admin > 10-28-2024, 05:55 AM
Zitat:From: Thomas Hochstein <faq@usenet.th-h.de>Newsgroups: de.admin.net-abuse.mailSubject: [FAQ] E-Mail-Header lesen und verstehen <2003-11-08>Date: Mon, 14 Jun 2004 22:10:02 +0000Message-ID: <headerfaq-1-1087251001@xerxes.akallabeth.de>Summary: Dieses Dokument beschreibt / erklaert E-Mail-Headerzeilen und gibt Hinweise zur Rueckverfolgung unerwuenschter Mail. German language only.X-PGP-Sig: 2.6.3ia From,Newsgroups,Subject,Supersedes,Followup-To,Date,Approved,Message-ID iQCVAwUBQM4iOuLKwJmCdsuZAQFpQgQAhTiTcMlgbZCyASOaYx8LdPERpjQKPdt8 KnDbT/r4fTT+/ezjio3b+NAO+KQUIjH2wDI258mq9Z60WzcIaEa2dYZDqtCXqj3N K1SZ+oFPrxX8u7f0hPu5cnSJP9vNNk/lvv57CY+qQw58lkJOKoxDDIaCcSIIagoq a8pgMwKgCK4= =XzYcContent-Language: deContent-Location: http://www.th-h.de/faq/headerfaq.htmlX-PGP-Key: faq@usenet.th-h.dePosted-By: auto-faq 3.3.thh (Perl 5.006)Archive-name: de-net-abuse/email-header-faqLast-modified: 2003-11-08Version: 1.2.09Posting-frequency: monthlyURL: http://www.th-h.de/faq/headerfaq.html FAQ: E-Mail-Header lesen und verstehen ======================================Letzte Änderungen=================2004-02-27: Punkt 6 ergänzt (Mozilla, Webmail).2004-01-30: Punkt 7 überarbeitet.2003-11-08: Punkt 6 ergänzt (Mozilla, Webmail).2003-08-10: Punkt 6 ergänzt (Mozilla).2003-05-29: Punkt 6 ergänzt (Lotus Notes 6).2003-05-15: Punkt 2.1.1 überarbeitet.2003-05-15: Punkt 3.3.2 ergänzt (Verfälschungen im HELO).2003-03-14: Punkt 6 ergänzt (T-Online E-Mail).2003-03-02: Punkt 6 aktualisiert (The Bat!).Inhalt:======= 1. Vorwort 2. Aufbau und Zustellung einer E-Mail 2.1 SMTP-Envelope 2.2 Header 2.3 Body 2.4 Vorgehen bei der Zustellung 3. E-Mail-Headerzeilen im einzelnen 3.1 Anschrift, Absender u. Verwandtes - kurz: der Briefkopf 3.2 ;Technische; Angaben 3.3 ;Zustellvermerke;: den Weg einer E-Mail nachvollziehen 3.4 Spezielle Headerzeilen 4. Hilfreiche Tools für die Headeranalyse 4.1 nslookup (host/dig) 4.2 whois 4.3 traceroute 4.4 Programmpakete und Bezugsquellen 4.5 Finger-Gateway auf info.belwue.de 4.6 Online-Tools 4.7 abuse.net 4.8 Blacklists auswerten 5. Beschwerden über unerwünschte Massen-E-Mail 5.1 Wo kann ich mich beschweren? 5.2 Wie beschwere ich mich? 6. Headerzeilen anzeigen lassen 6.1 Mailclients 6.2 Webmail 7. Weiterführende Hinweise 8. Credits----------------------------------------------------------------------1. Vorwort========== Zweck dieser FAQ ist es, grundlegende Informationen über den Aufbaueiner Internet-E-Mail [1] und die Bedeutung der einzelnen Headerzeilen(;Kopfzeilen;) zu vermitteln, um insbesondere den Weg einer E-Mailzurückzuverfolgen, den Absender bzw. die beteiligten Mailserverherauszufinden und sich bei unerwünschter Massen-E-Mail (Bulkmail oderUBE/UCE [2]) oder anderen unerwünschten Zusendungen gezielt an denrichtigen Stellen beschweren zu können.Nicht beabsichtigt ist eine Zusammenstellung der standardisiertenund/oder allgemein üblichen Headerzeilen und ihrer Bedeutung [3] odereine genaue technische Definition der jeweils erlaubten Inhalte [4](vielleicht noch einschließlich der häufigsten Verstöße dagegen durchweitverbreitete Mailprogramme ;-)). Dafür existieren bereitsentsprechende Quellen, vgl. dazu Abschnitt 7.Nicht beabsichtigt sind ebenfalls weitergehende Hinweise zum ThemaBulkmail, UBE/UCE oder ;Spam;, denkbaren Gegenmaßnahmen usw. usf. Auchhierzu gibt es bereits spezialisierte Quellen, die in Abschnitt 7dieser FAQ aufgeführt sind. Namentlich die dort genannte FAQ vonde.admin.net-abuse.mail sei jedem Interessierten dringend ans Herzgelegt.2. Aufbau und Zustellung einer E-Mail=====================================Eine E-Mail besteht aus mehreren Teilen. Wenn man den Vergleich miteinem konventionellen Brief suchen möchte, könnte man sagen, es gibteinen Umschlag (den sog. ;SMTP-Envelope;), einen Briefkopf (den sog.;Header; oder die ;Kopfzeilen;) und den eigentlichen Brieftext oder-inhalt (den sog. Body).2.1 SMTP-Envelope [5]Diesen ;Umschlag; bekommt der Nutzer im Normalfall nicht zu sehen;eigentlich gibt es ihn auch gar nicht wirklich. Man bezeichnet so diefür die Zustellung einer E-Mail relevanten Informationen, die einemMailserver (also dem für den Versand und Empfang von E-Mailzuständigen Computerprogramm) beim Versand vor der eigentlichen E-Mailübergeben werden. Diese Informationen gehen beim Einsortieren insPostfach des Empfängers normalerweise verloren, ganz analog zu einemkonventionellen Briefumschlag, der in der Poststelle einer Firmageöffnet und dann weggeworfen wird. Nur sein Inhalt, der Briefbogen(also Header und Body der Mail), erreicht den Empfänger.Glücklicherweise werden die Daten aus dem ;Umschlag; oft aber -zumindest teilweise - in den Header der E-Mail übernommen, so daß manden Inhalt des Umschlags nachvollziehen kann.Die Daten für den Umschlag erhält ein Mailserver ganz zu Anfang derVerbindungsaufnahme mit dem Einlieferer; diese Verbindung wird alsSMTP-Dialog [5] bezeichnet, also als Dialog zwischen den beteiligtenMailservern, die sich dabei am ;Simple Mail Transfer Protocol;orientieren. SMTP ist wie die meisten derzeit (auch) im Internetverwendeten Kommunikationsprotokolle menschenlesbar, besteht also ausfestgelegten (englischen) Schlüsselworten oder Befehlen, die inbestimmter Folge verwendet werden. Dabei stellt der einlieferndeServer sich vor (mittels HELO/EHLO [6]), gibt den Absender an(;Envelope-From;) und nennt den oder die Empfänger (;Envelope-To;).Danach folgt nach dem Kommando ;DATA; der Briefbogen, also die E-Mailmit Headern und Body. Ein einzelner Punkt alleine auf einer Zeilesignalisiert, daß die E-Mail fertig übertragen ist. Jetzt wird derempfangende Mailserver sie den genannten Empfängern entweder insPostfach stecken (wenn sie schon ;am Ziel; ist), oder, falls nötig, aneinen anderen Server weiterleiten, wenn er selbst für einen Empfängernicht zuständig ist, dessen Postfach also anderswo liegt.Die Angabe des einliefernden Servers nach ;HELO; wird dabei wederüberprüft noch hat sie heutzutage besondere Bedeutung. Der Absender aufdem Umschlag, d.h. der Envelope-From, wird für die Generierung vonFehlermeldungen u.ä. verwendet, wenn die E-Mail bspw. unzustellbar ist.Der oder die Empfängerangaben im Envelope-To werden zur Zustellungbenutzt.Ein Beispiel eines solchen Dialogs sei im Folgenden dargestellt (in derobersten Zeile jeweils der sendende Mailserver, darunter die Antwort desempfangenden):2.1.1 Die Vorstellung (HELO)Der Dialog beginnt damit, dass der sendende Mailserver (oder derMailclient) Kontakt mit dem empfangenden aufnimmt, worauf dieser sichzunächst meldet:220Darauf folgt dann die eigentliche Vorstellung und Begrüßung:124; HELO ancalagon.rhein-neckar.de124; 250 pri.owl.example Hello ancalagon.rhein-neckar.de [193.197.90.30],124; pleased to meet youDer sendende Mailserver stellt sich vor (;HELO..;), der empfangendeantwortet (;Hello ..., pleased to meet you;). Entscheidend sind dabei fürdie Rechner nur der Statuscode (250), nicht der Text; dieser kann freigewählt werden.Wichtig: Der sendende Mailserver kann über seinen Namen ;lügen;; deshalbschaut der Empfänger-Server zumeist nach, wer denn wirklich da gerade mitihm ;redet;, und merkt sich die sog. IP-Nummer des Einlieferers (hier193.197.90.30). Dies ist eine eindeutige Nummer, mit der man jeden amInternet teilnehmenden Rechner identifizieren kann. Durch eine Abfragebeim DNS (Domain Name Server/Service) läßt sich diese Nummer dann wiederin einen Rechnernamen rückübersetzen; häufig tut das der Mailserver auchdirekt selbst und übersetzt die Nummer in einen Namen. Nicht immer isteine solche Rückauflösung allerdings konfiguriert, und es ist möglich,auch hier eine falsche Fährte zu legen. [7] Verlassen kann man sich dahernur auf die IP-Adresse; diese läßt sich einem bestimmten Provider (odereiner Firma oder Institution) zuordnen, und dieser Provider wiederumsollte sie seinerseits einem bestimmten Rechner oder Kunden zuordnenkönnen. Zu beachten ist dabei, daß IP-Nummer schon lange ein zu knappesGut sind, um jedem Kunden permanent eine Nummer zuzuordnen. Sie werdendaher häufig dynamisch vergeben, das heißt einem bestimmten Rechner immernur für die Dauer einer Online-Sitzung zugewiesen. Da die entsprechendenLog-Dateien nach einer gewissen Zeit gelöscht werden, ist es notwendig,sich zeitnah an den betreffenden Provider zu wenden. Mehr Hinweise dazufinden Sie weiter unten in Abschnitt 5.2.1.2 Absender- und Empfängerangabe124; MAIL FROM:<heinz-gustav@ancalagon.rhein-neckar.de>124; 250 <heinz-gustav@ancalagon.rhein-neckar.de>... Sender ok124; RCPT TO:<karl-heinz@owl.example>124; 250 <karl-heinz@owl.example>... Recipient okDer Sender gibt die Absenderadresse an, der Empfänger bestätigt;gleiches gilt für die Empfangsadresse. Die Absenderadresse kann auchhier ;gelogen; sein und läßt sich nicht definitiv nachprüfen; statt nureines Empfängers können auch (nahezu) beliebig viele angegeben werden,indem die RCPT-TO:-Angabe entsprechend wiederholt wird.124; DATA124; 354 Enter mail, end with ;.; on a line by itselfDer ;Umschlag; ist fertig, jetzt kommt der Briefbogen, bestehend ausHeader und Body.[5] SMTP steht für ;Simple Mail Transfer Protokol;, den derzeit üblichen Standard, nach dem E-Mail im Internet zwischen verschiedenen Servern ausgetauscht wird. Siehe dazu den RFC 2821: ;Simple Mail Transfer Protocol; (URL: <http://www.faqs.org/rfcs/rfc2821.html>)[6] Auf HELO folgt der eigene Rechnername, bei EHLO zusätzlich noch Parameter, die angeben, welche erweiterten Funktionen der Mailserver beherrscht.[7] Die Rückauflösung (aus der Nummer zum Namen) muß nicht mit der üblicherweise verwendeten Vorwärtsauflösung (aus dem Namen zur Nummer; notwendig, um bspw. aus dem Servernamen ;www.provider.example; die dazugehörige IP-Adresse zu erfahren und den Server ansprechen zu können) konsistent sein. Ein böswilliger Anbieter ;a-provider.example;, der für den Server mit der IP-Nummer 193.197.90.30 zuständig ist, könnte in der Rückwärtsauflösung mit dieser Nummer den Namen des Mailservers seines Konkurrenten, ;mail.b-provider.example; verbinden, auch wenn umgekehrt die Eingabe von ;mail.a-provider.example; vorwärts zu der Nummer 193.197.90.30 führt und ;mail.b-provider.example; eine ganz andere IP- Adresse ergibt. So können die Kunden jeweils mit der Angabe des Namens auf den richtigen Server zugreifen, weil sie zu dem Namen die korrekte IP-Nummer geliefert bekommen; wenn jedoch ;mail.a-provider.example; mit der Nummer 193.197.90.30 sich mit irgendeinem anderen Server verbindet, wird dieser sowohl die IP-Nummer als auch den mit der Nummer verbundenen (falschen!) Namen ;mail.b-provider.example; registrieren.2.2 HeaderDer Header einer E-Mail bildet sozusagen den Briefkopf, dem man bspw.Absender, Empfänger, Datum und Betreff entnehmen kann. Wichtig dabei:diese Angaben sind einerseits völlig beliebig durch den Absendereinstellbar, andererseits müssen sie nicht mit den Angaben im Umschlagübereinstimmen. Man kann also, um im Bild zu bleiben, den Briefbogen an<donald.duck@entenhausen.example> adressieren, aber in einen Umschlagstecken, der (wie oben) an <karl-heinz@owl.example> adressiert ist. Anletzteren wird die E-Mail dann verschickt. So kann es passieren, daß maneine E-Mail erhält, die scheinbar (!) an jemand ganz anderen adressiertist. [8]Außer dem ;Briefkopf;, der schon vom Absender mitgeschickt wird, findensich aber auch noch Headerzeilen, die von jedem an der Übertragungbeteiligten Mailserver eingetragen werden, wenn die E-Mail befördert wird,sozusagen Zustellvermerke (die sich bei einem konventionellen Briefallerdings wohl eher auf dem Umschlag finden würden :-)). *Diese*Headerzeilen sind für die Rückverfolgung einer E-Mail entscheidend.Für den Anfang soll dieser kurze Überblick genügen; die einzelnen Headerwerden unten in Abschnitt 3 ausführlich besprochen.[8] Sinnvoll ist dieses Vorgehen bspw. für Mailinglisten: als Empfänger steht dann bpsw. ;Alle Teilnehmer der Taubenfutter-Mailingliste; <taubenfutter@mailingliste.example> oder etwas anderes beliebiges im Header, die tatsächlichen Empfänger stehen nur auf dem Umschlag. Der Vorteil: bei 100 Teilnehmern muß bloß die Zeile ;RCPT TO:<adresse@server.domain.example>; hundertmal (jedesmal mit einer anderen Empfängeradresse) gesendet, die eigentliche E-Mail (der Briefbogen) aber nur einmal übertragen werden. Um die Zustellung kümmert sich dann der empfangende Mailserver, der sozusagen aus der einen übertragenen E-Mail 100 Kopien für 100 verschiedene Empfänger macht. Das spart immens Zeit und damit Geld. Daher gehen aus demselben Grund Bulkmailer (Spammer) ebenso vor - letzten Endes bedienen sie ja auch nur eine Mailingliste, allerdings eine Liste, deren unfreiwillige Teilnehmer sich nicht für diesen Verteiler angemeldet haben... Daher findet man beim Empfang von UBE/UCE häufig nicht die eigene Mailadresse auf dem Briefbogen (in der Headerzeile ;To:; bzw. ;An:;), sondern eine fremde oder beliebige. Spammer verwenden für ihre Zwecke dabei im übrigen gerne sog. ;offene Relays; [9].[9] Ein offenes Relay ist ein Mailserver, der nicht nur Mail von seinen eigenen Benutzern und Kunden an die ganze Welt und umgekehrt Mail von überall an die eigenen Kunden ausliefert, sondern von überall und jedermann Mail annimmt, die er auch nach überall wieder ausliefert. Früher war das eine nette Geste, um Serverausfälle bspw. bei kleineren Providern abzufangen; heute werden offene Relays gerne mißbraucht, um Bulkmail auszuliefern und landen deswegen auf ;schwarzen Listen; mit der Folge, daß viele Systeme weltweit Mail von dort gar nicht mehr oder nur noch verzögert annehmen.2.3 BodyNach einer simplen Leerzeile, die die Trennung zwischen Header und Bodydarstellt, folgt dann der eigentliche Text bzw. Inhalt der E-Mail. Dieserist nicht mehr weiter untergliedert.2.4 Vorgehen bei der ZustellungWenn ein Mailserver eine E-Mail bekommt, ist es seine erste Aufgabe,festzustellen, ob und (bei mehreren) wenn ja für welche Empfänger erselbst ;zuständig; ist. Ist der Server selbst zuständig, legt er die E-Mail dem entsprechenden Empfänger (oder den Empfängern) ins Postfach (bzw.übergibt sie an ein anderes Programm auf derselben Maschine, das für dieVerwaltung der Postfächer zuständig ist). Ist er nicht zuständig (oderbleiben danach Empfänger-Adressen übrig, für die er nicht zuständig ist),ermittelt er den (oder ggf. die verschiedenen) zuständigen Mailserver [10],stellt zu diesem Server (oder diesen Servern) eine Verbindung her undliefert dann seinerseits die E-Mail an diese(n) Server aus, auf dieselbeWeise, wie er sie selbst bekommen hat, mit HELO/EHLO, MAIL FROM, RCPT TOund DATA.[10] Dazu wird im DNS der Eintrag für den sog. Mail Exchanger (MX) für die entsprechende Domain abgefragt. Als Antwort wird der Name eines oder mehrerer Rechner, die für den Mailempfang für diese Domain zuständig ist oder sind, zurückgeliefert, nach Priorität geordnet.----------------------------------------------------------------------
admin > 10-28-2024, 05:57 AM
Zitat:3. E-Mail-Headerzeilen im einzelnen=================================== Zunächst mal ein (schon etwas komplizierterer) Header ;am Stück;. Diefolgende E-Mail wurde von Heinz-Gustav Hinz an seinen BekanntenKarl-Heinz Schmitt verschickt. Letzterer hat eine Adresse bei demE-Mail- Forwarder GMX, von dem er sich die eingehenden Mails anseine eigentliche Adresse weiterschicken läßt.124; Return-Path: <heinz-gustav@post.rwth-aachen.example>124; Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])124; by ancalagon.rhein-neckar.de (8.8.5/8.8.5) with SMTP id SAA25291124; for <karl-heinz@ancalagon.rhein-neckar.de>; Thu, 16 Sep 1998 17:36:20124; +0200 (MET DST)124; Received: (qmail 1935 invoked by alias); 16 Sep 1998 15:36:06 -0000124; Delivered-To: GMX delivery to karl-heinz@gmx.example124; Received: (qmail 27698 invoked by uid 0); 16 Sep 1998 15:36:02 -0000124; Received: from pbox.rz.rwth-aachen.example (137.226.144.252)124; by mx3.gmx.example with SMTP; 16 Sep 1998 15:36:02 -0000124; Received: from post.rwth-aachen..example (slip-vertech.dialup.RWTH-Aachen.EXAMPLE124; [134.130.73.8]) by pbox.rz.rwth-aachen.example (8.9.1/8.9.0) with ESMTP124; id RAA28830 for <karl-heinz@gmx.example>; Wed, 16 Sep 1998 17:35:59124; +0200124; Message-ID: <35FFDA4F.2BC2A064@post.rwth-aachen.example>124; Date: Wed, 16 Sep 1998 17:33:35 +0200124; From: Heinz-Gustav Hinz <heinz-gustav@post.rwth-aachen.example>124; Organization: RWTH Aachen124; X-Mailer: Mozilla 4.05 [de] (Win95; I)124; To: Karl-Heinz Schmitt <karl-heinz@gmx.example>124; MIME-Version: 1.0124; Content-Type: text/plain; charset=iso-8859-1124; Content-Transfer-Encoding: quoted-printable124; Subject: Re: Hallo Nachbar!124; References: <529471993@ancalagon.rhein-neckar.de>124; Reply-To: hinz@provider.example124; X-Resent-By: Global Message Exchange <forwarder@gmx.example>124; X-Resent-For: karl-heinz@gmx.example124; X-Resent-To: karl-heinz@ancalagon.rhein-neckar.deDie Reihenfolge der Headerzeilen ist ziemlich beliebig und von derverwendeten Software abhängig. Deshalb werde ich mich auch beim;Auseinanderpfriemeln; der einzelnen Headerzeilen nicht an derReihenfolge, sondern am Sinnzusammenhang orientieren.3.1 Anschrift, Absender u. Verwandtes - kurz: der BriefkopfDiese Headerzeilen sind weitgehend selbsterklärend:124; Date: Wed, 16 Sep 1998 17:33:35 +0200Das Absendedatum, eingetragen vom Mailprogramm des Absenders (kann, wennfehlend, aber auch von einem der beteiligten Mailserver nachgetragenworden sein, meistens dem ersten, den die Mail passiert).124; From: Heinz-Gustav Hinz <heinz-gustav@post.rwth-aachen.example>Der Autor bzw. Absender. Wenn Autor und technischer Absenderunterschiedlich sind (eine Mail bspw. von einer Mailingliste verschicktwird), steht der technische Absender ggf. in der zusätzlichen Headerzeile;Sender:;. - Davon zu unterscheiden ist der bereits in Abschnitt 2.1erwähnte ;Envelope-From:;, an den bspw. automatische Fehlermeldungengerichtet werden.124; Organization: RWTH AachenDie Organisation (Firma, Hochschule, Verein ...) des Absenders. - Merke:;There is no 's' in Organization;. ;-)124; To: Karl-Heinz Schmitt <karl-heinz@gmx.example>Der Empfänger. Hier können auch mehrere oder viele Namen / Adressenstehen, jeweils durch Kommata getrennt.Außerdem kann es noch die Headerzeile ;CC:; geben, die angibt, wer dieseMail in Kopie zur Kenntnisnahme erhalten hat. Der Unterschied ist reinadministrativ, ähnlich wie bei Rundschreiben mit ;Empfängern; und ;ZurKenntnis in Kopie an;; wie auch dort wird (vermutlich! - die Angabenin To:/CC: sind nur informativ und haben für die Zustimmung keine Bedeutung!)an jeden Namen / jede Adresse in beiden Kategorien jeweils ein Exemplarverschickt. Technisch gesehen werden beim Versand einer normalen E-Maildie Adressen, die im Mailprogramm des Absenders in die Felder ;To:; und;CC:; eingetragen wurden, nicht nur zur Generierung dieser beidenHeaderzeilen benutzt, sondern auch beim SMTP-Dialog als ;RCPT TO:;übertragen, also sozusagen für den Umschlag abgeschrieben.Die meisten Mailprogramm bieten noch ein ;BCC:;-Feld für ;blinde;Kopien. Die hier eingegebene Adressen werden zwar in den Umschlagübernommen (jeder erhält ein Exemplar der Mail), erscheinen aber imHeader der E-Mail (auf dem Briefbogen) nicht; die anderen Empfängerwissen also nichts von den Empfängern dieser blinden Kopien. Mailinglisten(oder auch Bulkmail / Spam) werden häufig auf diese oder einevergleichbare Weise verschickt.124; Subject: Re: Hallo Nachbar!Der Betreff.124; Reply-To: hinz@provider.exampleDie Adresse, an die geantwortet werden soll. Hier schickt Heinz-GustavHinz die E-Mail von seinem Account an der RWTH Aachen ab, möchteAntworten aber an seine private Mailadresse haben.Alle diese Zeilen können beliebig durch den Absender bestimmt werden undsind demzufolge für eine Rückverfolgung weitgehend wertlos.3.2 ;Technische; Angaben124; Message-ID: <35FFDA4F.2BC2A064@post.rwth-aachen.example>124; In-Reply-To: <529471993@ancalagon.rhein-neckar.example>124; References: <529471993@ancalagon.rhein-neckar.example>Die Message-ID ist eine eindeutige Kennung der E-Mail (vergleichbareiner Seriennummer). Sie sollte aus einer unverwechselbaren Zeichenfolgevor dem ;@; (meistens Datum und Benutzerkennung in einer kodierten Form)und einem Rechnernamen hinter dem ;@; bestehen. Häufig wird die Message-ID bereits vom Mailprogramm des Absenders erzeugt; ansonsten tragen diemeisten Mailserver sie nach, soweit sie fehlt. Sie ist demnach keinBeleg für den tatsächlichen Absender.Wenn sich die E-Mail auf eine andere bezieht, diese also beantwortet,findet sich deren Message-ID in der Headerzeile ;References:; oder ;In-Reply-To:;. Diese Angaben nutzen manche Mailprogramme, um die einzelnenE-Mails, bspw. aus einer Mailingliste, zu sortieren und einen ;Thread;,einen ;Diskussionsfaden; (oder ;-baum;) daraus zu bauen (wie bei einemNewsreader).124; MIME-Version: 1.0124; Content-Type: text/plain; charset=iso-8859-1124; Content-Transfer-Encoding: quoted-printableDiese Angaben beschreiben, welcher Art der Inhalt der Mail ist. Hierhandelt es sich um reinen Text (;plain text;) mit dem Zeichensatz;iso-8859-1; und der Sonderzeichenkodierung ;quoted-printable;. DieseDaten sind nur für das Mailprogramm notwendig, um bspw. Umlaute undSonderzeichen richtig anzeigen und Dateianhänge u.ä. erkennen undbehandeln zu können.124; X-Mailer: Mozilla 4.05 [de] (Win95; I)Alle mit ;X-; beginnenden Headerzeilen sind nicht standardisiert undkönnen von verschiedenen Programmen (oder auch Benutzern) beliebigeingefügt werden. Üblich ist ein Header wie dieser, der die verwendeteSoftware angibt. Ein anderes Mailprogramm produziert stattdessenvielleicht direkt mehrere X-Header, zum Beispiel> X-Priority: 3> X-MSMail-Priority: Normal> X-Mailer: Microsoft Outlook Express 4.72.3110.1> X-MimeOLE: Produced By Microsoft MimeOLE V4.72.3110.3Möglich ist auch die Verwendung des Headers ;User-Agent; (der danneiner standardisierten Form genügen muß).Bei weiteren Headern läßt sich meist aus dem Namen der jeweiligenHeaderzeile schließen, wofür er denn gedacht sein mag; ansonsten findensich die entsprechenden technischen Dokumente (RFCs) in Abschnitt 7aufgezählt.Der Hinweis, daß alle diese Header vom Absender beliebig gewählt unddamit auch gefälscht werden können, ist an dieser Stelle vermutlich bereitsfast überflüssig.3.3 ;Zustellvermerke;: den Weg einer E-Mail nachvollziehenDie noch verbleibenden Headerzeilen lassen sich für die Rückverfolgungeiner E-Mail verwenden. Auch hierbei ist natürlich ein wenig Vorsichtgeboten, um nicht plumpen (und weniger plumpen) Fälschungsversuchenaufzusitzen.124; Return-Path: <heinz-gustav@post.rwth-aachen.example>Diese Zeile sollte, wenn sie existiert, ganz am Anfang der E-Mailstehen. Sie enthält den Envelope-From (also die Absenderangabe aus demSMTP-Umschlag), die - wir erinnern uns - beliebig angegeben werden kann.Bringt für eine Rückverfolgung also herzlich wenig.3.3.1 ;Received:;-HeaderzeilenDie ;eigentlichen; Zustellvermerke sind die ;Received:;-Headerzeilen, diejeweils vor dem Weiterschicken einer E-Mail vom Mailserver vorne angefügtwerden. Man muß sie also rückwärts (!) lesen: die letzte Received:-Zeileist die oberste (!). Daraus resultiert zweierlei: die oberste ;Received:;-Zeile wurde vom eigenen Mailserver (bzw. dem des Providers) erzeugt - sieist also vertrauenswürdig. Und: die übrigen genannten Headerzeilen müssennormalerweise unterhalb der ;Received:;-Zeilen stehen, da sie ja schon beider Einlieferung vorhanden waren. Andererseits könnten natürlich auchvorgeschriebene Headerzeilen bei der Einlieferung gefehlt haben, die dannerst später von einem der empfangenden Mailserver ergänzt wurden und daherüber der ersten ;Received:;-Zeile stehen. Dennoch: Wenn ;mittendrin; nocheinmal ;Received:;-Zeilen auftauchen, handelt es sich mit hoherWahrscheinlichkeit um Fälschungen, die einfach vom Absender schon vor demersten Versenden eingefügt wurden. Gleiches gilt, wenn sich ;Lücken; zwischen einzelnen ;Received:;-Zeilenauftun. Eine ;Received:;-Zeile gibt immer an, wer die Mail von wemempfangen hat. Das heißt: Wenn jetzt A die Mail von B bekommen hat, mußals nächstes eine Zeile folgen, in der B die Mail von C bekommen hat.Beachten muß man dabei