15.09.2014, aktualisiert um 17:00:12 Uhr

21155

Anonyme EMail zurückverfolgen

Guten Tag zusammen,

besteht die Möglichkeit eine EMail von einem Anonymen Absender zurückzuverfolgen, um herauszufinden wer diese gesendet hat?

Selbstverständlich habe ich versucht mich über andere Foren zu informieren, leider aber nichts brauchbares gefunden. Vielleicht kann mir hier irgendjemand freundlicherweise helfen?

Ich habe mal den "gesamten Header heruntergeladen", welchen Ihr nachfolgend findet (Eigene Email-Adresse wurde verändert).

From XY Z Mon Sep 15 10:09:41 2014
X-Apparently-To: Maximilian.------------@yahoo.de via 188.125.69.157; Mon, 15 Sep 2014 09:12:39 +0000
Return-Path: <xy736@yahoo.de>
Received-SPF: none (domain of yahoo.de does not designate permitted sender hosts)
 aXN0IHNpZSBiZXNzZXIgZHJhbiAtIGtlaW5lIEZyZXVuZHNjaGFmdCEgATAB
 AQEBA3RleHQvcGxhaW4DAzACA3RleHQvaHRtbAMDMQ--
X-YMailISG: y.8CNrIWLDtFgjMhjYg.yv3hx429XPlwaJ1YSW_y3NgrFBVB
 byH5vTtZ633V2qcShpUFhhXipQwFLVeis.M8YJmkbflfDW2hu1LU0Lf7L5rZ
 aH7OgiSqN3DneByHlCIaA8QJLUGG8quRbGvt08RrcMIZBcSz_MiutwRazKuF
 fDijLrjQ_bEcEudJM7Q4KX_pArBl8L3FtaDrBvLediPXF_cONOfOFk9oNzuw
 Zpqr8LP9lBfaItIN_mUM1aPMX9VGos.KAZQOPOldFTGBKs8mhR7I73ma5wh_
 CL0OrP6Duun7fi3469_NOK6yvkbG0wsZM44kOubrobgqwTbwLPOwte9vsMmt
 AmLwOPUp_q31WoMWG8J1nrn9y_TJseT.gRt.oDhfXozaLgEuRL6Ce5Mw3qD4
 tGfFDM43CeXDIvjntUYnrXpOkdZPtxBQuZFkOemysSRmQmxLvGRiWhjwhrni
 fe36T2s7t32LiZjRaDEFkgxQ_JyWSWBG4E3Lebhvbzqc4VLEuMOrrxTuf_TB
 G4PHG.pLt3BlWmEdHOHw5acy4tRaEGjEDj62oMYJjqTYmiQ7epNnbQ20N9IO
 L2RVW2Eq_xLE7Eud4vkm9SH_H6InYva_aXIQNqZmLWgyb3bqXWYlhSmdGL0d
 Er1kIhzP579x2r5phMYvEM90VbhRIvnE.NK5FStRFzhMjvrHr_e9QoOPcyXT
 jczwTxKv4TPWNIfw8a_UltpADbx_idQCPqORq0PsrgYVQvfBUsotfzY1Q5I4
 FzaR115nGzHZbf2LLOJs1ar9OSNAPhwOxOJt9tLoykDtbbkEKGPLtcJ1QeYg
 kIfeVwxH7rx9.T7F3UzYhZRDqDoy57veupe1GcUpqXqDutO7spTgsYMMx0Ot
 2nHMyGaRMjV.LMQQWuQPp5sNV9G68IJhG_kfhPdsaQRa_kl.3AtokwCgKxdm
 VYmqRsgD8hHyVIF7K9MkZfPYIL_lYvo3fs7Fn492dwIf.oMTrOCyJm1ZKxco
 LTvO.dQEBe17ri09vh.K6XL2EgfptAw_AgfxFSFaY9CpEzfL0tE9BqB0EiLw
 5eYtrDiDGq0.tyIwD7z8LPimo3t96GEr8mXD1MDEBuxfeSgUlcAzDJyUAcwa
 zTjpJyAnquE60ZTIzCb_yXE_ObzDwMXgK6FEQEprqSm.Njeg5BognLjRkDij
 GuZxJ61.kTWO73YuIAeA.t8X7AV0MamIA10ueUO9FPbCeGCoJ9..gs6YaGt1
 UYiLk2v.kfl0EzODyeExISksWquqKW09Yp95bBoQXRswM8yNDW510xOLrYXz
 SjssK9QvRPpjL_TLSLGppzmV76ikGQjEMyrY8YH5Rm6aTMlYcA2D.yiHdOBn
 5ipT22EphfLcrTr_niIxqvJGchzsaM.EbOc4Pg_eEQwaKyty28_eVPCu3lPZ
 3a6BxG8fUPAPBRrm_fQzHcZ08QaggQNWbA3deK1edQG7A1T6FlUALc8ZWsAF
 Nt4g
X-Originating-IP: [98.138.120.56]
Authentication-Results: mta1008.mail.ir2.yahoo.com  from=yahoo.de; domainkeys=neutral (no sig);  from=yahoo.de; dkim=pass (ok)
Received: from 127.0.0.1  (EHLO nm49.bullet.mail.ne1.yahoo.com) (98.138.120.56)
  by mta1008.mail.ir2.yahoo.com with SMTPS; Mon, 15 Sep 2014 09:12:39 +0000
Received: from [127.0.0.1] by nm49.bullet.mail.ne1.yahoo.com with NNFMP; 15 Sep 2014 09:12:38 -0000
Received: from [98.138.226.180] by nm49.bullet.mail.ne1.yahoo.com with NNFMP; 15 Sep 2014 09:09:42 -0000
Received: from [212.82.98.49] by tm15.bullet.mail.ne1.yahoo.com with NNFMP; 15 Sep 2014 09:09:42 -0000
Received: from [212.82.98.79] by tm2.bullet.mail.ir2.yahoo.com with NNFMP; 15 Sep 2014 09:09:41 -0000
Received: from [127.0.0.1] by omp1016.mail.ir2.yahoo.com with NNFMP; 15 Sep 2014 09:09:41 -0000
X-Yahoo-Newman-Property: ymail-4
X-Yahoo-Newman-Id: 955589.93089.bm@omp1016.mail.ir2.yahoo.com
Received: (qmail 56356 invoked by uid 60001); 15 Sep 2014 09:09:41 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.de; s=s1024; t=1410772181; bh=HlZm+NJ53/gGK435W8fLtLSGxnU/c7JbPqDS0o9Fq5g=; h=Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type; b=EpfAzVOJ80jZC/DPhWqHmgOefjUJUt0gVMKAIsMiN41nPdaBmwvrgDid4f4zSDziaKzugN8Jmv/MC8botjdz6OWN9irSSnnWX20jPy9FVcxbwvUqqDK1uv7V2TElueLQfzs6NWaX4En/5AhupZTy1SyE2A20SyMtdkb8kW3RnOo=
X-YMail-OSG: KR4BvxQVM1lTsoAsNsp1KnvFECyV1.lQKL05EbGEBG87T1z
 xlPJ_BLP44VaRUsCZ51WZxDKWz4cPJWLLay1faUraOqA3U6c2iBBJEZESAPV
 3ENVRSlKY1.YkNI4aWmhuWQnNSDz7_Rs.9lUvmA2HxZf9QmOGkCHIPpQIkCB
 4qc4_OUxyDouOgtbzLrGQ3.en8_cdGa_RPbLscKn8U8fygTbnHZwhM.62Sqa
 e54.lYYMxyiifBh61uv1xnk17SnbmZzSsnwYGT.E3He4vu1hbUqHuFsLlPJ.
 TYBSk9z_JI._PHMuZkX7JxhPsSfZfsQYDNlBe9I88AZg1Jfh0IKdhXGcE5G7
 yN4jx7i2I.uch1NE8vyzMnSsoY_Rduk4kkILxZJCoZ.BiCRtqiK9UILQ6RCQ
 FVhKm_o3fBDtixRZw7OLXfXTQXceedpT1fK8M0_NBOCk8GjXN3SiFS3rkTjv
 0DrKahl3Uotsh6uUUgnTcbxwlbAUgVOOWJ4G8xwk8cMrU5ajQZacU4jVA9iD
 bBW343uESNp7sk_RNLo6How--
Received: from [141.6.11.16] by web172402.mail.ir2.yahoo.com via HTTP; Mon, 15 Sep 2014 10:09:41 BST
X-Mailer: YahooMailWebService/0.8.201.700
Message-ID: <1410772181.45508.YahooMailNeo@web172402.mail.ir2.yahoo.com>
Date: Mon, 15 Sep 2014 10:09:41 +0100
From: XY Z <xy736@yahoo.de>
Reply-To: XY Z <xy736@yahoo.de>
Subject: -------------
To: "maximilian.---------@yahoo.de" <maximilian.----------@yahoo.de>  
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="-1916487321-1261925080-1410772181=:45508"  
Content-Length: 668

Vielen Dank im Voraus.
Für Rückfragen stehe ich gerne zur Verfügung.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Kommentar vom Moderator Dani am 15.09.2014 um 17:00:10 Uhr

Formatierung hinzugefügt.

Content-ID: 249230

Url: https://administrator.de/contentid/249230

Ausgedruckt am: 26.11.2024 um 22:11 Uhr

22 Kommentare

Neuester Kommentar

Moin,

Ein Paar Code-Tags zur Formattierung würde die Lesbarkeit und die Anzahl der Antworten deutlich steigern.

lks

Zitat von @MaxPain:

Guten Tag zusammen,

besteht die Möglichkeit eine EMail von einem Anonymen Absender zurückzuverfolgen, um herauszufinden wer diese gesendet
hat?

Selbstverständlich habe ich versucht mich über andere Foren zu informieren, leider aber nichts brauchbares gefunden.
Vielleicht kann mir hier irgendjemand freundlicherweise helfen?

Ich habe mal den "gesamten Header heruntergeladen", welchen Ihr nachfolgend findet (Eigene Email-Adresse wurde
verändert).

 From XY Z Mon Sep 15 10:09:41 2014
> X-Apparently-To: Maximilian.------------@yahoo.de via 188.125.69.157; Mon, 15 Sep 2014 09:12:39 +0000
> Return-Path: <xy736@yahoo.de>
> Received-SPF: none (domain of yahoo.de does not designate permitted sender hosts)
>  aXN0IHNpZSBiZXNzZXIgZHJhbiAtIGtlaW5lIEZyZXVuZHNjaGFmdCEgATAB
>  AQEBA3RleHQvcGxhaW4DAzACA3RleHQvaHRtbAMDMQ--
> X-YMailISG: y.8CNrIWLDtFgjMhjYg.yv3hx429XPlwaJ1YSW_y3NgrFBVB
>  byH5vTtZ633V2qcShpUFhhXipQwFLVeis.M8YJmkbflfDW2hu1LU0Lf7L5rZ
>  aH7OgiSqN3DneByHlCIaA8QJLUGG8quRbGvt08RrcMIZBcSz_MiutwRazKuF
>  fDijLrjQ_bEcEudJM7Q4KX_pArBl8L3FtaDrBvLediPXF_cONOfOFk9oNzuw
>  Zpqr8LP9lBfaItIN_mUM1aPMX9VGos.KAZQOPOldFTGBKs8mhR7I73ma5wh_
>  CL0OrP6Duun7fi3469_NOK6yvkbG0wsZM44kOubrobgqwTbwLPOwte9vsMmt
>  AmLwOPUp_q31WoMWG8J1nrn9y_TJseT.gRt.oDhfXozaLgEuRL6Ce5Mw3qD4
>  tGfFDM43CeXDIvjntUYnrXpOkdZPtxBQuZFkOemysSRmQmxLvGRiWhjwhrni
