header daten, echt?

itsmajor · 25.01.2006, 21:01

Code:

From: sam001@aon.at
To: mailserver7506@debitel.net
Date: Tue, 06 Dec 2005 09:07:23 UTC
Subject: hi, ive a new mail address
Importance: Normal
Message-ID: <fca57a378dd19d232@aon.at>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=2a5ecde6.c349d64f"
Content-Transfer-Encoding: 7bit
This is a multi-part message in MIME format.
X-Midray-ID: <mail4.22258.1133868339.0>

bin auf dieses forum gestoßen da ich im google nach header informationen gesucht habe und hier auch fündig geworden bin.
zu meiner geschichte: ich bin bei chello und wurde for ca einanhalb monaten von chello gesperrt für ausgehende mails über ihren server (mgate.chello.at) ich habe diese header von chello erhalten auf die hin ich blockiert wurde. einzig richtig auf dieser header ist meine ip adresse (der grund wieso ich blockiert wurde)

nun meine frage an diejenigen die sich gut auskennen: is diese mail ein fake mit meiner ip adresse oder wurde diese mail tatsächlich von meinem rechner versickt?

ich konnte nichts auf meinem rechner finden drum habe ich die header angefordert. aus dem ersten recived geht ja fast nix hervor außer meiner ip adresse, drum glaub ich dass es sich um ein fake handelt.

kann mir dass wer bestätigen oder besteht die möglichkeit dass es tatsächlich von mir verschickt wurde?

im übrigen lässt sich mail4.dnsg.net nicht tracen oder pingen, zumindest existierts. im whois hab ich mal ne mail herausgefunden (zu mail4.dnsg.net) und jetzt auch nachgefragt. *warte auf anwort*

danke im voraus
major

abcxyz · 26.01.2006, 22:54

verwendest du antiviren/würmer/trojaner software am aktuellsten stand?

hast du grund zur annahme, dass diese header daten ein fake seien?

bin ein schlechter detektiv, aber sieht danach aus, dass ein wurm über den aon account e-mails von deinem rechner aus verschickt hat.

MfG.

m@rio · 27.01.2006, 08:21

IPs in einem Protokoll wie SMTP zu faken ist rein vom Prinzip her schon sehr schwierig. Da bei einer SMTP Session Daten in beide Richtungen übertragen werden (im darunter liegenden TCP sowieso). Mit einer gefakten IP würden daher schon allein diese Antworten vom Server nie ankommen.

Ich würd sagen, daß es vielleicht theoretisch möglich ist, aber viel zu viel Aufwand verursacht, als das so ein Vorgehen für einen Spammer von Interesse wäre. Daher kannst du mit 99%iger Sicherheit davon ausgehen, daß die Mail wirklich von dir stammt.

itsmajor · 27.01.2006, 18:35

danke für die antworten. in der zwischenzeit hab ich noch mehr nachforschungen betrieben und werde es auch hier bekanntgeben. für mich ist diese angelegenheit geklärt.

vorweg die mailadresse die im header zu finden ist ist nicht meine. ich wurde von chello blockiert aufgrund der ip adresse die im header auftaucht und seit langem die meinige ist. und aon hatte ich auch nie im leben.

zu meinem schutz: ich habe norten antivirus (immer uptodate), sygate firewall, process guard (der melden jeden start eines neuen prozesses oder unerlaubter terminiation usw.)

als erstes habe ich versucht diesen ersten smtp server zu finden und herauszufinden ob dieser tatsächlich eine(oder mehr) mail(s) von mir erhalten hat. durch telnet auf den smtp habe ich auch herausgefunden dass er nicht geschützt ist (und ich glaub mit absicht...) sprich es kann jeder von diesem server mails wegschicken ohne sich authentifizieren zu müssen. allerdings akzeptiert der server nicht alle adressen für den empfang, sondern nur zb die mit @debitel.net.

// nachfolgender absatz ist mehr vermutung als wissen

die möglichkeit meine ip adresse in received rein zu fälschen besteht nur darin dass ich von einem smtp server bereits eine dort geschriebene mail an ein nächsten smtp server weiterleite. ich als smtpserver sage dem nächsten smtp server ich habe eine mail erhalten wobei ich sie aber selber geschrieben habe mit einer bereits gefakten received meldung. natürlich ginge des nicht mit einem telnet (oä programm bzw irgendein protokoll)
// man kann mich gern eines besseren belehren wer sich damit auskennt

als nächstes habe ich eine fake email von diesem smtp server versendet an eine sicherlich nicht existierende mail adresse mit meiner echten adresse als absender mit der absicht dass ich die benachrichtigung der unzustellbarkeit bekommen und somit eine echte header received zeile des servers bekomme. so geschehen kam dann die mail zurück und bestätigte mir dass es sehr sehr wahrscheinlich von meinem rechner aus versendet wurde. hier die mail (meine echte email rausgenommen)

Code:

Hi. This is the qmail-send program at mail4.dnsg.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<adsfsearfgesrg@debitel.net>:
Sorry, no mailbox here by that name. (#5.1.1)

--- Below this line is a copy of the message.

Return-Path: <meine.echte.adresse@chello.at>
Received: (qmail 935 invoked from network); 26 Jan 2006 22:07:29 +0100
Received: from unknown (HELO ) (213.229.63.51)
  by mail4.dnsg.net with SMTP; 26 Jan 2006 22:07:29 +0100
this is a test.
Message-ID: <20060126210729.29293.qmail@mail4.dnsg.net>

zu sehen dass die erste received zeile mit der ersten header übereinstimmt. somit hat dieser server wirklich von meinem pc (bzw. meinem netzwerk)aus die mail verschickt.

Lösung des Problems:
firewallregel hinzugefügt die port 25 generell sperrt und nur auf den smtp von chello zulässt. somit wird bei mir nie wieder eine mail über fremde smtpserver verschickt.

LouCypher · 27.01.2006, 20:03

würd mal mit einer anderen software zb. antivir nach viren scannen der norton bietet so gut wie keinen schutz.

Christoph · 27.01.2006, 20:22

Hallo itsmajor,
hier noch einige Viren-/Spyware-Progis
http://www.safer-networking.org/inde...nload-managers
http://www.lavasoft.de/german/support/download/
http://www.javacoolsoftware.com/
http://www.spywareinfo.com/~merijn/downloads.html

http://www.merijn.org/downloads.html
von da CW-Shredder testen

Stinger von McAfee
http://vil.nai.com/vil/stinger/

Bei HiJack This eine Logfileauswertung machen lassen!

itsmajor · 28.01.2006, 17:20

Zitat:

Original geschrieben von LouCypher
würd mal mit einer anderen software zb. antivir nach viren scannen der norton bietet so gut wie keinen schutz.

also dass ist wirklich ein schlechtes vorurteil! ich arbeite teilzeit bei einer kleinen edv support firma und installiere zu hauf norton mcafee und antivir.
und alle sind gleichwertig, norton vielleicht ein wenig anfälliger da alle virenschreiber sich auf den konzentrieren. (mir persönlich gefällt die handhabung von antivir nicht.)

zu christoph: adaware is natürlich pflicht auf allen rechnern

die andren die du nennst sind eher zu bestimmten problemen geeignet (cw shredder). und hijack is auch pflicht sobald etwas nicht vom pc weichen will

LouCypher · 29.01.2006, 12:23

Zitat:

Original geschrieben von itsmajor
also dass ist wirklich ein schlechtes vorurteil!

ich war der größte norton fan bis version 2004, hab bei jedem kunden entweder nav oder bei netzwerken die CE versionen installiert. Fazit: ALLE die NAV2004 installiert hatten inkl. mir selbst hatten trotz neuesten definitionen viren am pc, und mit ALLE meine ich dutzende user. Die CE versionen hingegen funktionieren schon, kosten allerdings mittlerweilen das 3-fache vom besseren etrust av von ca.

bestguess · 16.12.2006, 19:52

Meiner Meinung nach hast Du Dir eine der zahlreichen Varianten des W32.Sober-Virus eingefangen. Du kannst selbst einmal mittels einer Suchmaschine Informationen einholen. Als Suchwörter eignen sich "dnsg" und "qmail", wie in Deiner Problemnachricht enthalten. Du wirst zahlreiche Hinweise finden.

Was macht das Virus? Es verschickt aus Deinem PC Nachrichten an Adressen z. B. aus Deinem Adressbuch mit falschem Header.

Sowohl McAfee als auch Symantec (Norton) bieten Werkezeuge für die Entfernung des Virus an. Ich persönlich bevorzuge den "Stinger" von McAfee, weil dieser gleich Prüfungen auf andere bekannte Viren ausführt. Hier eine Adresse für ein Download:

http://www.zdnet.de/downloads/prg/q/z/de0DQZ-wc.html

Hoffe das hilft und viel Glück

miro17 · 16.12.2006, 20:00

Ich glaube, dass dein Rat nach fast einem Jahr etwas spät kommt.

25.01.2006, 21:01	#1
itsmajor Newbie Registriert seit: 25.01.2006 Beiträge: 4	header daten, echt? Code: Return-Path: <sam001@aon.at> Delivered-To: devnull@debitel.net Received: (qmail 22433 invoked from network); 6 Dec 2005 12:25:39 +0100 Received: from unknown (HELO qmevwhu.at) (62.178.61.202) by mail4.dnsg.net with SMTP; 6 Dec 2005 12:25:39 +0100 From: sam001@aon.at To: mailserver7506@debitel.net Date: Tue, 06 Dec 2005 09:07:23 UTC Subject: hi, ive a new mail address Importance: Normal X-Priority: 3 (Normal) Message-ID: <fca57a378dd19d232@aon.at> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="=2a5ecde6.c349d64f" Content-Transfer-Encoding: 7bit This is a multi-part message in MIME format. X-Midray-ID: <mail4.22258.1133868339.0> bin auf dieses forum gestoßen da ich im google nach header informationen gesucht habe und hier auch fündig geworden bin. zu meiner geschichte: ich bin bei chello und wurde for ca einanhalb monaten von chello gesperrt für ausgehende mails über ihren server (mgate.chello.at) ich habe diese header von chello erhalten auf die hin ich blockiert wurde. einzig richtig auf dieser header ist meine ip adresse (der grund wieso ich blockiert wurde) nun meine frage an diejenigen die sich gut auskennen: is diese mail ein fake mit meiner ip adresse oder wurde diese mail tatsächlich von meinem rechner versickt? ich konnte nichts auf meinem rechner finden drum habe ich die header angefordert. aus dem ersten recived geht ja fast nix hervor außer meiner ip adresse, drum glaub ich dass es sich um ein fake handelt. kann mir dass wer bestätigen oder besteht die möglichkeit dass es tatsächlich von mir verschickt wurde? im übrigen lässt sich mail4.dnsg.net nicht tracen oder pingen, zumindest existierts. im whois hab ich mal ne mail herausgefunden (zu mail4.dnsg.net) und jetzt auch nachgefragt. warte auf anwort danke im voraus major

26.01.2006, 22:54	#2
abcxyz Veteran Registriert seit: 18.04.2004 Beiträge: 372	verwendest du antiviren/würmer/trojaner software am aktuellsten stand? hast du grund zur annahme, dass diese header daten ein fake seien? bin ein schlechter detektiv, aber sieht danach aus, dass ein wurm über den aon account e-mails von deinem rechner aus verschickt hat. MfG. ____________________________________ Life is living ggg Lebt nicht das Leben, seid es!

27.01.2006, 08:21	#3
m@rio Master Registriert seit: 10.10.2002 Beiträge: 711	Re: header daten, echt? IPs in einem Protokoll wie SMTP zu faken ist rein vom Prinzip her schon sehr schwierig. Da bei einer SMTP Session Daten in beide Richtungen übertragen werden (im darunter liegenden TCP sowieso). Mit einer gefakten IP würden daher schon allein diese Antworten vom Server nie ankommen. Ich würd sagen, daß es vielleicht theoretisch möglich ist, aber viel zu viel Aufwand verursacht, als das so ein Vorgehen für einen Spammer von Interesse wäre. Daher kannst du mit 99%iger Sicherheit davon ausgehen, daß die Mail wirklich von dir stammt.