allerdings, daß ein und derselbe Rechner durchausmehrere ;Namen; haben kann. So wird ein Rechner, der den E-Mail-Verkehrerledigt, vielleicht mail.domain.example heißen. Wenn derselbe Rechner auchfür das WWW und News zuständig ist, heißt er vielleicht auch nochwww.domain.example und news.domain.example - das ist aber immer nochderselbe Rechner. Genauer feststellen läßt sich das durch eine DNS-Abfrage(nslookup, vgl. Abschnitt 4); in diesem Fall müßten dort beide Namen fürdenselben Rechner, d.h. dieselbe IP-Nummer, registriert sein.3.3.2 ;Received:;-Headerzeilen im einzelnen124; Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])124; by ancalagon.rhein-neckar.de (8.8.5/8.8.5) with SMTP id SAA25291124; for <karl-heinz@ancalagon.rhein-neckar.de>; Thu, 16 Sep 1998 17:36:20124; +0200 (MET DST)Jetzt geht's ans Eingemachte. :-) Diese Zeile muß nämlich wiederum inihre Einzelteile auseinandergepflückt werden.124; by ancalagon.rhein-neckar.de (8.8.5/8.8.5) with SMTP id SAA25291Der eigene Mailserver des Empfängers (hier ;ancalagon.rhein-neckar.de;)hat diese E-Mail empfangen (;Received by;). Die Angabe in Klammern gibtdabei (Namen und) Version des dort laufenden Mailserver-Programmes (MTA)an. (Hier handelt es sich um das Programm ;sendmail;.) Empfangen wurde perSMTP mit der internen Kennnummer ;SAA25291; (was für uns bedeutungslosist).124; for <karl-heinz@ancalagon.rhein-neckar.de>; Thu, 16 Sep 1998 17:36:20124; +0200 (MET DST)Freundlicherweise wird hier der Envelope-To wiedergegeben (also dieAnschrift auf dem SMTP-Umschlag). Außerdem findet sich das Datum und dieUhrzeit, zu dem die Mail einging. Ob diese Angaben hier stehen, ist einmalvom verwendeten MTA und zum anderen davon abhängig, ob die Mail nur aneinen oder an mehrere Empfänger auf demselben (!) Server ging. Imletzteren Fall fehlt die Angabe des Empfängers aus dem ;Umschlag; meist,da es ja die einzelnen Empfänger nichts angeht, wer die E-Mail sonst nochbekommen hat, und die Liste ggf. auch etwas lang würde. :)124; Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])Hier steht jetzt, von welchem Mailserver die E-Mail empfangen wurde. DasFormat dieser Zeile ist leider nicht ganz einheitlich. Immer gilt: dieNummer in (eckigen) Klammern ist die unverwechselbare IP-Nummer deseinliefernden Rechners - hier ;195.63.104.129;. [11] Außerdem ist angegeben,wie dieser sich vorgestellt hat (die Angabe aus dem HELO) - hier;qmailr@mx3.gmx.example;. Das hat unser Mailserver brav überprüft undfestgestellt, daß die IP-Nummer tatsächlich zu ;mx3.gmx.example; gehört.Soweit also alles in Ordnung.Wenn HELO und Realität übereinstimmen, wird der HELO-Parameter manchmalgar nicht angegeben. Dann findet sich nur die IP-Nummer und der (alsrichtig festgestellte) Name des einliefernden Servers. Andererseits gebenmanche MTA nur den (möglicherweise gefälschten) HELO-Parameter und die(echte) IP-Nummer an, ohne den zugehörigen Namen nachzuschauen. Dann istder angegebene Name gerade *nicht* wahr. Auch ist es möglich, daß dieReihenfolge der Angaben genau umgekehrt ist (zuerst HELO, dann tatsächlicheAngabe). Schließlich - und am schlimmsten :-( - gibt es ältere MTAs, dienoch an das Gute im Menschen glauben und außer dem (beliebig fälschbaren)HELO überhaupt nichts festhalten. Da ist dann guter Rat teuer. In diesemFalle hilft es nur noch, sich direkt an den Postmaster dieses Systems zuwenden, der dann möglicherweise über die automatisch geführten Log-Dateiennoch weitere Informationen ermitteln kann.Daher ergibt sich folgendes: Soweit man weiß oder ausprobiert hat, inwelchem Format der eigene MTA bzw. der des eigenen Providers die Angabenin der Received:-Zeile macht, gibt es kein Problem. Wenn man sich nichtsicher ist, welcher der Rechnernamen jetzt der echte ist, hilft nichtsanderes, als selbst nachzuschauen, welcher Name zu der angegebenenIP-Nummer paßt. Dazu gibt es bspw. das Tool ;nslookup; (vgl. Abschnitt 4.1).[11] ;Immer; ist dabei etwas relativ zu sehen - oft hindert nichts den einliefernden Rechner, sich beim HELO/EHLO nicht nur mit seinem Namen vorzustellen, wie er es eigentlich sollte, sondern eine nahezu beliebige Zeichenfolge abzukippen, die dann auch eckige Klammern enthalten oder gar andere Bestandteile der Received:-Zeile vortäuschen kann. Ggf. kann es dann - je nach verwendeter Server- Software - vorkommen, daß das Ende der Received:-Zeile wegen des überlangen HELO/EHLO abgeschnitten wird. Diesen fiesen Trick sollte man also bei ;seltsamen; Received:-Zeilen im Hinterkopf behalten.124; Received: (qmail 1935 invoked by alias); 16 Sep 1998 15:36:06 -0000Diese Zeile ist eine Spezialität der bei GMX verwendetenMailserversoftware ;qmail;.124; Delivered-To: GMX delivery to karl-heinz@gmx.exampleAuch dies eine Spezialität von GMX: eine E-Mail an diesen GMX-Kundenwurde ausgeliefert.124; Received: (qmail 27698 invoked by uid 0); 16 Sep 1998 15:36:02 -0000Wieder ;qmail;. Alle diese Software-spezifischen Zeilen sind für dieRückverfolgung zunächst ohne Bedeutung.124; Received: from pbox.rz.rwth-aachen.example (137.226.144.252)124; by mx3.gmx.example with SMTP; 16 Sep 1998 15:36:02 -0000Hier wird es jetzt spannend - diese Zeile wurde ja nicht mehr vonunserem vertrauenswürdigen eigenen Mailserver erzeugt. Schauen wir mal:124; by mx3.gmx.example with SMTP; 16 Sep 1998 15:36:02 -0000;mx3.gmx.example; hat die Mail empfangen. Das ist der Rechner, der sie dannan uns weitergereicht hat - stimmt also. Wundert eigentlich auch wenig;den Mailserver von GMX darf man wohl durchaus als vertrauenswürdigbezeichnen.124; Received: from pbox.rz.rwth-aachen.example (137.226.144.252)Bekommen hat er sie von ;pbox.rz.rwth-aachen.example; mit der IP-Nummer;137.226.144.252;. GMX gibt bei Übereinstimmung von HELO-Angabe undtatsächlichem Namen diesen nur einmal an.Anderes Beispiel:> Received: from hiper1-d87.cwnet.com (HELO mailer1.themailmachaine.net)> (205.162.108.87) by mx1.gmx.example with SMTP; 10 Sep 1998 23:29:25 -0000Hier hat sich der einliefernde Rechner beim HELO als;mailer1.themailmachaine.net; vorgestellt; tatsächlich heißt er aber;hiper1-d87.cwnet.com;. Wenn man die IP-Nummer ;205.162.108.87; mittels;nslookup; nachschaut, kann man das feststellen. (Näheres dazu weiterunten, Abschnitt 4.1). [12]Aber weiter im Text - wir waren stehengeblieben bei der Feststellung,daß GMX die Mail von ;pbox.rz.rwth-aachen.example; hat.124; Received: from post.rwth-aachen.example (slip-vertech.dialup.RWTH-Aachen.EXAMPLE124; [134.130.73.8]) by pbox.rz.rwth-aachen.example (8.9.1/8.9.0) with ESMTP124; id RAA28830 for <karl-heinz@gmx.example>; Wed, 16 Sep 1998 17:35:59124; +0200;pbox.rz.rwth-aachen.example; wiederum hat sie von jemandem, der sich als;post.rwth-aachen.example; vorgestellt hat, tatsächlich aber ;slip-vertech.dialup.RWTH-Aachen.EXAMPLE; heißt. Da beides Rechnerbezeichnungen derRWTH Aachen sind und der letztere Name (;dialup;) darauf hindeutet, daßes sich hier um einen Einwahlport handelt, dessen IP-Nummer dynamischimmer wechselnden Anrufern zugewiesen wird, macht auch das keinenübermäßig verdächtigen Eindruck. Auch der Zeitunterschied von nur 3Sekunden zwischen ;17:35:59 +0200; und ;15:36:02 -0000; paßt ganz gut fürdie Entgegennahme und direkt folgende Weiterleitung einer E-Mail.Die E-Mail kam also von einem Einwahlport an der RWTH Aachen.124; X-Resent-By: Global Message Exchange <forwarder@gmx.example>124; X-Resent-For: karl-heinz@gmx.example124; X-Resent-To: karl-heinz@ancalagon.rhein-neckar.deDiese unmittelbar aufeinander folgenden Header sind wiederum eineSpezialität von GMX, die angeben, an welche GMX-Adresse die Mailgeschickt wurde, und an welche tatsächliche Adresse sie dannweitergeleitet wurde. Auch sie sind für die Rückverfolgung zunächstbedeutunglos.[12] Solche Beispiele sind natürlich nichts anderes als eben Beispiele und bleiben daher auch nicht allzeit gültig. Momentan (Juli 2001) heißt der betreffende Rechner mit der IP-Nummer ;205.162.108.87; nicht mehr ;hiper1-d87.cwnet.com;, sondern ;hiper4b-d87.stk.cwnet.com;, und nächsten Monat vielleicht schon wieder ganz anders. Klar werden soll das Prinzip.