>  fe36T2s7t32LiZjRaDEFkgxQ_JyWSWBG4E3Lebhvbzqc4VLEuMOrrxTuf_TB
>  G4PHG.pLt3BlWmEdHOHw5acy4tRaEGjEDj62oMYJjqTYmiQ7epNnbQ20N9IO
>  L2RVW2Eq_xLE7Eud4vkm9SH_H6InYva_aXIQNqZmLWgyb3bqXWYlhSmdGL0d
>  Er1kIhzP579x2r5phMYvEM90VbhRIvnE.NK5FStRFzhMjvrHr_e9QoOPcyXT
>  jczwTxKv4TPWNIfw8a_UltpADbx_idQCPqORq0PsrgYVQvfBUsotfzY1Q5I4
>  FzaR115nGzHZbf2LLOJs1ar9OSNAPhwOxOJt9tLoykDtbbkEKGPLtcJ1QeYg
>  kIfeVwxH7rx9.T7F3UzYhZRDqDoy57veupe1GcUpqXqDutO7spTgsYMMx0Ot
>  2nHMyGaRMjV.LMQQWuQPp5sNV9G68IJhG_kfhPdsaQRa_kl.3AtokwCgKxdm
>  VYmqRsgD8hHyVIF7K9MkZfPYIL_lYvo3fs7Fn492dwIf.oMTrOCyJm1ZKxco
>  LTvO.dQEBe17ri09vh.K6XL2EgfptAw_AgfxFSFaY9CpEzfL0tE9BqB0EiLw
>  5eYtrDiDGq0.tyIwD7z8LPimo3t96GEr8mXD1MDEBuxfeSgUlcAzDJyUAcwa
>  zTjpJyAnquE60ZTIzCb_yXE_ObzDwMXgK6FEQEprqSm.Njeg5BognLjRkDij
>  GuZxJ61.kTWO73YuIAeA.t8X7AV0MamIA10ueUO9FPbCeGCoJ9..gs6YaGt1
>  UYiLk2v.kfl0EzODyeExISksWquqKW09Yp95bBoQXRswM8yNDW510xOLrYXz
>  SjssK9QvRPpjL_TLSLGppzmV76ikGQjEMyrY8YH5Rm6aTMlYcA2D.yiHdOBn
>  5ipT22EphfLcrTr_niIxqvJGchzsaM.EbOc4Pg_eEQwaKyty28_eVPCu3lPZ
>  3a6BxG8fUPAPBRrm_fQzHcZ08QaggQNWbA3deK1edQG7A1T6FlUALc8ZWsAF
>  Nt4g
> X-Originating-IP: [98.138.120.56]
> Authentication-Results: mta1008.mail.ir2.yahoo.com  from=yahoo.de; domainkeys=neutral (no sig);  from=yahoo.de; dkim=pass (ok)
> Received: from 127.0.0.1  (EHLO nm49.bullet.mail.ne1.yahoo.com) (98.138.120.56)
>   by mta1008.mail.ir2.yahoo.com with SMTPS; Mon, 15 Sep 2014 09:12:39 +0000
> Received: from [127.0.0.1] by nm49.bullet.mail.ne1.yahoo.com with NNFMP; 15 Sep 2014 09:12:38 -0000
> Received: from [98.138.226.180] by nm49.bullet.mail.ne1.yahoo.com with NNFMP; 15 Sep 2014 09:09:42 -0000
> Received: from [212.82.98.49] by tm15.bullet.mail.ne1.yahoo.com with NNFMP; 15 Sep 2014 09:09:42 -0000
> Received: from [212.82.98.79] by tm2.bullet.mail.ir2.yahoo.com with NNFMP; 15 Sep 2014 09:09:41 -0000
> Received: from [127.0.0.1] by omp1016.mail.ir2.yahoo.com with NNFMP; 15 Sep 2014 09:09:41 -0000
> X-Yahoo-Newman-Property: ymail-4
> X-Yahoo-Newman-Id: 955589.93089.bm@omp1016.mail.ir2.yahoo.com
> Received: (qmail 56356 invoked by uid 60001); 15 Sep 2014 09:09:41 -0000
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.de; s=s1024; t=1410772181;
> bh=HlZm+NJ53/gGK435W8fLtLSGxnU/c7JbPqDS0o9Fq5g=; h=Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type;
> b=EpfAzVOJ80jZC/DPhWqHmgOefjUJUt0gVMKAIsMiN41nPdaBmwvrgDid4f4zSDziaKzugN8Jmv/MC8botjdz6OWN9irSSnnWX20jPy9FVcxbwvUqqDK1uv7V2TElueLQfzs6NWaX4En/5AhupZTy1SyE2A20SyMtdkb8kW3RnOo=
> X-YMail-OSG: KR4BvxQVM1lTsoAsNsp1KnvFECyV1.lQKL05EbGEBG87T1z
>  xlPJ_BLP44VaRUsCZ51WZxDKWz4cPJWLLay1faUraOqA3U6c2iBBJEZESAPV
>  3ENVRSlKY1.YkNI4aWmhuWQnNSDz7_Rs.9lUvmA2HxZf9QmOGkCHIPpQIkCB
>  4qc4_OUxyDouOgtbzLrGQ3.en8_cdGa_RPbLscKn8U8fygTbnHZwhM.62Sqa
>  e54.lYYMxyiifBh61uv1xnk17SnbmZzSsnwYGT.E3He4vu1hbUqHuFsLlPJ.
>  TYBSk9z_JI._PHMuZkX7JxhPsSfZfsQYDNlBe9I88AZg1Jfh0IKdhXGcE5G7
>  yN4jx7i2I.uch1NE8vyzMnSsoY_Rduk4kkILxZJCoZ.BiCRtqiK9UILQ6RCQ
>  FVhKm_o3fBDtixRZw7OLXfXTQXceedpT1fK8M0_NBOCk8GjXN3SiFS3rkTjv
>  0DrKahl3Uotsh6uUUgnTcbxwlbAUgVOOWJ4G8xwk8cMrU5ajQZacU4jVA9iD
>  bBW343uESNp7sk_RNLo6How--
> Received: from [141.6.11.16] by web172402.mail.ir2.yahoo.com via HTTP; Mon, 15 Sep 2014 10:09:41 BST
> X-Mailer: YahooMailWebService/0.8.201.700
> Message-ID: <1410772181.45508.YahooMailNeo@web172402.mail.ir2.yahoo.com>
> Date: Mon, 15 Sep 2014 10:09:41 +0100
> From: XY Z <xy736@yahoo.de>
> Reply-To: XY Z <xy736@yahoo.de>
> Subject: -------------
> To: "maximilian.---------@yahoo.de" <maximilian.----------@yahoo.de>  
> MIME-Version: 1.0
> Content-Type: multipart/alternative; boundary="-1916487321-1261925080-1410772181=:45508"  
> Content-Length: 668