27.01.2006, 18:35	#4
itsmajor Newbie Registriert seit: 25.01.2006 Beiträge: 4	danke für die antworten. in der zwischenzeit hab ich noch mehr nachforschungen betrieben und werde es auch hier bekanntgeben. für mich ist diese angelegenheit geklärt. vorweg die mailadresse die im header zu finden ist ist nicht meine. ich wurde von chello blockiert aufgrund der ip adresse die im header auftaucht und seit langem die meinige ist. und aon hatte ich auch nie im leben. zu meinem schutz: ich habe norten antivirus (immer uptodate), sygate firewall, process guard (der melden jeden start eines neuen prozesses oder unerlaubter terminiation usw.) als erstes habe ich versucht diesen ersten smtp server zu finden und herauszufinden ob dieser tatsächlich eine(oder mehr) mail(s) von mir erhalten hat. durch telnet auf den smtp habe ich auch herausgefunden dass er nicht geschützt ist (und ich glaub mit absicht...) sprich es kann jeder von diesem server mails wegschicken ohne sich authentifizieren zu müssen. allerdings akzeptiert der server nicht alle adressen für den empfang, sondern nur zb die mit @debitel.net. // nachfolgender absatz ist mehr vermutung als wissen die möglichkeit meine ip adresse in received rein zu fälschen besteht nur darin dass ich von einem smtp server bereits eine dort geschriebene mail an ein nächsten smtp server weiterleite. ich als smtpserver sage dem nächsten smtp server ich habe eine mail erhalten wobei ich sie aber selber geschrieben habe mit einer bereits gefakten received meldung. natürlich ginge des nicht mit einem telnet (oä programm bzw irgendein protokoll) // man kann mich gern eines besseren belehren wer sich damit auskennt als nächstes habe ich eine fake email von diesem smtp server versendet an eine sicherlich nicht existierende mail adresse mit meiner echten adresse als absender mit der absicht dass ich die benachrichtigung der unzustellbarkeit bekommen und somit eine echte header received zeile des servers bekomme. so geschehen kam dann die mail zurück und bestätigte mir dass es sehr sehr wahrscheinlich von meinem rechner aus versendet wurde. hier die mail (meine echte email rausgenommen) Code: Hi. This is the qmail-send program at mail4.dnsg.net. I'm afraid I wasn't able to deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out. <adsfsearfgesrg@debitel.net>: Sorry, no mailbox here by that name. (#5.1.1) --- Below this line is a copy of the message. Return-Path: <meine.echte.adresse@chello.at> Received: (qmail 935 invoked from network); 26 Jan 2006 22:07:29 +0100 Received: from unknown (HELO ) (213.229.63.51) by mail4.dnsg.net with SMTP; 26 Jan 2006 22:07:29 +0100 this is a test. Message-ID: <20060126210729.29293.qmail@mail4.dnsg.net> zu sehen dass die erste received zeile mit der ersten header übereinstimmt. somit hat dieser server wirklich von meinem pc (bzw. meinem netzwerk)aus die mail verschickt. Lösung des Problems: firewallregel hinzugefügt die port 25 generell sperrt und nur auf den smtp von chello zulässt. somit wird bei mir nie wieder eine mail über fremde smtpserver verschickt.

27.01.2006, 20:22	#6
Christoph Mod, bin gerne da Registriert seit: 09.11.1999 Ort: W, NÖ Alter: 74 Beiträge: 13.646	Hallo itsmajor, hier noch einige Viren-/Spyware-Progis http://www.safer-networking.org/inde...nload-managers http://www.lavasoft.de/german/support/download/ http://www.javacoolsoftware.com/ http://www.spywareinfo.com/~merijn/downloads.html http://www.merijn.org/downloads.html von da CW-Shredder testen Stinger von McAfee http://vil.nai.com/vil/stinger/ Bei HiJack This eine Logfileauswertung machen lassen! ____________________________________ Liebe Grüße Christoph Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine)

27.01.2006, 20:03	#5
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	würd mal mit einer anderen software zb. antivir nach viren scannen der norton bietet so gut wie keinen schutz. ____________________________________ Greetings LouCypher

16.12.2006, 19:52	#9
bestguess Newbie Registriert seit: 11.12.2006 Beiträge: 2	Möglicherweise Virus Meiner Meinung nach hast Du Dir eine der zahlreichen Varianten des W32.Sober-Virus eingefangen. Du kannst selbst einmal mittels einer Suchmaschine Informationen einholen. Als Suchwörter eignen sich "dnsg" und "qmail", wie in Deiner Problemnachricht enthalten. Du wirst zahlreiche Hinweise finden. Was macht das Virus? Es verschickt aus Deinem PC Nachrichten an Adressen z. B. aus Deinem Adressbuch mit falschem Header. Sowohl McAfee als auch Symantec (Norton) bieten Werkezeuge für die Entfernung des Virus an. Ich persönlich bevorzuge den "Stinger" von McAfee, weil dieser gleich Prüfungen auf andere bekannte Viren ausführt. Hier eine Adresse für ein Download: http://www.zdnet.de/downloads/prg/q/z/de0DQZ-wc.html Hoffe das hilft und viel Glück

16.12.2006, 20:00	#10
miro17 Veteran Registriert seit: 31.03.2005 Alter: 47 Beiträge: 381	Ich glaube, dass dein Rat nach fast einem Jahr etwas spät kommt. ____________________________________ Gruss Miro

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)