On Wed, Aug 10, 2016 at 08:26:05PM +0200, KeinePostSenden_at_web.de wrote:
> <html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>Moin,</div>
>
Eigentlich mag ich keine HTML-Mails. Aber ich antworte trotzdem.
> <div>ich bin auf der Suche nach der Ursache eines E-Mail "Problems" (wo wurde die Mail manipuliert). Ich stoße bei der Analyse des Headers auf folgenden Eintrag (nicht über die 9en wundern; hier habe ich anonymisiert):</div>
Eine Email kann nicht "manipuliert" werden. Sie kann nur auf dem Briefumschlag eine andere Anrede haben als auf dem Papier im Umschlag.
Und der Absender einer Email kann frei gewählt werden. Genau wie bei der Briefpost. Ein Email-Header wird von den am Transport beteiligten
Mailservern (MTA = Mail Transfer Agent = Postauto, MDA = Mail Delivery Agent = Briefträger) erstellt. Und damit kann nur der Teil des
Mailheaders verändert werden bei dem ich die Kontrolle über den Mailserver habe. Alles übrige (Postamt bei der Briefpost) kann nicht mehr
vom Absender verändert werden.
> <div>Received: from [999.99.99.999] ([UNAVAILABLE]. [999.99.99.99]) (using TLSv1.2<br/>
> with cipher AES256-GCM-SHA384) by 0.0.0.0:465 <strong>(trex/5.5.4)</strong>; Thu, 14 Jul 2016<br/>
> 14:42:03 -0400<br/>
Ein Mailheader-Eintrag wie der oben angegebene ist also nicht Bestandteil des normalen Mailtransportes weil eine
Empfänger-IPadresse "0.0.0.0" nicht im Internet geroutet wird. Daher kann auch kein Mailserver an dieser Adresse eine
Email empfangen. Ein weit verbreiteter Irrtum beim Lesen eines Mailheaders ist die korrekte Beurteilung von "Received from:" und "by:".
"Received from:" heisst das dieser Server (Ip-Adresse) die Mail gesendet hat. Und "by:" bezeichnet den empfangenden Mailserver.
Die Kunst beim Lesen eines Headers ist es herauszufinden wo der erste Mailserver-Eintrag ist der nicht durch den Absender erstellt wurde.
Die dort angegebene Ip-Adresse unter "Received from:" ist die tatsächliche Quelle der Email. In der Reihenfolge steht im Header der Empänger (letzter Mailserver der bearbeitet hat) immer oben. Es hilft also bei der Analyse zu wissen wo die Mails normalerweise langlaufen.
Der Rest der Headerzeile bezeichnet lediglich welcher Art die Verbindung gewesen sein soll. In diesem Fall TLS-Verschlüsselt mit AES256-GCM-SHA384. Aber da der Eintrag eh unrichtig ist spielt das genausowenig eine Rolle wie Datum und Uhrzeit.
> <div>Kann jemand was mit "trex" anfangen? Das sollte doch der MTA sein, oder? Eine einfache Google Suche führt zu haufenweise Treffern im Spam-Kontext, irgendeine Software habe ich bisher nicht finden können.</div>
Ich wüsste nicht warum das Suchen nach einer IP-Adresse irgendeinen Nutzen bringen sollte. Solange man Weg der Mail nicht kontrollieren kann
kann man ohnhin nichts dagegen unternehmen. In ganz seltenen Fällen kann es helfen an den Abuse-Account des Providers dem die IP-Adresse des
ersten "echten" Hopps gehört eine Nachricht zukommen zu lassen. Aber erfahrungsgemäß füührt das zu keinem Ergebnis.
Gruß
Guido
-- Die Gans ist das dümmste Thier: denn sie frißt nur so lange, als sie etwas findet. -- Johann Georg August Galletti
This archive was generated by hypermail 2.2.0 : Wed Aug 10 2016 - 20:58:31 CEST