Autor Thema: Kurze Verständnisfrage zum eMail-Header  (Gelesen 3244 mal)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Kurze Verständnisfrage zum eMail-Header
« am: 18.09.18 - 09:05:35 »
Hallo,

ich bin im Moment etwas verwirrt, da verschiedene Online Header Analyzer leider verschiedene Aussagen ausgeben.

Wie ist die folgende Zeile im Header einer eMail zu verstehen:

Received: from [127.0.0.1] ([186.249.229.130])

Die Mail wurde von der IP Adresse 186.249.229.130 gesendet und der Client hat die lokale IP Adresse 127.0.0.1?
Oder wurde gar die Mail vom Server selber (eben von der 127.0.0.1) ?

Die Webseite https://www.gaijin.at/olsmailheader.php zeigt als Absender die 127.0.0.1
Die Webseite https://www.whatismyip.com/email-header-analyzer/ zeigt als Absender die 186.249.229.130

Eigentlich steht doch in dieser Zeile üblicherweise ein Domainname und eine IP.

Hintergrund ist, dass auf unserem amerikanischen Server scheinbar über authenticated SMTP so ca. 200.000 Spam Mails versendet wurden.

Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline DomAdm

  • Senior Mitglied
  • ****
  • Beiträge: 359
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Kurze Verständnisfrage zum eMail-Header
« Antwort #1 am: 19.09.18 - 14:29:00 »
Hallo,

Siehe:
https://th-h.de/net/usenet/faqs/headerfaq/

nslookup 186.249.229.130

Name:    rng-raj_dst-raj.century.net.br
Address:  186.249.229.130

Jacob
Jacob

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: Kurze Verständnisfrage zum eMail-Header
« Antwort #2 am: 24.09.18 - 14:47:23 »

Received: from [127.0.0.1] ([186.249.229.130])

Du kannst nur der IP 186.249.229.130 *  trauen, alles andere im Header ist manipulierbar.
*aber nur dann wenn bei by dein SMTP Server folgt
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline thh

  • Frischling
  • *
  • Beiträge: 1
Re: Kurze Verständnisfrage zum eMail-Header
« Antwort #3 am: 02.10.18 - 18:40:22 »
Wie ist die folgende Zeile im Header einer eMail zu verstehen:

Received: from [127.0.0.1] ([186.249.229.130])

Ob dieser Zeile überhaupt eine Bedeutung beigemessen werden kann, hängt davon ab, ob sie von einem vertrauenswürdigen System stammt, also vom Mailserver des Empfängers oder einem weiter "vorne" liegenden System, auf dessen Einträge man sich aber dennoch verlassen kann. (Achtung, die Received:-Zeilen sind von unten nach oben zu lesen, unten ist die erste - wenn dort nichts gefälscht wurde -, oben jedenfalls die letzte.)

Üblicherweise enthält diese Zeile dann folgende Inhalte:

Received: from HELO (rDNS [IP])

Nach "from" steht, wie der einliefernde Rechner sich "vorgestellt" hat. Er kann dort angeben, was er will.

In den runden Klammern steht dann, wer der einliefernde Rechner wirklich war, und zwar sowohl der Name, auf den die IP-Adresse rückwärts auflöst (und zwar in der Regel nur dann, wenn auch die Vorwärtsauflösung wieder auf diese IP-Adresse führt), und in eckigen Klammern die IP-Adresse des einliefernden Rechners selbst. Die IP-Adresse ist regelmäßig nicht zu fälschen. Über den Namen hat derjenige die Kontrolle, der die entsprechenden DNS-Einträge verwaltet. Er ist also zumeist auch im weitesten Sinne richtig.

In dem Beispiel hat sich der einliefernde Rechner dann offenbar mit "[127.0.0.1]" vorgestellt. Im HELO ist eigentlich der Name des Systems zu nennen; statt dessen verwendete IP-Adressen sind in eckige Klammern zu setzen. Das ist mithin insoweit korrekt; da "127.0.0.1" aber immer die Adresse des betreffenden Systems selbst ist, ist der Server, von dem dieser Eintrag stammt, entweder nicht besonders gut konfiguriert, oder es handelt sich um einen bewussten Täuschungsversuch. Tatsächlich kam die Mail von dem Rechner mit der IP-Adresse "186.249.229.130". Dieser Adresse war offenbar kein Name zugeordnet (das gibt es).

Die Mail wurde von der IP Adresse 186.249.229.130 gesendet

Ja.

und der Client hat die lokale IP Adresse 127.0.0.1?

Nein, ein Client in diesem Sinne kommt nicht vor, und wenn, dann wäre es der Sender, nicht der Empfänger.

Oder wurde gar die Mail vom Server selber (eben von der 127.0.0.1) ?

Nein. Das sollte aber möglicherweise vorgetäuscht werden.

Die Webseite https://www.gaijin.at/olsmailheader.php zeigt als Absender die 127.0.0.1
Die Webseite https://www.whatismyip.com/email-header-analyzer/ zeigt als Absender die 186.249.229.130

Diese Automatiken sind alle nur mehr oder weniger gut. Einigermaßen sicher lässt sich das immer nur nach eigener Prüfung durch einen denkenden Menschen sagen. Das ist mit etwas Übung auch gar nicht soooo schwer.

Eigentlich steht doch in dieser Zeile üblicherweise ein Domainname und eine IP.

Normalerweise zwei Namen und eine IP: der Name, den der einliefernde Rechner behauptet (oder von dem er denkt, es sei seiner, oder gar einer seiner Namen) und Name und IP-Adresse, die der einliefernde Rechner wirklich hat. Ersteres kann aber eben auch ein Konstrukt sein, dass wie eine IP-Adresse aussieht, und letzterer Name kann entfallen, wenn der IP des einliefernden Rechners kein Name zugeordnet ist.

Hintergrund ist, dass auf unserem amerikanischen Server scheinbar über authenticated SMTP so ca. 200.000 Spam Mails versendet wurden.

Unschön. Aber wenn der Versand über authenticated SMTP erfolgte, weiß man ja, wer der Bösewicht war (oder wessen Passwort zu schwach war).

Mit einem etwas längeren Ausschnitt aus dem Header ließe sich sicherlich noch etwas mehr über die mutmaßliche Quelle sagen. Aber bei einem Spamversand wäre ein Täuschungsversuch dergestalt, dass vorgetäuscht werden soll, die Mail käme von 127.0.0.1/localhost, jedenfalls nicht überraschend.

Ich hoffe, das hat etwas geholfen (und nicht noch mehr verwirrt).

Grüße,
-thh

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz