Wer kann im Header dieser Phishing-Mail die echte Absender-Mailadresse rauslesen?

6 Antworten

Die entsprechende Einträge fehlen hier. Man kann davon ausgehen, dass auch die anderen Einträge einfach eingetragen wurden und nicht dem realen Absender entsprechen.

Du musst dich auf die "Received"Zeilen konzentrieren. Sollte es mehrere geben, dann gilt nur fie letzte, ( die darüber dind nur für Verschleierung).

Bei dir ist die wichtige also:

Received: from vm8FB89F2 ([82.165.247.108]) by mrelayeu.kundenserver.de (mreue003 [212.227.15.129]) with ESMTPSA (Nemesis) id 0M9tPw-1fmJko3a6y-00B0F7 for <XXXXXXXXX@onlinehome.de>; Wed, 18 Jul 2018 14:08:26 +0200

Die "emailadresse" kommt da nicht raus, aber der Absender über die IP

Hier ( 212.227.15.129) ist das Schlund, also 1&1 - oder hast du irgendwas nicht richtig kopiert..


NianMao  29.07.2018, 11:16
( die darüber dind nur für Verschleierung).

sind sie natürlich nicht, sie zeigen i.d.R. den weiteren Weg der email, hier eben das mrelayeu (.kundenserver.de) die mail angenommen hat und dann mout (.kundenserver.de) die an den mx weitergeschickt hat.

Die "emailadresse" kommt da nicht raus, aber der Absender über die IP

Soweit richtig. aber...

Hier ( 212.227.15.129)

Wie kommt ihr denn darauf?

vm8FB89F2 ([82.165.247.108]) ist der absendende Host "vm8FB89F2" ist dabei der Text der beim HELO als Identifikation angegeben wurde, die IP Adresse die, die für die Verbindung zum Server genutzt wurde.

also 82.165.247.108 ist die Absender IP. (scheint aber auch 1&1 zu sein :P)

ist zwar schon 3 jahre her aber hatte das selbe must anzeige auf unbekannt und dan die daten der server ist kundenserver.de und der ser ist mreue003 wie du das in den header code lesen kannst hatte auch schwierigkeiten mit user mreue028

 PS für die anzeige brauchst du den orginal header-code

Woher ich das weiß:eigene Erfahrung

priesterlein  18.07.2018, 17:54

online.de gehört zu schlund und das ist praktisch 1&1. Dass der eintrag nur ein falsch und zur Irreführung eingetragener Text ist, ist eine andere Sache.

DarkBlueSkyy 
Beitragsersteller
 18.07.2018, 17:58

Man kann bei 1&1 als Kunde aber E-Mail Adressen erstellen mit der Endung @online.de oder @onlinehome.de also gehört es dazu.

Die absendende IP-Adresse 212.227.126.131 gehört zu 1&1, die Mail ist echt:

inetnum: 212.227.126.128 - 212.227.126.255

netname: SCHLUND-NET

descr: 1&1 Internet AG

country: DE

remarks: For abuse issues, please use only abuse@oneandone.net

admin-c: IPAD-RIPE

tech-c: IPOP-RIPE

status: ASSIGNED PA

mnt-by: AS8560-MNT

created: 2002-07-16T16:21:25Z

last-modified: 2009-05-28T17:47:26Z

source: RIPE # Filtered

role: IP Administration

address: 1&1 Internet SE

admin-c: RME9-RIPE

admin-c: JR2342-RIPE

admin-c: LTO3-RIPE

tech-c: RME9-RIPE

tech-c: JR2342-RIPE

tech-c: LTO3-RIPE

nic-hdl: IPAD-RIPE

abuse-mailbox: abuse@oneandone.net

mnt-by: AS8560-MNT

created: 2009-05-20T17:24:09Z

last-modified: 2016-03-17T10:00:27Z

source: RIPE # Filtered

role: IP Operations

address: 1&1 Internet AG

admin-c: RME9-RIPE

admin-c: JR2342-RIPE

admin-c: LTO3-RIPE

tech-c: RME9-RIPE

tech-c: JR2342-RIPE

tech-c: LTO3-RIPE

nic-hdl: IPOP-RIPE

abuse-mailbox: abuse@oneandone.net

mnt-by: AS8560-MNT

created: 2009-05-28T16:25:04Z

last-modified: 2015-05-06T12:02:53Z

source: RIPE # Filtered

% Information related to '212.227.0.0/16AS8560'

route: 212.227.0.0/16

descr: SCHLUND-PA-2

origin: AS8560

mnt-by: AS8560-MNT

created: 2011-04-27T14:38:19Z

last-modified: 2017-12-14T12:39:36Z

source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.91.2 (WAGYU)


Luc99Music  18.07.2018, 20:17

IP geo lookup überprüft das mal

Continent:  Europe

Country:  Germany

Country Code:  DE

Country CF:  99

Region: 

State:  Baden-wuerttemberg

State Code: 

State CF:  97

DMA: 

MSA: 

City:  Karlsruhe

Postal Code:  76133

Timezone:  Greenwich Mean Time

Area Code: 

City CF:  95

Latitude:  49.01336

Longitude:  8.38979

NianMao  29.07.2018, 11:23

Also, wie eben schon gesagt, ist die Absender IP nicht diese, sondern 82.165.247.108. Ist aber auch 1&1.

