Sven Rautenberg: Fake sender oder Formularmissbrauch?

Beitrag lesen

SELF-Forum

Fake sender oder Formularmissbrauch?

Sven Rautenberg Homepage des Autors
Informationen zu den Bewertungsregeln

Moin!

Nach einem kurzen Blick scheinen die meisten etwas in der Art im Header zu haben:

Received: from unknown (HELO grewe.co.uk) (209.51.143.202)
  by mail1.hostingplatform.com with SMTP; 23 Nov 2005 13:07:37 -0000

Das ist schon die wichtige Information. In der Regel kann man nur der allerersten Received-Zeile wirklich trauen, weil die vom (hoffentlich) vertrauenswürdigen Empfängerserver hinzugefügt wurde. Alle nachfolgenden Zeilen kann der Sender nach Belieben als Bestandteil des Mailtextes selbst definieren (und damit in die Irre führen).

In der Zeile steht:

  • die IP-Adresse des einliefernden Clients (209.51.143.202).
  • der rückwärts aufgelöste DNS-Name dieser IP (unknown - ging hier also nicht)
  • der beim HELO-Kommando verwendete Name (den kann man sich beliebig ausdenken als Sender)

In der Fortsetzungszeile (erkennbar an der Einrückung) steht dann, welcher Server der Empfänger war, und wann die Mail reinkam.

Zusätzlich könnte dort auch noch stehen, an welche Zieladresse laut Sender die Mail gehen sollte (die Mail kann durch interne Weiterleitung am Ende ja ganz woanders im Postfach landen).

Da die IP auf einen amerikanischen Provider auflöst, und der Rechner "grewe.co.uk" eine ganz andere IP hat, dürfte anzunehmen sein, dass dein Formular nicht mißbraucht wurde.

Received: from gmilumfg([235.181.89.160]) by grewe.co.uk (AIMC 2.9.5.4) with SMTP id UDgka3XXDh0E for derk@tmssoftware.com;Wed, 23 Nov 2005 6:12:0 +0800(CST)

Diese nachfolgende Zeile dürfte komplett gefälscht sein.

oder auch:

Received: from ctsmtpmx8.frontal.correo ([213.4.149.64]) by
          telesmtp2.mail.isp (terra.es) with ESMTP id IQES5401.7LQ for
          deleston.ashely@telefonica.net; Wed, 23 Nov 2005 14:00:40 +0100
Received: from grewe.co.uk (213.161.194.234) by ctsmtpmx8.frontal.correo (7.2.056.5)
        id 435DB0960077D106 for deleston.ashely@telefonica.net; Wed, 23 Nov 2005 14:00:39 +0100
Received: from ypsanuwf([117.231.28.165]) by grewe.co.uk (AIMC 2.9.5.4) with SMTP id rx58IIB71JYr for deleston.ashely@telefonica.net;Wed, 23 Nov 2005 14:4:39 +0800(CST)

Diese Zeilen sehen alle komplett seltsam aus, weil sie nahezu keine öffentliche Top-Level-Domain verwenden. Die IP der ersten Zeile ist von einem spanischen Provider.

- Sven Rautenberg

--
My sssignature, my preciousssss!
Beitrag melden
Informationen zu den Bewertungsregeln
0 16

Fake sender oder Formularmissbrauch?

Armin
  • e-mail
  1. 0
    Sven Rautenberg
    1. 0
      Armin
      1. 0
        Sven Rautenberg
    2. 0

      womöglich - wohlmöglich

      Hopsel
      • sonstiges
      1. 0
        Sven Rautenberg
  2. 0
    TomIRL
    1. 0
      Sven Rautenberg
      1. 0
        TomIRL
        1. 0
          Armin
    2. 0
      Armin
      1. 0
        Der Martin
      2. 0
        TomIRL
        1. 0
          Jörg Lorenz
        2. 0
          Armin
        3. 0
          fastix®