gefälschten Absender erkennen

sara
Posts: 9
Joined: 2011-01-07 10:53

gefälschten Absender erkennen

Post by sara »

Hallo zusammen,

ich darf mich mit einer Frage an euch wenden:

Kann man bei einem WEITERGELEITEM Mail erkennen, ob der Absender gefälscht wurde.
Also, Person A hat angeblich ein Mail an Person B geschrieben und Person B hats mir weitergeleitet. Ich zweifle aber daran, dass Person A das wirklich geschrieben hat.
Im Head steht zwar von:xy@xy.at an:ab@ab.at aber das würd sogar ich schaffen zu fälschen...

Kann man das überhaupt nachvollziehen?

Danke schonmal für eure Hilfe!

lg Sara
Top

sara
Posts: 9
Joined: 2011-01-07 10:53

Re: gefälschten Absender erkennen

Post by sara »

Danke erstmal für die schnelle antwort.

Also kann man aus dem header auch nicht zb die ursprungs-IP-Adresse oder so rauslesen? Ich denke nämlich nicht, dass der potentielle Faker an sowas gedacht hätte...

Meinst du mit logischer Abfolge Uhrzeit etc?
Top

sara
Posts: 9
Joined: 2011-01-07 10:53

Re: gefälschten Absender erkennen

Post by sara »

zun deinem punkt 2: und wie erkenn ich sowas?
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: gefälschten Absender erkennen

Post by Joe User »

Poste mal die "Received"-Header, diese lassen sich am Schwersten fälschen, da sie von den beteiligten Mailservern generiert werden.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: gefälschten Absender erkennen

Post by daemotron »

sara wrote:Also kann man aus dem header auch nicht zb die ursprungs-IP-Adresse oder so rauslesen? Ich denke nämlich nicht, dass der potentielle Faker an sowas gedacht hätte...

Grundsätzlich nein. Das liegt aber schlicht daran, dass Du bei einer weitergeleiteten Mail den originalen Header nicht mehr zu Gesicht bekommst - die meisten Mailclients purgen den beim weiterleiten einfach weg.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: gefälschten Absender erkennen

Post by Joe User »

"weitergeleitet" habe ich irgendwie verdrängt, dann helfen die Header in der Tat nicht.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

sara
Posts: 9
Joined: 2011-01-07 10:53

Re: gefälschten Absender erkennen

Post by sara »

matzewe01 wrote:
Return-Path: <M.W@xyz.de>
Delivered-To: M.W@xyz.de
Received: from xyz.de (localhost [127.0.0.1])
by xyz.de (Postfix) with ESMTP id 1C21B8160092
for <M.W@xyz.net>; Fri, 7 Jan 2011 11:22:28 +0100 (CET)


Muss im Header ein Bezug zum Ursprungsmail sein?
Ich hab da nur das als Referenz darauf:

Von: vermeintlicher-absender@gmx.net
Gesendet: Montag, 27. Dezember 2010 11:35
An: der-weiterleiter@mail.at
Betreff: Betreff

aber nicht einen Verweis, wie du in deinem Quellcode... ein zeichen, dass es gar nie von der vermeintlichen Adresse versendet wurde???

Falls die Info wichtig ist.
Vermeintlicher Absender hat eine gmx-Adresse, der Weiterleiter eine Firmenmail-Adresse und ich eine gmail adresse...
Last edited by sara on 2011-01-07 13:55, edited 1 time in total.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: gefälschten Absender erkennen

Post by Joe User »

sara hat die Header noch gar nicht gefunden, denn die sind grundsätzlich in amerikanischem Englisch und sara hat lediglich die deutschen Übersetzungen der Oberfläche des Mailclient gepostet.

@sara: Welchen Mailclient nutzt Du?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

sara
Posts: 9
Joined: 2011-01-07 10:53

Re: gefälschten Absender erkennen

Post by sara »

also ich fass das jetzt kurz mal zusammen:
im mail vom ursprungs-absender an den weiterleiter sollte auch die kundennummer im header stehen - dieser header kann vom weiterleiter entfernt worden sein ODER automatisch vom mail-client.
Also könnte ich ein altes weitergeleitetes mail von ihm (zb funmail, wo er keinen grund hat, es zu manipulieren) anschauen, ob da der alte header dabei is bzw. irgendein verweis auf den usprungs-absender. Is es dort dabei, hab ich ihn entlarvt, oder? :-)

bzgl gmx: weil dus grad ansprichst... ich hab auch eine gmx-adresse, bei der ich seit ein paar wochen täglich mehrere fehlgeschlagene login-verusche habe (defintiv nicht von mir) und ich vermute da einen zusammenhang. hab an gmx ein mail geschrieben, in der hoffnung, von denen die ip rauszubekommen, von der die logins versucht wurden... leider noch keine antwort...
also störenfried is es defintiv :-)

und nein, ich bin nicht paranoid...kenn nur leider echt wahnsinnige leute...
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: gefälschten Absender erkennen

Post by Joe User »

GMX (und jeder Andere) darf Dir auch keine Auskunft geben: Datenschutz.

