Zum Inhalt springen
  • 0

Mailanalyse für einen Unwissenden


Gast KidIkarus
 Teilen

Frage

Hallo liebe Forenmitglieder,

ich bin leider totaler Laie, was das Thema IT betrifft, bin jedoch suchen nach einem Rat, was E-Mails betreffen, bzw. desssen "Header".

Aktuell bin weder ich, noch der Anbieter sich sicher, ob es sich bei Erstem um eine Phising Mail handelt - dies muss noch geprüft werden.

Sind diese beiden E-Mail vom gleichen Absender / Server?

Ausgegeben ist "From"  -wie folgt:

From: =?UTF-8?Q?Gr=C3=BCnwelt_W=C3=A4rmestrom_Kundenservice?=

Bei der anderen Mail:

From: =?UTF-8?Q?Gr=C3=BCnwelt_W=C3=A4rmestrom_Kundenservice?=


Worin besteht der Unterschied zu UTF und CP?

Danke und viele Grüße

Link zu diesem Kommentar
Auf anderen Seiten teilen

18 Antworten auf diese Frage

Empfohlene Beiträge

  • 0

 

Ich habe leider 2 x die identische Zeile eingefügt - zweite lautet wie folgt:

From:=?Cp1252?Q?Gr=FCnwelt_W=C3=A4rmestrom_Kundenservice?=

 

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

das ist nur ne Zeichensatzkodierung. Du musst in Deinem Mailprogramm "Volle Header" anzeigen lassen, da steht dann auch die Sendehistorie drin.

Helfen tut auch ein Blick auf einen etwaigen Link, nur Maus drauf aber NICHT klicken. Dann zeigt Dir Dein Mailprogramm das Ziel des LInks

 

Präzise steht CP1252 übrigens für eine CODEPAGE, hier speziell eine von/für Windows und UTF-8 für eine weltweit genormte Codierung (Unicode Transformation Format) ... daraus alleine kannst Du nichts herauslesen

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Hallo,

danke für die rückmeldung


Received:from ist bei beiden nahezu identisch, was die Mailadressen betreffen - eine fängt lediglich mit mail03... an, die andere mit mail.04... - Die IP Adressen unterscheiden sich nur bei den letzten 3 Stellen / Zahlen - danach kommt by mx-ha (hier unterscheide. sich die IIP Aderessen ebenfalls bei den letzten Stellen nach, und vor dem letzten Punk ..... und dann for (meine E-Mail)
 

Darunter steht erneut "Received: from internal.domain; Tue, 29 Dec 2020 19:01:16 +0100 "

Kann ich nun davon ausgehen, dass die Mail von dem Server kommt, der ganz oben erwähnt steht und bei dem dahinter die IP in Klammern steht.

Ich hoffe, es ist etwas veständlich. Weiß leider nicht, wieviel Daten ich hier angeben kann, ohne das es mir zum Nachteil wird :)

danke

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Danke, aber ist es nicht so, dass man nur anhand der "received from" erkennen kann, woher die Mail kommt? Bzwl können Sie anhand meiner obigen Angaben herauslesen, ob die Mail vom gleichen Server kommen - ober werden dazu noch weitere Daten benötigt?

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Was noch zu erwähnen sei, über CMD - nslookup wurde bei IP Eingabe der Mailserver ausgegeben, der auch bei der Info im Headder zu sehen war.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Hallo,

 

sieht ungefähr so aus:


Bei einer Mail:

Received: from mail.04..... ([IP Adresse]) by mx-ha.web.de (mxweb... [IP Adresse])with ESMTPS(Nemesis) id xxxxxxxx for <meine EMail> "Datum".

Received: from internal.domain; "DatuM"


Zweite Mail:

Received:from mail.03.... ([IP Adresse) by mx-ha.web.de (mxweb... [IP Adresse])with ESMTPS (Nemesis) id xxxxxx for <meine Eimail> Datum

Received: from internal.domain; "DatuM"

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Die IP Adresse untesrcheidet beim ersten Server "Mail" lediglich an den letzten Stellen hinterm Punkt - ich gehe davon aus, dass dies der Server ist, von dem die Mails gekommen sind - mx-ha.web.de - ist wohl Web.de und dann an mich - meine E-Mail Adresse, ist das so korrekt?

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

kann ich nicht genau sagen, sorry.

