada oder Mexico steht, da er eine Zeitangabe von -0700 PDT ausweist. Der nächste Server hat die Mail erst einen Tag später verarbeitet, was nicht sein dürfte (Schlafmütze?).
Es ist keinerlei Absender protokolliert, was m.E. unüblich ist - man sieht also nicht, welcher Server die Mail von welchem vorherigen Server bekam. Es ist scheinbar kein Server involviert, dessen Zeitzone mit dem angeblichen Land übereinstimmt, von wo der Sender angeblich schreibt. Das könnte u.U. daran liegen, dass ein Webinterface verwendet wurde. Es gibt einen Sprung in den Hostnamen, wo der Empfänger eines Servers nicht dem Absender des vorherigen Servers entspricht. Dieser vermutlich falsche Absender ist auch der einzige übermittelte Absender.
Da sonst keine Absender oder reguläre IP-Adressen des öffentlichen Netzes angegeben sind, kann ich nicht feststellen, woher die Mail stammt.

Also sieht das ganze ziemlich dubios aus, da nichts in der Serverkette zu passen scheint und ich würde mich absichern, sobald es um Geld geht.

Meine Vermutung, dass der Proponent die Header-FAQ nicht gelesen hat, muß ich zurücknehmen - ich hätte bei diesen Headern auch das Handtuch geworfen.

Eine zweite Meinung wäre wünschenswert, da ich schon ewig nichts mehr mit Headern gemacht habe und daher nicht sattelfest im Auswerten bin! Zur Vorsicht habe ich mal mit einer regulären Mail das ganze Procedere durchgespielt, und da sieht das ganze gleich viel Ordentlicher und vor allem Stimmig aus.

Gruß
Faun

#12 Hört sich abenteuerlich an...

Zitat

wovon einer vermutlich in den USA, Kanada oder Mexico steht

Darüber gibt nicht die Uhrzeit sondern die IP auskunft.
Ohne die Header zu lesen kann man aber wohl rein gar nichts dazu sagen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#13 Mit einer IP aus dem privaten Adressraum à la 10.227.x.y (Klasse A: 1 privates Netz) kommt man da aber nicht weit. Die kann überall auf der Welt sein, gleichzeitig sogar mehrmals. Die Uhrzeit verrät aber schon ein wenig mehr, wenn der Server richtig konfiguriert ist.

Gruß
Faun

#14

Zitat

Mit einer IP aus dem privaten Adressraum à la 10.227.x.y (Klasse A: 1 privates Netz) kommt man da aber nicht weit.

Das meinte ich natürlich nicht sondern die erste public IP die auftritt...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#15 So folgende 2 "Fakten" lassen dies aber wiederum evtl. sogar echt wirken:

Zitat

Gotanist postete
Und kann man heraus finden, ob die Mail von einem Millitärserver verschickt worden ist?

Zitat

Faun postete
Folgendes ist mir aufgefallen:
die Mail wurde in einem Netzwerk mit privaten IP-Adressen geschrieben und versendet - ist durchaus ok. Sie lief dort über mehrere Server ... Der nächste Server hat die Mail erst einen Tag später verarbeitet ... Es ist keinerlei Absender protokolliert .... w Es ist scheinbar kein Server involviert, dessen Zeitzone mit dem angeblichen Land übereinstimmt ... Es gibt einen Sprung in den Hostnamen, wo der Empfänger eines Servers nicht dem Absender des vorherigen Servers entspricht ... Da sonst keine Absender oder reguläre IP-Adressen des öffentlichen Netzes angegeben sind, kann ich nicht feststellen, woher die Mail stammt.

Wenn man sich also den unteren Qoute inm Hinblick und unter Berücksichtigung des oberen Qoute nochmals durchließt, schließt sich meines Erachtens der Kreis.

Welcher Militärserver wird öffentlich per IP kenntlich gemacht?
Zeitzone passt nicht ? -> Militärzeit
Verzögertes Senden ? -> Zwecks Emailüberwachung, Sicherheitssystem ?!

Absichern würde ich mich trotzdem -> Evtl. einfach mal anrufen
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier
Protecus Spenden