8
Von welchem Standort wurd G-Mail-Nachricht gesendet?
Hallo,
ich bin auf der Suche nach gerichtsverwertbaren technischen Quellen zu der Frage, von welchem Ort aus ein Webmailer bedient wurde.
Hallo,
ich bin als Opfer an einem Strafverfahren beteiligt. Der Täter will nun seine Unschuld beweisen, in dem er sagt, er sei nicht vor Ort gewesen, denn er habe bereits 30 Minuten nach der Tat an seinem 100km entfernten Laptop gesessen. Beweis sei eine zu diesem Zeitpunkt via g-mail versendete Mail.
Nun meine Frage: Ist es tatsächlich möglich, bei g-mail herauszulesen, VON WELCHEM ORT die mail gesendet wurde?
Wer von Ihnen kann mir Hinweise auf Fachliteratur o.ä. nennen, die ich bei Gericht als Gegenbeweis anführen könnte?
Herzlichen Dank für Ihre Hilfe
Viele Grüsse
Chefschwabe
ich bin auf der Suche nach gerichtsverwertbaren technischen Quellen zu der Frage, von welchem Ort aus ein Webmailer bedient wurde.
Hallo,
ich bin als Opfer an einem Strafverfahren beteiligt. Der Täter will nun seine Unschuld beweisen, in dem er sagt, er sei nicht vor Ort gewesen, denn er habe bereits 30 Minuten nach der Tat an seinem 100km entfernten Laptop gesessen. Beweis sei eine zu diesem Zeitpunkt via g-mail versendete Mail.
Nun meine Frage: Ist es tatsächlich möglich, bei g-mail herauszulesen, VON WELCHEM ORT die mail gesendet wurde?
Wer von Ihnen kann mir Hinweise auf Fachliteratur o.ä. nennen, die ich bei Gericht als Gegenbeweis anführen könnte?
Herzlichen Dank für Ihre Hilfe
Viele Grüsse
Chefschwabe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 205306
Url: https://administrator.de/contentid/205306
Ausgedruckt am: 26.11.2024 um 03:11 Uhr
8 Kommentare
Neuester Kommentar
Prinzipiell kann man sicherlich die IP rausbekommen, von der aus Web-Browser GMail angesteuert hat und der Provider könnte sagen zu welchem Anschluß die gehört, aber das ist kein Beweis.
Mit TeamViewer (Beispiel), hätte er auch seinen Laptop von einem anderen PC aus fernsteuern können und G-Mail kriegt sowas nicht mit.
Also kein Beweis.
Mit TeamViewer (Beispiel), hätte er auch seinen Laptop von einem anderen PC aus fernsteuern können und G-Mail kriegt sowas nicht mit.
Also kein Beweis.
Hallo,
meiner Meinung nach kann man sich in einem Forum, egal wie gut es auch ist nur Denkanstöße oder
andere Meinungen einholen, aber am besten ist man mit einem Rechtsanwalt und einem guten Computer Forensiker beraten.
Ebenso wie dem "dezidierten Session logfile" vom Provider G-Mail wäre ja mal nett
zu haben, natürlich zusammen mit dem "dezidierten Session Logfile" der beiden Provider!
Sonst wird das nichts in meinen Augen.
- Man wählt sich mit seinem Laptop via VPN zu Hause ein
- Mein startet den PC zu Hause über eine Steckdosenleiste mit LAN Anschluss
- Man meldet sich am PC an und startet TeamViewer
- Dann steuert man den Rechner (PC zu Hause) und versendet eine Email.
- Dann fährt man den PC zu Hause wieder herunter
- Und siehe da man kann ja gar nicht schuldig sein.
Das ganze was ich weiter oben beschrieben habe kann aber auch rein theoretisch ganz anders oder in
ca. 250 verschiedenen Arten und Weisen abgelaufen sein und die muss man erst einmal beweisen können.
Anonyme Remailer könnten auch mit im Spiel gewesen sein und dann?
Dafür braucht man aber einen Computer Forensiker und die besagten Protokolldateien der Provider.
Und da Du das nicht hast..........
Gruß und trotzdem schönes WE
Dobby
meiner Meinung nach kann man sich in einem Forum, egal wie gut es auch ist nur Denkanstöße oder
andere Meinungen einholen, aber am besten ist man mit einem Rechtsanwalt und einem guten Computer Forensiker beraten.
Ebenso wie dem "dezidierten Session logfile" vom Provider G-Mail wäre ja mal nett
zu haben, natürlich zusammen mit dem "dezidierten Session Logfile" der beiden Provider!
Sonst wird das nichts in meinen Augen.
