chefschwabe
Goto Top

Von welchem Standort wurd G-Mail-Nachricht gesendet?

Hallo,
ich bin auf der Suche nach gerichtsverwertbaren technischen Quellen zu der Frage, von welchem Ort aus ein Webmailer bedient wurde.

Hallo,
ich bin als Opfer an einem Strafverfahren beteiligt. Der Täter will nun seine Unschuld beweisen, in dem er sagt, er sei nicht vor Ort gewesen, denn er habe bereits 30 Minuten nach der Tat an seinem 100km entfernten Laptop gesessen. Beweis sei eine zu diesem Zeitpunkt via g-mail versendete Mail.
Nun meine Frage: Ist es tatsächlich möglich, bei g-mail herauszulesen, VON WELCHEM ORT die mail gesendet wurde?

Wer von Ihnen kann mir Hinweise auf Fachliteratur o.ä. nennen, die ich bei Gericht als Gegenbeweis anführen könnte?

Herzlichen Dank für Ihre Hilfe

Viele Grüsse

Chefschwabe

Content-ID: 205306

Url: https://administrator.de/forum/von-welchem-standort-wurd-g-mail-nachricht-gesendet-205306.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

AndreasHoster
AndreasHoster 19.04.2013 um 18:17:31 Uhr
Goto Top
Prinzipiell kann man sicherlich die IP rausbekommen, von der aus Web-Browser GMail angesteuert hat und der Provider könnte sagen zu welchem Anschluß die gehört, aber das ist kein Beweis.
Mit TeamViewer (Beispiel), hätte er auch seinen Laptop von einem anderen PC aus fernsteuern können und G-Mail kriegt sowas nicht mit.

Also kein Beweis.
108012
108012 19.04.2013, aktualisiert am 20.04.2013 um 11:30:07 Uhr
Goto Top
Hallo,

meiner Meinung nach kann man sich in einem Forum, egal wie gut es auch ist nur Denkanstöße oder
andere Meinungen einholen, aber am besten ist man mit einem Rechtsanwalt und einem guten Computer Forensiker beraten.

Ebenso wie dem "dezidierten Session logfile" vom Provider G-Mail wäre ja mal nett
zu haben, natürlich zusammen mit dem "dezidierten Session Logfile" der beiden Provider!

Sonst wird das nichts in meinen Augen.

- Man wählt sich mit seinem Laptop via VPN zu Hause ein
- Mein startet den PC zu Hause über eine Steckdosenleiste mit LAN Anschluss
- Man meldet sich am PC an und startet TeamViewer
- Dann steuert man den Rechner (PC zu Hause) und versendet eine Email.
- Dann fährt man den PC zu Hause wieder herunter
- Und siehe da man kann ja gar nicht schuldig sein.


Das ganze was ich weiter oben beschrieben habe kann aber auch rein theoretisch ganz anders oder in
ca. 250 verschiedenen Arten und Weisen abgelaufen sein und die muss man erst einmal beweisen können.
Anonyme Remailer könnten auch mit im Spiel gewesen sein und dann?

Dafür braucht man aber einen Computer Forensiker und die besagten Protokolldateien der Provider.
Und da Du das nicht hast..........

Gruß und trotzdem schönes WE
Dobby
danielfr
danielfr 19.04.2013 um 19:03:47 Uhr
Goto Top
Hallo auch,

es ist evtl. schon möglich, das nachzuweisen, wichtig wäre dazu eine Untersuchung des Gerätes durch einen IT-Forensiker. Ein Buch ist z.B.:
http://www.amazon.de/Computer-Forensik-Computerstraftaten-erkennen-ermi ...
Es wird wohl nicht reichen, einfach daraus zu zitieren... und vermutlich benötigt man dazu auch noch weitere Daten (Provider etc.).

Im Zweifel frag einen Anwalt.

Viele Grüße
Daniel
format-c
format-c 19.04.2013 aktualisiert um 20:27:17 Uhr
Goto Top
Hallo Chefschwabe.

Es gibt eine gewisse Chance, falls a) die besagte e-Mail sichergestellt ist und b) der Typ diese e-Mail nicht über den Webbrowser, sondern mit Hilfe eines e-Mailprogramms (Outlook, Thunderbird, etc.) abgeschickt hat.

Du musst in den Header der Mail reinschauen und dort den Abschnitt mit den Received:-Tags suchen. Dabei ist für dich der unterste von Interesse. Hier ist ein Besipiel wie sowas ausschauen kann (personenbezogene Daten habe ich maskiert).
Received: from xxxxxx.yyyyyyyyy.zzzzzz.de ([aaaa:bbbb:cccc:dddd:eeee::ffff])
        by mx.google.com with ESMTPS id jz9sm1389495bkb.1.2013.04.19.10.27.56
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Fri, 19 Apr 2013 10:27:56 -0700 (PDT)
Erläuterung: hier ist bereits in der ersten Zeile an der Stelle xxxxxx sogar der Name meines Rechners zu sehen. yyyyyyyyy und zzzzzz ist die Domäne meines Arbeitgebers. Nachfolgend steht meine IP-Adresse; in diesem Fall eine IPv6, für gewöhnlich ist es aber eine IPv4 à la 123.123.123.123, die leichter zurückzuverfolgen ist. Dann folgt ein Zeitstempel. Dieser kann auch nützlich sein, denn die Uhrzeit am eigenen Rechner kann man ja selber einstellen wie man will, nicht aber die im Mailserver.

In diesem Fall sieht man, dass (sofern ich nicht direkt bei meinem Arbeitgeber wohne) ich diese Mail unmöglich von zu Hause abgeschickt haben konnte. Das wäre aber ein Idealfall für dich.

Jetzt die schlechte Nachricht: Falls der andere Typ die e-Mail über seinen Webbrowser erstellt hat, sieht es nicht gut für dich aus. Dann steht im Header nämlich sowas:
Received: by 10.194.243.132 with HTTP; Fri, 5 Apr 2013 11:26:57 -0700 (PDT)
In diesem Fall ist 10.194.243.132 irgendeine interne IP-Adresse von Google. Adressen, die mit 10. beginnen, sind für private Netzwerke reserviert und somit ohne Weiteres nicht lokalisierbar. Da musst du oder die Polizei schon mit einem richterlichen Beschluss (oder sowas ähnlichem) bei Google antanzen und die Herausgabe der Logfiles verlangen. Wenn es, wie du sagst, ein Strafverfahren im Sinne des StGB ist, müsste es klappen. Bin aber kein Jurist und kann es daher nicht mir Sicherheit sagen.

Wenn sich aus dem e-Mail-Header aber ergibt, dass die Mail von zu Hause aus abgeschickt wurde, hast du noch weniger Chancen. Hier hilft nur eine Beschlagnahme des Rechners und dessen forensische Untersuchung (+ sehr viel Glück), um festzustellen ob die Mail nicht doch via VPN oder Fernsteuerungs-Software (siehe Beitrag von D.o.b.b.y) abgesendet wurde.

Falls du Glück hast und fündig wirst, ist es noch nicht sicher, ob das als Beweis anerkannt wird.

Und zum Schluss bliebe ja noch die Möglichkeit, dass er Typ die Wahrheit sagt. Da kann man dann wirklich nichts dagegen tun.


Ich wünsche dir viel Glück.


Gruß
format-c
danielfr
danielfr 20.04.2013 um 00:45:47 Uhr
Goto Top
Du musst in den Header der Mail reinschauen und dort den Abschnitt mit den Received:-Tags suchen. Dabei ist für dich der
unterste von Interesse. Hier ist ein Besipiel wie sowas ausschauen kann (personenbezogene Daten habe ich maskiert).
> Received: from xxxxxx.yyyyyyyyy.zzzzzz.de ([aaaa:bbbb:cccc:dddd:eeee::ffff])
>         by mx.google.com with ESMTPS id jz9sm1389495bkb.1.2013.04.19.10.27.56
>         (version=TLSv1 cipher=RC4-SHA bits=128/128);
>         Fri, 19 Apr 2013 10:27:56 -0700 (PDT)
> 
Erläuterung: hier ist bereits in der ersten Zeile an der Stelle xxxxxx sogar der Name meines Rechners zu sehen. yyyyyyyyy und
zzzzzz ist die Domäne meines Arbeitgebers. Nachfolgend steht meine IP-Adresse; in diesem Fall eine IPv6, für
gewöhnlich ist es aber eine IPv4 à la 123.123.123.123, die leichter zurückzuverfolgen ist. Dann folgt ein
Zeitstempel. Dieser kann auch nützlich sein, denn die Uhrzeit am eigenen Rechner kann man ja selber einstellen wie man will,
nicht aber die im Mailserver.
Den Header kann der Absender doch fälschen?

Jetzt die schlechte Nachricht: Falls der andere Typ die e-Mail über seinen Webbrowser erstellt hat, sieht es nicht gut
für dich aus. Dann steht im Header nämlich sowas:
> Received: by 10.194.243.132 with HTTP; Fri, 5 Apr 2013 11:26:57 -0700 (PDT)
> 
In diesem Fall ist 10.194.243.132 irgendeine interne IP-Adresse von Google. Adressen, die mit 10. beginnen, sind für private
Netzwerke reserviert und somit ohne Weiteres nicht lokalisierbar. Da musst du oder die Polizei schon mit einem richterlichen
Beschluss (oder sowas ähnlichem) bei Google antanzen und die Herausgabe der Logfiles verlangen. Wenn es, wie du sagst, ein
Strafverfahren im Sinne des StGB ist, müsste es klappen. Bin aber kein Jurist und kann es daher nicht mir Sicherheit
sagen.

Wenn sich aus dem e-Mail-Header aber ergibt, dass die Mail von zu Hause aus abgeschickt wurde, hast du noch weniger Chancen. Hier
hilft nur eine Beschlagnahme des Rechners und dessen forensische Untersuchung (+ sehr viel Glück), um festzustellen ob die
Mail nicht doch via VPN oder Fernsteuerungs-Software (siehe Beitrag von D.o.b.b.y) abgesendet wurde.
Mit einer forensischen Untersuchung kann unter Umständen ebenfalls festgestellt werden wann und von wo die Mail in einem Browser verschickt wurde. Das habe ich vor kurzem in einer Demonstration gesehen und es ist gar nicht so unwahrscheinlich das es funktioniert.

Nochmals der Rat, frage einen Juristen und/oder einen IT Forensiker, alles weitere spekulieren macht meiner Meinung nach wenig Sinn. Die wissen v.a. was Gerichtsverwertbar und machbar ist.
format-c
format-c 20.04.2013 um 02:08:26 Uhr
Goto Top
Zitat von @danielfr:
Den Header kann der Absender doch fälschen?
Der Absender kann eben nicht den ganzen Header verändern, sondern nur bestimmte Teile davon, nämlich die Angaben zum Absender selbst. Es gibt auch Teile des Headers, die in den Header eingefügt werden, nachdem der Absender die Mail abgeschickt hat. Die Einträge mit Received werden in den Header auf dem Weg vom Absender zu Server und von Server zu Server eingetragen und zwar von den Servern selbst. Der Absender müsste demnach schon den Mailserver von Google hacken, um diese Einträge zu fälschen.

Es ist wie bei der Post: Du kannst zwar einen beliebigen Absender auf den Briefumschlag schreiben, aber du hast keinen Einfluss auf das Datum des Poststempels, außer du schickst den Brief rechtzeitig ab.

btw: Es ist nicht immer zwingend erforderlich, einen Beitrag im Ganzen zu zitieren. Man kann, wie Michelangelo, das Überflüssige auch wegmeißeln.


Gruß
format-c
Chefschwabe
Chefschwabe 24.04.2013 um 12:26:39 Uhr
Goto Top
Hallo an alle,

ganz ganz herzlichen Dank für die ausführlichen Hinweise.
Dank der Hinweise von Format-c und danielfr konnte ich jetzt erreichen, dass der Laptop des Gegner von der Kripo gecheckt wird.
Ergebnis offen, aber auf den ersten blick scheint er tatsächlich via Outlook vom Arbeitsplatz gemailt zu haben face-smile
Gut für mich!

Danke nochmal und viele Grüsse

Chefschwabe
format-c
format-c 24.04.2013 um 21:08:19 Uhr
Goto Top
Hi.
Danke für die Rückmeldung. Ich drück' dir weiterhin die Daumen.

Gruß
format-c