E-mail Header analysieren

[novaca!ne]

Nichts besonderes, ne Kleinigkeit die aber dem ein oder anderen hilfreich sein kann.


Von meinem post aus J0hn.X3r.org.
Englische version:
novaca!ne.biz � Information Gathering Part 2: Email header analysis


Sup,
In meinem ersten post bei J0hn.X3r schreibe ich was über mail Header Analysis und welche Informationen man aus einer empfangenen E-mail auslesen kann.

1. Wie kriegt man diese daten zu sehen?

Dafür muss dein gmx oder gmail account in einem mail Programm wie Thunderbird, auf dem PC eingerichtet sein.
Ich Persönlich nutze Thunderbird:
E-mail markieren > Ansicht > Nachrichten-Quelltext
oder
E-mail markieren > Strg+U
Bei jedem E-Mail Programm ist es unterschiedlich wie man an den E-mail Header ran kommt,
aber ein Programm verändert nichts am E-mail Header, der bleibt bei jedem Programm gleich.

2. Wie sieht so ein E-mail header aus?

Montaxx war so freundlich und hat mir eine E-mail geschickt, die ich hier als “Versuchsobjekt” benutzen kann.

From - Thu Mar 11 20:06:14 2010
X-Account-Key: account2
X-UIDL: UID3-1267740838
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path: <montaxx@web.de>
Envelope-to: novacaine@oleco.net
Received: from fmmailgate03.web.de ([217.72.192.234])
by cn04.oleco.net with esmtp (Exim 4.69)
(envelope-from <montaxx@web.de>)
id 1Npnhh-000IxY-FP
for novacaine@oleco.net; Thu, 11 Mar 2010 20:05:53 +0100
Received: from smtp06.web.de (fmsmtp06.dlan.cinetic.de [172.20.5.172])
by fmmailgate03.web.de (Postfix) with ESMTP id 67A60143B1596
for <novacaine@oleco.net>; Thu, 11 Mar 2010 20:05:09 +0100 (CET)
Received: from [12.345.67.89] (helo=[192.168.1.100])
by smtp06.web.de with asmtp (TLSv1:AES256-SHA:256)
(WEB.DE 4.110 #314)
id 1Npngy-0006RN-00
for novacaine@oleco.net; Thu, 11 Mar 2010 20:05:08 +0100
Message-ID: <4B993EE6.7080704@web.de>
Date: Thu, 11 Mar 2010 20:05:10 +0100
From: montaxx <montaxx@web.de>
User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)
MIME-Version: 1.0
To: novacaine@oleco.net
Subject: Kostenlose =?ISO-8859-15?Q?Penisverl=E4ngerung?=
Content-Type: text/plain; charset=ISO-8859-15; format=flowed
Content-Transfer-Encoding: 7bit
Sender: montaxx@web.de
X-Sender: montaxx@web.de
X-Provags-ID: V01U2FsdGVkX19CYzu4/AFWSFIJvYkOC/wqBg5tdVIQraa4qAVT
7yZOSya/AG1SQ1uObm45gu+bYIFd0bWqfL/BYvUztoDDbE4Kx7
b0jZs0Y4U=
X-Spam-Score: 0.2
X-Spam-Report: 0.2 MR_NOT_ATTRIBUTED_IP Beta rule: an non-attributed IPv4 found in
headers
0.6 J_CHICKENPOX_12 BODY: 1alpha-pock-2alpha
-2.6 BAYES_00 BODY: Bayesian spam probability is 0 to 1%
[score: 0.0000]
2.0 RATWR10_MESSID Message-ID has ratware pattern (HEXHEX.HEXHEX@)
0.0 NO_RDNS2 Sending MTA has no reverse DNS

hi n0va von Thunderbird

3. Was bedeuten diese Daten?

From - Thu Mar 11 20:06:14 2010
Empfangsdatum + Uhrzeit, erklärt sich von selbst.

X-UIDL: UID3-1267740838
Steht für (unique identifier listing), damit vermeidet der Client bereits kopierte E-mails nochmal zu laden.

Return-path: <montaxx@web.de>
An diese Adresse wird bei einer antwort gesendet (kann sich von der Sender E-mail unterscheiden).

Envelope-to: novacaine@oleco.net
Empfänger

Received: from fmmailgate03.web.de ([217.72.192.234])
by cn04.oleco.net with esmtp (Exim 4.69)
(envelope-from <montaxx@web.de>)
id 1Npnhh-000IxY-FP
for novacaine@oleco.net; Thu, 11 Mar 2010 20:05:53 +0100
Der Empfänger Mailserver cn04.oleco.net hat vom Sender Mailserver fmmailgate03.web.de, (IP Adresse 217.72.192.234) am 11. März 2010 um 20:05:53 Uhr die E-mail erhalten.
+0100 Steht für die Zeitzone des Empfänger Servers. esmtp steht für das Protokoll(erweiterung) womit diese E-mail übertragen wurde.