Schau mal:

###

Received: from mailin82.aul.t-online.de ([172.20.26.82]) by ehead21b18.aul.t-online.de (Dovecot) with LMTP id *; Tue, 05 Jan 2021 02:32:26 +0100
Received: from mail.dvdfab.cn ([194.58.115.15]) by mailin82.aul.t-online.de with (TLSv1.2:*SHA384 encrypted) esmtp id 1*; Tue, 5 Jan 2021 02:32:23 +0100
Received: from mail.dvdfab.cn (localhost [127.0.0.1]) by mail.dvdfab.cn (Postfix) with ESMTP id * for <dergrossecharminator@welt.de>; Mon,  4 Jan 2021 20:32:23 -0500 (EST)
Received: from mail.dvdfab.cn ([127.0.0.1]) by mail.dvdfab.cn (mail.dvdfab.cn [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id * for <dergrossecharminator@welt.de>; Mon,  4 Jan 2021 20:32:22 -0500 (EST)

###

Hier schickt also ein Server aus China direkt an meinen T-Online-Server ... und hier ists ok.

Wenn bei Dir der Absender irgendwas von web.de ist dann ist das wohl nicht von einem seriösen Absender .... ne Firma hat ne eigene Domaine und die liegt ganz bestimmt nicht bei web.de oder gmx ;)

 

 

 

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Hallo,

 

kurze Frage (sorry falls ich es überlesen habe und die Frage sich erübrigt hätte) hast du denn eine Mail erwartet von dem Absender? Bzw. steht denn da etwas so wichtiges darin das du sicher gehen musst ob das echt oder eine Phishing Mail ist? 

Oder ist das gerade eine Art Übung für dich damit du deine Awareness ein bisschen verbesserst?

 

Gruß

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Hallo,

nein, der Absender ist nicht web.de - ich glaube das der erst Mailserver - "mail.04..." der Absender ist und die Mail an " by mx-ha.web.de" (ich glaube das ist web.de) gesendet und dann an mich weitergeleitet wurde. Da ich beim überfliegen meines Postfachs festgestellt habe, das wohl viele mails über ..."by mx.ha.web.de" gehen....


Ich hatte normalerweise eine Mail erwartet - mehrere. Aber der dortige Kundendienst, kann sich nicht erklären, wieso ein Link Ihrer Tochterfrima innerhalb der Mail aufgetaucht ist und behauptet - telefonisch - das Sie lediglich 2 Mails automatisiert versendet hätten, ich aber 3 erhalten habe. Das ist alles wirklcih sehr merkwürdig. Obwohl ich den Zufall auch für zu groß halte, dass ich gerade dann eine Fishing Mail erhalte - kurz bevor ich weitere Mails von dort erhalte.


 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

oh Du glücklicher Mensch, der zwei Mails erwartet und drei bekommt :D

Eine Phishing-Mail fordert Dich zur Eingabe von Credentials auf einer gefakten Seite auf. Also wäre in einer solchen ein Link, welcher NICHT auf den Herausgeber der Mail zeigt. Vergiss die ganze Header-Analyse und schau Dir den Link an OHNE drauf zu klicken.

Thats all

 

Nachtrag: Hab den Titel und die Position der Frage mal verschoben ... macht mehr Sinn im Netzwerkbereich ;)

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Hallo, das ist es ja - der Herausgeber der E-Mail ist das "Hauptunernehmen" - der Link jedoch von der Tocheterfirma - unterscheidet sich also. Der Kundendienst behauptet fest, dass beide von einander getrennt agieren - auch was die Server betreffen und den Mailverkehr. Daher könne es nicht sein, dass sich ein dortiger Link befindet. Ich verzeweifel noch - den Link hatte ich ja in der Annahme angeklickt, da ich dachte es wäre korrekt. Die darauffolgende Seite war sehr schlecht gestaltet, was die Optik betrifft. Habe im Verlauf aber noch einmal nachgsehen und es ist 1:1 die Seite, die auch in der EMail angegeben wurde - Ein Downlaod hat auch nicht stattgefunden und nutze Norton - könnte wahnsinnig werden. :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Norton & Co schützen nicht gegen Phishing, das tun nur Zerebralien ;)

 

Also im Zweifel direkt bei der betroffenen Seite anmelden und Kennwort ändern, feddich.

Drauf achten ob Du bei der Firma angeblich was geordert hast und das im Zweifel beanstanden.

Dann machen wir das hier demnächst mal zu

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Habe dort keine Daten auf der Seite eingegeben - lediglich den Link angeklickt und dann die Seite wieder geschlossen. Das ich mir im Hintergrund etwas auf den PC geholt habe, blockt mir das Norton?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gast
Dieses Thema wurde nun für weitere Antworten gesperrt.
 Teilen

Fachinformatiker.de, 2021 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung