Wie ist die folgende Zeile im Header einer eMail zu verstehen:
Received: from [127.0.0.1] ([186.249.229.130])
Ob dieser Zeile überhaupt eine Bedeutung beigemessen werden kann, hängt davon ab, ob sie von einem vertrauenswürdigen System stammt, also vom Mailserver des Empfängers oder einem weiter "vorne" liegenden System, auf dessen Einträge man sich aber dennoch verlassen kann. (Achtung, die Received:-Zeilen sind von unten nach oben zu lesen, unten ist die erste - wenn dort nichts gefälscht wurde -, oben jedenfalls die letzte.)
Üblicherweise enthält diese Zeile dann folgende Inhalte:
Received: from
HELO (
rDNS [
IP])
Nach "from" steht, wie der einliefernde Rechner sich "vorgestellt" hat. Er kann dort angeben, was er will.
In den runden Klammern steht dann, wer der einliefernde Rechner wirklich war, und zwar sowohl der Name, auf den die IP-Adresse rückwärts auflöst (und zwar in der Regel nur dann, wenn auch die Vorwärtsauflösung wieder auf diese IP-Adresse führt), und in eckigen Klammern die IP-Adresse des einliefernden Rechners selbst. Die IP-Adresse ist regelmäßig nicht zu fälschen. Über den Namen hat derjenige die Kontrolle, der die entsprechenden DNS-Einträge verwaltet. Er ist also zumeist auch im weitesten Sinne richtig.
In dem Beispiel hat sich der einliefernde Rechner dann offenbar mit "[127.0.0.1]" vorgestellt. Im HELO ist eigentlich der Name des Systems zu nennen; statt dessen verwendete IP-Adressen sind in eckige Klammern zu setzen. Das ist mithin insoweit korrekt; da "127.0.0.1" aber immer die Adresse des betreffenden Systems selbst ist, ist der Server, von dem dieser Eintrag stammt, entweder nicht besonders gut konfiguriert, oder es handelt sich um einen bewussten Täuschungsversuch. Tatsächlich kam die Mail von dem Rechner mit der IP-Adresse "186.249.229.130". Dieser Adresse war offenbar kein Name zugeordnet (das gibt es).
Die Mail wurde von der IP Adresse 186.249.229.130 gesendet
Ja.
und der Client hat die lokale IP Adresse 127.0.0.1?
Nein, ein Client in diesem Sinne kommt nicht vor, und wenn, dann wäre es der Sender, nicht der Empfänger.
Oder wurde gar die Mail vom Server selber (eben von der 127.0.0.1) ?
Nein. Das sollte aber möglicherweise vorgetäuscht werden.
Die Webseite https://www.gaijin.at/olsmailheader.php zeigt als Absender die 127.0.0.1
Die Webseite https://www.whatismyip.com/email-header-analyzer/ zeigt als Absender die 186.249.229.130
Diese Automatiken sind alle nur mehr oder weniger gut. Einigermaßen sicher lässt sich das immer nur nach eigener Prüfung durch einen denkenden Menschen sagen. Das ist mit etwas Übung auch gar nicht soooo schwer.
Eigentlich steht doch in dieser Zeile üblicherweise ein Domainname und eine IP.
Normalerweise zwei Namen und eine IP: der Name, den der einliefernde Rechner behauptet (oder von dem er denkt, es sei seiner, oder gar
einer seiner Namen) und Name und IP-Adresse, die der einliefernde Rechner wirklich hat. Ersteres kann aber eben auch ein Konstrukt sein, dass wie eine IP-Adresse aussieht, und letzterer Name kann entfallen, wenn der IP des einliefernden Rechners kein Name zugeordnet ist.
Hintergrund ist, dass auf unserem amerikanischen Server scheinbar über authenticated SMTP so ca. 200.000 Spam Mails versendet wurden.
Unschön. Aber wenn der Versand über authenticated SMTP erfolgte, weiß man ja, wer der Bösewicht war (oder wessen Passwort zu schwach war).
Mit einem etwas längeren Ausschnitt aus dem Header ließe sich sicherlich noch etwas mehr über die mutmaßliche Quelle sagen. Aber bei einem Spamversand wäre ein Täuschungsversuch dergestalt, dass vorgetäuscht werden soll, die Mail käme von 127.0.0.1/localhost, jedenfalls nicht überraschend.
Ich hoffe, das hat etwas geholfen (und nicht noch mehr verwirrt).
Grüße,
-thh
Thema: Kurze Verständnisfrage zum eMail-Header (Gelesen 3242 mal)