Woher…? Die Header…

Spam und Antispam Woher…? Die Header…

Die Frage, wo kommt der Spam her, ist zum einen recht trivial zu beantworten – und auch wieder nicht. Mitunter lassen sich Spammer auch ganz nett etwas einfallen, um den Anschein von Seriosität zu erwecken. Nun, meistens nicht. Dazu wären die bespammten Themen auch sichtlich ungeeignet…

Aber wie findet man heraus, woher die Mail tatsächlich kommt?
Hierzu muss man sich die Header der Mail genauer anschauen, vorzugsweise den Quelltext. Im Thunderbird z.B. über Ansicht -> Nachrichten-Quelltext (oder STRG-U).

Dabei bekommt man endlich die relevanten Daten zu Gesicht (ein wenig gekürzt):

Return-path: <dwqsyndicatem@qsyndicate.com>
Envelope-to: xxxx@alariel.de
Received: from apt-gist.volia.net ([77.123.51.158] helo=kzone-a5b6911ff)
	by alariel.de with esmtp (Exim)
	(envelope-from <dwqsyndicatem@qsyndicate.com>)
	id 1L3GGG-000000-NN
	for xxxx@alariel.de; Thu, 20 Nov 2008 13:04:13 +0100
Received: from [77.123.51.158] by qsyndicate.com; Thu, 20 Nov 2008 15:04:12 +0300
From: "Gordon Nicholas" <dwqsyndicatem@qsyndicate.com>
To: <xxxx@alariel.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0007_01C94B21.3F03FE00"
X-Invalid-HELO: HELO is no FQDN (contains no dot) (See RFC2821 4.1.1.1)
Subject: Potenzprobleme - ab heute nicht mehr

Eines sollte einem klar sein: Nahezu jede dieser Zeilen könnte gefälscht sein, aber schauen wir mal, was der Header uns zu sagen hat.

Return-path: <dwqsyndicatem@qsyndicate.com>

Ist hier ohne Belang, da ohnehin entweder gefällscht oder nur zu Verifizierungszwecken da. In diesem Header steht gewöhnlicherweise die Adresse, an die die Antwort gehen soll – die kan durchaus eine andere sein als die „From“ (also Von)-Adresse.

Envelope-to: xxxx@alariel.de

Hier steht die tatsächliche Adresse. In der Regel – denn mitunter kann es sein, dass man selbst gar nicht in der Adressliste auftaucht. Oder es steht ohnehin nur Undisclosed-Recipients da (o.ä.). Des Rätsels Lösung lautet „BCC“ – Blind Carbon Copy. Adressen im BCC werden normalerweise nicht aufgeführt.

Received: from apt-gist.volia.net ([77.123.51.158] helo=kzone-a5b6911ff)
	by alariel.de with esmtp (Exim)
	(envelope-from <dwqsyndicatem@qsyndicate.com>)
	id 1L3GGG-000000-NN
	for xxxx@alariel.de; Thu, 20 Nov 2008 13:04:13 +0100
Received: from [77.123.51.158] by qsyndicate.com; Thu, 20 Nov 2008 15:04:12 +0300

A-Hah! In dem Fall hatten wir Glück, es gibt nur zwei Received-Header. Der oberste wurde durch meinen Mailserver erstellt, daher kann ich diesem zumindest vertrauen. Allen davor (im Quelltext darunter) ist keinesfalls Vertrauen zu schenken, da selbige beliebig schon vom Spammer hinzugefügt werden können, wie hier wohl geschehen: Die IP-Adresse ist gleich, aber eingeliefert worden soll diese Mail von dem Server gsyndicate.com. Nun hat aber mein Server festgestellt, dass die IP zu einem anderen DNS-Eintrag gehört. Also, definitiv gefälscht.

Die Mail stammt von der IP 77.123.51.158 und selbige wird im DNS zu apt-gist.volia.net aufgelöst. Aber: Dieser Host behauptet, er sei „kzone-a5b6911ff“ – was schonmal nicht der Wahrheit entspricht und nebenbei auch nicht der Norm – siehe RFC 2821.
Nun wäre es denkbar, dass dies ein kaputter Mailserver ist. Seriös aber sicher nicht, da würde man ein korrektes HELO erwarten (wobei der Host hier sich eben als apt-gist.volia.net hätte vorstellen müssen).

Ein simples Whois führt uns zu „Volia ISP Network Coordination Center“ in der Ukraine. Und da dies ein ISP ist, dürfte es sich um einen Kundenrechner handeln. Ob verseucht oder absichtlich sei dahingestellt.

From: "Gordon Nicholas" <dwqsyndicatem@qsyndicate.com>
To: <xxxx@alariel.de>

Diese Zeilen wiederum sind frei definierbar durch das versendende Mailprogramm. Nicht verwunderlich, dass mitunter schonmal Mails auflaufen, die scheinbar von einem selbst stammen…

MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0007_01C94B21.3F03FE00"

Das hier bedeutet, es handelt sich um eine HTML-Mail.Somit mit ziemlicher Sicherheit Spam. Seriöse Firmen (von unrühmlichen Ausnahmen, die wohl von bekloppten Marketingabteilungen beraten wurden) versenden im Nur-Text-Format. HTML (in Mails) bietet ausser Nachteilen nichts, was man benötigen würde.

X-Invalid-HELO: HELO is no FQDN (contains no dot) (See RFC2821 4.1.1.1)

An dieser Stelle macht mich mein Server nochmal darauf aufmerksam, dass mit dieser Mail etwas nicht stimmen kann – siehe oben.

Subject: Potenzprobleme - ab heute nicht mehr

Und hier letztlich der Betreff. Hierrauf folgt i.d.R. der Mailtext, ggf. nochmal mit Markierungen des MIME-Parts, falls es eine HTML-Mail ist.

Nun weiss ich also, die Mail kommt aus der Ukraine. Der Erfolg einer Beschwerde darf getrost bezweifelt werden, so dass nur die Filterung bleibt – diese Mail wurde ohnehin schon so weggefiltert, wegen HTML-Anteil, falschem HELO, und letzlich dem Inhalt. Interessant für einen persönlich wird es dann, wenn eine Mail durch die Filter schlüpft…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

This site uses Akismet to reduce spam. Learn how your comment data is processed.