Received: from smtp06.web.de (fmsmtp06.dlan.cinetic.de [172.20.5.172])
by fmmailgate03.web.de (Postfix) with ESMTP id 67A60143B1596
for <novacaine@oleco.net>; Thu, 11 Mar 2010 20:05:09 +0100 (CET)
Hier sieht man den smtp server und ein paar weitere Informationen.

Received: from [12.345.67.89] (helo=[192.168.1.100])
by smtp06.web.de with asmtp (TLSv1:AES256-SHA:256)
(WEB.DE 4.110 #314)
id 1Npngy-0006RN-00
for novacaine@oleco.net; Thu, 11 Mar 2010 20:05:08 +0100
Dort wo[12.345.67.89] steht, müsste eigentlich die IP Adresse des Senders stehen (wurde zensiert). Des weiteren sieht man das der Sender Server das asmtp Protokoll nutzt.
Meine E-mail, also die Empfänger E-mail Adresse ist auch sichtbar mitsamt Datum wann die Mail ankam.

Message-ID: <4B993EE6.7080704@web.de>
Date: Thu, 11 Mar 2010 20:05:10 +0100
Die Message-ID ist eine Art Seriennummer für E-mails, Damit lässt sich eine E-mail unmissverständlich identifizieren. Datum erklärt sich auch wieder von selbst.

From: montaxx <montaxx@web.de>
User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)
Hier sieht man wieder Die Sender E-mail Adresse.
Darunter befinden sich weitere interessante Details über den Sender, er benutzt Thunderbird version 2.0.0.23 mit dem Betriebsystem Windows.

Die zahlen hinten sehen aus wie ein Datum, wahrscheinlich nutzt der Sender Windows 7.

Subject: Kostenlose =?ISO-8859-15?Q?Penisverl=E4ngerung?=
Content-Type: text/plain; charset=ISO-8859-15; format=flowed
Content-Transfer-Encoding: 7bit
Hinter Subject: befindet sich der angegebene Betreff der E-mail umlaute werden umgewandelt.
Content-Type: sagt das der eigentliche Inhalt der E-mail aus reinem Text besteht mit dem Zeichensatz charset=ISO-8859-15.

hi n0va von Thunderbird
Der eigentliche, sichtbare Inhalt der E-mail, das was Montaxx mir bewusst geschrieben hat.

Es gibt im Internet einige tools die einem bei der E-mail Header Analyse helfen:
Email Header Analyzer, RFC822 Parser - MxToolbox
Error: There do not appear to be any valid IP addresses in the headers you submitted. Please try again.

Einfach den E-mail Header rein kopieren und es sich tabellarisch ausgeben lassen.

Weitere Informationen:
FAQs: E-Mail-Header lesen und verstehen
Header (E-Mail) – Wikipedia

4. Was kann man mit diesen Daten anfangen?

Angreifer nutzen diese Informationen um sich ein Bild vom (Ziel)netzwerk zu machen und es besser verstehen können (Stichwort: information gathering, network mapping).
Manche Websites nutzen ihre eigenen POP und SMTP Server, somit vergrößert sich die Angriffsfläche.
Wenn z.b. der POP Server schlecht gesichert ist oder eine veraltete Software darauf läuft, dann wird es gefährlich für den Betreiber.
Anderes Szenario:
Die Domain der Website von Person A hat eine whois protection, aber Person A nutzt eine Private E-mail Adresse, der POP Server wurde auf seinen echten Namen registriert.
Der Angreifer Person X will den echten namen von Person A herausfinden. Er kontaktiert Person A mit einer E-mail auf die Person A antworten “muss”, z.B.:

Schicke Seite, wie lange hast du dafür gebraucht? Antworte plz.

Person A antwortet auf diese E-mail und sendet damit Informationen über seinen POP Server, Angreifer X macht eine whois abfrage und sieht den echten Namen von Person A.

FIN

Ich hoffe ich konnte hier einen informativen Beitrag leisten.

Visit me at:
www.novacaine.biz
Mfg, n0va

[EpicByte]

Sehr gut strukturiert erklärt

[The_Fury]

Schließe mich Jonso an, endlich mal etwas interessantes im ggs. zu dem Großteil hier.

MfG Fury