IP Adresse

Hallo zusammen,

ich bin Yve und ganz neu hier im PC-Welt Forum :-) Darum erst mal herzliche Grüße an euch alle
Ich hätte mal eine Frage zu IP Adressen in E-mails. Wenn ich eine E-mail über z.B. web.de verschicke oder z.B. von einer web.de Mail Adresse erhalte, kann ich da dann die IP Adresse ersehen im E-mail Kopf? Oder ist es bei E-mail Anbietern dieser Art so das man die ursprüngliche IP Adresse nicht mehr nachvollziehen kann????
Ich bin mit diesen Dingen leider noch nicht so bewandert, aber vielleicht könnt ihr mir hier im Forum ja auf die Sprünge helfen :-)
Danke schon mal für die Infos.

LG
Yve

 

Lesestoff -> http://th-h.de/faq/headerfaq.php

Konkret zur Frage: ja, die IP des ursprünglich ausliefernden Mailservers/Mailclients steht im Header und nein, eine eindeutige Zuordnung zum tatsächlichen Versender ist ohne weitere Datenquellen (Provider, E-Mail-Anbieter) nicht zuverlässig möglich.

 

vielleicht sollte man da noch dazusagen, dass der absender einige header zeilen problemlos fälschen und zusätzliche hinzufügen kann

 

...aber nicht die hier relevanten "Received:"-Header. Die fügen die Mailserver hinzu, welche die Mail transportieren. Darauf hat der Absender keinen Einfluss.

 

nö

man schickt einfach einen gut erfunden received header von vorn herein mit.
dann ist man halt nur ein zusätzlicher hop

 

...das fällt aber auf, da sich der erste externe Mailserver outet, in dem er die öffentliche IP des privaten einliefernden Netzes erfasst. Manipulieren könntest du nur die Einträge "davor" und damit fängst du nur die "Dummen".

 

am beispiel einer netten gewinnbenachrichtigung, die grade eben eingetrudelt ist. preisfrage: wo kommt das mail her

Code:

Received: from [200.58.114.45] (helo=peron.dattaweb.com)
	by 0.mbox9.freenet.de with esmtpa (ID exim) (Exim 4.72 #3)
	id 1PfVCu-0000zm-Ov
	for xxxxxxxxxxxxxx; Fri,  4 Feb 2011 19:49:17 +0100
Received: from ferozo by peron.dattaweb.com with local (Exim 4.71)
	(envelope-from <ferozo@peron.dattaweb.com>)
	id 1PfcuF-0000Rh-Mc; Fri, 4 Feb 2011 15:37:19 -0300
Received: from 41.206.12.11.vgccl.net (41.206.12.11.vgccl.net [41.206.12.11]) 
	by www.colectivoeducadores.org.ar (IMP) with HTTP 
	for <pe000031@localhost>; Fri, 4 Feb 2011 15:37:19 -0300

nigeria oder argentinien?

 

Südamerika....Brasilien.

Grobe Schätzung.............

 

Die beiden Einträge landen auf dem selben Server. Ich halte das schlicht für ein Serverscript, was die generierte Mail an einen SMTP auf dem selben Host weitergibt. Der Server gehört einem Hoster in Rosario AR.

 

so wie ich den header lese soll das mail folgenden weg gegangen sein:
in nigeria hat einer das mail via webmail an den server in argentinien abgeschickt. dort ist der webmailer (Internet Messaging Program) installiert, der es an den ebenfalls dort installierten mail transfer agent exim weitergegeben hat, der das ganze dann zu meinem mailserver weitergeleitet hat.

 

Das ist Spekulation, da der erste Eintrag im Einflussbereich des Spammers steht. Da kann nur der genannte Hoster Klarheit schaffen.

 

was haar genau das ist was ich in post #5 angemerkt habe...

 

...das ändert doch aber nichts daran, dass sich der erste "fremde" Mailserver zweifelsfrei ermitteln und nicht fälschen lässt - egal wie viel Müll noch vorneweg rangehangen wird. Der Inhaber dieses Servers ist dann Ausgangspunkt für weitere Ermittlungen. Nichts anderes steht in #2.

 

wenn man das so sieht: ack

 

dann heisst das also jetzt zusammengefasst...nein man kann es nicht wirklich zweifelsfrei überprüfen ob bei einem Anbieter wie web.de zwei Mailadessen von ein und dem selben Rechner verschickt wurden?!

 

...es kommt darauf an. DU als Empfänger der Nachricht kannst es nicht. Es braucht in dem Beispiel die Hilfe von web.de und die vom Provider (und allen in der Übertragung davor), der die Nachrichten bei web.de eingeliefert hat. Spielt einer in der Kette nicht mit, wird es schwierig bis unmöglich.