Email-Spoofing oder Server Einbruch ?!?!?!?

Frank Matthieß Frank.Matthiess at Microdata-POS.de
Tue Jul 9 17:44:02 CEST 2002 

Dienstag den  9.07.2002 um 17:15 CEST  +0200, schrieb Stefan <Hegi> Hegner:
> Tach zusammen,
> 
> bin ja gespannt, ob bei diesen Temperaturen wirklich jemand Mails liest 
> ... und dann auch noch beantwortet?!?!
> 
> Bekam heute diese nette Message (s.u.) wo sich jemand über angeblichen 
> Spam von meiner Adresse beschwert. In meiner /var/log/mail steht 
> allerdings nichts, was darauf deutet, daß die urspr. Mail von meinem 
> Server abging.
> 
> - Kann es sein, daß trotzdem wer bei mir eingebrochen ist? - Wie gehe ich 
> diesbezügl. am besten vor?

Ein Fake ist wahrscheinlicher. 

> 
> - Ich vermute, irgendjemand hat im Netzt meine Emailadresse aufgegabelt 
> und sie dann einfach als Absender verwendet ... Und wenn ich das richtig 
> sehe, ist man dagegen wohl ziemlich machtlos, oder?

Nicht ganz:

In jeder Mail ist anhand der "Received:" Zeilen der Weg dieser
Nachricht zu verfolgen. Dabei ist die erste Zeile die jüngste.

In diesem Fall, also mit Deiner Mail hier, würde ich mit den Daten aus
der zweitletzten Received Zeile bei Deinem Provider aufschlagen:

Received: from imail.microdata-pos.de [192.168.100.200]
        by localhost with POP3 (fetchmail-5.9.11)      
        for fm at localhost (single-drop); Tue, 09 Jul 2002 17:17:17 +0200 (CEST)
Received: from dvmwest.gt.owl.de (dvmwest.gt.owl.de [62.52.24.140])
                                  ^^^^^^^^^^^ip adresse ^^^^^^^^^^^
        by imail.microdata-pos.de (Postfix) with ESMTP id 44CEB77D05
        for <Frank.Matthiess at microdata-pos.de>; Tue,  9 Jul 2002 17:17:11 +0200 (CEST)
Received: from dvmwest.gt.owl.de (localhost [127.0.0.1])
        by dvmwest.gt.owl.de (Postfix) with ESMTP       
        id 76F7A1357D; Tue,  9 Jul 2002 17:17:06 +0200 (CEST)
Delivered-To: linux at lug-owl.de
Received: from sally.dts-online.net (sally.dts-online.net [212.62.68.35])
        by dvmwest.gt.owl.de (Postfix) with ESMTP id 98A1212FC7          
        for <linux at lug-owl.de>; Tue,  9 Jul 2002 17:16:17 +0200 (CEST)
Received: from hegi.bogus.heginet.local (dsl83-245.teleos-web.de [212.62.83.245])
                                         ^^^^^^ ip adresse ^^^^^^^^^^^^^^^^^^^^^^
        by sally.dts-online.net (Postfix) with ESMTP id 2BEB5DEF46A              
        for <linux at lug-owl.de>; Tue,  9 Jul 2002 17:16:12 +0200 (CEST)
                                ^^^^^^^^^^ datum/uhrzeit ^^^^^^^^^^^^
Received: (from hegi at localhost)
        by hegi.bogus.heginet.local (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) id g69FFrP28758
        for linux at lug-owl.de; Tue, 9 Jul 2002 17:15:53 +0200                             


Intressant sind die IP Adresse und die Uhrzeit.

Ip Adresse    : dsl83-245.teleos-web.de [212.62.83.245]
Datum/Uhrzeit : Tue,  9 Jul 2002 17:16:12 +0200 (CEST)

Die IP Adresse schon mit Namen aufgelößt, heißt Dein Provider ist
Teleos. Ansonstenhilft "whois".

Mit der IP und der Uhrzeit bist Du im Zweifel zu identifizieren.

Nun kann es aber sein, das jemand direkt auf den empfangenen
Mailserver eine Mail eingeschleußt hat. Dann gilt die Zeile in der der
besagte Mailserver die Nachricht entgegen genommen hat.

In o.g. Beispiel die zweite Zeile.

-- 
Frank Matthieß                                          fm at Microdata-pos.de

More information about the Linux mailing list