Mailanalyse für einen Unwissenden

[Gast KidIkarus]

Hallo liebe Forenmitglieder,

ich bin leider totaler Laie, was das Thema IT betrifft, bin jedoch suchen nach einem Rat, was E-Mails betreffen, bzw. desssen "Header".

Aktuell bin weder ich, noch der Anbieter sich sicher, ob es sich bei Erstem um eine Phising Mail handelt - dies muss noch geprüft werden.

Sind diese beiden E-Mail vom gleichen Absender / Server?

Ausgegeben ist "From"  -wie folgt:

From: =?UTF-8?Q?Gr=C3=BCnwelt_W=C3=A4rmestrom_Kundenservice?=

Bei der anderen Mail:

From: =?UTF-8?Q?Gr=C3=BCnwelt_W=C3=A4rmestrom_Kundenservice?=

Worin besteht der Unterschied zu UTF und CP?

Danke und viele Grüße

[Gast KidIkarus]

 

Ich habe leider 2 x die identische Zeile eingefügt - zweite lautet wie folgt:

From:=?Cp1252?Q?Gr=FCnwelt_W=C3=A4rmestrom_Kundenservice?=

 

 

 

[charmanta]

das ist nur ne Zeichensatzkodierung. Du musst in Deinem Mailprogramm "Volle Header" anzeigen lassen, da steht dann auch die Sendehistorie drin.

Helfen tut auch ein Blick auf einen etwaigen Link, nur Maus drauf aber NICHT klicken. Dann zeigt Dir Dein Mailprogramm das Ziel des LInks

 

Präzise steht CP1252 übrigens für eine CODEPAGE, hier speziell eine von/für Windows und UTF-8 für eine weltweit genormte Codierung (Unicode Transformation Format) ... daraus alleine kannst Du nichts herauslesen

[Gast KidIkarus]

Hallo,

danke für die rückmeldung

Received:from ist bei beiden nahezu identisch, was die Mailadressen betreffen - eine fängt lediglich mit mail03... an, die andere mit mail.04... - Die IP Adressen unterscheiden sich nur bei den letzten 3 Stellen / Zahlen - danach kommt by mx-ha (hier unterscheide. sich die IIP Aderessen ebenfalls bei den letzten Stellen nach, und vor dem letzten Punk ..... und dann for (meine E-Mail)
 

Darunter steht erneut "Received: from internal.domain; Tue, 29 Dec 2020 19:01:16 +0100 "

Kann ich nun davon ausgehen, dass die Mail von dem Server kommt, der ganz oben erwähnt steht und bei dem dahinter die IP in Klammern steht.

Ich hoffe, es ist etwas veständlich. Weiß leider nicht, wieviel Daten ich hier angeben kann, ohne das es mir zum Nachteil wird

danke

[charmanta]

solange Du nicht Deine "received from" schickst poste ruhig. Sonst hab ich ein Auge drauf und anonymisiere das

[Gast KidIkarus]

Danke, aber ist es nicht so, dass man nur anhand der "received from" erkennen kann, woher die Mail kommt? Bzwl können Sie anhand meiner obigen Angaben herauslesen, ob die Mail vom gleichen Server kommen - ober werden dazu noch weitere Daten benötigt?

[Gast KidIkarus]

Was noch zu erwähnen sei, über CMD - nslookup wurde bei IP Eingabe der Mailserver ausgegeben, der auch bei der Info im Headder zu sehen war.

[charmanta]

kommt davon wenn man das nebenbei macht

Stimmt, ich brauche alle received from ... am besten einmal den kompletten Header hier reinstellen. Was soll da passieren ? Wir sehen halt Deine Email-Adresse ... die ist ja vermutlich eh öffentlich, so what

[Gast KidIkarus]

Hallo,

 

sieht ungefähr so aus:

Bei einer Mail:

Received: from mail.04..... ([IP Adresse]) by mx-ha.web.de (mxweb... [IP Adresse])with ESMTPS(Nemesis) id xxxxxxxx for <meine EMail> "Datum".

Received: from internal.domain; "DatuM"

Zweite Mail:

Received:from mail.03.... ([IP Adresse) by mx-ha.web.de (mxweb... [IP Adresse])with ESMTPS (Nemesis) id xxxxxx for <meine Eimail> Datum

Received: from internal.domain; "DatuM"

[Gast KidIkarus]

Die IP Adresse untesrcheidet beim ersten Server "Mail" lediglich an den letzten Stellen hinterm Punkt - ich gehe davon aus, dass dies der Server ist, von dem die Mails gekommen sind - mx-ha.web.de - ist wohl Web.de und dann an mich - meine E-Mail Adresse, ist das so korrekt?

 

[charmanta]

kann ich nicht genau sagen, sorry.

