Ergebnis 1 bis 6 von 6

Thema: header interpretation

  1. #1
    Neues Mitglied
    Registriert seit
    07.09.2005
    Beiträge
    11

    Standard header interpretation

    Received:
    from mailin.webmailer.de ([192.67.198.73])
    by mailin03.sul.t-online.de
    with esmtp id 19ttRL-0jC4Mi0;
    Mon, 1 Sep 2003 20:30:11 +0200
    Received:
    from 192.67.198.48 ([202.109.117.203])
    by mailin.webmailer.de (8.12.8/8.8.7)
    with SMTP id h81IU52f025574
    for < [Link nur für registrierte Mitglieder sichtbar. ]>;
    Mon, 1 Sep 2003 20:30:09 +0200 (MEST)
    Received:
    from x3qv7.9ysp7gz.net [93.20.160.170]
    by 192.67.198.48
    with ESMTP id 91A805F38FA;
    Tue, 02 Sep 2003 00:28:38 +0300
    hallo,
    ausnahmsweise hier nur einmal die `received` blocks, etwas übersichtlicher formatiert.
    an der interpretation beisst sich sicherlich so mancher die zähne aus...
    liege ich richtig damit, dass hier ein t-online server die mail weitergeleitet hat?
    und wieso tauchen in den beiden unteren blocks die gleichen IP adressen (192.67.198.48) auf?
    wäre prima wenn jemand mit klaren worten diesen weg hier einmal nacherzählen könnte.
    beste grüsse



  2. #2
    Ehrenmitglied Avatar von mana
    Registriert seit
    13.07.1999
    Ort
    Vereinssitz
    Beiträge
    2.080

    Standard RE:header interpretation

    Siehe [Link nur für registrierte Mitglieder sichtbar. ]
    Header sind von unten nach oben zu lesen.
    Also geht`s hier los:
    192.67.198.48 (übrigens gefälscht) erhält die E-Mail von x3qv7.9ysp7gz.net [93.20.160.170]
    Schritt 1 Ende.
    mailin.webmailer.de erhält die Mail von 192.67.198.48 (der eigentlich die IP 202.109.117.203 hat)
    Schritt 2 Ende.
    mailin.webmailer.de ([192.67.198.73]) gibt die Mail weiter an mailin03.sul.t-online.de
    Ende der Zustellung.

    Übrigens ist das hier natürlich das falsche Unterforum, im Smalltalk ist`s besser aufgehoben.

    Antispam,
    [Link nur für registrierte Mitglieder sichtbar. ]
    Antispam.de - Zeigen Sie Offensive!



  3. #3
    Neues Mitglied
    Registriert seit
    07.09.2005
    Beiträge
    11

    Standard RE:header interpretation

    OK, danke...
    der ursprüngliche Spammer stammt also aus den USA.
    Ein look-up ergab zwar keinen Host Namen jedoch die Zuordnung zur
    IANA
    Ein sehr breites Netz von IP Adressen in den Staaten.
    Danach nahm die mail ihren Weg nach Shanghai und dann nach Deutschland.
    An der gefälschten IP Adresse habe ich mich zunächst aufgehängt. Jetzt verstehe ich aber die Werte in den eckigen Klammern.
    Schade das es keine Software gibt, die so eine Textausgabe erzeugt;-)



  4. #4
    NabSniper
    Gast

    Standard RE:header interpretation

    ist doch ganz einfach :
    Received:
    from mailin.webmailer.de ([192.67.198.73])
    by mailin03.sul.t-online.de
    --> das ist ne weiterleitung. alle angaben in dieser zeile sind echt
    Received:
    from 192.67.198.48 ([202.109.117.203])
    --> das ist die original-ip (wie nicht anders zu erwarten ist: ein open relay in china)
    Received:
    from x3qv7.9ysp7gz.net [93.20.160.170]
    by 192.67.198.48
    --> alle angaben hier sind fake (ein alter spammer-trick, um dich irrezuführen)




  5. #5
    NabSniper
    Gast

    Standard RE:header interpretation

    ist doch ganz einfach :
    Received:
    from mailin.webmailer.de ([192.67.198.73])
    by mailin03.sul.t-online.de
    --> das ist ne weiterleitung. alle angaben in dieser zeile sind echt
    Received:
    from 192.67.198.48 ([202.109.117.203])
    --> das ist die original-ip (wie nicht anders zu erwarten ist: ein open relay in china)
    Received:
    from x3qv7.9ysp7gz.net [93.20.160.170]
    by 192.67.198.48
    --> alle angaben hier sind fake (ein alter spammer-trick, um dich irrezuführen)



  6. #6
    Neues Mitglied
    Registriert seit
    07.09.2005
    Beiträge
    11

    Standard RE:header interpretation


    also kommen wir der Entwirrung ein Stück näher...
    in Schritt 1, wie antispam bezifferte, schickt also der `anonyme` Spammer bereits gefälschte Daten an einen Relay Server.
    Ein Mail-Relay ist ein Mailserver, der Mails von anderen, ihm bekannten Mailservern entgegennimmt und diese weiterleitet. Ein offener Relay-Server ist ein Mailserver, der so konfiguriert ist, dass er Mail von jedem beliebigen Mailserver entgegennimmt und diese weiterleitet, egal wie die Empfängeradresse lauten mag.
    Diese Erklärung zu offenen Relays habe ich in einem anderen Forum aufgeschnappt.
    Ist nun die in eckigen Klammern ausgewertete IP in Schritt 1 echt oder nicht?
    Die via spamid.net ermittelte abuse Adresse lautet:
    [Link nur für registrierte Mitglieder sichtbar. ].net
    was ja nicht den Urheber treffen würde, sondern nur den Vermittler in Schritt 2.
    ...


Ähnliche Themen

  1. Mal ne Frage zum Header
    Von meikel im Forum 4.2 Diskussion
    Antworten: 2
    Letzter Beitrag: 27.05.2004, 12:22
  2. Header anzeigen?
    Von meikel im Forum 4.2 Diskussion
    Antworten: 5
    Letzter Beitrag: 25.05.2004, 16:01
  3. [mit deutschem Header]
    Von webeinspunktnull im Forum 1.2 international
    Antworten: 2
    Letzter Beitrag: 05.12.2003, 21:51
  4. Header bereinigen ?
    Von Anna im Forum 1.2 international
    Antworten: 5
    Letzter Beitrag: 05.11.2003, 22:35
  5. Antworten: 3
    Letzter Beitrag: 06.10.2003, 18:02

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen