[oaseforum.de] - Einzelnen Beitrag anzeigen - Spam/Email-Viren - und warum ist der vermeintliche Abs. nicht immer der wahre Abs.?

joe · 26.08.2003, 01:18

Etwas ausführlichere Antwort:

Genau wie bei der Briefpost stellt auch E-Mail leider nicht sicher, dass der vermeintliche Absender der tatsaechliche Absender ist. Was jemand als Absender auf einen Brief oder auch Briefumschlag schreibt, ist ihm frei ueberlassen.

Waehrend falsche Absenderangaben bei Briefpost nur in Einzelfaellen vorkommen, ist dies leider bei schaedlichen Computerprogrammen (sogenannte Viren oder Wuermer) genauso ueblich wie beim sogenannten Spam, dem E-Mail Aequivalent zu Postwurfsendungen.

Damit wollen diese Programme zum einen die Identitaet des Absenders verschleiern und zum anderen auch Filter ueberwinden, die Spam, Viren und Wuermer von unbekannten Adresen abwehren sollen. Die Absenderadressen werden dabei oft im Internet gesammelt oder im Falle von Viren und Wuermern auf der Festplatte (insbesondere in Computer-Adressbuechern) der verseuchten Computer gesucht.

Will man nähere Infos zum Versandweg einer Email erfahren, so muss man den vollständigen Header der Mail betrachten. Wie man diesen vollständigen Header anzeigt, hängt vom Mailprogramm ab.

In diesem sogenannten Mail-Header sieht man Zeilen, die mit "Received:" beginnen. Dies sind quasi Poststempel. Anders als bei der Briefpost stempelt jedoch jede Poststation, durch die die E-Mail durchlaeuft die E-Mail erneut ab und nicht nur die erste Poststation. Die letzte dieser Zeilen ist ausserdem die erste "Poststelle" durch die die E-Mail lief.

Hinter dem Wort "from" steht ein sogenannter Hostname, das ist der Name unter dem sich der absendende Computer gegenueber dem empfangenden Computer (dem Postamt) identifiziert hat. Dieser Name ist so leicht zu faelschen, wie man dem Postbeamten in der Post erzaehlen koennte, dass man "Hans Mueller" waere. Es wird nicht ueberprueft.

In eckigen Klammern steht jedoch die IP-Nummer, vier mit Punkten getrennte Ziffernbloecke. Diese Adresse ist schon sehr schwierig zu faelschen und gibt daher Hinweise auf den echten Absender. Leider ist oft die einzige Information, die dieser Nummer zu entnehmen ist, dass es sich um einen Kunden von T-Online, AOL oder sonst welchen Provider handelt. Den Ort bekommt man oft zumindest naeherungsweise heraus, die Person aber nur mithilfe der Log-Dateien des Zugangsproviders, der diese aber nur dem Staatsanwalt geben wuerde.

Hinter "by" steht dann das "Postamt", also der Computer, der die E-Mail angenommen hat. Auch diese Information nuetzt i.d.R. wenig. Allenfalls kann man damit erkennen, welche Computer einen offenen Zugang fuer das Mail-Versenden haben - der Haupt-Ursache, warum Spam ueberhaupt moeglich ist.

Oft faelschen Viren, Wuermer und Spammer den oder die ersten Received-Eintraege. Auch das ist eigentlich ein Fehler beim ersten echten E-Mail "Postamt", aber kommt leider vor. Zur naeheren Untersuchung sollten daher immer alle Received-Header untersucht werden, auch wenn nur der letzte (zeitlich ist das der erste) wirklich relevant ist.

Ich kann jedenfalls versichern, dass ich (oase.com und bwd.de) keinen SPAM oder Email-Viren versende und auch mein Computer nicht von einem Virus oder Wurm infiziert ist (und es hoffentlich auch bleibt

). Leider kann man/ich bei der Ermittlung des wahren Absenders nicht weiterhelfen. Die Gruende duerften nun einigermassen klar sein.