Aber: Warum ist sie dann echt? nochmal zum "auf der Zunge zergehen lassen": die mail kommt über ein mailrelayeu in das das mailsystem von 1&1.

Wenn es eine offizielle mail ist, erwarte ich, das die mail direkt dem mailhost übergeben wird.

DarkBlueSkyy 
Beitragsersteller
 18.07.2018, 18:46

Die Mail ist nicht echt sondern Phishing, weil Pleitegeier22 in der andren Antwort diesen Link zeigte, wo genau diese Phishing Mail drin steht, etwas runter scrollen: https://www.onlinewarnungen.de/warnungsticker/phishing-nachrichten-im-namen-von-11-internet-se-vorsicht-spam-der-letzte-lastschrifteinzug-ist-leider%D6%BA-fehlgeschlagen/

OpaAlfons  18.07.2018, 19:57
@DarkBlueSkyy

Für die im Header auch genannte IP 82.165.247.108:

Final results obtained from whois.ripe.net.

Results:

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.

% To receive output for a database update, use the "-B" flag.

% Information related to '82.165.0.0 - 82.165.255.255'

% Abuse contact for '82.165.0.0 - 82.165.255.255' is 'abuse@oneandone.net'

inetnum: 82.165.0.0 - 82.165.255.255

netname: DE-SCHLUND-20030806

country: DE

org: ORG-SA12-RIPE

admin-c: IPAD-RIPE

tech-c: IPOP-RIPE

status: ALLOCATED PA

remarks: For abuse issues, please use only abuse@oneandone.net

mnt-by: RIPE-NCC-HM-MNT

mnt-by: AS8560-MNT

mnt-routes: AS8560-MNT

created: 2003-08-06T09:08:16Z

last-modified: 2016-12-02T16:53:07Z

source: RIPE # Filtered

organisation: ORG-SA12-RIPE

org-name: 1&1 Internet SE

org-type: LIR

address: Brauerstra�e 48

address: 76135

address: Karlsruhe

address: GERMANY

phone: +49 721 91374 0

fax-no: +49 721 91374 212

mnt-ref: RIPE-NCC-HM-MNT

mnt-ref: AS8560-MNT

mnt-ref: SCHLUND-MNT

mnt-by: RIPE-NCC-HM-MNT

mnt-by: AS8560-MNT

admin-c: JR2342-RIPE

admin-c: IPAD-RIPE

admin-c: RME9-RIPE

admin-c: JD8719-RIPE

abuse-c: ABDE2-RIPE

created: 2004-04-17T11:11:55Z

last-modified: 2016-12-02T16:53:23Z

source: RIPE # Filtered

role: IP Administration

address: 1&1 Internet SE

admin-c: RME9-RIPE

admin-c: JR2342-RIPE

admin-c: LTO3-RIPE

tech-c: RME9-RIPE

tech-c: JR2342-RIPE

tech-c: LTO3-RIPE

nic-hdl: IPAD-RIPE

abuse-mailbox: abuse@oneandone.net

mnt-by: AS8560-MNT

created: 2009-05-20T17:24:09Z

last-modified: 2016-03-17T10:00:27Z

source: RIPE # Filtered

role: IP Operations

address: 1&1 Internet AG

admin-c: RME9-RIPE

admin-c: JR2342-RIPE

admin-c: LTO3-RIPE

tech-c: RME9-RIPE

tech-c: JR2342-RIPE

tech-c: LTO3-RIPE

nic-hdl: IPOP-RIPE

abuse-mailbox: abuse@oneandone.net

mnt-by: AS8560-MNT

created: 2009-05-28T16:25:04Z

last-modified: 2015-05-06T12:02:53Z

source: RIPE # Filtered

% Information related to '82.165.0.0/16AS8560'

route: 82.165.0.0/16

descr: SCHLUND-PA-4

origin: AS8560

mnt-by: AS8560-MNT

created: 2003-08-08T10:58:01Z

last-modified: 2009-05-14T16:44:59Z

source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.91.2 (BLAARKOP)

Wenn man die Header-Daten vergleicht mit den RIPE-Daten, dann kommt die Mail aus dem internen Netz von 1&1.

Jetzt sollte man noch den Link wissen, zu dem die Mail führt.

