Wie kann man anhand einer IP den Absender lokalisieren?

Re: Hi ! Wenn die IP stimmt...

barbos — Wed, 23 Mar 2005 17:21:18 GMT

ripe.net/whois/

richtig

Re(2): Hi ! Wenn die IP stimmt...

gepeinigter_aon_neukunde — Wed, 23 Mar 2005 12:36:17 GMT

Hab' ich ja geschrieben - dein Rechner taucht dann einfach irgendwo in der Mitte auf...
Wenn der dann vergebene Hostname nicht irgendwas wie "dialup" im namen hat, fällt's mal net so auf. BTW, selbst wenn - gibt noch immer Netze, die nur periodisch ans Netz gehen und dann ihre Botschaften via uucp und so übertragen. Also wär' net einmal das ausgeschlossen

Meine Methode hab' ich gegen GMX, HoTMaiL, AON- und andere Accounts getestet.
Keine einzige landete unter Spamverdacht (Mit Ausnahme GMX: Mails von bush@whitehouse.gov kommen dort automatisch in Spamverdacht wegen der Absenderadresse... Wahrscheinlich wissen die, daß er net lesen/schreiben kann ). Bei "normalen" emailadressen (wolfgang.schuessel@oevp.at) hingegen klappte es wieder...

Unsichtbar wirst nicht, aber _schwer_ aufzuklären. Was willst denn echt tun ?
Du kannst jeden Mail-Hop auf dem Weg überprüfen, ob es einen MX-Eintrag dafür gibt. Nur nutzt das auch nix, denn du wirst false positives bekommen. Wenn eine Mail am Tag X verschickt wird, kann es ja sein, daß sie über MAIL-Server A rennt. Die Mail soll jetzt mal langsam sein... und auf dem Weg von A zum Ziel soll sich der DNS-MX-Eintrag von Server A auf B ändern. Wenn das Ziel den Weg der Mail überprüft, würde es draufkommen, daß die Mail über A ging und net - wie es jetzt sein sollte - über B -> Wenn man prüft, würde die Mail also ungerechtfertigt als SPAM erkannt werden.

So ein check ist IMHO nur durch viel manuellen Aufwand - viell. im Rahmen einer Strafverfolgung interessant.. Dann könnt' man aber draufkommen.

So oder so, meine Thesen wären wie folgt:

Spammer sind keine Daus
Die Daus, die sich als Spammer versuchen, verlieren ihren Account eh in spätestens 2 Wochen
Die "Zielgruppe" der Spammer sind Daus
Daus haben falsche Vorstellungen, wer denn wirklich der Absender sei
Spam kommst du mit "Bodmitteln" net bei bzw. du erkennst nur die dümmsten Spammer, die sich eh selbst eliminieren
Ich zeigte ja nur eine Methode. Offene Mail-Relays wie oben beschrieben sind sicher noch immer im Einsatz
Ich vermute mal, daß die Masse des Spams inzwischen eh von Zombie-Netzen stammt - und daher von "ganz normalen" eMail-Accounts auf ganz regulärem Weg

Conclusio:
Du kommst net drauf.

Abschließend:
Das lustigste sind für mich die Jollies, die sich von diversen ominösen Seiten Tools herunterladen um sicherer zu werden. Wenn ich einen Zombie-Client schreiben wollte, würd' ich den wahrscheinlich wahlweise als Hackertool bzw. als gratis-Virencheck, ... tarnen

cu
gepeinigter

Re(2): Hi ! Wenn die IP stimmt...

octapussy — Tue, 22 Mar 2005 22:11:40 GMT

ok, bei den dingen steig ich aus, da fehlt mir jegliche erfahrung.....

Re: Hi ! Wenn die IP stimmt...

MG — Tue, 22 Mar 2005 21:47:30 GMT

Naja. Irgendwo im Path steht der wahre Absender.
Verschleiern kannst. Aber unsichtbar machen kannst dich nicht. Und es fällt auf, wenn Mails Hops über dial-up IPs genommen haben sollen.

Re: Hi ! Wenn die IP stimmt...

octapussy — Tue, 22 Mar 2005 21:03:49 GMT

....das klingt recht verwirrend, zumal ich mit solche sachen bisher überhaupt noch nicht konfrontiert war.

deinen link hab ich verwendet und die angaben stimmen mit dem absender so er mir bekannt war überein, allerdings ergaben sich dennoch recht aufschlußreiche dinge seine person betreffend.

ist arg, dass man so auch die tel.nr. bekommt. bei den geek tools war das selbe ergebnis....

man wundert sich.....

wie/wo verändert man im header die infos? einfach den quelltext überschreiben??

danke nochmal
Robert

Hi ! Wenn die IP stimmt...

gepeinigter_aon_neukunde — Tue, 22 Mar 2005 19:14:49 GMT

Jaaa, wenn sie stimmt - dann gib sie bei
http://www.ripe.de/
rechts oben bei "RIPE WHOIS Database Search" ein und Tipp go...

Wobei die AbsenderIP gerne gefälscht wird.

Ich hab' mal Spaßhalber an Freund eMails verschickt mit Absender bush@whitehouse.gov. Das kam an allen Spamfiltern (hotmail, ... ) vorbei, indem ich einfach den Weg der Mail gefaked habe.

Dabei mußt du nur so tun als sei dein Rechner selbst nur eine Zwischenstation der Mail und die entsprechenden X-Einträge setzen. Dein eigener Rechner taucht dnn zwar im Header noch auf - allerdings relativ unauffällig in der Mitte (man faked ja schon einen Weg von 4-5 Rechnern davor).

Dadurch kann man die Mail bequem "ganz legal" versenden - das weiterleitende Relay hat keine Chance, den Fake auf diese Art zu erkennen.

Kurzum:
Vergiß' die Rückverfolgung von Mail.

Re: Wie kann man anhand einer IP den Absender lokalisieren?

goaspeda — Tue, 22 Mar 2005 15:38:45 GMT

http://visualroute.visualware.com/

Re(2): Wie kann man anhand einer IP den Absender lokalisieren?

octapussy — Tue, 22 Mar 2005 10:06:14 GMT

Danke - das halt schon mal weitergeholfen!!!

Gruß
Robert

Re: Wie kann man anhand einer IP den Absender lokalisieren?

rudi_ibk — Tue, 22 Mar 2005 02:42:14 GMT

http://board.protecus.de/showtopic.php?threadid=760

Wie kann man anhand einer IP den Absender lokalisieren?

octapussy — Tue, 22 Mar 2005 02:32:57 GMT

Ich habe etwas dubiose E-mails erhalten, weshalb ich um die Echtheit zu verifizieren den header genauer unter die Lupe genommen habe.

Kann man anhand des Headers bzw. der IP irgendwas über den Absender, seinen Standort etc in Erfahrung bringen?

Danke
Robert