Am Beispiel einer E-Mail, die ich von einem Anonymus erhielt, kann man sehen, wie eine E-Mail so gelesen werden kann, dass der Urheber bis auf wenige Personen eingegrenzt werden kann. Den Inhalt habe ich gekürzt. Leider hat sich in diesem Fall auch Microsoft, der Betreiber von Hotmail, nach der Anzeige dieser Mail nicht gemeldet.
Original-Mail:
Return-Path: <amoebenruhr@hotmail.com>
X-Flags: 1101
Delivered-To: GMX delivery to thomas▒▒▒@gmx.▒▒▒
Received: (qmail 14750 invoked by uid 0); 23 Mar 2000 17:18:50 -0000
Received: from f36.law8.hotmail.com (HELO hotmail.com) (216.33.241.36) by
mx13.gmx.net with SMTP; 23 Mar 2000 17:18:50 -0000
Content-Transfer-Encoding: 8bit
Received: (qmail 92811 invoked by uid 0); 23 Mar 2000 17:18:43 -0000
Message-ID: <20000323171843.92810.qmail@hotmail.com>
X-Priority: 3
X-MSMail-Priority: Normal
Received: from 134.100.224.223 by www.hotmail.com with HTTP; Thu, 23 Mar 2000
09:18:43 PST
X-Originating-IP: [134.100.224.223]
From: "Arsch Ficken" <amoebenruhr@hotmail.com>
To: <thomas▒▒▒@gmx.▒▒▒>
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Subject: =?iso-8859-1?Q?geh_wo_du_wohnst=2C_du_schei=DFe?=
Date: Thu, 23 Mar 2000 17:18:43 GMT
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="iso-8859-1"
X-UIDL: 96fc2d4a8b8a307aebf27f8f51945471
tach,
diese mail enthält einen echt beschissenen virus...
von den festplatten wird nun leider nur noch gequirrlte kacke übrig bleiben.
… … …
… … …
… … …
dein amöbi
______________________________________________________
Get Your Private, Free Email at http://www.hotmail.com
Analyse:
Return-Path: <amoebenruhr@hotmail.com> // an diese
Adresse würde eine Antwort-Mail geschickt werden
X-Flags: 1101
Delivered-To: GMX delivery to thomas▒▒▒@gmx.▒▒▒ // an diese Adresse ist die Mail ausgeliefert worden
Received: (qmail 14750 invoked by uid 0); 23 Mar 2000 17:18:50 -0000
Received: from f36.law8.hotmail.com (HELO hotmail.com) (216.33.241.36) by
mx13.gmx.net with SMTP; 23 Mar 2000 17:18:50 -0000
Content-Transfer-Encoding: 8bit
Received: (qmail 92811 invoked by uid 0); 23 Mar 2000 17:18:43 -0000
Message-ID: <20000323171843.92810.qmail@hotmail.com>
X-Priority: 3
X-MSMail-Priority: Normal
Received: from 134.100.224.223 by www.hotmail.com with HTTP; Thu, 23 Mar 2000
09:18:43 PST // die
letzte Received-Zeile ist der ursprüngliche Absender; diese bedeutet, dass die
Mail vom Rechner mit der IP-Adresse 134.100.224.223 mit einem Browser (http) um
18:18 MEZ (09:18 PST) verschickt worden war.
X-Originating-IP: [134.100.224.223] // hier noch mal die
ursprünglich Absender-IP-Adresse
From: "Arsch Ficken" <amoebenruhr@hotmail.com>
// hier steht der als Absender angezeigt Name und dessen
Mailadresse
To: <thomas▒▒▒@gmx.▒▒▒>
// an diese Adresse ist die Mail geschickt worden
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Subject: =?iso-8859-1?Q?geh_wo_du_wohnst=2C_du_schei=DFe?=
// die Betreff-Zeile im ISO-5589-1-Format
Date: Thu, 23 Mar 2000 17:18:43 GMT
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="iso-8859-1"
X-UIDL: 96fc2d4a8b8a307aebf27f8f51945471
tach,
diese mail enthält einen echt beschissenen virus...
von den festplatten wird nun leider nur noch gequirrlte kacke übrig bleiben.