Unabhängig davon kommen wir ohne die möglichst vollständigen (englischen) Header (E-Mailadressen bitte verschleiern) nicht weiter.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

sara
Posts: 9
Joined: 2011-01-07 10:53

Re: gefälschten Absender erkennen

Post by sara »

Joe User wrote:sara hat die Header noch gar nicht gefunden, denn die sind grundsätzlich in amerikanischem Englisch und sara hat lediglich die deutschen Übersetzungen der Oberfläche des Mailclient gepostet.

@sara: Welchen Mailclient nutzt Du?


Das war das einzige was IM HEADER auf den ursprungs-absender verweist. hab mir jetzt den header eines anderen weitergeleiteten Mails angesehen und da ist 0 verweis drin (allerdings ein anderer usprungs-mail-client)...
könnte man daraus schließen, dass das was ich oben gepostet hab einfach ins mail reinkopiert wurde und deshalb im heaer als Text dargestellt wird?
Hab das nämlich defintiv aus dem Header kopiert.

also in meinem fall ist es ein gmail konto, ursprungs-absender ein gmx- und weiterleiter ein firmen-account.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: gefälschten Absender erkennen

Post by Joe User »

Du hast in GMail in der Mailansicht rechts oben neben dem Antworten-Button einen Pfeil nach unten, dort drückst Du drauf und wählst dann "Original ansehen" aus, dann siehst Du die vollständigen Header (Alles bis zur ersten Leerzeile) und kannst sie hierher kopieren.
Last edited by Joe User on 2011-01-07 14:43, edited 1 time in total.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

sara
Posts: 9
Joined: 2011-01-07 10:53

Re: gefälschten Absender erkennen

Post by sara »

also hier der Header:

Delivered-To: meineAdresse@gmail.com
Received: by 10.xxx.xx.xxwith SMTP id l20csxxxxxwfj;
Mon, 27 Dec 2010 02:46:41 -0800 (PST)
Received: by 10.223.101.134 with SMTP id c6mrxxxxxxfao.xx.12xxxxxxxx384;
Mon, 27 Dec 2010 02:46:40 -0800 (PST)
Return-Path: <derweiterleiter@seinemailaddy.at>
Received: from seinmailclient (janus.xy.xy.at [xxx.26.xxx.11])
by mx.google.com with ESMTP id c9sixxxxxxxxfak.1.2010.12.27.02.46.39;
Mon, 27 Dec 2010 02:46:40 -0800 (PST)
Received-SPF: pass (google.com: best guess record for domain of derweiterleiter@seinemailaddy.at designates 192.xx.xxx.xx as permitted sender) client-ip=xxx.xx.xxx.xx;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of derweiterleiter@seinemailaddy.at designates xxx.xx.xxx.xx as permitted sender) smtp.mail=derweiterleiter@seinemailaddy.at
Received: from xxx.seinmailclient.at [xxx.xxx.xxx.xx] by MAIL2.seinmailclient.at - Websense Email Security (7.2.0); Mon, 27 Dec 2010 11:46:42 +0100
Received: from EXMBX1.seinmailclient.at ([xx.1.1.xx]) by excas-nt1.seinmailclient.at
([10.1.1.19]) with mapi; Mon, 27 Dec 2010 11:46:39 +0100
From: der Weiterleiter <derweiterleiter@seinemailaddy.at>
To: Me <meineAdresse@gmail.com>
Date: Mon, 27 Dec 2010 11:46:37 +0100
Subject: WG: Betreff
Thread-Topic: Betreff
Thread-Index: AcugDWiQ5r0ofvYfTa+Eom/UMuLgLgAADDNAAWhobsAAAJ09gA==
Message-ID: <1F97E65469F1F242AB28E91C7836A751357948434B@EXMBX1.seinmailclient.at>
Accept-Language: de-DE, de-AT
Content-Language: de-DE
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: de-DE, de-AT
Content-Type: multipart/alternative;
boundary="_000_1F97E65469F1F242AB28E91C7836A751357948434BEXMBX1stlrggv_"
MIME-Version: 1.0
X-SEF-7853D99-ADF1-478E-8894-213D316B8FFA: 1
X-SEF-Processed: 7_2_0_00441__2010_12_27_11_46_42

--_000_1F97E65469F1F242AB28E91C7836A751357948434BEXMBX1stlrggv_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Hier steht der text, den der weiterleiter dazu geschrieben hat

Von: ursprungsabsender@gmx.net
Gesendet: Montag, 27. Dezember 2010 11:35
An: derweiterleiter@seinemailaddi.at
Betreff: Betreff

der Text um den es sich handelt.
Top

sara
Posts: 9
Joined: 2011-01-07 10:53

Re: gefälschten Absender erkennen

Post by sara »

an den is halt nur leider schwer ranzukommen...
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: gefälschten Absender erkennen

Post by Joe User »

OK, da sind keine Hinweise auf den Ursprung zu finden. Somit kann Dir nur noch der Weiterleitende die original Header zukommen lassen, sofern er/sie die Mail noch hat.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

sara
Posts: 9
Joined: 2011-01-07 10:53

Re: gefälschten Absender erkennen

Post by sara »

mist...
sollte es aber so sein, dass er das mail wirklich manipuliert hat, wird er aber nicht so blöd sein und mir den Header weiterleiten...
außerdem, was sollt ich für einen grund haben, den Header sehen zu wollen...

Danke auf alle Fälle für eure Hilfe!!
Top