Vielen Dank im Voraus.
Für Rückfragen stehe ich gerne zur Verfügung.

Das soltle eigentlich der TO machen.

lks

PS:

Da het jemand von eienr IP-Adresse, die dem BASF-Konzern gehört, eine mail über das Web-Interface eingekippt. man köntne nun einfach bei BASF nachfragen, wem diese IP-Adresse gehört. Allrdings würde ich mir da keine großen Hoffnungen machen, damit den verursacher zu finden.

lks

Hallo Lochkartenstanzer,

vielen Dank für Deine Antwort.
Nur fände ich es jetzt interessant wie Du darauf gekommen bist?

nslookup? oder wie hast Du es der BASF zuordnen können?

Ich bitte Dich um eine kurze Aufklärung.

Vielen Dank im Voraus.

Hallo,

lks bezieht sich auf die Zeile 58

http://www.utrace.de/?query=141.6.11.16

brammer

Zitat von @MaxPain:

Nur fände ich es jetzt interessant wie Du darauf gekommen bist?

nslookup? oder wie hast Du es der BASF zuordnen können?

Ich bitte Dich um eine kurze Aufklärung.

Durch die Zeile

 Received: from [141.6.11.16] by web172402.mail.ir2.yahoo.com via HTTP; Mon, 15 Sep 2014 10:09:41 BST 

ein

$ whois  141.6.11.16

ergibt als Resultat

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '141.6.0.0 - 141.6.255.255'

% Abuse contact for '141.6.0.0 - 141.6.255.255' is 'cert@basf.com'

inetnum:        141.6.0.0 - 141.6.255.255
netname:        BASF-NET
descr:          BASF Business Services Holding GmbH
country:        DE
org:            ORG-BISH1-RIPE
admin-c:        HB464-RIPE
tech-c:         HB464-RIPE
status:         LEGACY
remarks:        For information on "status:" attribute read https://www.ripe.net/data-tools/db/faq/faq-status-values-legacy-resources
mnt-by:         BASF-ADM
mnt-domains:    BASF-ADM
mnt-routes:     BASF-ADM
mnt-routes:     CIP-MNT
mnt-routes:     DTAG-RR
source:         RIPE # Filtered

organisation:   ORG-BISH1-RIPE
org-name:       BASF Business Services Holding GmbH
org-type:       LIR
address:        BASF Business Services GmbH
address:        Rainer Ginsberg
address:        GSI/ITNB - C010
address:        67056
address:        Ludwigshafen
address:        GERMANY
mnt-ref:        BASF-ADM
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
admin-c:        SM25966-RIPE
admin-c:        RG926-RIPE
abuse-c:        HB464-RIPE
source:         RIPE # Filtered
phone:          +496216094660
fax-no:         +49621606694660

role:           Hostmaster BIS
address:        BASF Business Services GmbH
address:        GSI/ITNB - C010
address:        67056 Ludwigshafen
address:        Germany
org:            ORG-BISH1-RIPE
admin-c:        RG926-RIPE
admin-c:        SM25966-RIPE
tech-c:         RG926-RIPE
tech-c:         SM25966-RIPE
abuse-mailbox:  cert@basf.com
nic-hdl:        HB464-RIPE
mnt-by:         BASF-ADM
source:         RIPE # Filtered

% Information related to '141.6.0.0/16AS15495'

route:          141.6.0.0/16
descr:          Route originated by BASF
origin:         AS15495
org:            ORG-BISH1-RIPE
mnt-routes:     BASF-ADM
mnt-routes:     CIP-MNT
mnt-routes:     DTAG-RR
mnt-by:         BASF-ADM
source:         RIPE # Filtered

organisation:   ORG-BISH1-RIPE
org-name:       BASF Business Services Holding GmbH
org-type:       LIR
address:        BASF Business Services GmbH
address:        Rainer Ginsberg
address:        GSI/ITNB - C010
address:        67056
address:        Ludwigshafen
address:        GERMANY
mnt-ref:        BASF-ADM
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
admin-c:        SM25966-RIPE
admin-c:        RG926-RIPE
abuse-c:        HB464-RIPE
source:         RIPE # Filtered
phone:          +496216094660
fax-no:         +49621606694660

% This query was served by the RIPE Database Query Service version 1.75 (DB-1)

Der Rest der received-zeilen ist yahoo-interne mailabwicklung, wenn ich mich nicht verguckt habe.

beachte aber, das es genauso sein kann, daß der entsprechende received-eintrag gefaked ist und die mail bei yahoo selbst eingekippt worden sein kann.

Nachdem in letzter zeit öfter Mail mit gefälschten yahoo-Adressen kam und diese Adressbücher dieser Adressen offensichtlich abgegriffen wurden, würde ich es nicht ausschließen, daß bei Yahoo läuse im Pelz sitzen.

lks

Nachtrag:

X-Originating-IP: [98.138.120.56]

Sagt übrigens aus, daß die Mail über yahoo-eingekippt wurde.