Schau mal:

###

Received: from mailin82.aul.t-online.de ([172.20.26.82]) by ehead21b18.aul.t-online.de (Dovecot) with LMTP id *; Tue, 05 Jan 2021 02:32:26 +0100
Received: from mail.dvdfab.cn ([194.58.115.15]) by mailin82.aul.t-online.de with (TLSv1.2:*SHA384 encrypted) esmtp id 1*; Tue, 5 Jan 2021 02:32:23 +0100
Received: from mail.dvdfab.cn (localhost [127.0.0.1]) by mail.dvdfab.cn (Postfix) with ESMTP id * for <dergrossecharminator@welt.de>; Mon,  4 Jan 2021 20:32:23 -0500 (EST)
Received: from mail.dvdfab.cn ([127.0.0.1]) by mail.dvdfab.cn (mail.dvdfab.cn [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id * for <dergrossecharminator@welt.de>; Mon,  4 Jan 2021 20:32:22 -0500 (EST)

###

Hier schickt also ein Server aus China direkt an meinen T-Online-Server ... und hier ists ok.

Wenn bei Dir der Absender irgendwas von web.de ist dann ist das wohl nicht von einem seriösen Absender .... ne Firma hat ne eigene Domaine und die liegt ganz bestimmt nicht bei web.de oder gmx

 

 

 

 

 

[itzzshiro]

Hallo,

 

kurze Frage (sorry falls ich es überlesen habe und die Frage sich erübrigt hätte) hast du denn eine Mail erwartet von dem Absender? Bzw. steht denn da etwas so wichtiges darin das du sicher gehen musst ob das echt oder eine Phishing Mail ist? 

Oder ist das gerade eine Art Übung für dich damit du deine Awareness ein bisschen verbesserst?

 

Gruß

[Gast KidIkarus]

Hallo,

nein, der Absender ist nicht web.de - ich glaube das der erst Mailserver - "mail.04..." der Absender ist und die Mail an " by mx-ha.web.de" (ich glaube das ist web.de) gesendet und dann an mich weitergeleitet wurde. Da ich beim überfliegen meines Postfachs festgestellt habe, das wohl viele mails über ..."by mx.ha.web.de" gehen....

Ich hatte normalerweise eine Mail erwartet - mehrere. Aber der dortige Kundendienst, kann sich nicht erklären, wieso ein Link Ihrer Tochterfrima innerhalb der Mail aufgetaucht ist und behauptet - telefonisch - das Sie lediglich 2 Mails automatisiert versendet hätten, ich aber 3 erhalten habe. Das ist alles wirklcih sehr merkwürdig. Obwohl ich den Zufall auch für zu groß halte, dass ich gerade dann eine Fishing Mail erhalte - kurz bevor ich weitere Mails von dort erhalte.

 

 

[charmanta]

oh Du glücklicher Mensch, der zwei Mails erwartet und drei bekommt

Eine Phishing-Mail fordert Dich zur Eingabe von Credentials auf einer gefakten Seite auf. Also wäre in einer solchen ein Link, welcher NICHT auf den Herausgeber der Mail zeigt. Vergiss die ganze Header-Analyse und schau Dir den Link an OHNE drauf zu klicken.

Thats all

 

Nachtrag: Hab den Titel und die Position der Frage mal verschoben ... macht mehr Sinn im Netzwerkbereich

 

[Gast KidIkarus]

Hallo, das ist es ja - der Herausgeber der E-Mail ist das "Hauptunernehmen" - der Link jedoch von der Tocheterfirma - unterscheidet sich also. Der Kundendienst behauptet fest, dass beide von einander getrennt agieren - auch was die Server betreffen und den Mailverkehr. Daher könne es nicht sein, dass sich ein dortiger Link befindet. Ich verzeweifel noch - den Link hatte ich ja in der Annahme angeklickt, da ich dachte es wäre korrekt. Die darauffolgende Seite war sehr schlecht gestaltet, was die Optik betrifft. Habe im Verlauf aber noch einmal nachgsehen und es ist 1:1 die Seite, die auch in der EMail angegeben wurde - Ein Downlaod hat auch nicht stattgefunden und nutze Norton - könnte wahnsinnig werden.

[charmanta]

Norton & Co schützen nicht gegen Phishing, das tun nur Zerebralien

 

Also im Zweifel direkt bei der betroffenen Seite anmelden und Kennwort ändern, feddich.

Drauf achten ob Du bei der Firma angeblich was geordert hast und das im Zweifel beanstanden.

Dann machen wir das hier demnächst mal zu

[Gast KidIkarus]

Habe dort keine Daten auf der Seite eingegeben - lediglich den Link angeklickt und dann die Seite wieder geschlossen. Das ich mir im Hintergrund etwas auf den PC geholt habe, blockt mir das Norton?

[charmanta]

Tools blocken alle bekannten ! Angriffe. Zu 95% bist Du sicher ... aber NIE komplett sicher.

[charmanta]

.... waren seine letzten Worte. Ich schliesse mal den Thread