Wiki/EMailHeader
Portal Portal   Forum Forum   Wiki Wiki   News News

Werkzeuge

LANGUAGES

EMailHeader

Dieser Artikel behandelt alles Wissenswerte zum Thema "e-Mail-Header".

Inhaltsverzeichnis

Was ist überhaupt ein e-Mail-Header?

Unter einem e-Mail-Header versteht man ein Datenprotokoll des genauen Wegs, auf dem eine e-Mail den Eingangsrechner Ihres e-Mail-Providers erreicht hat.

Dieses Datenprotokoll beruht auf einem internationalen Standard namens "SMTP" zum Austausch von e-Mails. Nähere Informationen zu diesem SMTP-Standard in einem Artikel auf wikipedia.org.

Wie zeigt man den e-Mail-Header an?

Normalerweise zeigt das Mailprogramm den Header nicht, weil die Angaben den Otto-Normalverbraucher nicht interessieren bzw. nur verwirren. Fast jedes Mailprogramm kann jedoch auf Anfrage den Header einer Mail anzeigen. Bei manchen Programmen muss man im "Optionen..." Menü dies einschalten.

Hier einige Hinweise bzw. Links, wie man es mit den gängigsten Mailprogrammen und Diensten macht:

  • Microsoft Outlook 2007
  • Microsoft Outlook 2010/2013
  • Bei Mozilla Thunderbird drückt man die Tastenkombination "STRG"+"U" ("Nachrichten-Quelltext anzeigen").
  • Bei KMail öffnet man durch Drücken der Taste "V" oder über das Kontextmenü mit dem Eintrag "Nachrichtencode ansehen" den sog. Klartext der Mail, der mit dem Haeder beginnt.
  • GoogleMail (auch: AOL, Excite Webmail, Hotmail, Yahoo! Mail, AppleMail, Opera, Mozilla, Outlook, Outlook Express)
  • Web.de (unter "Erweiterten Header weiterleiten")
  • GMX (unter "Erweiterten Header weiterleiten")

Sollte Ihr Anbieter hier nicht aufgelistet sein, durchsuchen Sie am Besten dessen Hilfe nach den Begriffen "Header" oder "Kopfzeilen".

Was kann man aus einem e-Mail-Header herauslesen?

Dieses Datenprotokoll enthält wichtige Informationen wie z.B.:

  • Die IP-Adresse desjenigen Rechners, von dem aus die Mail versendet wurde
  • Die IP-Adresse des empfangenden Mailservers
  • Datum und Uhrzeit des Mailversands
  • Absender ("From") und Empfänger ("To") der Mail
  • Gewünschte Adresse, auf die eine Antwort erfolgen soll ("Return-Path")
  • Betreffzeile ("Subject") der Mail

und ggf. weitere Informationen.
Solche zusätzlichen Informationen beginnen meistens mit einem "X" am Anfang der Headerzeile und werden z.T. vom empfangenden Mailserver oder vom eigenen Mailprogramm, z.T. aber auch vom Absender an den Header angefügt und enthalten z.B. Info darüber:

  • welches Mailprogramm verwendet wurde
  • ob der eigene Mailprovider die Mail als Spam/Virus klassifiziert hat
  • die interne Laufnummer der Mail im empfangenden Mailserver

Stimmen diese Informationen immer?

Bei seriösen, erwünschten e-Mails sind die Informationen im Header i.d.R. zu 100 % richtig.

Bei Spam-Mails ist es leider so, dass die Informationen im Header teilweise bzw. überwiegend gefälscht sind.

Warum können die Informationen im Header gefälscht sein?

Weil der e-Mail-Versand über den technisch veralteten SMTP-Protokollstandard erfolgt, ist es leider technisch möglich, dass fast alle Angaben im Header gefälscht werden.

Welche Angaben sind bei Spam-Headern meistens gefälscht?

Headerzeilen, die bei Spam-Mails fast immer gefälscht werden, sind die Zeilen "From" und "Return-Path", also die Absenderangaben. Denn der Spammer will ja i.d.R. seine Herkunft tarnen, damit er nicht juristisch verfolgt werden kann. Ausnahmen gibt es nur bei 419er- oder bei Muli-Mails, denn bei diesen Betrugsarten will der Spammer eine Antwort des Opfers auf seine Mailadresse haben.
Es gibt auch immer mal unbedarfte Spammer, die in Unkenntnis der Rechtslage unverlangte Newsletter versenden und dann auch z.B. eine "Info@"-Adresse der eigenen Firma in den Absender setzen.