admin > 10-28-2024, 05:59 AM
Zitat:3.4 Spezielle HeaderzeilenEinige recht häufig vorkommende Headerzeilen wurden noch nicht genannt.So ist zum Beispiel124; Comments: Authenticated Sender is <....>recht verbreitet (wobei statt ;<....>; natürlich eine E-Mail-Adressesteht). Eigentlich sollte diese Zeile einmal angeben, wer denn nuntatsächlich der Absender dieser E-Mail war (wenn der Mailserver deseigenen Providers verwendet wurde bspw. durch Rückgriff auf die bei derEinwahl ins System verwendete Nutzerkennung). Manchmal trifft das auchnoch zu; häufig - bei unerwünschter Bulkmail nahezu immer - ist dieseZeile aber zwecks Irreführung gefälscht.Beliebt ist zunehmend auch die Headerzeile ;X-Sender;. Diese sollebenfalls den tatsächlichen Sender angeben. Zumindest bei T-Online-Kundenfunktioniert das anerkanntermaßen (natürlich nur, solange auch einer derT-Online-Mailserver verwendet wird):124; X-Sender: 06221168783-0001@t-online.deDie Angabe ist in diesem Fall die T-Online-Benutzerkennung, die beiälteren Kunden zu allem Überfluß auch noch mit der Telefonnummer identischist. In diesem speziellen Fall kann man eventuelle Nachfragen dann sogartelefonisch klären. ;-) Auch sonst lassen sich über das bei T-Onlineautomatisch angelegte Impressum der Nutzer-Webseiten eventuell diepersönlichen Daten des Versenders ermitteln - wenn dieser Versenderprivate Webseiten bei T-Online hat: es findet sich dann unter<http://home.t-online.de/home/NUTZERKENNUNG/.impressum.html>, im Beispielalso unter <http://home.t-online.de/home/06221168783-0001/.impressum.html>.Bitte beachten: auch ein X-Sender läßt sich natürlich fälschen, wenn dieE-Mail in Wahrheit gar nicht über einen Mailserer von T-Online verschicktwurde. Für andere Mailserver hat diese Headerzeile keine spezielleBedeutung, so daß sie dafür jeden Wert akzeptieren. Sie müssen alsoüberprüfen, ob die E-Mail auch tatsächlich vom T-Online Mailserver anSie ausgeliefert wurde.Ein Beispiel:124; Received: from mailout06.sul.t-online.com ([194.25.134.19])124; by mail.server.meines.providers.example with esmtp (Exim 3.36 #1)124; id 17WcWQ-00032C-00124; for meine.adresse@meines.providers.example; Wed, 01 Jan 2003 00:10:53 +0100124; Received: from fwd06.sul.t-online.de 124; by mailout06.sul.t-online.com with smtp 124; id 17WcWQ-0001nK-02; Wed, 01 Jan 2003 00:10:48 +0100124; Received: from (06221168783-0001@[123.124.125.126]) by fwd06.sul.t-online.com124; with smtp id 17WcWQ-0DlTD4C; Wed, 01 Jan 2003 00:10:34 +0100Die beiden unteren Received:-Zeilen sind typisch für eine Auslieferungüber T-Online. Sie erkennen aus der untersten Zeile, unter welcher IP-Nummer der T-Online-Kunde eingewählt war (hier: 123.124.125.126, eineFantasie-Nummer), und welche T-Online-Kennung er hat (hier:06221168783-0001). Darauf können Sie sich aber nur dann verlassen,wenn auch die darüberliegende (hier: die oberste) Received:-Zeilebestätigt, daß die E-Mail überhaupt wirklich über T-Onlineausgeliefert wurde (und wenn diese Zeile von einem vertrauenswürdigenServer erzeugt wurde, also bspw. von dem Ihres Providers, und nichtnoch weitere angebliche Stationen dazwischenliegen).Also schauen wir uns das mal schnell an: die mitgeloggte IP-Nummer ist;194.25.134.19;, und das ist, wie sich bspw. mittels nslookup schnellprüfen läßt, (derzeit - zum Zeitpunkt der Abfassung dieses Textes)auch wirklich ein Server von T-Online:124; [thomas@xerxes thomas]$ host 194.25.134.19124; 19.134.25.194.in-addr.arpa domain name pointer mailout06.sul.t-online.com.Also: stimmt, und der Übeltäter ist schnell identifiziert.----------------------------------------------------------------------4. Hilfreiche Tools für die Header-Analyse========================================== Ganz ohne Hilfsprogramme ist auch die Analyse eines E-Mail-Headers nichtmöglich. Wichtig ist es insbesondere, herauszufinden, welche IP-Nummernwelchen Namen zugeordnet sind, und wer hinter diesen Nummern/Namentatsächlich hintersteckt. Die wichtigsten Tools sollen hier kurzvorgestellt werden. Bezugsquellen für die Programme folgen unten unter 4.4.4.1 nslookup (host/dig)Dieses Tool erwartet die Angabe einer IP-Nummer oder eines Rechnernamensund liefert durch die Anfrage bei einem DNS-Server die fehlende Angabezurück. Das geht natürlich nur online. Wir haben beispielsweise folgendeHeaderzeile:> Received: from hiper1-d87.cwnet.com (HELO mailer1.themailmachaine.net)> (205.162.108.87)nslookup liefert für hiper1-d87.cwnet.com zurück:124; [hiper1-d87.cwnet.com]124; Translated Name: hiper1-d87.cwnet.com124; IP Address: 205.162.108.87Und eine Anfrage mit 205.162.108.87 ergibt:124; [205.162.108.87]124; Translated Name: hiper1-d87.cwnet.com 124; IP Address: 205.162.108.87Wie bereits im Abschnitt 2.1 in Fußnote [7] erwähnt, muß dieRückwärtsauflösung von der Nummer zum Namen hin nicht unbedingtfunktionieren oder wahr sein. Es empfiehlt sich daher, sie ggf. durch eineVorwärtsauflösung zu überprüfen: wenn ;205.162.108.87; zum Namen;hiper1-d87.cwnet.com; gehören soll, dann muß umgekehrt die Abfrage auf;hiper1-d87.cwnet.com; wieder die Nummer ;205.162.108.87; liefern.Hinweis: nslookup dürfte zukünftig von ;host; bzw. ;dig; abgelöst werden.4.2 whoisMit Hilfe von whois läßt sich beispielsweise herausfinden, wem bestimmteIP-Nummern, IP-Nummern-Bereiche oder Domains gehören. Auf diesem Weglassen sich nicht nur zusätzliche Beschwerdeadressen finden, interessantist es häufig auch, festzustellen, wer hinter einem bestimmtenDomain-Namen oder einer bestimmten IP-Nummer steckt. Manchmal sind dasbereits ;alte Bekannte;, so daß von vornherein klar ist, daß Beschwerdendort keinen Erfolg haben werden ...Beispielsweise ergibt die Abfrage ;whois 205.162.108.87; denVerantwortlichen für diese IP-Nummer bzw. denjenigen, dem diese Nummerrespektive der ganze Nummernblock, zu dem diese Nummer gehört, zugeteiltwurde. Bei der Angabe eines Domainnamens statt einer IP-Nummer wird derEigentümer der entsprechenden Domain zurückgeliefert: ;whois domain.name;ergibt entsprechend die Daten desjenigen, der diese Domain registrierthat. - Die Eigentümer von Subdomains, bspw. von ;irgendwas.de.vu;, lassensich in der Regel nicht ermitteln; jedenfalls nicht auf diesem Wege,sondern allenfalls über den Zuständigen für die Haupt-Domain (Second-Level-Domain), bspw. ;de.vu;.Bitte beachten: es gibt viele verschiedene Whois-Server, die jeweils nurfür eine bestimmte Top-Level-Domain (bspw. ;de; oder ;at; oder ;com;)zuständig sind, und auch die Zuständigkeit für die IP-Nummern-Bereiche istauf eine Handvoll Regional Internet Registries (RIRs) verteilt, insb. dievon ARIN (amerikanischer Raum), RIPE (europäischer Bereich) und APNIC(asiatisch-pazifischer Raum). Wenn daher keine vernünftige Antwort aufeine Abfrage erfolgt, muß stattdessen ein anderer, sprich der zuständigeWhois-Server befragt werden. Man kann auch direkt einen der ;intelligenten;Whois-Server wie whois.thur.de verwenden; diese leiten die Anfrage dann anden richtigen Server weiter. Als weitere Alternative siehe dazu auch dieOnline-Abfrageseiten im WWW unten unter 4.6.4.3 tracerouteTraceroute gibt den Weg an, den Datenpakete vom eigenen Rechner zumangegebenen Zielrechner zurücklegen. So läßt sich der Uplink für denZielrechner ermitteln, also sozusagen der ;Provider des Providers;. FallsBeschwerden beim Provider selbst ständig erfolglos und ohne Antwortbleiben, kann man auch daran denken, es eine Ebene höher zu probieren undsich an den Uplink zu wenden.4.4 Programmpakete und BezugsquellenAuf UNIX-Rechnern stehen die genannten Tools meist unter eben diesemNamen zur Verfügung. Unter anderen Betriebssystemen ist das zumeist nichtder Fall - aber auch dort gibt es inzwischen Programmpakete, in denen diegebräuchlichsten Tools zusammengefaßt (und häufig mit einer leichtbedienbaren grafischen Benutzeroberfläche versehen) sind. Die Programmesind im allgemeinen Free- oder Shareware.Für Windows 95/98 (wahrscheinlich auch NT/2000):Standardmäßig existieren ;ping; und ;tracert; (=traceroute). DOS-Boxöffnen und ;ping [hostname/IP]; oder ;tracert [hostname/IP]; eintippen.