- Man wählt sich mit seinem Laptop via VPN zu Hause ein
- Mein startet den PC zu Hause über eine Steckdosenleiste mit LAN Anschluss
- Man meldet sich am PC an und startet TeamViewer
- Dann steuert man den Rechner (PC zu Hause) und versendet eine Email.
- Dann fährt man den PC zu Hause wieder herunter
- Und siehe da man kann ja gar nicht schuldig sein.
Das ganze was ich weiter oben beschrieben habe kann aber auch rein theoretisch ganz anders oder in
ca. 250 verschiedenen Arten und Weisen abgelaufen sein und die muss man erst einmal beweisen können.
Anonyme Remailer könnten auch mit im Spiel gewesen sein und dann?
Dafür braucht man aber einen Computer Forensiker und die besagten Protokolldateien der Provider.
Und da Du das nicht hast..........
Gruß und trotzdem schönes WE
Dobby
Hallo auch,
es ist evtl. schon möglich, das nachzuweisen, wichtig wäre dazu eine Untersuchung des Gerätes durch einen IT-Forensiker. Ein Buch ist z.B.:
http://www.amazon.de/Computer-Forensik-Computerstraftaten-erkennen-ermi ...
Es wird wohl nicht reichen, einfach daraus zu zitieren... und vermutlich benötigt man dazu auch noch weitere Daten (Provider etc.).
Im Zweifel frag einen Anwalt.
Viele Grüße
Daniel
es ist evtl. schon möglich, das nachzuweisen, wichtig wäre dazu eine Untersuchung des Gerätes durch einen IT-Forensiker. Ein Buch ist z.B.:
http://www.amazon.de/Computer-Forensik-Computerstraftaten-erkennen-ermi ...
Es wird wohl nicht reichen, einfach daraus zu zitieren... und vermutlich benötigt man dazu auch noch weitere Daten (Provider etc.).
Im Zweifel frag einen Anwalt.
Viele Grüße
Daniel
Hallo Chefschwabe.
Es gibt eine gewisse Chance, falls a) die besagte e-Mail sichergestellt ist und b) der Typ diese e-Mail nicht über den Webbrowser, sondern mit Hilfe eines e-Mailprogramms (Outlook, Thunderbird, etc.) abgeschickt hat.
Du musst in den Header der Mail reinschauen und dort den Abschnitt mit den
Erläuterung: hier ist bereits in der ersten Zeile an der Stelle xxxxxx sogar der Name meines Rechners zu sehen. yyyyyyyyy und zzzzzz ist die Domäne meines Arbeitgebers. Nachfolgend steht meine IP-Adresse; in diesem Fall eine IPv6, für gewöhnlich ist es aber eine IPv4 à la 123.123.123.123, die leichter zurückzuverfolgen ist. Dann folgt ein Zeitstempel. Dieser kann auch nützlich sein, denn die Uhrzeit am eigenen Rechner kann man ja selber einstellen wie man will, nicht aber die im Mailserver.
In diesem Fall sieht man, dass (sofern ich nicht direkt bei meinem Arbeitgeber wohne) ich diese Mail unmöglich von zu Hause abgeschickt haben konnte. Das wäre aber ein Idealfall für dich.
Jetzt die schlechte Nachricht: Falls der andere Typ die e-Mail über seinen Webbrowser erstellt hat, sieht es nicht gut für dich aus. Dann steht im Header nämlich sowas:
In diesem Fall ist 10.194.243.132 irgendeine interne IP-Adresse von Google. Adressen, die mit 10. beginnen, sind für private Netzwerke reserviert und somit ohne Weiteres nicht lokalisierbar. Da musst du oder die Polizei schon mit einem richterlichen Beschluss (oder sowas ähnlichem) bei Google antanzen und die Herausgabe der Logfiles verlangen. Wenn es, wie du sagst, ein Strafverfahren im Sinne des StGB ist, müsste es klappen. Bin aber kein Jurist und kann es daher nicht mir Sicherheit sagen.
Wenn sich aus dem e-Mail-Header aber ergibt, dass die Mail von zu Hause aus abgeschickt wurde, hast du noch weniger Chancen. Hier hilft nur eine Beschlagnahme des Rechners und dessen forensische Untersuchung (+ sehr viel Glück), um festzustellen ob die Mail nicht doch via VPN oder Fernsteuerungs-Software (siehe Beitrag von D.o.b.b.y) abgesendet wurde.
Falls du Glück hast und fündig wirst, ist es noch nicht sicher, ob das als Beweis anerkannt wird.
Und zum Schluss bliebe ja noch die Möglichkeit, dass er Typ die Wahrheit sagt. Da kann man dann wirklich nichts dagegen tun.
Ich wünsche dir viel Glück.
Gruß
format-c
Es gibt eine gewisse Chance, falls a) die besagte e-Mail sichergestellt ist und b) der Typ diese e-Mail nicht über den Webbrowser, sondern mit Hilfe eines e-Mailprogramms (Outlook, Thunderbird, etc.) abgeschickt hat.
Du musst in den Header der Mail reinschauen und dort den Abschnitt mit den
Received:-Tags suchen. Dabei ist für dich der unterste von Interesse. Hier ist ein Besipiel wie sowas ausschauen kann (personenbezogene Daten habe ich maskiert).Received: from xxxxxx.yyyyyyyyy.zzzzzz.de ([aaaa:bbbb:cccc:dddd:eeee::ffff])
by mx.google.com with ESMTPS id jz9sm1389495bkb.1.2013.04.19.10.27.56
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Fri, 19 Apr 2013 10:27:56 -0700 (PDT)In diesem Fall sieht man, dass (sofern ich nicht direkt bei meinem Arbeitgeber wohne) ich diese Mail unmöglich von zu Hause abgeschickt haben konnte. Das wäre aber ein Idealfall für dich.
Jetzt die schlechte Nachricht: Falls der andere Typ die e-Mail über seinen Webbrowser erstellt hat, sieht es nicht gut für dich aus. Dann steht im Header nämlich sowas:
Received: by 10.194.243.132 with HTTP; Fri, 5 Apr 2013 11:26:57 -0700 (PDT)Wenn sich aus dem e-Mail-Header aber ergibt, dass die Mail von zu Hause aus abgeschickt wurde, hast du noch weniger Chancen. Hier hilft nur eine Beschlagnahme des Rechners und dessen forensische Untersuchung (+ sehr viel Glück), um festzustellen ob die Mail nicht doch via VPN oder Fernsteuerungs-Software (siehe Beitrag von D.o.b.b.y) abgesendet wurde.
Falls du Glück hast und fündig wirst, ist es noch nicht sicher, ob das als Beweis anerkannt wird.
Und zum Schluss bliebe ja noch die Möglichkeit, dass er Typ die Wahrheit sagt. Da kann man dann wirklich nichts dagegen tun.
Ich wünsche dir viel Glück.
Gruß
format-c
Du musst in den Header der Mail reinschauen und dort den Abschnitt mit den
unterste von Interesse. Hier ist ein Besipiel wie sowas ausschauen kann (personenbezogene Daten habe ich maskiert).
Erläuterung: hier ist bereits in der ersten Zeile an der Stelle xxxxxx sogar der Name meines Rechners zu sehen. yyyyyyyyy und
zzzzzz ist die Domäne meines Arbeitgebers. Nachfolgend steht meine IP-Adresse; in diesem Fall eine IPv6, für
gewöhnlich ist es aber eine IPv4 à la 123.123.123.123, die leichter zurückzuverfolgen ist. Dann folgt ein
Zeitstempel. Dieser kann auch nützlich sein, denn die Uhrzeit am eigenen Rechner kann man ja selber einstellen wie man will,
nicht aber die im Mailserver.
Den Header kann der Absender doch fälschen?Received:-Tags suchen. Dabei ist für dich derunterste von Interesse. Hier ist ein Besipiel wie sowas ausschauen kann (personenbezogene Daten habe ich maskiert).
> Received: from xxxxxx.yyyyyyyyy.zzzzzz.de ([aaaa:bbbb:cccc:dddd:eeee::ffff])
> by mx.google.com with ESMTPS id jz9sm1389495bkb.1.2013.04.19.10.27.56
> (version=TLSv1 cipher=RC4-SHA bits=128/128);
> Fri, 19 Apr 2013 10:27:56 -0700 (PDT)
> zzzzzz ist die Domäne meines Arbeitgebers. Nachfolgend steht meine IP-Adresse; in diesem Fall eine IPv6, für
gewöhnlich ist es aber eine IPv4 à la 123.123.123.123, die leichter zurückzuverfolgen ist. Dann folgt ein
Zeitstempel. Dieser kann auch nützlich sein, denn die Uhrzeit am eigenen Rechner kann man ja selber einstellen wie man will,
nicht aber die im Mailserver.
