Kurz-Tutorial zum Herausfinden, wer eine E-Mail wirklich versandt hat
Oft bekommt man Spam oder E-Mails und möchte vielleicht wissen, von welchem Server die wirklich versandt wurden. Hierzu braucht man sich nur die Header der E-Mail anzusehen. Im Posteingang von Outlook einfach rechts-klicken auf die Zeile der betroffenen Mail, dann „Optionen“ wählen. Unten sieht man dann in einer Box „Internetkopfzeilen“, die einem alles verraten, was man sonst nicht sieht. Am interessantesten sind die „Received:“ Zeilen. Ich habe hier die einzelnen Computer über die die E-Mail gelaufen ist, fett gemacht. Es steht von welchem Computer empfangen wurde hinter „from“ und welcher Computer empfangen hat hinter „by“.
Received: from smtp02.world4you.com [80.243.163.20] by mailhost1.ffm1.inetserver.de with ESMTP
(SMTPD32-6.06) id A03215100DE; Mon, 13 Dec 2004 09:17:54 +0100
Received: from exim (helo=smtp02.world4you.com)
by smtp02.world4you.com with local-smtp (Exim 4.41)
id 1CdlJf-0006wh-9Z
for oliver@drobnik.com; Mon, 13 Dec 2004 09:12:25 +0100
Received: from [82.192.7.163] (helo=mc-lasersysteme.com)
by smtp02.world4you.com with asmtp (Exim 4.41)
id 1CdfYa-0002E0-2C; Mon, 13 Dec 2004 03:05:28 +0100
Received: from mail pickup service by mc-lasersysteme.com with Microsoft SMTPSVC;
Mon, 13 Dec 2004 03:03:02 +0100
Du siehst, meistens geht eine E-Mail über mehrere Server. Neue Mail-Server werden immer oben dazugetan.
Diese Beispielmail ist also so gefahren:
- mc-lasersysteme.com
- 82.192.7.163
- smtp02.world4you.com
- smtp02.world4you.com (an sich selbst weitergeschickt mit dem Programm exim)
- mailhost1.ffm1.inetserver.de (mein E-Mail Provider)
Um den tatsächlichen Empfänger zu entlarven verwendest Du whois. Jede Internet-Adresse hat einen Besitzer und den kann man mit einer einfachen Abfrage herausfinden. je nachdem die Adresse in USA (www.arin.net), Lateinamerika (www.lacnic.net), Europa (www.ripe.net) oder Asien/Pacific (www.apnic.net) liegt. Wenn man nicht sicher ist, wo, dann einfach probieren. Bei obigem Fall habe ich einfach geraten, dass Europa zuständig ist und dort die Abfrage für Adresse 82.192.7.163 gemacht:
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
inetnum: 82.192.7.0 - 82.192.7.255
netname: NET-WASMEIR-001
descr: Firma Franz Wasmeir, Raab 82, 4760 Raab, Austria
country: AT
admin-c: JM3683-RIPE
tech-c: JM3683-RIPE
notify: noc@jm-data.at
status: ASSIGNED PA
mnt-by: JM-DATA-MNT
changed: noc@jm-data.at 20041116
source: RIPE
route: 82.192.0.0/19
descr: JM-DATA-AT, Provider Local Registry Block
origin: AS25447
remarks: aggregated provider block
mnt-by: JM-DATA-MNT
changed: noc@jm-data.at 20030922
source: RIPE
person: Juergen Meixner
address: JM-DATA, Inh. Juergen Meixner
address: Lederergasse 34
address: A-4020 Linz/Donau
address: Austria
phone: +43 70 305080 0
fax-no: +43 70 305080 20
e-mail: hostmaster@jm-data.at
nic-hdl: JM3683-RIPE
mnt-by: jm-data-mnt
changed: noc@jm-data.at 20030619
source: RIPE
Da sieht man dann, dass diese IP Adresse in einem Block von Adressen liegt, der der Firma Franz Wasmeir gehört. Vermutlich ist mc-lasersysteme.com der ursprüngliche Sender ein Kunde dieses kleinen Internet-Providers dessen whois Eintrag wir jetzt abgefragt haben. Wenn man die Adressen von der Homepage mit der im whois Eintrag vergleicht dann wird einem klar warum: Die sind beinahe Nachbarn in einem kleinen Dorf namens Raab. Der Provider wohnt auf Hauptstrasse Nummer 82, der Kunde auf Nummer 145.
Zum Abschluß noch ein grundlegendes Werkzeug. Um herauszufinden, welche IP Adresse einer Web-Adresse zugeordnet ist, braucht man nur in der Kommandozeile den Befehl „nslookup mc-lasersysteme.com“ absetzten. Als Antwort bekommt man dann die IP Adresse, die aus 4 Zahlen getrennt durch Punkte besteht. Und diese kann man dann wieder in whois abfragen.
Wenn Du mal wissen willst, wem eine gewisse Domain gehört, dafür gibt es auch ein whois, allerdings ist dieses separat von den oben genannten. Zum Beispiel ist hier uwhois.com sehr nützlich.
Wenn Dich regelmäßig ein bestimmter Absender per
Mail belästigt ist es am einfachsten dessen Spams an abuse@seinedomain.kürzel weiterzuleiten. Zum Beispiel, wenn man unmoralische Angebote mit 0930-er Telefonnummern über AON gesendet bekommt, dann freut sich abuse@aon.at, wenn man das ihnen verrät.