Damit wäre es imho wahscheinlicher, daß einer das intern gefaked hat. Aber nichts genaues weiß man nicht. du könntest höchstens yahoo zur Mithilfe bitten. Vielleicht können die aus Ihren logs noch etwas herauskramen.

Ansonsten sit das wie mit einem anonymen brife mit falschen Absender:

du kannst bei dem angeblichen absender nachfragen oder dem Postamt/-zentrum, in dem der brief eingeliefert wurde. Aber solange keine anderen Anhaltpunkte (Anthraxpulver, Fingerabdrücke, mailsignaturen, etc.) da sind, wird man da erfolglos sein.

lks

Vielen Dank Brammer,
Vielen Dank Lochkartenstanzer,

Ihr habt mir schon sehr weiter geholfen.

Noch eine Frage stellt sich mir:
Ist die IP Adresse 141.6.11.16 die Adresse des Web-Servers mit Sitz in der Schweiz?
Und kann theoretisch auf Anfrage bei der BASF zurückverfolgt werden, von wo aus die Mail übermittelt wurde? (z.B. Client IP oder Internet Logs -> Datum/Uhrzeit der Übermittlung)

Zitat von @MaxPain:

Noch eine Frage stellt sich mir:
Ist die IP Adresse 141.6.11.16 die Adresse des Mail-Servers mit Sitz in der Schweiz?

Nein. Von dieser Ip hat sich jemand mit http, vermutlich einem Browser (oder einen programm, das http spricht) z yahoo verbunden und die mail eingekippt.

Und kann theoretisch auf Anfrage bei der BASF zurückverfolgt werden, von wo aus die Mail übermittelt wurde? (z.B. Client
IP oder Internet Logs -> Datum/Uhrzeit der Übermittlung)

Wenn die die entsprechende Logs führen und gewillt sind, mit euch zusammenzuarbeiten.

Nur weil auf einem Brief steht, daß er von der BASF kommt heißt das noch lange nciht, daß er auch wirklich von dort abgeschickt wurde (siehe meine Ausführungen).

lks

Hallo,

was sich hinter der IP adresse effektiv verbirgt wird die nur die IT von BASF sagen können...
Und ich glaube nicht das BASF ihren Mail server auf einem Cisco laufen haben... die MAC Adresse meint es sei eine Cisco Maschine hinter der IP...

Solange du keinen wirklich (strafrechtlich...) handfesten Grund hast wird dir BASF nichts sagen und wenn nur auf gerichtlche Anforderung...

brammer

Zitat von @brammer:

Und ich glaube nicht das BASF ihren Mail server auf einem Cisco laufen haben... die MAC Adresse meint es sei eine Cisco Maschine
hinter der IP...

Wie kommst Du zu der MAC-Adresse? Du bist nicht zufällig deren Provider?

lks

PS: Die Kiste Antwortet nicht auf ICMP-echo-requests, was für einen Cisco-Router doch etwas ungewöhnlich ist.

Wie kommst Du zu der MAC-Adresse? Du bist nicht zufällig deren Provider?

Das wäre in der Tat mal sehr interessant. Sollte es die berühmte Kristallkugel doch geben... ???

Und.... woher hat Kollege brammer sie ??

was für einen Cisco-Router doch etwas ungewöhnlich ist.

Nein, bei Provider Router Hops sind diese ICMP Types aus gutem Grund in der Regel deaktiviert

Zitat von @brammer:

Und ich glaube nicht das BASF ihren Mail server auf einem Cisco laufen haben... die MAC Adresse meint es sei eine Cisco Maschine
hinter der IP...

Wenn das tatsächlich eine Cisco ist, ist vermutlich die entsprechende Zeile gefälscht, was für die Laus im Yahoo-Pelz spricht, oder jemand hat die Cisco als Proxy mißbraucht. Soll ja genügend schlecht gewartete Ciscos draußen in der Wildnis geben.

lks

PS: ich halte es für wahrscheinlicher, daß jemand Schabernack mit yahoo treibt.

