Mailheaderanalyse....
 

Ich bräuchte ein paar Seiten die zeigen wie man den Mailheader "lesen" kann.

Mein Vater hat in letzter Zeit einige dubiose Mails bekommen, wo auch immer ein netter Virus drinnen war. (W32.Klez...)
Jetzt will ich die header analysieren um darauf zu schließen was los ist.

Hier ist ein Header von einen dieser mails
Return-Path: <zinapa@mail.ru>
X-Flags: 0000
Delivered-To: GMX delivery to Empfängeradresse
Received: (qmail 11823 invoked by uid 0); 31 May 2002 18:07:26 -0000
Received: from mx1.mail.ru (194.67.57.11)
by mx0.gmx.net (mx027-rz3) with SMTP; 31 May 2002 18:07:26 -0000
Received: from [217.76.161.7] (helo=Wrgeyjyw)
by mx1.mail.ru with smtp (Exim SMTP.1)
id 17Dqnj-000Dwh-00
for Empfängeradresse; Fri, 31 May 2002 22:07:00 +0400
From: steuerbuero.ofenboeck <steuerbuero.ofenboeck@24on.cc>
To: Empfängeradresse
Subject: Spice girls' vocal concert
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=Uq087w9WM98
Message-Id: <E17Dqnj-000Dwh-00@mx1.mail.ru>
Date: Fri, 31 May 2002 22:07:00 +0400
X-Modified-Forwards: 2L.Remote address meine Adresse, 3L.Remote address 2 Adresse von mir

Ich hab nur "unsere" Adressen durch die Texte in kursiv ersetzt. Was mich wundert, und vor allem interessiert: was das X-Modified-Forwards sind weil dort 2 Adressen von mir stehen, die ich auch wirklich verwende.

Was ich auch komisch finde ist, dass alle komischen mails die mein Vater erhalten hat, immer von der gleichen IP Adresse kommen (217.76.161.7)

Vielleicht könnts mir da ja weiterhelfen.

PS: bei Ripe hab ich schon geschaut, die Domain 24on.cc gibts net.
edit: bei ripe gibts es sie nicht, weiß wer wo .cc Domains gelistet sind, so ähnlich wie halt ripe mit whois funktioniert?

Nach einiger Recherche im Internetz, wie so ein Mail-header ausschaut glaube ich des Rätsels Lösung gefunden zu haben, sodass es eigentlich keine wirkliche Lösung gibt.

Weil mir kommt vor, dass der Virus, der sich auf irgendeinem Rechner befindet und sich selber weiter verschickt so ziemlich alles im Header Faked was lokal noch möglich ist, bevor die Mail rausgeht.
Damit meine ich, dass er einen anderen Absender einträgt, die IP Adresse verändert von wo der Virus kommt, aus dem Header löscht, dass er sich über Outlook verbreitet usw.

Falls jemand eine andere Lösung dafür hat, nur her damit! ;)

also a paar infos über den virus die ich halt mal so mitbekommen hab...

der rechner durchsucht den befallenen rechner nach allen email adressen die er finden, verschickt über einen eigenen mailserver die emails und trägt in alle felder die man faken kann irgendwelche sachen ein....
zum rückverfolgen abslut blöd.... am besten einfach einen virenscanner installiern der das alles abfängt...

jo der findet eh alles ;)

Der NAV is jo in der Hinisicht eh supa. Sonst würd ich das ganze ja gar net so gut wissen.

Ich hab eh schon aufgehört, das ganze zurück zu verfolgen, weil bringen tuts nix. Und dass er die Adressen aus allen möglichen Adressbüchern sucht hab ich eh auch schon auf www.sarc.com gelesen.

i hab die meisten infos aus der arbeit vom mailserver virenscanner.... i krieg jedesmal a mail ins admin postfach wenn a virus abgefangen wird... inklusive link auf die nai seite zur beschreibung des virus... und das können mitunter schon sehr viele pro tag sein, da denkt man gar nimma ans rückverfolgen, sondern hauptsache is: abgefangen worden isser, also passts... :)

.cc ist übrigens das länderkürzel von cocos islands... soweit man da von länderkürzel reden kann ;-)

lg
andi

www.24on.cc ist ein Business-Portal, die domain hat zwei Nameserver, einen Mailexchanger, das ganze schaut doch recht offiziell aus :)
Der IP-Bereich gehört einer European Telecom International AG in Wien.

Der Virus kann viel faken, aber nicht die "received from xxxxxxxxx by xxxxxx" Einträge weil die die Mailserver machen...

Leider geben die nicht allzuviel her, eine IP die laut RIPE einem Telemarketingservice in Wien gehört, ein Mailserver in Russland der Mails von dieser IP relayed und dann is eh schon GMX....

Naja, wegen so ner kleinigkeit lohnt sichs eh nicht sich irgendwo zu beschweren...

mfg
Clystron