Jetzt die schlechte Nachricht: Falls der andere Typ die e-Mail über seinen Webbrowser erstellt hat, sieht es nicht gut
für dich aus. Dann steht im Header nämlich sowas:
In diesem Fall ist 10.194.243.132 irgendeine interne IP-Adresse von Google. Adressen, die mit 10. beginnen, sind für private
Netzwerke reserviert und somit ohne Weiteres nicht lokalisierbar. Da musst du oder die Polizei schon mit einem richterlichen
Beschluss (oder sowas ähnlichem) bei Google antanzen und die Herausgabe der Logfiles verlangen. Wenn es, wie du sagst, ein
Strafverfahren im Sinne des StGB ist, müsste es klappen. Bin aber kein Jurist und kann es daher nicht mir Sicherheit
sagen.
für dich aus. Dann steht im Header nämlich sowas:
> Received: by 10.194.243.132 with HTTP; Fri, 5 Apr 2013 11:26:57 -0700 (PDT)
> Netzwerke reserviert und somit ohne Weiteres nicht lokalisierbar. Da musst du oder die Polizei schon mit einem richterlichen
Beschluss (oder sowas ähnlichem) bei Google antanzen und die Herausgabe der Logfiles verlangen. Wenn es, wie du sagst, ein
Strafverfahren im Sinne des StGB ist, müsste es klappen. Bin aber kein Jurist und kann es daher nicht mir Sicherheit
sagen.
Wenn sich aus dem e-Mail-Header aber ergibt, dass die Mail von zu Hause aus abgeschickt wurde, hast du noch weniger Chancen. Hier
hilft nur eine Beschlagnahme des Rechners und dessen forensische Untersuchung (+ sehr viel Glück), um festzustellen ob die
Mail nicht doch via VPN oder Fernsteuerungs-Software (siehe Beitrag von D.o.b.b.y) abgesendet wurde.
Mit einer forensischen Untersuchung kann unter Umständen ebenfalls festgestellt werden wann und von wo die Mail in einem Browser verschickt wurde. Das habe ich vor kurzem in einer Demonstration gesehen und es ist gar nicht so unwahrscheinlich das es funktioniert.hilft nur eine Beschlagnahme des Rechners und dessen forensische Untersuchung (+ sehr viel Glück), um festzustellen ob die
Mail nicht doch via VPN oder Fernsteuerungs-Software (siehe Beitrag von D.o.b.b.y) abgesendet wurde.
Nochmals der Rat, frage einen Juristen und/oder einen IT Forensiker, alles weitere spekulieren macht meiner Meinung nach wenig Sinn. Die wissen v.a. was Gerichtsverwertbar und machbar ist.
Der Absender kann eben nicht den ganzen Header verändern, sondern nur bestimmte Teile davon, nämlich die Angaben zum Absender selbst. Es gibt auch Teile des Headers, die in den Header eingefügt werden, nachdem der Absender die Mail abgeschickt hat. Die Einträge mit
Es ist wie bei der Post: Du kannst zwar einen beliebigen Absender auf den Briefumschlag schreiben, aber du hast keinen Einfluss auf das Datum des Poststempels, außer du schickst den Brief rechtzeitig ab.
btw: Es ist nicht immer zwingend erforderlich, einen Beitrag im Ganzen zu zitieren. Man kann, wie Michelangelo, das Überflüssige auch wegmeißeln.
Gruß
format-c
Received werden in den Header auf dem Weg vom Absender zu Server und von Server zu Server eingetragen und zwar von den Servern selbst. Der Absender müsste demnach schon den Mailserver von Google hacken, um diese Einträge zu fälschen.Es ist wie bei der Post: Du kannst zwar einen beliebigen Absender auf den Briefumschlag schreiben, aber du hast keinen Einfluss auf das Datum des Poststempels, außer du schickst den Brief rechtzeitig ab.
btw: Es ist nicht immer zwingend erforderlich, einen Beitrag im Ganzen zu zitieren. Man kann, wie Michelangelo, das Überflüssige auch wegmeißeln.
Gruß
format-c
Hallo an alle,
ganz ganz herzlichen Dank für die ausführlichen Hinweise.
Dank der Hinweise von Format-c und danielfr konnte ich jetzt erreichen, dass der Laptop des Gegner von der Kripo gecheckt wird.
Ergebnis offen, aber auf den ersten blick scheint er tatsächlich via Outlook vom Arbeitsplatz gemailt zu haben
Gut für mich!
Danke nochmal und viele Grüsse
Chefschwabe
ganz ganz herzlichen Dank für die ausführlichen Hinweise.
Dank der Hinweise von Format-c und danielfr konnte ich jetzt erreichen, dass der Laptop des Gegner von der Kripo gecheckt wird.
Ergebnis offen, aber auf den ersten blick scheint er tatsächlich via Outlook vom Arbeitsplatz gemailt zu haben
Gut für mich!
Danke nochmal und viele Grüsse
Chefschwabe
Hi.
Danke für die Rückmeldung. Ich drück' dir weiterhin die Daumen.
Gruß
format-c
Danke für die Rückmeldung. Ich drück' dir weiterhin die Daumen.
Gruß
format-c
