PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : header interpretation



ios
31.08.2003, 23:38
Received:
from mailin.webmailer.de ([192.67.198.73])
by mailin03.sul.t-online.de
with esmtp ID: [ID filtered]
Mon, 1 Sep 2003 xx:xx:xx +0200
Received:
from 192.67.198.48 ([202.109.117.203])
by mailin.webmailer.de (8.12.8/8.8.7)
with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>;
Mon, 1 Sep 2003 xx:xx:xx +0200 (MEST)
Received:
from x3qv7.9ysp7gz.net [93.20.160.170]
by 192.67.198.48
with ESMTP ID: [ID filtered]
Tue, 02 Sep 2003 xx:xx:xx +0300

hallo,
ausnahmsweise hier nur einmal die `received` blocks, etwas übersichtlicher formatiert.
an der interpretation beisst sich sicherlich so mancher die zähne aus...
liege ich richtig damit, dass hier ein t-online server die mail weitergeleitet hat?
und wieso tauchen in den beiden unteren blocks die gleichen IP adressen (192.67.198.48) auf?
wäre prima wenn jemand mit klaren worten diesen weg hier einmal nacherzählen könnte.
beste grüsse

mana
31.08.2003, 23:46
Siehe http://www.antispam-ev.de/?topic=header
Header sind von unten nach oben zu lesen.
Also geht`s hier los:
192.67.198.48 (übrigens gefälscht) erhält die E-Mail von x3qv7.9ysp7gz.net [93.20.160.170]
Schritt 1 Ende.
mailin.webmailer.de erhält die Mail von 192.67.198.48 (der eigentlich die IP 202.109.117.203 hat)
Schritt 2 Ende.
mailin.webmailer.de ([192.67.198.73]) gibt die Mail weiter an mailin03.sul.t-online.de
Ende der Zustellung.

Übrigens ist das hier natürlich das falsche Unterforum, im Smalltalk ist`s besser aufgehoben.

Antispam,
UIID: [ID filtered]
Antispam.de - Zeigen Sie Offensive!

ios
01.09.2003, 01:12
OK, danke...
der ursprüngliche Spammer stammt also aus den USA.
Ein look-up ergab zwar keinen Host Namen jedoch die Zuordnung zur
IANA
Ein sehr breites Netz von IP Adressen in den Staaten.
Danach nahm die mail ihren Weg nach Shanghai und dann nach Deutschland.
An der gefälschten IP Adresse habe ich mich zunächst aufgehängt. Jetzt verstehe ich aber die Werte in den eckigen Klammern.
Schade das es keine Software gibt, die so eine Textausgabe erzeugt;-)

NabSniper
01.09.2003, 14:51
ist doch ganz einfach http://img.homepagemodules.de/shy.gif:
Received:
from mailin.webmailer.de ([192.67.198.73])
by mailin03.sul.t-online.de
--> das ist ne weiterleitung. alle angaben in dieser zeile sind echt
Received:
from 192.67.198.48 ([202.109.117.203])
--> das ist die original-ip (wie nicht anders zu erwarten ist: ein open relay in china)
Received:
from x3qv7.9ysp7gz.net [93.20.160.170]
by 192.67.198.48
--> alle angaben hier sind fake (ein alter spammer-trick, um dich irrezuführen)

NabSniper
01.09.2003, 14:53
ist doch ganz einfach http://img.homepagemodules.de/shy.gif:
Received:
from mailin.webmailer.de ([192.67.198.73])
by mailin03.sul.t-online.de
--> das ist ne weiterleitung. alle angaben in dieser zeile sind echt
Received:
from 192.67.198.48 ([202.109.117.203])
--> das ist die original-ip (wie nicht anders zu erwarten ist: ein open relay in china)
Received:
from x3qv7.9ysp7gz.net [93.20.160.170]
by 192.67.198.48
--> alle angaben hier sind fake (ein alter spammer-trick, um dich irrezuführen)

ios
01.09.2003, 18:09
http://img.homepagemodules.de/lil.gif
also kommen wir der Entwirrung ein Stück näher...
in Schritt 1, wie antispam bezifferte, schickt also der `anonyme` Spammer bereits gefälschte Daten an einen Relay Server.

Ein Mail-Relay ist ein Mailserver, der Mails von anderen, ihm bekannten Mailservern entgegennimmt und diese weiterleitet. Ein offener Relay-Server ist ein Mailserver, der so konfiguriert ist, dass er Mail von jedem beliebigen Mailserver entgegennimmt und diese weiterleitet, egal wie die Empfängeradresse lauten mag.
Diese Erklärung zu offenen Relays habe ich in einem anderen Forum aufgeschnappt.
Ist nun die in eckigen Klammern ausgewertete IP in Schritt 1 echt oder nicht?
Die via spamid.net ermittelte abuse Adresse lautet:
anti-spam [at] ns.chinanet.cn.net
was ja nicht den Urheber treffen würde, sondern nur den Vermittler in Schritt 2.
...