… … …
… … …
… … …
dein amöbi
______________________________________________________
Get Your Private, Free Email at http://www.hotmail.com
Zusammenfassung:
Die unterste Received-Zeile zeigt von woher die Mail ursprünglich verschickt
worden ist. Außerdem werden Datum und Uhrzeit vom Mailserver eingetragen. Eine
Berechnung der Mitteleuropäischen Zeit kann man bei
Greenwich Mean Time, machen; dabei muss mal allerdings beachten,
dass GMT keine Sommer- und Winterzeit kennt. Der Eintrag http zeigt in diesem Fall, dass der
Versand über einen Browser erfolgte, da Hypertext Markup Language verwendet
wurde. Bei der Benutzung eines Mail-Clients wäre das POP3-Protokoll, Post Office
Protocol 3, oder IMAP, Internet Message Access Protocol, angegeben worden.
Zum Absender direkt führt dessen IP-Adresse. Auf diversen Seiten im Internet
finden sich Datenbanken oder Abfragen, wem welche IP-Adresse gehört, bzw.
zugeordnet ist.
Eine Überprüfung der IP-Adressen 134.100.224.223 ergibt, dass die Universität
Hamburg Eigentümer des IP-Bereiches 134.100.0.0 bis 134.100.255.255 ist.
Nicht immer ist eine Überprüfung mit dem Programm Pathping so eindeutig wie in
dem folgenden Beispiel, dass den benutzten Rechner den Geowissenschaftlern im
Geomatikum, Bundesstraße 55, in Hamburg zuordnet. So konnte eine genaue
Eingrenzung bis auf die Hausnummer erfolgen. Mit Hilfe der Administratoren wäre
sogar der Rechner selber und dessen verantwortlicher Angestellte der Universität
zu bestimmen.
Beispiel - pathping zur genaueren Ortsbestimmung des Absenders:
C:\>pathping 134.100.224.223
Routenverfolgung zu win98helms.geowiss.uni-hamburg.de [134.
über maximal 30 Abschnitte:
0 ▒▒▒▒▒▒▒▒▒ [192.168.▒.▒▒▒]
1 ▒▒.▒▒▒▒▒▒ [192.168.▒.▒▒]
2 lo1.brun-0176-03-02.hh.hansenet.net [213.191.84.197]
3 gi0-2.cr-0176-03-02.hh.hansenet.net [213.191.84.98]
4 po1-0.cr-0048-04-02.hh.hansenet.net [213.191.76.118]
5 gi2-0.pr-0048-04-03.hh.hansenet.net [213.191.84.143]
6 213.191.75.110
7 ir-frankfurt2.g-win.dfn.de [80.81.192.222]
8 cr-frankfurt1-po3-0.g-win.dfn.de [188.1.80.41]
9 cr-hamburg1-po4-0.g-win.dfn.de [188.1.18.66]
10 ar-hamburg3-ge0-1.g-win.dfn.de [188.1.92.5]
11 nixgate-ge-gwin.rrz.uni-hamburg.de [188.1.47.38]
12 crrz-ge-nixgate.rrz.uni-hamburg.de [134.100.254.177]
13 Core-GEO-RI.rrz.uni-hamburg.de [134.100.250.249]
14 win98helms.geowiss.uni-hamburg.de [134.100.224.223]
Eine weitere Analyse mit GFI LANGuard Network Scanner ergibt außerdem nur, dass es
sich um einen Windows-Rechner handelt, der zu diesem Zeitpunkt die beiden Ports
25, SMTP, und 110, POP3, offen hat.
Abgesehen davon, dass man diese Bullshit-Mail alleine schon wegen des
Betreffs No More Pill+s, add 3+ inches jhkkqgvcr
nicht geöffnet hätte, ist sie auch noch gefälscht bzw. die Herkunft verschleiert
worden. Der Inhalt der Mail ist durch allerhand Tags zerstückelt, die ganz
offensichtlich die Mail vor einer Inhaltsanalyse schützen soll. Seriös ist was
anderes. Vor allem, wenn man sich den
Inhalt ansieht.