+ Sam Spade <http://samspade.org/ssw/> Dieses Programm ist speziell zur Rückverfolgung unerwünschter Bulkmail ausgelegt. Es bietet neben ping, nslookup, traceroute, IP-Blocks und weiteren Tools auch eine ;automatische; Headeranalyse, die bei einem ersten Einstieg in die Materie sicher hilfreich ist, und liefert daneben auch einige hervorragende, allerdings englischsprachige FAQs, Links und Step-by-step-Anleitungen für die Absenderfeststellung und Beschwerde bei unerwünschter Bulkmail mit. + Cyber Kit <http://www.cyberkit.net/> Bietet Ping, Traceroute, Finger, WhoIs, NS Lookup, QoD. Derzeit ist die o.g. Website nicht zugänglich. + Internet Maniac <http://network-spy.com/maniac.php> Bietet Host Lookup, Ping, Traceroute, Connect, Time, Finger, Whois, POP3, Listener, Scanner, Winsock, Raw connect, Speed check. Derzeit ist die o.g. Website nicht zugänglich.+ NetScan Tools for Windows 95 <http://www.netscantools.com/nstmain.html> Nslookup, Finger, Ping, Traceroute, Scanner, etc.+ VisualRoute <http://www.visualware.com/visualroute/> Graphisches Traceroute mit Whois-Abfragen und Portscan.Für OS/2:Es existieren standardmäßig ;ping;, ;nslookup; und ;finger; - dieseProgramme heißen auch so. ;traceroute; heißt hier ;tracerte;.Desweiteren gibt es eine whois-implementation von Frank Ellermann zumDownload unter <http://frank.ellermann.bei.t-online.de/src/rxwhois.cmd>Andere Programmpakete sind mir derzeit nicht bekannt.Für Amiga:+ <http://ftp.wustl.edu/systems/amiga/aminet/comm/tcp/>Für Ataris:(Zur Zeit keine URLs bekannt.)Für MacOS 9:+ IPNetMonitor: <http://www.sustworks.com/site/prod_ipmonitor.html> Shareware, $20+ Interarchy (ehemals MAC TCP Watcher): <http://www.interarchy.com/>Für MacOS X:Es existiert serienmäßig das ;Network Utility; bzw. ;NetworkDienstprogramm;, welches unter ;Applications/Utilities; zu finden ist.Funktionsumfang: Netstat, Ping, Lookup, Trace, Whois, Finger, Portscan.4.5 Finger-Gateway auf info.belwue.deWer über keines dieser Programme verfügt, aber Zugriff auf einenfinger-client hat, kann stattdessen das finger-Gateway auf info.belwue.deverwenden. Eine Hilfe dazu gibt es, wenn man help@info.belwue.deanfingert:124; BelWue finger-gateway, available services:124; ping,traceroute,whois,nslookup,dnslist,acronym,translate,schwob,dfn,124; date,test124; 124; You may specify arguments by adding them with an ':', examples:124; finger traceroute@info.belwue.de124; finger traceroute:www.bofh.net@info.belwue.de124; finger whois:belwue.de@info.belwue.de124; finger acronym:RTFM@info.belwue.de4.6 Online-ToolsSchließlich gibt es die kleinen Helferchen inzwischen auch vielfachals Formular im WWW, mit dem man entsprechende Anfragen stellen kann.Eine Zusammenstellung vieler guter Tools findet sich auf <http://www.samspade.org/>Empfehlenswert auch der allgemeine whois-Dienst auf <http://www.iks-jena.de/cgi-bin/whois>sowie der whois-Dienst von <http://www.geektools.com/cgi-bin/proxy.cgi>Eine umfangreichere Liste findet sich in der FAQ der Newsgroupde.admin.net-abuse.mail; vgl. dazu die weiterführenden Hinweise inAbschnitt 7 dieser FAQ.4.7 abuse.netDas ;Network Abuse Clearinghouse;, <http://www.abuse.net/>, sammeltKontaktadressen von Providern, unter denen man die jeweiligeBeschwerdestelle erreichen kann. Die Kontaktdatenbank läßt sich aufdreierlei Weise abfragen:Im WWW: <http://www.abuse.net/lookup.phtml>Per finger: finger example.com@abuse.net [mit der betreffenden Domain statt ;example.com;, natürlich]Per whois: whois example.com @whois.abuse.net [mit der betreffenden Domain statt ;example.com;, natürlich]Ergänzungen dieser Datenbank kann jedermann einreichen; insbesondere dann,wenn die - eigentlich vorgeschriebenen - Adressen ;abuse; oder;postmaster; nicht existieren, ist es interessant, welche anderen Adressenbei dem betreffenden Provider für Beschwerden brauchbar sind. Dazu genügteine Mail an <mailto:update@abuse.net>, die die entsprechende(n)Adresse(n) möglichst in folgender Form enthält:124; domain.example: beschwerde.hier@domain.example weitere.beschwerde@domain.exampleWenn nicht direkt klar ist, woher diese Angaben stammen, sollte eine kurzeBegründung angegeben werden, warum das Kontaktadressen für Beschwerdenüber diese bestimmte Domain sind, bzw. wie man sie gefunden hat - inEnglisch, bitte. :-)Mehr dazu unter <http://www.abuse.net/addnew.html>.4.8 Blacklists auswertenDiverse Anbieter führen (schwarze) Listen, in denen bestimmte Rechner (IP-Adressen) und/oder Domains geführt werden, die bestimmte Voraussetzungenerfüllen, insbesondere negativ aufgefallen sind. Eine manuelle oderautomatisierte Auswertung dieser Listen kann durchaus sinnvoll sein - seies, daß man feststellen möchte, ob ein bestimmter Rechner bereits alsoffenes Relay (vgl. dazu Fußnote 9) aufgefallen ist, oder daß man daraufaufbauende automatische Filter verwenden möchte, die bspw. Mail vonbestimmten Rechnern kennzeichnen oder gar nicht mehr annehmen (zum ThemaMailfilterung wie auch über Blacklists siehe die Verweise in der FAQ vonde.admin.net-abuse.mail, genannt in Abschnitt 7 dieser FAQ).Wichtig bei der Verwendung solcher Listen ist es aber, sich zuvor zuinformieren, nach welchen Kriterien dort Rechner gelistet werden, und wieverläßlich die Anbieter sind. Es gibt Listen von Rechnern, über dieunerwünschte Massenwerbung verschickt wurde, von Rechnern bei Providern,die auf solche Beschwerden reagieren, von sog. offenen Relays, aber auchListen der IP-Nummern-Bereiche von Einwahlkunden (die deshalb nichtnotwendigerweise Spammer sind) oder von Providern, die bestimmteBeschwerdeadressen nicht eingerichtet haben. Diese Listen sind teilweisegut gepflegt, teilweise enthalten sie aber auch falsche Einträge oderwerden gar für persönliche Feden zwischen dem Betreiber und anderenInstitutionen benutzt.Die meisten dieser Blacklists sind über spezielle DNS-Server realisiert:man fragt dort nach dem Namen eines bestimmten Rechners oder einer Domain,und wenn ein Eintrag existiert, dann steht dieser Rechner oder dieseDomain in der jeweiligen Blacklist. Teilweise kommt auch dem Inhalt derzurückgelieferten Antwort eine Bedeutung zu. Wie nun genau diese Abfrageerfolgt, ist listenspezifisch; üblich ist die Angabe der IP-Adresse inumgekehrter Reihenfolge der Ziffernblöcke oder des Domainnamens, jeweilsgefolgt vom Namen der Blacklist. Um also den Rechner mit der