nicht angemeldet
Wer kennt sich mit Email Headern aus?
Guten Tag,
es sieht ganz so aus als hätten wir uns in unserem Firmennetzwerk einen Virus eingefangen, der in unserem Namen Email verschickt.
Ich sitze hier an einem Rechner auf dem der Ken proxy läuft.
Wie kann ich nun herausfinden ob diese Emails wirklich von uns stammen oder ob uns jemand veräppelt.
Ich habe den Header mal angehangen.
Wie kann ich auf Windows xp unserer IP herausfinden?
Danke
Received: from maildir.nt.net (rad3.nt.net [209.226.51.11]) by
rly-xh06.mx.aol.com (v97.10) with ESMTP id MAILRELAYINXH66-7103fcf374232b;
Thu, 04 Dec 2003 08:31:47 -0500
Received: from ns4.nt.net (mx0.nt.net [209.226.51.150])
by maildir.nt.net (8.12.10/8.12.10) with ESMTP id hB4DU93P010040
for <donald_routt@aol.com>; Thu, 4 Dec 2003 08:30:09 -0500
Received: (from root@localhost)
by ns4.nt.net (8.12.8/8.12.6) id hB4DKQIu015217
for <donald_routt@aol.com>; Thu, 4 Dec 2003 08:20:26 -0500
Received: from schoenau.org (HS196-230-232.nt.net [209.196.230.232] (may
be forged))
by ns4.nt.net (8.12.8/8.12.6) with ESMTP id hB4DJm6f014440;
Thu, 4 Dec 2003 08:20:19 -0500
Message-ID: 65f701c3ba6a$1ad38858$f4e01b54@pjfvwuc
From: "Ferdinand Lopinski" <f.lopinski_ga@dentona.de>
To: donald_routt@aol.com, donald_roy_clark@aol.com, donald_rutter@aol.com,
donald_s_berman@aol.com
Subject: valium now ldhjntbhmmsvkbwbtfmwcnxqon
Date: Thu, 04 Dec 2003 13:31:32 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_09F6_85B845A2.3E045FEB"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-AOL-IP: 209.226.51.11
X-AOL-SCOLL-SCORE: 1:XXX:XX
X-AOL-SCOLL-URL_COUNT: 1
-
Hi,
es sieht ganz so aus als hätten wir uns in unserem Firmennetzwerk einen Virus eingefangen, der in unserem Namen Email verschickt.
der Virus kann auch bei jemand anders siztzen, der "euch" in seinem Adressbuch hat.
Wie kann ich nun herausfinden ob diese Emails wirklich von uns stammen oder ob uns jemand veräppelt.
Der unterste Received-Header ist der interessante.
Wie kann ich auf Windows xp unserer IP herausfinden?
ipconfig
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Hi,
der Virus kann auch bei jemand anders siztzen, der "euch" in seinem Adressbuch hat.
Ja aber bei uns gibt es keinen Ferdinand Lopinsky.
Und es sieht so aus als käme die Email zu uns zurück.
Sie hat einen Anhang(Text Datei mit Routing Failure.)Der unterste Received-Header ist der interessante.
Also ich habe mal mit ipcfg geschaut aber unsere IP ist daraus nicht ersichtlich.
Windows 2000-IP-Konfiguration
Ethernetadapter "Intranet":
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 150.150.150.3
Subnetzmaske. . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . :Ethernetadapter "AVM_Ken":
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.114.254
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.114.1Welche erste received meinst du?
Received: from schoenau.org (HS196-230-232.nt.net [209.196.230.232] (may
be forged))
by ns4.nt.net (8.12.8/8.12.6) with ESMTP id hB4DJm6f014440;
Habe gerade mal unsere Pop server angepingt, sie lautet:
212.227.15.149
Also kommt die nun von uns?
Danke
-
Hello,
Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 150.150.150.3
Subnetzmaske. . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . :War da ein Weppdessainer am Werk oder ein EDV-Fachmann[tm] ?
-
-
Wie kann ich nun herausfinden ob diese Emails wirklich von uns stammen oder ob uns jemand veräppelt.
Der unterste Received-Header ist der interessante.
NACK. Hier ist nur der oberste Received-Header interessant, die da drunter liegen sind alle gefälscht, wie man bei einem Blick auf die IPs leicht sehen kann.
Der Virus wurde direkt eingeliefert, ohne Umweg über andere Mailserver.saulus
-
Hallo,
NACK. Hier ist nur der oberste Received-Header interessant, die da drunter liegen sind alle gefälscht, wie man bei einem Blick auf die IPs leicht sehen kann.
Der Virus wurde direkt eingeliefert, ohne Umweg über andere Mailserver.Der Oberste?
Ich dachte man liest die von unten nach oben?
Und woran erkennst Du das die gefälscht sind ?
Du meinst also der Virus liegt bei uns ?Danke
-
-
-
Guten Tag,
From: "Ferdinand Lopinski" <f.lopinski_ga@dentona.de>
Das ist die Crux. Wenn der MTA den korrekten RFC Syntax bei
mail from:
nicht checkt, kann jeder einen gefaked'en Absender verwenden.Erwin
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?-
Guten Tag,
Das ist die Crux. Wenn der MTA den korrekten RFC Syntax bei
mail from:
nicht checkt, kann jeder einen gefaked'en Absender verwenden.Was heißt das auf Deutsch ?
Danke
-
moin!
Was heißt das auf Deutsch ?
wenn der Mail Address Translation Server (Dienst) nicht überprüft ob die emailadresse zum "server" gehört kann jeder mit jeder beliebigen adreses mails verschicken.
tschau
-
Hallo,
wenn der Mail Address Translation Server (Dienst) nicht überprüft ob die emailadresse zum "server" gehört kann jeder mit jeder beliebigen adreses mails verschicken.
Danke für Theoriestunde.
Ich wollte eigentlich nur rausfinden, ob die Email von uns stammt und nicht welche received Zeile gefälscht ist oder die Qualität des Mail Servers.Kann mit niemand sagen wie ich schnell herausfinden kann, ob das Problem bei uns liegt oder nicht ?
Danke
-
moin!
Kann mit niemand sagen wie ich schnell herausfinden kann, ob das Problem bei uns liegt oder nicht ?
lösche outlook!!!
schau nach welche porgramme als prozess im hintergrund laufen (auf allen rechner) und solltest du etwas abnormales entdecken versuche es zu identifizieren bzw. zu eliminieren.
nimm nen virenscanner (wenns nen virus ist) und lass ihn durchs netzwerk laufen. wenn er was findet dann weisste mehr, wenn nicht auch!
tschau
-
Hallo Juergen,
Kann mit niemand sagen wie ich schnell herausfinden kann, ob das Problem bei uns liegt oder nicht ?
Davon ausgehend, dass die Header-Zeilen der E-Mail nicht gefaelscht sind, hilft dir bei der Loesung des Problems sicher diese Seite:
http://sites.inka.de/ancalagon/faq/headerfaq.php3Gruesse
Torsten--
Feed your ears: http://www.siechfreds-welt.de/sixfeetunder.shtml
-
-
-
-
-
hi,
Von MTA ns4.nt.net angenommener Absender: root@localhost (hat MTA durchgehen lassen, Fehler bei ns4.nt.net)
in mail from: stand
mail from: "Ferdinand Lopinski" <f.lopinski_ga@dentona.de>
Fehler vom MTA, das darf nicht durchgehen, RFC822 nicht geprüft.Recipient: donald_routt@aol.com
Received: from maildir.nt.net (rad3.nt.net [209.226.51.11]) by
rly-xh06.mx.aol.com (v97.10) with ESMTP id MAILRELAYINXH66-7103fcf374232b;
Thu, 04 Dec 2003 08:31:47 -0500Der MTA der ausliefert:
rly-xh06.mx.aol.com <- maildir.nt.netReceived: from ns4.nt.net (mx0.nt.net [209.226.51.150])
by maildir.nt.net (8.12.10/8.12.10) with ESMTP id hB4DU93P010040
for <donald_routt@aol.com>; Thu, 4 Dec 2003 08:30:09 -0500Der nächste MTA der die Mail bekommt:
maildir.nt.net <- by ns4.nt.netReceived: (from root@localhost)
by ns4.nt.net (8.12.8/8.12.6) id hB4DKQIu015217
for <donald_routt@aol.com>; Thu, 4 Dec 2003 08:20:26 -0500Der erste MTA der die Mail bekommt: by ns4.nt.net <- Dial In Rechner
Received: from schoenau.org (HS196-230-232.nt.net [209.196.230.232] (may
be forged))
by ns4.nt.net (8.12.8/8.12.6) with ESMTP id hB4DJm6f014440;Der Rechner auf dem die Mail erstellt wurde mit IP Adresse vom Dial In und Dial In Name (Einwähler)
From: "Ferdinand Lopinski" <f.lopinski_ga@dentona.de>
Wie schon gesagt: gefälscht. Ein Mail Transfer Agent darf sowas nicht duchlassen.
Erwin
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?