Der müsste aus dem Quelltext der Mail ersichtlich sein, bzw. anklicken, URL kopieren und erstmal nicht einloggen.

OpaAlfons  19.07.2018, 15:28
@DarkBlueSkyy

Domain: www.onlinemail24.net

Screenshot: https://workupload.com/file/eMqXLaM

Quelltext der "Login-Seite":

<!DOCTYPE html>
<html lang="de">
   <head>
      <link rel="shortcut icon" href="assets/images/favicon.png" type="image/x-icon">
      <meta http-equiv="Content-type" content="text/html; charset=UTF-8">
      <meta http-equiv="Pragma" content="No-cache">
      <meta http-equiv="Cache-Control" content="no-cache, no-store, private, must revalidate">
      <title>1&1 E-Mail und Online-Speicher – Webmailer Login</title>
      <script src="assets/script.js"></script>
      <link rel="stylesheet" href="assets/style.css">
   </head>
   <body>
      <div class="content">
         <header>
            <div class="headerCenter" title="Webmail">
               <i class="logo"></i>
               <span>Webmailer</span>
            </div>
         </header>
         <main>
            <section>
               <div class="login">
                  <div class="tabSelector">
                     <ul><li class="active">E-Mail</li><li>Online-Speicher</li></ul>
                  </div>
                  <div class="tabData">
                     <form>
                        <dl class="mgError"><h4>Es ist ein Fehler aufgetreten.</h4><span>Die eingegebene E-Mail-Adresse ist nicht korrekt.</span></dl>
                        <div class="fieldset">
                           <label for="mail">E-Mail-Adresse</label>
                           <input id="mail" type="text" placeholder="E-Mail-Adresse" autocomplete="off" autofocus>
                        </div>
                        <div class="fieldset">
                           <label for="pw">Passwort</label>
                           <input id="pw" type="password" placeholder="Passwort" autocomplete="off">
                           <dl>Passwort vergessen?</dl>
                        </div>
                        <button type="submit">Login</button>
                     </form>
                     <div class="leftData">
                        <span>Möchten Sie eine individuelle Mail-Domain haben? Klicken Sie hier!</span>
                     </div>
                  </div>
                  <div class="botData">
                     <div class="gd33">
                        <div class="bgOffice"></div>
                     </div>
                     <div class="gd66">
                        <h3>Jetzt neu bei 1&1: Microsoft Office 365</h3>
                        <ul>
                           <li>Millionenfach bewährte Anwendungen wie Word, Excel und viele mehr</li>
                           <li>Ob am PC / Mac im Büro oder unterwegs auf Notebooks, Tablets oder Smartphones: überall und jederzeit verfügbar</li>
                           <li>Immer up to date: stets die neusten Versionen</li>
                           <li>Kostenloser Einrichtungs-Service mit Erstübertragung Ihrer Daten durch 1&1 Experten</li>
                        </ul>
                        <button class="btnInfo">Mehr Informationen</button>
                     </div>
                  </div>
               </div>
            </section>
         </main>
      </div>
   </body>
</html>

Bedenklich: Kein Link hat Funktion, nur der Button "Login"!

Nach Login erfolgt Weiterleitung nach "https://webmailer.1und1.de/" mit Javascript.

Was das aufgerufene "script.js" noch macht, ... muss es erst noch untersuchen.

Info von RIPE zur Seite:

Domain Name: onlinemail24.net
Registry Domain ID: 2260185752_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.ovh.com
Registrar URL: http://www.ovh.com
Updated Date: 2018-05-05T08:20:32.0Z
Creation Date: 2018-05-05T08:17:13.0Z
Registrar Registration Expiration Date: 2019-05-05T08:17:13.0Z
Registrar: OVH, SAS
Registrar IANA ID: 433
Registrar Abuse Contact Email: abuse@ovh.net
Registrar Abuse Contact Phone: +33.972101007
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientTransferProhibited https://icann.org
epp#clientTransferProhibited

Registry Registrant ID:
Registrant Name:
Registrant Organization:
Registrant Street:
Registrant City:
Registrant State/Province:
Registrant Postal Code:
Registrant Country: DE
Registrant Phone:
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: 54vz1a50nust82j7io44@b.o-w-o.info
Registry Admin ID:
Admin Name:
Admin Organization:
Admin Street:
Admin City:
Admin State/Province:
Admin Postal Code:
Admin Country:
Admin Phone:
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: fvx66rr7o8ar8b6yzqhw@s.o-w-o.info
Registry Tech ID:
Tech Name:
Tech Organization:
Tech Street:
Tech City:
Tech State/Province:
Tech Postal Code:
Tech Country:
Tech Phone:
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: fvx66rr7o8ar8b6yzqhw@s.o-w-o.info
Name Server: dns100.ovh.net
Name Server: ns100.ovh.net
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2018-05-26T04:05:37.0Z <<<