IP-Nummer;a.b.c.d;; bei der - inzwischen abgeschalteten - Blacklistrelays.osirusoft.com abzuchecken, verwendet man eine Abfrage der Form;host d.c.b.a.relays.osirusoft.com; (oder ein anderes Tool, wie nslookup,bzw. ein Programmpaket, was dies beherrscht, siehe dazuAbschnitt 4.4). Ggf. muß man zu einem Rechnernamen erst nochdie IP-Nummer(n) ermitteln, bevor man die Abfrage starten kann:124; [thomas@xerxes thomas]$ host moutvdom.kundenserver.de124; moutvdom.kundenserver.de has address 195.20.224.131124; moutvdom.kundenserver.de has address 195.20.224.200124; moutvdom.kundenserver.de has address 195.20.224.149124; moutvdom.kundenserver.de has address 195.20.224.130124; 124; [thomas@xerxes thomas]$ host 131.224.20.195.relays.osirusoft.com 124; 131.224.20.195.relays.osirusoft.com has address 127.0.0.4Die genaue Bedeutung des Abfrageergebnisses läßt sich in diesem Falle derjeweiligen Webseite entnehmen.Mit dem unter <http://rblcheck.sourceforge.net/> verfügbaren Tool läßtsich die Abfrage von solchen Listen vereinfachen. Alternativ verfügen diemeisten Blacklists auch über WWW-Formulare für solche Abfragen. Links dazufinden sich am ehesten in der FAQ von de.admin.net-abuse.mail, die inAbschnitt 7 referenziert ist.----------------------------------------------------------------------5. Beschwerden über unerwünschte Massen-E-Mail==============================================Der häufigste Grund, sich über den tatsächlichen Absender einer E-Mailinformieren zu wollen, ist der, daß man den bzw. die Verantwortlichen füreine unerwünschte, massenhaft verschickte (Werbe-)E-Mail (;unsolicitedcommercial/bulk email;, kurz UCE bzw. UBE) ausfindig machen möchte, umsich dort zu beschweren. Womit sich die Frage stellt: Wo und wiebeschwert man sich?Dazu sollen hier nur einige grundlegende Hinweise gegeben werden; Verweiseauf weitere Informationsquellen finden sich unten unter Punkt 7(;Weiterführende Hinweise;). Insbesondere die Lektüre der FAQ derNewsgroup de.admin.net-abuse.mail sollte für diese Fälle ein Muß sein.
admin > 10-28-2024, 06:00 AM
Zitat:5.1 Wo kann ich mich beschweren?5.1.1 Beim Versender der UCE.Wenig sinnvoll - meist sind die Absenderadressen gefälscht, und wenn dieBeschwerde ankommt, führt das im Zweifelsfall nur dazu, daß DeineAbsenderadresse als tatsächlich existent vorgemerkt wird (was zu einerVermehrung der Werbeflut führen kann). Ausnahmen kann man vielleicht beiUCE aus deutschen Landen machen, insb. dann, wenn man ohnehin rechtlicheSchritte erwägt, oder wenn man den Eindruck hat, der Betreffende wissegar nicht, was er gerade anrichtet. Das Risiko, die eigene Adresse als;gut; zu bestätigen, bleibt.5.1.2 Beim Hersteller o.ä. des beworbenen Produkts.Auch das nur sinnvoll, wenn es sich um eine namhafte Firma handelt, dieentweder von dieser ;Werbekampagne; gar nichts weiß, oder zumindest keineAhnung hat, wie sehr sie gerade ihrem Ruf schadet.5.1.3 Beim (tatsächlichen) Provider des UCE-Versenders.Die meisten Provider mögen keine UCE-Versender unter ihren Kunden undreagieren entsprechend mit Verwarnungen, Accountentzug und/oderVertragsstrafen, sofort oder im Wiederholungsfall (manche allerdings auchgar nicht). Die Adresse für Beschwerden ist (sollte sein) abuse@.....;sofern diese Adresse nicht existiert, ersatzweise postmaster@..... Daraufsollte auf jeden Fall eine Antwort kommen, meist eine automatischeBestätigung oder der Hinweis, daß für UCE u.ä. spezielleBeschwerdeadressen existieren. - Falls diese Adressen nicht existieren,kann der betreffende Provider bei <http://www.rfc-ignorant.org/> gemeldetwerden; dort wird eine (schwarze) Liste solcher Provider, die technischeStandards (RFCs) nicht befolgen, geführt. Diese kann man natürlich auchselbst zuvor abfragen, vgl. dazu die genannten Webseite und Abschnitt 4.8dieser FAQ.Vereinfachen läßt sich dieses Vorgehen über <http://www.abuse.net/> (siehedazu auch Abschnitt 4.7 dieser FAQ). Dort wird eine Datenbank mitBeschwerdeadressen geführt; E-Mail an provider.domain@abuse.net (bspw.aol.com@abuse.net) wird automatisch an die passenden Beschwerdeadressenweitergeleitet. Bei Providern, die erfahrungsgemäß nicht reagieren, gehteine Kopie der Beschwerde an den Uplink (s. unten).Falls auf keine der genannten Weisen eine Antwort erfolgt, kann man nochversuchen, sich an den ;Administrative Contact; (Admin-C) der Domain zuwenden. Dessen Erreichbarkeit (auch Telefon- und Faxnumemr sowieAnschrift) läßt sich mittels des Tools ;whois; herausfinden.5.1.4 Beim Uplink des Providers.Wenn ein Provider längere Zeit nicht reagiert, bleibt die Möglichkeit,sich eine Stufe höher beim Uplink (also dem ;Provider des Providers;) zubeschweren. Wer das ist, läßt sich bspw. mit Hilfe des Tools ;traceroute;(s. oben, Abschnitt 4.3) herausfinden.5.1.5 Bei offenen Relays.UCE wird meist nicht direkt verschickt, sondern bei einem(unbeteiligten) Mailserver ;abgekippt;, der so gutgläubig ist, nicht nurE-Mail von eigenen Benutzern nach überall und von überall an die eigenenBenutzer zuzustellen, sondern von überall nach überall weiterzuleiten.Das mag einmal sinnvoll und hilfreich gewesen sein, ist aber heutzutagenur eine Einladung zum Mißbrauch. Insofern sollte man auch dort denzuständigen Postmaster auf den Mißbrauch hinweisen und ihn bitten, seinenMailserver ;relayfest; zu machen.Unter <http://mail-abuse.org/tsi/ar-test.html> gab es einen einfachen Test(zur Zeit wegen Mißbrauchs leider deaktiviert), um festzustellen, obein Mailserver für jedermann relayed oder nicht; stattdessen finden sichdort jetzt Verweise auf andere Testmöglichkeiten. Auch kann man (wenn manZugriff auf den betreffenden Server hat, d.h. sich dort mindestens alsUser einloggen kann) mittels eines ;telnet mail-abuse.org;, ausgeführt aufdem betreffenden Mailserver, ebenfalls feststellen, ob dieser relayfestist. Es wird dann automatisch ein Relaytest gegen diesen Server, von demaus man sich eingeloggt hat, gefahren. Das eignet sich in der Regel eherfür Administratoren.Unter <http://rblcheck.sourceforge.net/> läßt sich ein einfaches Toolherunterladen, um zu prüfen, ob der betreffende Server bereits in eineBlacklist (bspw. als offenes Relay) eingetragen wurde. Das kann ggf. eineneigenen Test ersparen.Für eine tiefergehende Erläuterung und weitergehende Links verweise ichauf die FAQ der Newsgroup de.admin.net-abuse.mail, vgl. Abschnitt 7 dieserFAQ.5.1.6 Bei E-Mail- und Webspace-Providern.Die meisten Anbieter von (kostenlosen) E-Mail-Adressen, wie gmx.net,hotmail.com etc. verbieten die Verwendung dieser Adressen in Zusammenhangmit UCE, sei es als Absender, sei es als im Body angegebene Adresse fürweitere Infos, und löschen auf Hinweis solche Accounts (;Dropboxen;)sofort. Auch manche Webspace-Provider reagieren, wenn Webseiten per UCEbeworben werden.5.2 Wie beschwere ich mich?Auf jeden Fall *höflich*; der Provider kann meist nichts für seineKunden, und selbst wenn: durch Beschimpfungen erreicht man nichts.Nach Möglichkeit *kurz*; meist kommt nicht eine Beschwerde, sondernDutzende bzw. Hunderte.Immer unter Beifügung des *vollständigen Headers* - nur dann kann derBeschwerde nachgegangen und etwas unternommen werden. Im Zweifelsfall auf englisch.Und letztlich: bitte immer beim *richtigen* Ansprechpartner, nichtwahllos bei allen irgendwo in der E-Mail genannten Adressen und Domains.