Bei fast allen anderen Spams wird jedoch der Absender gefälscht, weil der Spammer z.B. die wütenden Protestantworten und auch die Fehlermeldungen bei nichtzustellbaren Mails (sogenannte "bounces") nicht auf sein eigenes Mailkonto zurückhaben will. Außerdem will er i.d.R. vermeiden, juristischen Ärger zu bekommen.
Daher setzt der Spammer oft irgendetwas x-beliebiges als Absendeangabe ein. Das kann man sogar selbst mit einem normalen Mailprogramm wie "Thunderbird" ausprobieren, wenn man in die Absenderzeile einfach irgendetwas anderes einsetzt und sich selbst einmal testweise diese Mail zustellen lässt.

Oft existieren die Mailadressen, die der Spammer als gefälschten Absender einsetzt, tatsächlich. Sie gehören dann oft völlig Unbeteiligten, die sich dann mit den wütenden Protestantworten herumärgern dürfen. Das nennt man dann auch "JoeJob". Daher sollte man bei Spam nicht an die angegebene Absendeadresse eine Rückantwort schicken. Denn entweder belästigt man damit einen Unbeteiligten, oder der Spammer erfährt, dass die Mail angekommen ist, und belästigt einen nur noch mehr bzw. verkauft die Adresse an andere Spammer weiter.

Teilweise werden vom Spammer auch andere Angaben im Header gefälscht, wie z.B. Datum und Uhrzeit. Das soll entweder Verwirrung stiften oder helfen, durch den Spamfilter zu kommen o.a.

Welche Angaben können nicht gefälscht werden?

Zum Leidwesen der Spammer ist die IP-Adresse, von der aus der Spam an den empfangenden Rechner des Mailproviders zugestellt wurde, nicht zu fälschen. Das liegt daran, dass dieser Eintrag in die betreffende "Received"-Zeile vom empfangenden Mailserver selbst oben an den Header angehängt wird. Diese IP-Adresse ist mit eckigen Klammern gekennzeichnet. Dies kann der Spammer nicht beeinflussen. Der gesamte Rest dieser empfangenden Received-Zeile sowie auch alle weiteren Received-Zeilen können jedoch allesamt gefälscht sein.

Weil der Spammer genau weiß, dass er über diese versendende IP-Adresse für Strafverfolgungsbehörden identifizierbar wäre, versendet er daher die Spams über Zwischenstationen, sogenannte "Relays" bzw. "Proxies". Dabei handelt es sich entweder um fehlkonfigurierte Mailserver, die entgegen internationaler Standards als "Relay" fungieren. Meistens jedoch wird der Spam über vireninfizierte Rechner, sogenannte "Zombie-Relays", versendet. In dem Fall erscheint im Header natürlich die IP-Adresse desjenigen infizierten Rechners, über den die Mail als Zwischenstation versendet wurde. Das kann dem Spammer jedoch egal sein, weil er die weiteren "Received"-Zeilen leider fälschen kann, und weil aus diesen gefälschten Zeilen die IP-Adressen seines eigenen "Master"-Rechners, mit dem das Botnetz ferngesteuert wird, nicht hervorgehen.

Wie kommt es, dass ich eine Mail erhalte, obwohl meine e-Mail-Adresse nirgends im Header auftaucht?

Es gibt eine spezielle Headerzeile namens "BCC", das bedeutet "blind-carbon-copy" (Blaupause, Durchschlag). Diese BCC-Zeilen sind im Header nach dem Mailempfang nicht sichtbar. Wenn dort Ihre Mailadresse drinsteht (oft zusammen mit etlichen anderen Adressen...), dann erhalten Sie die Mail, obwohl in der "To"-Zeile nicht Ihre Adresse drinsteht. Eine ganz typische Spammerpraxis.

Wie kommt es, dass ich eine Spam-Mail erhalte, wo meine eigene Mailadresse als Absender drinsteht?

Leider lässt sich die Absendeadresse beliebig fälschen. Viele Spammer setzen nun hier eine mit dem Empfänger identische Adresse ein, in der Hoffnung, dass der Spamfilter des Empfängers diese Mail dann durchlässt. Bei vielen Spamfiltern steht die eigene Mailadresse in der "whitelist" erwünschter Absender. Man kann dies aber auch als Filterkriterium einsetzen und z.B. definieren, dass alle Mails, wo die eigene Adresse im "From"-Eintrag steht, sofort gelöscht werden, denn i.d.R. wird man sich wohl kaum selbst eine e-Mail schicken.

Wie findet man die IP-Adresse des versendenden Rechners im Header?

Der Mailheader beschreibt den Versandweg in seinem Verlauf von unten nach oben. Die IP-Adressen, die also ganz oben im Header in "Received"-Zeilen stehen, sind also immer die IP-Adressen des Mailservers vom empfangenden Mailprovider.

Diese Einträge werden vom eigenen Mailprovider hinzugefügt und sind also als vertrauenswürdig zu werten.

Es kann sein, dass ganz weit oben mehrere "Received"-Zeilen stehen, die der eigene Mailprovider dem Header angefügt hat. Es handelt sich dann i.d.R. um bestimmte "Empfangs-Schleifen" auf dem System des eigenen Mailproviders.

Die letzte vertrauenswürdige Zeile, die der eigene Mailprovider dem Header angefügt hat, enthält immer die IP-Adresse (in eckigen Klammern!), vom der aus die Mail an den Eingangsrechner des empfangenden Mailproviders ausgeliefert wurde.

Bei typischen Spammails handelt es sich hier i.d.R., wie oben schon gesagt wurde, um die IP-Adresse eines Einwahl-Internet-Zugangs irgendwo auf der Welt. Der zugehörige vireninfizierte Rechner irgendeines unbedarften, sorglosen Internet-Nutzers wurde von der Spammerbande als Zombie umfunktioniert und lädt jetzt täglich den Müll des Spammers ab.

Bei unbedarften, rechtsunkundigen Newsletter-Spammern (in unserem Jargon spricht man auch von "Dummspammern...") findet man hier aber auch immer mal die IP-Adresse des Mailservers oder Webservers, der zum firmeneigenen Netzwerk des Spammers gehört, und womit er sich dann rechtswirksam selbst verrät.

Die weiteren "Received"-Zeilen, die nach dieser letzten vertrauenswürdigen "Received"-Zeile kommen, können gefälscht sein, und sind es bei Spam-Mails meistens auch, um Verwirrung zu stiften. Dort findet man dann oft z.B. IP-Adressen, die völlig unbeteiligt sind, oder die gar nicht existieren (von der IANA nicht vergeben).

Beispiele von e-Mail-Headern

Ein seriöser e-Mail-Header bei einem erwünschten Newsletter

Hier ein typischer Header einer seriösen, erwünschten e-Mail (ein Newsletter von netzwelt.de).


From - Mon Apr 20 18:54:06 2009
X-Account-Key: account2
X-UIDL: 1135386310.15082
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys: 
                                                                               
Return-Path: <bounce@bounce.cleverreach.de>
Received: from mailin02.aul.t-online.de (mailin02.aul.t-online.de  [172.20.26.43])
by mhead406 with LMTP;
Mon, 20 Apr 2009 11:03:48 +0200
X-Sieve: CMU Sieve 2.3
Received: from crm002.cleverreach.de ([87.230.75.20]) by mailin02.aul.t-online.de
with esmtp id 1LvpPf-1BbKcK0; Mon, 20 Apr 2009 11:03:39 +0200
Received: from localhost.localdomain (crm000.cleverreach.de [87.230.75.22])
by crm002.cleverreach.de (Postfix) with ESMTP id 44890D40CB7 for <xxxIchxxx@t-online.de>; Mon, 20 Apr 2009 10:31:40 +0200 (CEST)
Date: Mon, 20 Apr 2009 11:02:58 +0200
To: xxxIchxxx@t-online.de
From: "netzwelt.de / Newsletter" <newsletter@netzwelt.de>
Subject: =?utf-8?Q?netzwelt.de_-_T=C3=A4glicher_Newsletter_20.04.2009?=
Message-ID: <875c8cc5a5f26e2e59f7efb7058c6df0@localhost.localdomain>
X-Priority: 3
X-Mailer: CR
X-client: 1073
X-mailing: 59245
X-customer: 30615
X-email: xxxIchxxx@t-online.de
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="utf-8"
X-TOI-SPAM: n;1;2009-04-20T09:03:48Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-EXPURGATEID: 149288::1240218219-00005C95-C2663250/0-0/0-9
X-TOI-SPAMCLASS: BULK, NORMAL
X-TOI-MSGID: 96ad1b70-d4c4-404b-bf57-2df825ece548
X-Seen: false
X-ENVELOPE-TO: <xxxIchxxx@t-online.de>

Die ersten Zeilen wurden von meinem eigenen Mailprogramm "Thunderbird" an den Header angehängt. Dort steht das Datum, die Nummer des Eingangsordners in Thunderbird sowie weitere eher unwichtige Angaben.

Interessanter wird es schon bei der Return-Path-Zeile:

Return-Path: <bounce@bounce.cleverreach.de>

Falls meine Mailbox voll wäre, oder falls mein Mailaccount nicht existieren würde, dann würden die sogenannten Bounce-Meldungen auf diese Adresse gehen. Mails, die dorthin gehen, wird in diesem Fall niemand lesen, allenfalls werden die nicht existierenden Adressen aus den "Bounces" dann automatisiert verwendet, um die Adressen dann aus der Datenbank zu löschen. Das ist bei Newslettern ganz normal.

Jetzt kommen wir zur ersten "Received"-Zeile:

Received: from mailin02.aul.t-online.de (mailin02.aul.t-online.de  [172.20.26.43])

Schauen wir uns mal die IP 172.20.26.43 in den eckigen Klammern an.
Wenn wir diese IP mal in ein Abfragetool wie z.B. Centralops.net eingeben und das Häkchen bei "network whois record" setzen, dann sagt uns die Antwort:

Address information
172.20.26.43 is part of a special address block (172.16.0.0 - 172.31.255.255) that is reserved for private networks.
See RFC 1918 for more information.

Es handelt sich also um eine IP aus dem "172"-er Bereich, der von der IANA extra für private Netzwerke reserviert wurde. Diese "lokalen IPs" werden im Internet nicht geroutet und interessieren uns daher eigentlich auch nicht. Tatsächlich handelt es sich hier nur um eine interne Netzwerk-Schleife bei meinem T-Online-Provider. Dahinter steht noch eine Datum-Zeile sowie eine verklausulierte Zeile " X-Sieve: CMU Sieve 2.3", von der wohl nur T-Online weiß, was sie bedeutet, und die daher für uns unwichtig ist.

Interessanter wird aber die nächste "Received-Zeile":

Received: from crm002.cleverreach.de ([87.230.75.20]) by mailin02.aul.t-online.de

Von der IP-Adresse 87.230.75.20 (man beachte die eckigen Klammern!) hat der Mail-Empfangsrechner mamens "mailin02.aul.t-online.de" die Mail eingeliefert bekommen.

Geben wir nun diese IP-Adresse bei Centralops.net ein, dann erhalten wir zunächst mal den sogenannten "Canonical Name" des zugehörigen Rechners, sowie Angaben zum Netzwerk, zu dem er gehört:

crm002.cleverreach.de.
...
inetnum:        87.230.75.0 - 87.230.75.255
remarks:        INFRA-AW
netname:        HE-SYSTEMS-NET
descr:          Hosteurope GmbH

Ein Zeichen für eine seriöse Mail ist, dass der "canonical name" auch mit der Angabe übereinstimmt, der vor den eckigen Klammern in der Received-Zeile im Header steht. Auch dort lesen wir: "crm002.cleverreach.de".
Bei Spam-Mails stimmt manchmal schon dieser sogenannte "HELO-Eintrag" nicht, dann hat sich der Spam-Versender mit falschem "canonical name/HELO" beim empfangenden Mailserver gemeldet. Mittlerweie erkennen die Empfangs-Mailserver dies jedoch, oft wird dann der Zustellversuch hier schon geblockt. Daher sind die Spammer inzwischen davon abgekommen, den "HELO" zu fälschen.

In diesem Fall gehört die 87.230.75.20 zum Newsletter-Service-Anbieter namens "cleverreach", über den auch "Netzwelt.de" legale und seriöse Newsletter versendet.

Der nachfolgenden Zeilenanhang:

with esmtp id 1LvpPf-1BbKcK0; Mon, 20 Apr 2009 11:03:39 +0200

beschreibt nur eine interne Id-Nummer, die der empfangende Mailserver der Mail vergeben hat, sowie das Versendedatum und die Uhrzeit.

Danach kommen die Zeilen:

Received: from localhost.localdomain (crm000.cleverreach.de [87.230.75.22])
by crm002.cleverreach.de (Postfix) with ESMTP id 44890D40CB7 for <xxxIchxxx@t-online.de>; Mon, 20 Apr 2009 10:31:40 +0200 (CEST)
Date: Mon, 20 Apr 2009 11:02:58 +0200

Diese sind eher unwichtig und beschreiben nur eine interne Weiterleitungsschleife bei cleverreach.de. Der Anhang "for" kennzeichnet die Empfänger-Mailadresse.

Wichtiger sind die Zeilen:

To: xxxIchxxx@t-online.de
From: "netzwelt.de / Newsletter" <newsletter@netzwelt.de>

"To" bedeutet den Adressaten, in diesem Fall "xxxIchxxx@t-online.de", das ist meine eigene (fiktive) Empfänger-Mailadresse meines eigenen Mailaccounts bei t-online.

"From" bedeutet die Angabe des Absenders, hier: "netzwelt.de". Bei den meisten Spammails ist diese Angabe gefälscht, hier stimmt sie jedoch, weil es sich um einen erwünschten Newsletter handelt.

Die Zeile:

Subject: =?utf-8?Q?netzwelt.de_-_T=C3=A4glicher_Newsletter_20.04.2009?=

ist der sogenannte "Betreff" (subject). Diese Zeile sehen wir auch immer im Mailprogramm als "Betreff". Der Anhang "=?utf-8..." vor dem Betreff sagt unserem Mailprogramm nur, in welcher nationalen Zeichenkodierung es die Betreffzeile anzeigen soll.

Dann kommt noch eine Zeile mit der "Message-Id", welche als interne Laufnummer des Newsletter-Versenders in den Header eingestellt wird:

Message-ID: <875c8cc5a5f26e2e59f7efb7058c6df0@localhost.localdomain>

Die Zeilen " X-Priority: 3" und folgende wurden vom Mailprogramm des Versenders an den Header gehängt und sind eher weniger wichtig. "Priority: 3" beschreibt z.B. die "Wichtigkeit", die der Versender der Mail zumisst. In diesem Fall ist "3" = "normal". Oft findet man hier auch eine Zeile: "X-Priority: Normal", damit ist dasselbe gesagt. Manche Mailprogramme erlauben die Sortierung der Mails nach "Wichtigkeit", dazu werden diese Einträge benutzt.

Die Zeilen:

MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="utf-8"

sagen uns, dass der Textanhang des Newsletters im "MIME 1.0"-Standard im 8-bit-Format als ganz normaler Text in internationaler "utf-8"-Kodierung mitgeschickt wird.

Die Zeilen, die danach mit "X-TOI" beginnen, wurden von t-online dem Header angefügt und sind ebenfalls eher weniger wichtig.

X-TOI-SPAM: n;1;2009-04-20T09:03:48Z
X-TOI-VIRUSSCAN: unchecked

sagt uns z.B., dass die Mail von t-online nicht als Spam erkannt wurde, und dass der Inhalt nicht auf Viren geprüft wurde.

Ein ganz typischer Spam-Header

Hier ein ganz typischer Header einer Viagra-Spam-Mail.

From - Mon Apr 20 18:54:03 2009
X-Account-Key: account2
X-UIDL: 1135386310.15082
X-Mozilla-Status: 0001
X-Mozilla-Status2: 000000000
X-Mozilla-Keys:
Return-Path: <sisxxx1957@iconsystemplus.com>
Received: from mailin12.aul.t-online.de (mailin12.aul.t-online.de [172.20.26.48])
by mhead406 with LMTP;
Sun, 19 Apr 2009 14:02:10 +0200
X-Sieve: CMU Sieve 2.3
Received: from host86-166-150-33.range86-166.btcentralplus.com ([86.166.150.33]) by mailin12.aul.t-online.de
with esmtp id 1LvVik-1tia6C0; Sun, 19 Apr 2009 14:02:02 +0200
To: <xxxIchxxx@t-online.de>
Subject: hi there
From: "Tanja Skrubenek" <sisxxx1957@iconsystemplus.com>
Mime-Version: 1.0
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 7bit
X-TOI-SPAM: n;1;2009-04-19T12:02:10Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-EXPURGATEID: 149288::1240142522-00005A3E-054D958C/0-0/0-0
X-TOI-SPAMCLASS: CLEAN, NORMAL
X-TOI-MSGID: 4499eec6-bdb3-4912-82a0-24e3dedaedf0
X-Seen: false
X-ENVELOPE-TO: <xxxIchxxx@t-online.de>
Message-ID: <cmu-lmtpd-3085-1340143517-39@mhead202>
Date: Sun, 19 Apr 2009 14:02:10 +0200

Zur Bedeutung der Zeilen, die mit "X" oder mit "X-TOI" beginnen, siehe den vorigen Abschnitt mit dem Beispiel der erwünschten e-Mail.

Beginnen wir mit der Zeile

Return-Path: <sisxxx1957@iconsystemplus.com>

Da wir hier eine ganz typische Viagra-Spam-Mail haben, wurde hier die Absendeangabe vom Spammer natürlich gefälscht. I.d.R. gibt es zwar die Domain (hier: "iconsystemplus.com"). Früher haben die Spammer hier sogar oft nichtexistierende Domains hergenommen, aber inzwischen greifen hier die Spamfilter zu, daher nehmen die meisten Spammer hier eine existierende Domain. Oft existiert auch der Local part (hier: "sisxxx1957" - fiktiv), der betreffende Mailaccount gehört dann einem Unbeteiligten, der sich dann mit den Bounce-Meldungen herumärgern darf.

Die Zeilen:

Received: from mailin12.aul.t-online.de (mailin12.aul.t-online.de [172.20.26.48])
by mhead406 with LMTP;
Sun, 19 Apr 2009 14:02:10 +0200
X-Sieve: CMU Sieve 2.3

beschreiben eine interne Weiterleitungsschleife bei meinem t-online-Provider, siehe dazu die Erklärung im Beispiel der erwünschten Mail.

