Man kennt ja diese Form der Spam wo ein Mail erzeugt wird und einfach das InetFrom Feld mit einem Namen aus dem Adreßbuch umgeschossen wird.
Meist gibt es die Empfängeradressen aber nicht und wir haben den Effekt das der Mitarbeiter einen Zustellfehlerbericht bekommt.
Dieser ist dann natrlich überrascht da er die Mail a garnicht versand hat.
Wie kann ich beweisen das der Mitarbeiter wirklich nicht er Absender war ?
Diese Mail die er angeblich verschickt hat , taucht die dann in seinem Gesendet Ordner auf ? Nee oder ?
Hat hierzu irgendwer bissle mehr Infos wie solch ein Mail entsteht und wie ich beweisen kann das die Absenderbdresse gefälscht wird ?
SPAM im Namen eines Absenders aus Adreßbuch
- Noonien
- Erledigt
-
-
Na, dann lass dir mal die E-Mail schicken, ist ganz einfach zu beweisen.
Ordner mit gesendeten Objekten kann man ja löschen.
In der E-Mail wird IP Adresse sowie "eigentlich Senderadresse(nicht umbedingt)" gespeichert, wenn man die Mail mit einem Texteditor öffnet, sieht man das!
Damit kannst du das schon beweisen ;).
Auf den ersten Blick sieht natürlich die Mail orgnial aus, für User nicht zu unterscheiden.
Was man dagegen tun kann? Eigentlich nix, man kann sich alle möglichen Absender ausdenken, was natürlich strafbar sein kann.
Man kann nur benutzer davor warnen, ich hatte es mal das wer auf mit meinem Absender Viren verschickt hat. Habe die Benutzer der E-Mail Fächer gewarnt.
-
Sitz ich grad auf der Leitung ?
Wie öffne ich die Mail in einem Texteditor ?
-
Brauchst du nichtmal, über das Eigenschaftsfenster kommst du an die Infos ebenfalls ran.
Da gibt es für jedes Headerfeld ein entsprechendes Notes Feld -
indem du die Mail in ein ascii text exportierst ;).
Hm unter eigenschaften suchst dir nen wolf wo die ip steht :P!
Als Absender kann ja auch da die E-Mail-Adresse des users der die mail garnicht geschickt hat, stehen :S, aber ne IP lügt nicht ;)!
-
ok ich hab mal geschaut mit den eigenschaften vom dokument, müsste Return_Path sein:
Feldname: Return_Path
Datentyp: Textliste
Datenlänge: 50 Byte
Seq.-Num.: 1
Doppeleintrags-ID: 0
Feld-Flags: SUMMARY"<cgi-mailer-bounces-108685493@kundenserver.de>"
hab mir mal da was geschickt mit der adresse m@mickeysoftx.de lol!
den From stimmt nicht:
Feldname: From
Datentyp: Textliste
Datenlänge: 28 Byte
Seq.-Num.: 1
Doppeleintrags-ID: 0
Feld-Flags: SIGN SUMMARY READ/WRITE-ACCESS NAMES"dhsjd <m@mickeysoftx.de>"
-
Danks alle, habs gefunden
-
ad Entstehen:
Eine Mail lässt sich ganz leicht mit einem falschen Absender verschicken:Codetelnet mailserver 25EHLO RechnernameMAIL FROM: AbsendeadresseRCPT TO: EmpfängeradresseDATAFROM: AbsenderTO: EmpfängerSUBJECT: BetreffIhr Text.
ad Überprüfen:
Am einfachsten geht das im Notes-Client wenn man eine Mail offen hat über Anzeigen -> Seitenquelltext.
Dann bekommt man die Mail im Rohzustand (angenehmer zu lesen als über die Eigenschaften).
Aus den Routing-Informationen kann man schön sehen, ob die Mail von einem "Vertrauenswürdigen" Mailserver, als von dem vorgeblichen Absender oder von einem Spamrechner irgendwo auf einer Uni kommt.Code
Alles anzeigenReceived: from e32.co.us.ibm.com ([32.97.110.130]) by meinmailserver.example.com (Lotus Domino Release 6.5.4) with ESMTP id 2005070505561745-5104 ; Tue, 5 Jul 2005 05:56:17 +0200 Received: from westrelay02.boulder.ibm.com (westrelay02.boulder.ibm.com [9.17.195.11]) by e32.co.us.ibm.com (8.12.10/8.12.9) with ESMTP id j653poMp627092 for <vorname.nachname@example.com>; Mon, 4 Jul 2005 23:51:50 -0400 Received: from d03av04.boulder.ibm.com (d03av04.boulder.ibm.com [9.17.195.170]) by westrelay02.boulder.ibm.com (8.12.10/NCO/VER6.6) with ESMTP id j653pnBV313970 for <vorname.nachname@example.com>; Mon, 4 Jul 2005 21:51:50 -0600 Received: from d03av04.boulder.ibm.com (loopback [127.0.0.1]) by d03av04.boulder.ibm.com (8.12.11/8.13.3) with ESMTP id j653pnPv022683 for <vorname.nachname@example.com>; Mon, 4 Jul 2005 21:51:49 -0600 Received: from d03app112a (D03APP112.boulder.ibm.com [9.17.187.186]) by d03av04.boulder.ibm.com (8.12.11/8.12.11) with ESMTP id j653pnLK022650; Mon, 4 Jul 2005 21:51:49 -0600 Message-ID: <841676611.1120535509337.JavaMail.rrsteam@d03app112a> Date: Tue, 5 Jul 2005 03:00:19 +0000 (GMT) From: PartnerWorld - EMEA <ecommlr@us.ibm.com> Reply-To: PartnerWorld - EMEA <emeapw@uk.ibm.com> To: vorname.nachname@example.com Subject: PartnerWorld NewsFlash - New Operating Model for IBM in Europe, Middle East and Africa Mime-Version: 1.0 X-MIMETrack: Itemize by SMTP Server on SERVER01/EXAMPLE(Release 6.5.4|March 27, 2005) at 07/05/2005 05:56:17, Serialize by Notes Client on Vorname Nachname/EXAMPLE(Release 6.5.2|June 01, 2004) at 06.07.2005 13:16:33, Serialize complete at 06.07.2005 13:16:33
-
-
du sagtest ja nicht welches feld ;)!
und wenn du das falsche nachschaust ;), ich find die möglichkeit von bofh besser :D, wegen der ip ;). steht ja nicht in den dokumenten eigenschaften, bzw die ip hab ich da noch nicht gefunden.
-
-
hab ich doch garnicht behauptet :-o?!
Lies mal genau nach :-P!
Ich sagte lediglich dass ich bofhs methode besser finde als deine, oder das mit dem exportieren, was allerdings das selbe ist.
War aber nicht böse gemeint, nur um falsche gedanken oder sowas aufkommen zu lassen, bzw streit etc.!
Schönen tag noch, bin erstmal weg.
-
Ahjo über die Doc Eigenchafte, Received gehts am einfachsten.
Habs grad getestet und man sieht wirklich sehr shön von wo die Mail wirklich kam.
Was mich jetzt noch interessiert (auch wenn ichs net brauch heeh):
bofh: Wie kannst du dir den Quelltext anschauen ? Die Mail ist doch eine Maske und kein HTML Dokument ..... -
Du kannst bei externen Mails über das Menü View\Show Page Source gehen und dir damit den Quelltext anschauen.
Das funktioniert aber nicht bei allen Mails.Die Variante die auf jeden Fall geht ist halt die mit den Dokumenteigenschaften