----------------------------------------------------------------------6. Headerzeilen anzeigen lassen===============================Bei vielen Mailclients werden standardmäßig gar keine oder zumindestnicht alle Headerzeilen angezeigt. Wie man dennoch an den vollständigenHeader einer E-Mail kommt, läßt sich normalerweise der Dokumentation desProgramms oder der Online-Hilfe entnehmen. Hier finden sichdementsprechend nur kurze Hinweise für die gebräuchlichsten Programme(in alphabetischer Reihenfolge).6.1 MailclientsAK-Mail: ;Ansicht;, ;Kopf-Zeilen; Hinweis: Dieser Menüpunkt steht nur zur Verfügung, wenn der Mail-Body sichtbar ist.Crosspoint: Taste <o> Hinweis: Crosspoint speichert den Header im ZConnect-Format; um an den originalen RFC-Header zu kommen, bedarf es eines Umwegs: (1) Unter edit boxen edit diverses Verschiedene Einstellungen Filter Eingang \XP\BACKUP.BAT $PUFFER eintragen. (2) Datei \XP\BACKUP.BAT anlegen mit folgendem Inhalt: @echo off cls REM :: Puffer mit Mails in Sicherheit bringen, da er bei REM :: ESC-Abbruch gelöscht wird! copy /B \XP\spool\*. \XP\backup\. REM :: Mail kommt noch mal extra damit suchen schneller geht copy /B \XP\spool\D-N*. \XP\backupN\. REM :: MIMEs extrahieren hier REM :: XP-Filter hier (3) Die Mails finden sich als einzelne Dateien in \XP\backupN\ Das Verzeichniss sollte man von Zeit zu Zeit aufräumen. Zur Suche empfiehlt es sich, die Message-ID bei ;find; oder ;grep; anzugeben, es gibt auch kleines Tool, das einem die Suche von XP aus erlaubt.elm: Taste <h>XEmacs VM-Mail: (1) Taste <t> (2) Alternativ kann man in der $HOME/.emacs eine Zeile der Art (setq vm-invisible-header-regexp ;X-.*;) einfuegen. Dann werden alle Header bis auf die, die mit X- beginnen, angezeigt. Wirkt erst nach einem Neustart des emacs.Eudora 3.0: 'BlahBlah'-Button in der Toolbar anklickenForte (Free) Agent: Taste <h>Gnus: Tasten <Strg>-<u> <g> (im ;Summary Buffer; auf der Zeile der Mail einzugeben) oder <W> <v> (im ;Summary Buffer;)Lotus Notes (vor Version 6): Die Lösung ist etwas kompliziert - folgende zwei Möglichkeiten bestehen: (1) Für einzelne Headerzeilen: Wenn die Mail in Notes zur Ansicht geöffnet ist, im Menü ;Datei / Eigenschaften: Dokument; auswählen, in dem erscheinenden Fenster den zweiten Reiter von links (;Felder;) auswählen: man sieht die einzelnen Headerzeilen wie MessageID usw. (2) Für den kompletten Header: Wenn man sich im View (z.B. ;Inbox;) befindet: den Fokus auf die Mail stellen, ;Datei / ;Export...; auswählen und ;Structured Text; als Exportformat auswählen. Im nachfolgenden Dialog ;Selected Documents; auswählen und man erhält eine Klartext-Datei mit allen Headerzeilen und dem Body am Stück. Funktioniert nur im View, nicht wenn die Mail zur Ansicht geöffnet ist! Aus dieser Datei die uninteressanten Notes-Header zu löschen ist meist einfacher als die relevanten Header aus der ;Properties;-Box einzeln zu kopieren.Lotus Notes 6: Für den Notes-6-Client gibt es eine einfachere Lösung: Die EMail bildschirmfüllend oeffnen (Doppelklick auf die EMail in der Inbox) und im (engl.) Menu dann ;View; --> ;Show; --> ;Page View; anwählen. Die dann angezeigte Seite läßt sich problemlos in die Zwischenablage kopieren.MacSOUP: Taste <h> oder Tasten Befehl+<h>Mozilla: 1. ;View;, ;Headers;, ;All; (funktioniert im Ggs. zu alten Netscape-Versionen besser; allerding werden möglicherweise lange Headerzeilen am Zeilenende abgeschnitten) 2. View;, ;Page Source; (Anzeige der Mail mit allen Headern im Editor) 3. Installation von mnheny (<http://mnenhy.mozdev.org/>) und dann entsprechende Konfiguration zusätzlich anzuzeigender Header 4. Ctrl-U (bzw. Strg-U)MS Outlook: ;Ansicht;, ;Optionen;MS Outlook 97: ;Datei;, ;Eigenschaften;, ;Internet;MS Outlook Express: ;Eigenschaften;, ;Details; oder Tasten <Strg>+<F3>mutt: Taste <h>Netscape 4.x: ;Ansicht;, ;Seitenquelltext; Hinweis: Netscape zermanscht bei eingeschalteten Headern (;View;, ;Headers;, ;All;) die einzelnen Headerzeilen durch Einrückungen etc. zu einem wilden Brei. ;View;, ;Page Source; (;Ansicht;, ;Seitenquelltext;) liefert den Header in lesbarer Formatierung.Netscape 7.x: siehe ;Mozilla;Novell GroupWise: <http://www-lan.uni-regensburg.de/email/gw/header.html>Pegasus-Mail: Tasten <Strg>+<h>pine: Taste <h> Ggf. muß man vorher die Option Main Menu -> Setup -> Config -> enable-full-header-cmd aktivieren.Sylpheed Claws: ;Ansicht;, ;Zeige alle Kopfzeilen; oder Tasten <Strg>+<h>The Bat! 1.61: ;Special;, ;View Source; (oder <F9>) ;View;, ;RFC-822 header; aktivieren (oder <Shift>+<Strg>+<K>)T-Online E-Mail: Im Kontextmenü ;Alle Kopfzeilen anzeigen; wählen (also mit der Maus in die Mail klicken, rechte Maustaste, ;Alle Kopfzeilen anzeigen;).6.2 WebmailDie zunehmende Nutzung von Webmail-Diensten läßt auch da die Frageentstehen, wie man die Weboberfläche dazu bewegen kann, dievollständigen Header herauszurücken.GMX- E-Mail öffnen- Briefumschlag-Icon (rechts oben) mit Titel ;Ausdruck der Header- Informationen; klicken- Zusatzfenster mit kompletten Header öffnet sichIMP 3 - <http://www.horde.org/imp/>;Quelltext; oder ;Message Source; in dem Zusatzmenü über demNachrichtenfenster anklicken (direkt über der Datumszeile).web.de- E-Mail öffnen- Klick auf ;erweiterten Header anzeigen;- Reload der Seite, diesmal mit Anzeige der vollen Header ----------------------------------------------------------------------7. Weiterführende Hinweise==========================Einführung in das Thema E-Mail an sich: -- E-Mail-Einführung <http://www.fitug.de/bildung/e-mail/e-mail.html> -- Mail - eine Einführung <http://piology.org/mail/> -- Reading Email Header <http://www.stopspam.org/email/headers/headers.html> -- Transport von E-Mails - RFC 2821 http://www.daniel-rehbein.de/rfc2821.html -- RFC 2076: ;Common Internet Message Headers; <http://www.faqs.org/rfcs/rfc2076.html> -- RFC 2822: ;Internet Message Format; <http://www.faqs.org/rfcs/rfc2822.html>) -- RFC 2821: ;Simple Mail Transfer Protocol; <http://www.faqs.org/rfcs/rfc2821.html>)E-Mail-Mißbrauch: -- FAQ, Abkuerzungen: de.admin.net-abuse.mail <http://www.irrlicht.net/~laura/de.admin.net-abuse.mail.txt> <http://www.cs.uu.nl/wais/html/na-dir/de-net-abuse/mail-faq.html> -- Teergruben-FAQ <http://www.iks-jena.de/mitarb/lutz/usenet/teergrube.html> -- Newsgruppe de.admin.net-abuse.mail news:de.admin.net-abuse.mail -- vereinfachtes Auffinden der richtigen Beschwerdeadresse(n) <http://www.abuse.net/> -- Script zur Header-Analyse (online) inkl. Vorbereitung / Versenden von Beschwerden <http://spamcop.net/>Insbesondere die FAQ von de.admin.net-abuse.mail sei jedem, der sich mitunerwünschten Werbemails herumschlägt, ans Herz gelegt. Es erscheint mirnicht sinnvoll, die dortigen Informationen und insbesondere Links hieralle zu wiederholen.
admin > 10-28-2024, 06:02 AM
Zitat:Was ist Header Verschleiert!!!
Wenn ich einen Proxy verwende oder andere Tarnmöglichkeiten (z.b.) VPN versende ich meine Mail Verschleiert!Die wahre Absender IP ist dann meist nicht zu erkennen weil ein andere Ort oder ein anderes Land ausgegeben wird.Meist ist es zu sehen in der D-Zeile (z.b.+300 für Russland)