Interessant wird es dann bei der Zeile:

Received: from host86-166-150-33.range86-166.btcentralplus.com ([86.166.150.33]) by mailin12.aul.t-online.de
with esmtp id 1LvVik-1tia6C0; Sun, 19 Apr 2009 14:02:02 +0200

Das bedeutet, dass der empfangende Mailserver namens "mailin12.aul.t-online.de" die Mail von der IP-Adresse 86.166.150.33 mit der internen Laufnummer "1LvVik-1tia6C0" am 19.4.09 um 14:02 hereinbekommen hat.

Geben wir mal die IP-Adresse 86.166.150.33 bei Centralops.net ein und klicken das Häkchen bei "network whois record", dann erhalten wir:

Address lookup
canonical name 	host86-166-150-33.range86-166.btcentralplus.com.
...
Network Whois record
...
inetnum:        86.160.0.0 - 86.171.255.255
remarks:        *****************************************************
remarks:        * Please send abuse reports to abuse@btbroadband.com *
remarks:        ******************************************************
netname:        BT-CENTRAL-PLUS

Die IP 86.166.150.33 gehört also zum britischen Internetprovider "BT.com".
Das ist der Betreiber des Netzwerks, zu dem die IP-Adresse gehört. Da dies ein Internetprovider ist, haben wir es hier wahrscheinlich mit einem dynamischen Einwahlzugang zu tun, wo ein virenverseuchter Rechner mit dem Internet verbunden ist, der jetzt fröhlich ohne Wissen seines Besitzers als Zombie-Relay Spams in alle Welt verteilt.
Wer dieser Teilnehmer nun ist, das kann nur BT.com feststellen. Daher können wir dem Provider eine "Abuse-Mail" an abuse@btbroadband.com schicken, wo wir ihn auf das Problem hinweisen.
Die meisten Provider werden dann dem betreffenden Nutzer eine Verwarnung zukommen lassen und ihn dazu auffordern, den PC virenfrei zu machen.
Sparen Sie sich jedoch Abuse-Mails an chinesische und koreanische Provider. Diese sind durch die Bank als völlig merkresistent zu bezeichnen und unternehmen nichts gegen solche "Problembären" in ihren Netzen.
Weiteres dazu hier: Spammer verfolgen

In diesem Beispiel sehen wir auch, dass der "Canonical Name" mit der Angabe "host86-166-150-33.range86-166.btcentralplus.com" im Mailheader übereinstimmt. Früher haben die Spammer hier zur Verwirrung oft frei erfundene Einträge in den Header gefälscht, z.B. mit nicht existierenden Domains. In vielen Spam-Headern konnte man dort auch gefälschte IP-Adressen vorfinden, die dann vor der echten, mit eckigen Klammern versehenen IP (nur diese ist nicht fälschbar!) dort hineinpraktiziert wurden. Inzwischen filtern jedoch die meisten Provider gerade nach solchen Kriterien und überprüfen, ob diese Einträge übereinstimmen. Daraus haben die Spammer gelernt, und sie vermeiden es inzwischen, hier einen falschen canonical name im "HELO" zu verwenden.

In manchen Spam-Mails findet man anschließend noch weitere "Received"-Zeilen, die dann jedoch meistens allesamt gefälscht wurden und nur der Verwirrung dienen sollen.

Die Zeilen:

To: <xxxIchxxx@t-online.de>
Subject: hi there
From: "Tanja Skrubenek" <sisxxx1957@iconsystemplus.com>

beschreiben den gewünschten Adressaten, in der "To"-Zeile steht hier meine eigene (fiktive) Mailadresse bei t-online.

Die Zeile "Subject" findet man auch im "Betreff" im Mailprogramm wieder. Bei Spam-Mails steht dort meistens irgendein Blödsinn, so wie hier auch: "hi there".

Früher stand dort bei Viagra-Spam oft: "Get longer penis" oder: "Order Viagra now", aber die Spammer wissen inzwischen genau, dass die Worte "penis" oder "Viagra" von den Spamfiltern gefunden werden, und schreiben daher meist irgendeinen unverfänglich klingenden Blödsinn hinein.

Die Zeile "From" ist natürlich gefälscht und soll uns vorspiegeln, dass die Mail von "sisxxx1957@iconsystemplus.com" kam. Der Besitzer dieses (hier fiktiven) Mailaccounts darf sich dann mit den wütenden Protestantworten herumärgern, man spricht auch von einem JoeJob.

Die weiteren Zeilen des Headers erklären sich aus den Erläuterungen zum vorherigen Beispiel der erwünschten e-Mail.

Ein komplizierter T-Online-Header

Hier eine Mail, die von einer T-Online E-Mailadresse an Abuse@Antispam.de geschickt wurde (absichtlich kompliziert).

Received: from [81.2.155.101] (helo=ns1.2xs.net)
by mx06.web.de with esmtp (WEB.DE(Exim) 4.70 #5)
id 17T3FH-0006mu-00
for meinefinaleadresse@web.de; Fri, 12 Jul 2002 18:26:15 +0200  
Received:  from omta02.mta.everyone.net (sitemail3.everyone.net [216.200.145.37]) 
	by mail.2xs.net (8.11.6/8.11.6/SuSE Linux 0.5) with ESMTP id g6CGQCx29024 
	for ; Fri, 12 Jul 2002 18:26:12 +0200 

Received:  from imta01.mta.everyone.net (dsnat [216.200.145.62]) 
	by omta02.mta.everyone.net (Postfix) with ESMTP id 402BD1C3A7D 
	for ; Fri, 12 Jul 2002 09:26:07 -0700 (PDT) 

Received:  by imta01.mta.everyone.net (Postfix) 
	id AAC2457B34; Fri, 12 Jul 2002 09:26:01 -0700 (PDT)

Delivered-To:  abuse@antispam.de  
Received:  from mailout08.sul.t-online.com (mailout08.sul.t-online.com [194.25.134.20]) 
	by imta01.mta.everyone.net (Postfix) with ESMTP id 9F00957B28 
	for ; Fri, 12 Jul 2002 09:26:00 -0700 (PDT)  
Received:  from fwd10.sul.t-online.de 
	by mailout08.sul.t-online.com with smtp  
	id 17T35E-0002Zj-06; Fri, 12 Jul 2002 18:15:52 +0200

Diese Felder sind das eigentlich Wichtige und zeichnen den Weg nach, den die E-Mail bis in Ihr Postfach genommen hat. Dieser Weg ist von unten nach oben zu lesen!

Im ersten (also dem letzten) Feld hat der Mailserver mailout08.sul.t-online.com die Mail von fwd10.sul.t-online.de erhalten. Letzterer nimmt also offensichtlich die Mails von T-Online Kunden entgegen.

Im nächsten Feld (also eins drüber), erhält der Mailserver imta01.mta.everyone.net, der für den Mailverkehr von Antispam.de verantwortlich ist, die Mail von mailout08.sul.t-online.com. Hinter dem T-Online Mailserver stehen noch Informationen, die der Everyone.net Mailserver ermittelt hat. Nämlich der Name, mit dem sich der T-Online Mailserver identifiziert hat (leicht zu fälschen), ganz hinten, in eckigen Klammern, die IP-Adresse (nicht zu fälschen) und davor der Reverse Lookup, d.h. die Domain, die von dem Nameserver von Everyone.net als zugehörig zur IP-Adresse ermittelt wurde (oftmals 'unknown'). Der tatsächliche Mailserver von dem die Mail kam, ist also im Zweifelsfall der, der über die angegebene IP-Adresse erreichbar ist.

Das Delivered-To Feld bezeichnet in dem Fall, daß die Mail aus Sicht der T-Online Mailserver ihr Ziel erreicht hat.

Die nächsten beiden Felder beschreiben ein 'Herumgereiche' der Mail bei Everyone.net. Dies ist nicht zu verallgemeinern oder typisch.

Im darauffolgenden Feld wird beschrieben, daß die Mail um 18:26:12 Uhr von einem 2XS Mailserver namens mail.2xs.net von omta02.mta.everyone.net entgegengenommen wurde. Sie hat also das Everyone Netz verlassen. Schön zu sehen ist, daß sich der Everyone.net Mailserver bei mail.2xs.net mit omta02.mta.everyone.net vorgestellt hat, ein Reverse Lookup seines Hostnamens, aufgrund seiner IP-Adresse aber ergibt, daß er eigentlich sitemail3.everyone.net heisst.

Weitere 3 Sekunden später endet die Reise der Mail, denn der 2XS Mailserver (der sich mit ns1.2XS.net vorgestellt hat) hat die Mail bei mx06.web.de, einem Web.de Mailserver abgeliefert, und zwar für den finalen Empfänger meinefinaleadresse@web.de.

Message-ID:  <000b01c229bf$69edf510$9666a8c0@fwd10.sul.t-online.de>  

Die Message-ID wird vom ersten Mailserver gesetzt. Unter Umständen könnte man die Mail auf diese Weise eindeutig identifizieren, die Mailing-Software benutzt sie normalerweise. In diesem Fall ist sie 000b01c229bf$69edf510$9666a8c0 und wurde von fwd10.sul.t-online.de gesetzt!

From:  Paul.Puschmann@t-online.de (Bademeister)  
To:  <Abuse@Antispam.de>  

From und To sind die Felder, die bei jeder Mail vom Anwender auszufüllen sind. Sie sind ohne Probleme zu fälschen.

Subject:  Re: Antispam.de ist toll!

Der Betreff der Mail wird intern natürlich englisch bezeichnet, als Subject!

Date:  Fri, 12 Jul 2002 18:16:00 +0200 

Das Zeitstempel der Mail. Wird normalerweise vom Mailprogramm des Absenders gesetzt (Outlook, Eudora, etc.) und ist somit natürlich auch fälschbar, bzw. so falsch wie die Systemuhr des Absenders... :)

MIME-Version:  1.0  
Content-Type:  multipart/alternative;  
X-Priority:  3  
X-MSMail-Priority:  Normal  
X-Mailer:  Microsoft Outlook Express 6.00.2600.0000  
X-MimeOLE:  Produced By Microsoft MimeOLE V6.00.2600.0000  
X-Sender:  0123456789-0001@t-dialin.net  
X-Virus-Scanned:  by AMaViS-perl11-milter (http://amavis.org/)

Alle Zeilen, die mit einem X beginnen, sind EXtrainformationen! Sie können in der Mail drin sein, haben aber rein gar nichts mit dem Versand zu tun. Die verschiedensten Instanzen fügen einen X-Eintrag hinzu! In diesem Fall sind das:

X-Priority, die Priorität der Mail. Nur interessant für Empfänger und Absender, hat keinen Einfluß auf die Geschwindigkeit des Versands. X-MSMail-Priority, nur Microsoft (MS) weiß, was das soll! :) X-Mailer, das Mailprogramm, mit dem die Mail verfasst wurde, in dem Fall Outlook Express. X-Sender, eine Information, die vom T-Online Mailserver hinzugefügt wurde. Sie identifiziert den T-Online Kunden eindeutig. X-Virus-Scanned, eine Information, die vom 2XS Mailserver hinzugefügt wurde und den Empfänger darauf hinweist, daß die Mail einen Virusscanner durchlaufen hat.

Felder wie MIME-Version und Content-Type helfen dem Empfangsmailprogramm, die Mail richtig darzustellen.

Wie bereits oben angemerkt, ist dieser Mailheader besonders kompiliziert. Normalerweise durchläuft eine Mail nicht derartig viele Stationen. Wichtig ist nur festzuhalten, dass die für Menschen so einfach lesbaren Informationen, wie Absender oder Empfänger, oder Name des Mailservers, etc. ohne jegliche Probleme vom Absender zu fälschen sind.

Sicher kann man sich nur der Informationen sein, die ein Mailserver, dem wir vertrauen, vom Mailserver des Absenders ermittelt hat. Und das ist eigentlich nur die IP-Adresse.

In unserem Falle würden wir also imta01.mta.everyone.net vertrauen (da er von uns als Mailserver benutzt wird) und sehen, daß die Mail via Server 194.25.134.20 kam, der sich selber als mailout08.sul.t-online.com identifizierte, was mit dem Host übereinstimmt, der als zugehörig zur IP-Adresse ermittelt wurde.

Und damit steht fest, dass die Mail über mailout08.sul.t-online.com kam. Mehr wissen wir nicht. Das brauchen wir aber auch nicht, denn im Falle von Spam muß jetzt die Abuse-Abteilung von T-Online informiert werden, der wir die kompletten Header mitschicken müßten. Diese würde dann wahrscheinlich anhand des X-Sender Feldes den Versender identifizieren und zur Rechenschaft ziehen.


Sollte es noch weitere Fragen geben, dann scheuen Sie sich nicht, sie in unserem Forum zu stellen!


E-Mail-Header automatisch analysieren lassen

Es gibt verschiedene hervorragende Werkzeuge im Internet, mit dessen Hilfe Sie automatisch die versendende IP-Adresse einer Spam-Mail herausfinden können. Hier eine Auswahl:

http://www.gaijin.at/olsmailheader.php
http://mxtoolbox.com/EmailHeaders.aspx
http://tools.spamexperts.com/email/headers


Diese "Spamalyser" sind empfehlenswert für ungeübte User, die sich in der Analyse der Mailheader noch nicht auskennen. Sie schlüsseln die Kopfzeilen der Mail in lesbarer Form auf.

Links




Benutzeroptionen:
 Anmelden 

 Spezialseiten 
Diese Seite wurde zuletzt am 18. Juni 2016 um 12:43 Uhr geändert. Diese Seite wurde bisher 141.625-mal abgerufen.
   © 1999 - 2017 Antispam e. V.
Kontakt | Impressum | Datenschutz

Partnerlink: REDDOXX Anti-Spam