PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : whodunnit?



Woodle
02.09.2003, 20:24
Ich hab hier ein Mail, bei dem ich nicht ganz sicher bin, wer hier der böse Wicht ist:
Received: from [218.155.96.158] (helo=211.49.83.162)
by tantalum with smtp (Exim 3.22 #23)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 03 Sep 2003 xx:xx:xx +0100
Received: from [130.91.58.120] by mta6.snfc21.pbi.net with SMTP; Sep, 03 2003 xx:xx:xx -0200
Received: from 192.249.166.5 ([192.249.166.5]) by rly-xw05.mx.aol.com with NNFMP; Sep, 03 2003 xx:xx:xx +1100

Grundsätzlich: wie kann erkennen/erahnen wo der Header gefaked ist?

J. R.
02.09.2003, 21:08
Schau doch einfach mal H I E R (http://www.antispam-ev.de/?topic=header) rein, ich denke, da werden deine Fragen beantwortet.
In deinem Fall ist Asia Pacific Network Information Centre (=APNIC) der Bösewicht, darüber wurde die Mail nämlich losgejagt. Verraten tut dir das die IP-Nr. [218.155.96.158]. Alles andere kann gefälscht sein und ist es bei Spam-Mails auch für gewöhnlich, zwecks Irreführung.
IP-Nummern kannst du auf Seiten wie http://www.whois-service.de/ abfragen, gibt aber noch reichlich andere.
Sich bei APNIC über Spam zu beschweren, bringt übrigens gar nichts - das ist sozusagen das Spammer-Schlaraffenland, und dementsprechend viel kommt von dort auch.

Eniac
02.09.2003, 22:05
> In deinem Fall ist Asia Pacific Network Information Centre (=APNIC) der Bösewicht, darüber wurde die Mail nämlich losgejagt.
Nein, die NICs jagen in der Regel keine mails los.
> IP-Nummern kannst du auf Seiten wie http://www.whois-service.de/ abfragen, gibt aber noch reichlich andere.
whois-service.de ist für IP-Adressen nicht besonders geeignet, besser ist hier http://www.iks-jena.de/cgi-bin/whois, das liefert uns für die 218.155.96.158:

[ Admin Contact Information]
Name : DongJoo Lee
Org Name : KOREA TELECOM
State : SEOUL
Address : 128-9 Youngundong Chongroku
Zip Code : 110-460
Phone : +82-2-747-9213
Fax : +82-2-766-5901
E-Mail : ip [at] ns.kornet.net
[...]
[ ISP Network Abuse Contact Information ]
Name : Abuse manager
Phone : +82-2-3675-1499
Fax : +82-2-747-8701
E-Mail : abuse [at] kornet.net
> Sich bei APNIC über Spam zu beschweren, bringt übrigens gar nichts -
Genau, denn es ist der fslachne Ansprechparnter. Beschwerden in China oder Korea bringen aber ansonsten wirklich nix.
> das ist sozusagen das Spammer-Schlaraffenland, und dementsprechend viel kommt von dort auch.
Auf China und Korea bezogen kann man dem nur voll zustimmen.

Eniac

Woodle
03.09.2003, 11:14
OK, der 192.249.166.5 wars dann Eurer Meinung nach nicht.
Und das war der Grund für meine Anfrage: ich kenne das FAQ für Headerinterpretation sehr wohl. Was mich allerdings immer wieder erstaunt, ist mit welcher schlafwandlerischen Sicherheit einige in der Lage sind festzustellen, welche Einträge in einem Header gefaket sind.
Was weist darauf hin, daß der untere Teil gefaked ist?
Vielen Dank

J. R.
03.09.2003, 17:22
@Eniac: Da hab` ich mich wohl etwas mißverständlich ausgedrückt...

Nein, die NICs jagen in der Regel keine mails los.
Schon klar. Ich war aber davon ausgegangen, daß der gesamte asiatische Raum als mehr oder weniger merkbefreit gilt, mitsamt APNIC. Deshalb habe ich bislang nie weiter nachgeforscht, wenn feststand, daß der Spam von dort (sprich: aus Asien, nicht von APNIC selber) kam. Ein einziges Mal hatte ich APNIC mal kontaktiert, mit der Bitte, mein Complaint an den wirklichen Verursacher weiterzuleiten, da whois-service.de bei Asien-IP`s grundsätzlich nur APNIC anzeigt. Werde in Kuzunft daher meine IP-Nümmerchen an geeigneterer Stelle abfragen.

Genau, denn es ist der fslachne Ansprechparnter.
Das habe ich nach deren Antwort dann auch feststellen müssen.

@Woodle:
Was weist darauf hin, daß der untere Teil gefaked ist?
Es kann so ziemlich alles gefaked sein - bis auf die IP-Nummern in den eckigen Klammern. Wie schon gesagt, Spammer versuchen gerne, den Empfänger zu verwirren, indem sie zusätzliche Received-Zeilen mit allem Drum und Dran einfügen. Wenn du anhand der IP-Nr. aus der ersten Received-Zeile den tatsächlichen Provider ermittelst, wirst du in 99,9 % aller Spam-Fälle feststellen, daß es ein anderer ist als im Header angegeben.