Hallo,

ein einfacher netscan auf die Adresse mit Abfrage der MAC Adresse....

Nicht mehr und nicht weniger...

Vor Jahren hat ich mal was mit der chemischen Indudstrie.. aber lange ist es her...

brammer

@brammer
nmap -A -T4 141.6.11.16
nmap -A -v -v 141.6.11.16

Starting Nmap 6.00 ( http:/nmap.org ) at 2014-09-15 18:28 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 13.47 seconds
Ist leider down der Host...

Aber auch nmap kann bei gerouteten Verbindungen nicht die loakel Mac Adresse des Hostes discovern ! Wie sollte der Host der ja zweifelsohne hinter einem Router sitzt dies auch freigeben. Fragt sich also wirklich wie du das gemacht hast ??

Zitat von @aqui:

Ist leider down der Host...

Glaub ich nicht. Mit den passenden nmap Optionen läßt sich zumindest ab und zu eine Reaktion entlocken.

lks

Nee, irgendwie will er nich...
nmap -A -v -v 141.6.11.16

Starting Nmap 6.00 ( http:/nmap.org ) at 2014-09-15 18:44 CEST
NSE: Loaded 93 scripts for scanning.
NSE: Script Pre-scanning.
NSE: Starting runlevel 1 (of 2) scan.
NSE: Starting runlevel 2 (of 2) scan.
Initiating Ping Scan at 18:44
Scanning 141.6.11.16 [4 ports]
Completed Ping Scan at 18:45, 3.07s elapsed (1 total hosts)
Nmap scan report for 141.6.11.16 [host down]
NSE: Script Post-scanning.
NSE: Starting runlevel 1 (of 2) scan.
NSE: Starting runlevel 2 (of 2) scan.
Read data files from: /usr/bin/../share/nmap
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 14.33 seconds
Raw packets sent: 8 (304B) | Rcvd: 0 (0B)

nmap -Pn 141.6.11.16 arbeitet noch....

OK, dahinter lebt was:
nmap -Pn 141.6.11.16

Starting Nmap 6.00 ( http:/nmap.org ) at 2014-09-15 18:46 CEST
Nmap scan report for 141.6.11.16
Host is up.
All 1000 scanned ports on 141.6.11.16 are filtered

Nmap done: 1 IP address (1 host up) scanned in 202.62 seconds
Fragt sich nur was...???

Letzte Routerhops dahin sind 2 Telekom Router...
7 ma-eb2-i.MA.DE.NET.DTAG.DE (62.154.37.98) [AS3320] 83.992 ms 84.101 ms 84.251 ms
8 217.6.49.142 (217.6.49.142) [AS3320] 77.402 ms 80.054 ms 83.746 ms
. * * *
AS3320 ist ein Telekom AS

Zitat von @aqui:

Nee, irgendwie will er nich... //
nmap -A -v -v 141.6.11.16

Dann hat er sich vermutlich inzwischen verabschiedet. Heute Mittag kamen zumindest Reaktionen (weiß aber nicht mehr, worauf der gantwortet hatte).

Trotzdem bleibt es spannend wie Kollege brammer die Mac Adresse hinter mehrfachen Routing Hops extrahiert haben will...??!
Vielleicht verrät er uns das ja.

Zitat von @aqui:

Trotzdem bleibt es spannend wie Kollege brammer die Mac Adresse hinter mehrfachen Routing Hops extrahiert haben will...??!
Vielleicht verrät er uns das ja.

Vielleicht ist er ja nicht hinter mehrfachen hops, zumindest die Kiste, von der aus er den Scan macht..

lks

Guten Morgen zusammen,

Vielen Dank für die zahlreichen Kommentare und Hilfreichen Posts!
Ihr habt mir sehr weitergeholfen (ich kann mir nun denken wer hinter dem Schabernack steckt) !

Werde den Thread nun als "Gelöst" markieren.

Viele Grüße und bis zum nächsten mal!