Mit Hilfe des Konsolenbefehls nslookup kann man
Herkunft bis zum Firmennamen oder Internet-Provider verfolgen.
Der Konsolenbefehl nslookup hilft bei der Auflösung
einer IP-Adresse in einen Servernamen. Zur Kontrolle kann man den Domain-Namen
der Received-Zeile mit tracert zurückverfolgen.
Original-Mail mit Analyse:
Die gelb markierten Texte sind Erklärungen zu den jeweiligen Zeilen,
rot
markierte Bereiche sind Teil der Original-Mail und werden im der weiteren
Analyse näher untersucht.
Return-Path: <vekk21lu@earthink.net>
X-Flags: 1000
Delivered-To: GMX delivery to ▒▒▒▒.▒▒▒▒@gmx.de
Received: (qmail 23363 invoked by uid 65534); 14 Feb 2004 15:34:37 -0000
Received: from CPE-203-45-121-32.nsw.bigpond.net.au (HELO
cpe-203-45-121-32.nsw.bigpond.net.au) (203.45.121.32)
by mx0.gmx.net (mx002) with SMTP; 14 Feb 2004 16:34:37 +0100
// by zeigt den Server, von dem die Mail ausgegangen ist,
bzw. wo sie zuerst gelagert worden war
Received: from [217.117.137.43] by
cpe-203-45-121-32.nsw.bigpond.net.au id
<2022650-63486>; Sat, 14 Feb 2004 00:32:47 -0300 //
diese Zeile zeigt die IP-Adresse an, von der
diese Mail verschickt worden ist
Message-ID: <h2c5jp0$7d39e-$vf--8w-x3@iu690v5>
From: "Phyllis Masters" <vekk21lu@earthink.net>
// Absender-Informationen und Mailadresse, "Phyllis
Masters" würde als Absender der Mail angezeigt
Reply-To: "Phyllis Masters" <vekk21lu@earthink.net>
// Antwort-Adresse, hierhin würde eine Antwort-Mail
geschickt werden
To: ▒▒▒▒▒@gmx.de // an diese
Adresse ist die Mail geschickt worden
Cc: <▒▒▒▒@gmx.de>, <▒▒▒▒@gmx.de>, <▒▒▒▒.▒▒▒▒@gmx.de>, <▒▒▒▒@gmx.de>, <▒▒▒▒▒.▒▒▒@gmx.de>,
<▒▒▒▒▒.▒▒▒@gmx.de>, <▒▒▒▒@gmx.de>
// solche Adressen-Ansammlungen, besonders als Carbon Copy,
cc:, sind schon ein sehr starkes Indiz für unseriöse Umtriebe
Subject: No More Pill+s, add 3+ inches jhkkqgvcr // solch
ein Bullshit-Betreff sollte einen Reflex zur Benutzung der ENTF-Taste auslösen
Date: Sat, 14 Feb 04 00:32:47 GMT // Datum und Uhrzeit des
Versandes
X-Mailer: Microsoft Outlook Express 5.50.4133.2400 // hier
verrät sich der benutzte Mail-Client
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="26F.7B2BDC5.BE88A__"
X-Priority: 3
X-MSMail-Priority: Normal
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 3 (Internet IP blacklist D) // mache
Mail-Provider ergänzen die Mail um Informationen zur SPAM-Wahrscheinlichkeit,
diese Mail ist als verdächtig wegen der IP-Adresse, die auf einer Blacklist
erscheint
--26F.7B2BDC5.BE88A__
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
// der folgende Inhalt der Mail ist durch vielerlei Tags
zerstückelt worden um eine Inhaltsanalyse zu erschweren
<P><STRONG><FONT face=3DTahoma color=3D#000000 size=3D4>P<!-- =
pigeonhole -->e<!-- souvenir -->ni<!-- mung -->s Enla<!-- =
// Text zwischen <!-- und --> wird im Browser nicht
angezeigt, Textanalysen zur Erkennung von SPAM und anderen Inhalten lesen Mails
aber in dieser Rohform und Filter erkennen diesen Unfug nicht
aegean -->rgment
P<!-- depreciate -->at<!-- irresolution -->ch</FONT></STRONG><FONT
face=3D=
Tahoma color=3D#000000
size=3D4> <BR></FONT><FONT face=3DTahoma color=3D#000000 size=3D4><FO=
NT size=3D3>* No more pi<!-- base -->l<!-- tubule -->ls
<BR>* Be<!-- sucrose -->tter sex<!-- tappet -->ual health
<BR>* Gain up to 3 + i<!-- levine -->nc<!-- swig -->hes
<BR>* Inc<!-- bus -->rea<!-- indigene -->sed sens<!-- =
discretionary -->itivity
<BR><BR><A href=3D"http://www.discountol.com/pp/index.php?pid=3Deph3404" t=
arget=3D"_blank">Click here to order now
</A></FONT></FONT><FONT face=3DTahoma><BR><BR><BR></P></FONT>
<a href=3D"http://www.cartmed.com/mm/index.php?pid=3Deph3404" target=3D"_b=
lank">Magical MAXAMAN also available HERE</a></p>
<br><br><br>
</BODY></HTML>
sypsxvtfilfrbwrzr qo pgytyag
--26F.7B2BDC5.BE88A__--
Weitere Analyse:
nslookup ist Bestandteil von Windows und kann an
einer Kommandozeile aufgerufen werden. nslookup ergibt für die angegebene Domain eine andere IP-Adresse, die nicht mit der im Header
übereinstimmt. Der Versand erfolgte über einen Server, der laut Top Level Domain
in Australien steht, zumindest ist er dort registriert. Die Bedeutung der Top
Level Domains kann man unter
http://www.iana.org/cctld/cctld-whois.htm erfahren.
C:\>nslookup cpe-203-45-121-32.nsw.bigpond.net.au
Server: ▒▒.▒▒▒▒
Address: 192.168.100.100
Name: cpe-203-45-121-32.nsw.bigpond.net.au
Address: 203.45.121.32
C:\>
tracert ist ebenfalls Bestandteil von Windows und
kann ebenso an einer Kommandozeile aufgerufen werden. tracert ergibt für die in
der Received-Zeile angegebene IP-Adresse einen Server in Polen. Die Bedeutung
der Top Level Domains kann man unter
http://www.iana.org/cctld/cctld-whois.htm erfahren.
C:\>tracert 217.117.137.43
Routenverfolgung zu k43.net.prospect.pl [217.117.137.43] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms ▒▒.▒▒▒▒ [192.168.100.100]
2 31 ms 33 ms 33 ms lo1.brun-0176-03-02.hh.hansenet.net [213.191.84.197]
3 31 ms 33 ms 33 ms gi0-2.cr-0176-03-02.hh.hansenet.net [213.191.84.98]
4 31 ms 31 ms 31 ms po1-0.cr-0048-04-02.hh.hansenet.net [213.191.76.118]
5 32 ms 31 ms 31 ms 213.191.75.148
6 44 ms 44 ms 64 ms 213.191.75.110
7 44 ms 44 ms 44 ms fra-decix1.gtsce.net [80.81.192.81]
8 66 ms 66 ms 66 ms 195.39.208.122
9 66 ms 68 ms 66 ms taro7-0-3-0-310.ipartners.pl [195.94.192.130]
10 73 ms 72 ms 74 ms tarnow-atm4-0.ipartners.pl [217.153.2.166]
11 75 ms 72 ms 73 ms 217.153.162.22
12 74 ms 75 ms 74 ms 217.117.128.98
13 74 ms 75 ms 75 ms gw-rtr2.tarman.pl [217.117.130.193]
14 167 ms 110 ms 169 ms 217.117.130.196
15 * * * Zeitüberschreitung der Anforderung.
Ablaufverfolgung beendet.
C:\>
Penis Enlargment
Patch |
Fenster schließen | [13. November 2005]