Aw: Re: trex/5.7.1

From: <KeinePostSenden_at_web.de>
Date: Thu, 11 Aug 2016 08:37:13 +0200

Moin Guido und vielen Dank für die schnelle Antwort!

Ich benutze selten Webmail, da war mir die Voreinstellung HTML durchgerutscht.

Es ging mir konkret um die (ggf. auch falsche) Angabe des MTA.

trex/5.5.4 oder auch trex/5.7.1

Ich habe "trex" vorher noch nicht in mail headern wahrgenommen und finde dazu auch keine Software.

Hat jemand "trex" schon mal gesehen?

Danke und Gruß
Tim
 

> Gesendet: Mittwoch, 10. August 2016 um 20:57 Uhr
> Von: "Guido Ackermann" <ga_at_phantomg.de>
> An: linux-stammtisch_at_lists.infodrom.org
> Betreff: Re: trex/5.7.1
>
> On Wed, Aug 10, 2016 at 08:26:05PM +0200, KeinePostSenden_at_web.de wrote:
> > <html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>Moin,</div>
> >
> Eigentlich mag ich keine HTML-Mails. Aber ich antworte trotzdem.
>
> > <div>ich bin auf der Suche nach der Ursache eines E-Mail "Problems" (wo wurde die Mail manipuliert). Ich stoße bei der Analyse des Headers auf folgenden Eintrag (nicht über die 9en wundern; hier habe ich anonymisiert):</div>
>
> Eine Email kann nicht "manipuliert" werden. Sie kann nur auf dem Briefumschlag eine andere Anrede haben als auf dem Papier im Umschlag.
> Und der Absender einer Email kann frei gewählt werden. Genau wie bei der Briefpost. Ein Email-Header wird von den am Transport beteiligten
> Mailservern (MTA = Mail Transfer Agent = Postauto, MDA = Mail Delivery Agent = Briefträger) erstellt. Und damit kann nur der Teil des
> Mailheaders verändert werden bei dem ich die Kontrolle über den Mailserver habe. Alles übrige (Postamt bei der Briefpost) kann nicht mehr
> vom Absender verändert werden.
>
> > <div>Received: from [999.99.99.999] ([UNAVAILABLE]. [999.99.99.99]) (using TLSv1.2<br/>
> >  with cipher AES256-GCM-SHA384) by 0.0.0.0:465 <strong>(trex/5.5.4)</strong>; Thu, 14 Jul 2016<br/>
> >  14:42:03 -0400<br/>
>
> Ein Mailheader-Eintrag wie der oben angegebene ist also nicht Bestandteil des normalen Mailtransportes weil eine
> Empfänger-IPadresse "0.0.0.0" nicht im Internet geroutet wird. Daher kann auch kein Mailserver an dieser Adresse eine
> Email empfangen. Ein weit verbreiteter Irrtum beim Lesen eines Mailheaders ist die korrekte Beurteilung von "Received from:" und "by:".
> "Received from:" heisst das dieser Server (Ip-Adresse) die Mail gesendet hat. Und "by:" bezeichnet den empfangenden Mailserver.
>
> Die Kunst beim Lesen eines Headers ist es herauszufinden wo der erste Mailserver-Eintrag ist der nicht durch den Absender erstellt wurde.
> Die dort angegebene Ip-Adresse unter "Received from:" ist die tatsächliche Quelle der Email. In der Reihenfolge steht im Header der Empänger (letzter Mailserver der bearbeitet hat) immer oben. Es hilft also bei der Analyse zu wissen wo die Mails normalerweise langlaufen.
>
> Der Rest der Headerzeile bezeichnet lediglich welcher Art die Verbindung gewesen sein soll. In diesem Fall TLS-Verschlüsselt mit AES256-GCM-SHA384. Aber da der Eintrag eh unrichtig ist spielt das genausowenig eine Rolle wie Datum und Uhrzeit.
>
> > <div>Kann jemand was mit "trex" anfangen? Das sollte doch der MTA sein, oder? Eine einfache Google Suche führt zu haufenweise Treffern im Spam-Kontext, irgendeine Software habe ich bisher nicht finden können.</div>
>
> Ich wüsste nicht warum das Suchen nach einer IP-Adresse irgendeinen Nutzen bringen sollte. Solange man Weg der Mail nicht kontrollieren kann
> kann man ohnhin nichts dagegen unternehmen. In ganz seltenen Fällen kann es helfen an den Abuse-Account des Providers dem die IP-Adresse des
> ersten "echten" Hopps gehört eine Nachricht zukommen zu lassen. Aber erfahrungsgemäß füührt das zu keinem Ergebnis.
>
> Gruß
> Guido
>
> --
> Die Gans ist das dümmste Thier: denn sie frißt nur so lange, als sie etwas findet.
> -- Johann Georg August Galletti
>
Received on Thu Aug 11 2016 - 08:37:13 CEST

This archive was generated by hypermail 2.2.0 : Thu Aug 11 2016 - 08:37:42 CEST