(Text stammt aus einer Mailingliste)

26.08.2003, 01:18	#3
joe Administrator Registriert seit: 03/1999 Beiträge: 4.884	Etwas ausführlichere Antwort: Genau wie bei der Briefpost stellt auch E-Mail leider nicht sicher, dass der vermeintliche Absender der tatsaechliche Absender ist. Was jemand als Absender auf einen Brief oder auch Briefumschlag schreibt, ist ihm frei ueberlassen. Waehrend falsche Absenderangaben bei Briefpost nur in Einzelfaellen vorkommen, ist dies leider bei schaedlichen Computerprogrammen (sogenannte Viren oder Wuermer) genauso ueblich wie beim sogenannten Spam, dem E-Mail Aequivalent zu Postwurfsendungen. Damit wollen diese Programme zum einen die Identitaet des Absenders verschleiern und zum anderen auch Filter ueberwinden, die Spam, Viren und Wuermer von unbekannten Adresen abwehren sollen. Die Absenderadressen werden dabei oft im Internet gesammelt oder im Falle von Viren und Wuermern auf der Festplatte (insbesondere in Computer-Adressbuechern) der verseuchten Computer gesucht. Will man nähere Infos zum Versandweg einer Email erfahren, so muss man den vollständigen Header der Mail betrachten. Wie man diesen vollständigen Header anzeigt, hängt vom Mailprogramm ab. In diesem sogenannten Mail-Header sieht man Zeilen, die mit "Received:" beginnen. Dies sind quasi Poststempel. Anders als bei der Briefpost stempelt jedoch jede Poststation, durch die die E-Mail durchlaeuft die E-Mail erneut ab und nicht nur die erste Poststation. Die letzte dieser Zeilen ist ausserdem die erste "Poststelle" durch die die E-Mail lief. Hinter dem Wort "from" steht ein sogenannter Hostname, das ist der Name unter dem sich der absendende Computer gegenueber dem empfangenden Computer (dem Postamt) identifiziert hat. Dieser Name ist so leicht zu faelschen, wie man dem Postbeamten in der Post erzaehlen koennte, dass man "Hans Mueller" waere. Es wird nicht ueberprueft. In eckigen Klammern steht jedoch die IP-Nummer, vier mit Punkten getrennte Ziffernbloecke. Diese Adresse ist schon sehr schwierig zu faelschen und gibt daher Hinweise auf den echten Absender. Leider ist oft die einzige Information, die dieser Nummer zu entnehmen ist, dass es sich um einen Kunden von T-Online, AOL oder sonst welchen Provider handelt. Den Ort bekommt man oft zumindest naeherungsweise heraus, die Person aber nur mithilfe der Log-Dateien des Zugangsproviders, der diese aber nur dem Staatsanwalt geben wuerde. Hinter "by" steht dann das "Postamt", also der Computer, der die E-Mail angenommen hat. Auch diese Information nuetzt i.d.R. wenig. Allenfalls kann man damit erkennen, welche Computer einen offenen Zugang fuer das Mail-Versenden haben - der Haupt-Ursache, warum Spam ueberhaupt moeglich ist. Oft faelschen Viren, Wuermer und Spammer den oder die ersten Received-Eintraege. Auch das ist eigentlich ein Fehler beim ersten echten E-Mail "Postamt", aber kommt leider vor. Zur naeheren Untersuchung sollten daher immer alle Received-Header untersucht werden, auch wenn nur der letzte (zeitlich ist das der erste) wirklich relevant ist. Ich kann jedenfalls versichern, dass ich (oase.com und bwd.de) keinen SPAM oder Email-Viren versende und auch mein Computer nicht von einem Virus oder Wurm infiziert ist (und es hoffentlich auch bleibt ). Leider kann man/ich bei der Ermittlung des wahren Absenders nicht weiterhelfen. Die Gruende duerften nun einigermassen klar sein. (Text stammt aus einer Mailingliste)