Veröffentlicht am Kategorien Praxis - Für BetroffeneTags , , , , , , ,

Mail-Spam und Mail-Header

Mir persönlich fiel es vor etwa 2 Wochen auf: Erheblich mehr Backscatter-Mails (dazu gleich mehr) als sonst üblich. Passenderweise schreibt nun auch Heise was dazu – es ist einfach eine unvorstellbare Menge an Spam mit fremden Mailadressen unterwegs. Ich nehme das zum Anlaß kurz was zu den Mail-Headern zu schreiben.

Wer die Technik nicht versteht, der stelle sich einfach einen normalen Brief vor. Wenn ich einen Brief versende, ist es kein Problem, einfach einen fremden Absender drauf zu schreiben – trotzdem kommt der Brief nicht von dem, der drauf steht. Genauso leicht ist es bei Mails, auch hier kann man einen Absender eintragen, den man gar nicht nutzt.

Das Problem ist, dass mancher Server das nicht prüft und dann z.B. Zustellfehler oder Auto-Antworten bei angeblichen Absender auflaufen, in ersterem Fall spricht man von „Backscatter-Mails„. Und mitunter auch mal böse Mails, weil der Empfänger glaubt, der „draufgeschriebene“ Absender sei der wirkliche. Gerade im Abmahnwütigen Deutschland, wo durchaus auch mal ein Anwalt so eine Mail bekommt der keine Ahnung von Mail-Headern hat, kann das zudem langfristigen Ärger verursachen.

Wer sich nun die aktuelle Grafik von Heise ansieht, versteht, warum mir dies nun einen Artikel wert ist. Ich versuche kurz und knapp zu erklären, wie man die Header liest und greife dazu auf einen älteren Artikel von mir zurück, den ich seinerzeit auf Netz-ID.de veröffentlicht hatte.

EMail-Header erklärt – Woher kommt die Mail
EMail Header bestimmen, welche Wege eine Email geht und was sie beinhaltet. Mit einfachen Mitteln kann
jeder Standard-User seine Absenderadresse faken (was anchvollziehbar ist!) was dann dazu führt dass
unbescholtene User glauben Emails von jemandem erhalten zu haben, die gar nicht von ihm stammt.
Personen die dann über bekanntere Email Adressen verfügen und ständig als gefakter Absender genutzt
werden -so wie meine Email Adresse- erhalten dann immer wieder nette Emails mit dezenten Hinweisen man
solle den Spam unterlassen – obwohl man nichts gesendet hat.

Den Mail-Header findet man an veschiedenen Orten, je nach Mail-Programm, angezeigt. In Outlouk muss man recht kompliziert mit der rechten Maustaste auf die Mail klicken, dann „Optionen“ wählen. Unten stehen dann die „Internet-Kopfzeilen“.

Im Folgenden beispielhafte Header aus einer Mail:

Return-Path: < mail@dummy.tld >
Delivered-To: GMX delivery to kontakt@2FPromoting.com
Received: (qmail 755 invoked by uid 65534); 18 Feb 2004 09:52:20 -0000
Received: from sub.name.tld (EHLO sub.name.tld) (x.x.x.x)
by mx0.gmx.net (mx001) with SMTP; 18 Feb 2004 10:52:20 +0100
Received: from master (p508C8xxx.dip0.t-ipconnect.de [80.140.135.xxx])
by post.webmailer.de (8.12.10/8.12.10) with SMTP id i1I9qKFF022929
for ; Wed, 18 Feb 2004 10:52:20 +0100 (MET)
From: „Name“ < name@domain.tld >
To: „Jens Ferner“ < kontakt@2fpromoting.com >
Subject: Betreff
Date: Wed, 18 Feb 2004 10:52:21 +0100
Message-ID:
MIME-Version: 1.0
Content-Type: text/plain;
charset=“iso-8859-1″
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
In-Reply-To: < 1105081250.20040218083222@2fpromoting.com>
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Importance: Normal
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)

Das ganze mag ein wenig erschrecken, aber vieles erklärt sich schon von selbst. Die Daten, die jedem
begegnen in seinem Mail Programm sind diese:

Return-Path: < mail@dummy.tld >
From: „Name“ < name@domain.tld >
To: „Jens Ferner“ < kontakt@2fpromoting.com >
Subject: Betreff
Date: Wed, 18 Feb 2004 10:52:21 +0100
(c) by ‚http://www.2f-cms.com‘
URL : http://www.2f-cms.com
_VKP_PDF_IMPRESSUM2
2008-05-24 06:54
>
Subject: Betreff
Date: Wed, 18 Feb 2004 10:52:21 +0100

Hier steht nur, wer der Absender der Mail ist, an wen diese ging und welchen Betreff die Mail hatte. Das
„From“ ist dabei nicht geprüft! Hier steht nur, was der Absender in seinem Email Programm als
Absenderadresse eingetragen hat – und das ist vollkommen frei. Dieses Feld wird zudem im eigenen Email
Programm als Absender eingetragen, was dann dazu führt, dass der Empfänger glaubt, dies wäre der
wirkliche Mail Absender. Auskunft geben aber nur die folgenden Zeilen:

Received: from sub.name.tld (EHLO sub.name.tld) (x.x.x.x)
by mx0.gmx.net (mx001) with SMTP; 18 Feb 2004 10:52:20 +0100
Received: from master (p508C8xxx.dip0.t-ipconnect.de [80.140.135.xxx])
by post.webmailer.de (8.12.10/8.12.10) with SMTP id i1I9qKFF022929
for ; Wed, 18 Feb 2004 10:52:20 +0100 (MET)

Die Received Zeilen geben wirklich Auskunft darüber, woher die Mail kommt. Angegeben wird hier immer,
über welche Server die Email lief. Dabei ist von oben nach unten zu lesen. So hieß der versendende Rechner am Anfang der Kette „master“ und hatte die IP 80.140.135.xxx. Unten sieht man dann wie es über einen weiteren Server lief. Nur hier lässt sich feststellen, woher die Mail wirklich kommt! Alles andere können Fake-Werte sein. Zu beachten dabei: Auch hier können Einträge gefälscht werden, nur wenn der Abholende Server die IP des Liefernden erfasst und mitliefert hat man Anhaltspunkte.

Man beachte dabei, dass die angezeigten Domainnamen nicht mit den IPs übereinstimmen müssen, im Regelfall sind bei Spammern die angezeigten Domainnamen sogar falsch. Daher muss man immer prüfen, ob die IP mit den Domainnamen übereinstimmt.

Alles andere sind rein informative Daten, etwa das MIME 1.0 genutzt wird oder die Mail die Priorität „X-Priority: 3 (Normal)“, also „normal“ hat

2 Gedanken zu „Mail-Spam und Mail-Header“

  1. >Die Received Zeilen geben wirklich >Auskunft darüber, woher die Mail kommt. >Angegeben wird hier immer,
    >über welche Server die Email lief. >Dabei ist von oben nach unten zu lesen

    KORREKTUR: Received ist von UNTEN nach OBEN zu lesen. Jeder beteiligte Mailserver schreibt seinen Eintrag an den Anfang der Datei..

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *