home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
ftp.pasteur.org/FAQ/
/
ftp-pasteur-org-FAQ.zip
/
FAQ
/
de-net-abuse
/
email-header-faq
next >
Wrap
Text File
|
2004-05-15
|
65KB
|
1,482 lines
Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!newsswitch.lcs.mit.edu!newsfeed.mathworks.com!nnx.oleane.net!oleane!freenix!skynet.be!news.csl-gmbh.net!newsfeed.stueberl.de!uucp.gnuu.de!xerxes.akallabeth.de!not-for-mail
From: Thomas Hochstein <faq@usenet.th-h.de>
Newsgroups: de.admin.net-abuse.mail,de.answers,news.answers
Subject: [FAQ] E-Mail-Header lesen und verstehen <2003-11-08>
Supersedes: <headerfaq-1-1081980601@xerxes.akallabeth.de>
Followup-To: de.admin.net-abuse.mail
Date: Fri, 14 May 2004 22:10:01 +0000
Organization: Ancalagon The Black
Lines: 1447
Approved: news-answers-request@MIT.EDU
Expires: 18 Jun 04 22:10:00 -0000
Message-ID: <headerfaq-1-1084572600@xerxes.akallabeth.de>
NNTP-Posting-Host: xerxes.akallabeth.de
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
X-Trace: xerxes.akallabeth.de 1084572602 19092 10.0.0.9 (14 May 2004 22:10:02 GMT)
X-Complaints-To: abuse@akallabeth.de
NNTP-Posting-Date: 14 May 2004 22:10:02 GMT
Summary: Dieses Dokument beschreibt / erklaert E-Mail-Headerzeilen
und gibt Hinweise zur Rueckverfolgung unerwuenschter Mail.
German language only.
X-PGP-Sig: 2.6.3ia From,Newsgroups,Subject,Supersedes,Followup-To,Date,Approved,Message-ID
iQCVAwUBQKVDueLKwJmCdsuZAQEOyAP/WQ511ZydoiaAJ4nUQfnwEAM5uy0a4WHc
LxH8Ac8uo93tTUnVgL4okccdrvKgw14yEJe/uUaEPAdWMDVn/yjLApeAv5GByEE2
4Lh2KUDXJRaoUFNWua+d0kWbyQm4uFaqig3ktHSSCqdb01quuGukD8+rfSvrS+nr
6yqMwV8ywN0=
=i5ie
Content-Language: de
X-Disclaimer: Approval for *.answers is based on form, not content.
Content-Location: http://www.th-h.de/faq/headerfaq.html
X-PGP-Key: faq@usenet.th-h.de
Xref: senator-bedfellow.mit.edu de.answers:10479 news.answers:271282
Posted-By: auto-faq 3.3.thh (Perl 5.006)
Archive-name: de-net-abuse/email-header-faq
Last-modified: 2003-11-08
Version: 1.2.09
Posting-frequency: monthly
URL: http://www.th-h.de/faq/headerfaq.html
FAQ: E-Mail-Header lesen und verstehen
======================================
Letzte ─nderungen
=================
2004-02-27: Punkt 6 ergΣnzt (Mozilla, Webmail).
2004-01-30: Punkt 7 ⁿberarbeitet.
2003-11-08: Punkt 6 ergΣnzt (Mozilla, Webmail).
2003-08-10: Punkt 6 ergΣnzt (Mozilla).
2003-05-29: Punkt 6 ergΣnzt (Lotus Notes 6).
2003-05-15: Punkt 2.1.1 ⁿberarbeitet.
2003-05-15: Punkt 3.3.2 ergΣnzt (VerfΣlschungen im HELO).
2003-03-14: Punkt 6 ergΣnzt (T-Online E-Mail).
2003-03-02: Punkt 6 aktualisiert (The Bat!).
Inhalt:
=======
1. Vorwort
2. Aufbau und Zustellung einer E-Mail
2.1 SMTP-Envelope
2.2 Header
2.3 Body
2.4 Vorgehen bei der Zustellung
3. E-Mail-Headerzeilen im einzelnen
3.1 Anschrift, Absender u. Verwandtes - kurz: der Briefkopf
3.2 "Technische" Angaben
3.3 "Zustellvermerke": den Weg einer E-Mail nachvollziehen
3.4 Spezielle Headerzeilen
4. Hilfreiche Tools fⁿr die Headeranalyse
4.1 nslookup (host/dig)
4.2 whois
4.3 traceroute
4.4 Programmpakete und Bezugsquellen
4.5 Finger-Gateway auf info.belwue.de
4.6 Online-Tools
4.7 abuse.net
4.8 Blacklists auswerten
5. Beschwerden ⁿber unerwⁿnschte Massen-E-Mail
5.1 Wo kann ich mich beschweren?
5.2 Wie beschwere ich mich?
6. Headerzeilen anzeigen lassen
6.1 Mailclients
6.2 Webmail
7. Weiterfⁿhrende Hinweise
8. Credits
----------------------------------------------------------------------
1. Vorwort
==========
Zweck dieser FAQ ist es, grundlegende Informationen ⁿber den Aufbau
einer Internet-E-Mail [1] und die Bedeutung der einzelnen Headerzeilen
("Kopfzeilen") zu vermitteln, um insbesondere den Weg einer E-Mail
zurⁿckzuverfolgen, den Absender bzw. die beteiligten Mailserver
herauszufinden und sich bei unerwⁿnschter Massen-E-Mail (Bulkmail oder
UBE/UCE [2]) oder anderen unerwⁿnschten Zusendungen gezielt an den
richtigen Stellen beschweren zu k÷nnen.
Nicht beabsichtigt ist eine Zusammenstellung der standardisierten
und/oder allgemein ⁿblichen Headerzeilen und ihrer Bedeutung [3] oder
eine genaue technische Definition der jeweils erlaubten Inhalte [4]
(vielleicht noch einschlie▀lich der hΣufigsten Verst÷▀e dagegen durch
weitverbreitete Mailprogramme ;-)). Dafⁿr existieren bereits
entsprechende Quellen, vgl. dazu Abschnitt 7.
Nicht beabsichtigt sind ebenfalls weitergehende Hinweise zum Thema
Bulkmail, UBE/UCE oder "Spam", denkbaren Gegenma▀nahmen usw. usf. Auch
hierzu gibt es bereits spezialisierte Quellen, die in Abschnitt 7
dieser FAQ aufgefⁿhrt sind. Namentlich die dort genannte FAQ von
de.admin.net-abuse.mail sei jedem Interessierten dringend ans Herz
gelegt.
Korrekturen, ErgΣnzungshinweise und VerbesserungsvorschlΣge nimmt der Autor
gerne entgegen (<mailto:faq@usenet.th-h.de>).
[1] wie in RFC 2822 definiert (URL: <http://www.faqs.org/rfcs/rfc2822.html>)
[2] UBE: unsolicited bulk e-mail, unverlangte Massen-E-Mail
UCE: unsolicited commercial e-mail, unverlangte kommerzielle E-Mail
[3] RFC 2076: "Common Internet Message Headers"
(URL: <http://www.faqs.org/rfcs/rfc2076.html>)
[4] RFC 2822: "Internet Message Format"
(URL: <http://www.faqs.org/rfcs/rfc2822.html>)
----------------------------------------------------------------------
2. Aufbau und Zustellung einer E-Mail
=====================================
Eine E-Mail besteht aus mehreren Teilen. Wenn man den Vergleich mit
einem konventionellen Brief suchen m÷chte, k÷nnte man sagen, es gibt
einen Umschlag (den sog. "SMTP-Envelope"), einen Briefkopf (den sog.
"Header" oder die "Kopfzeilen") und den eigentlichen Brieftext oder
-inhalt (den sog. Body).
2.1 SMTP-Envelope [5]
Diesen "Umschlag" bekommt der Nutzer im Normalfall nicht zu sehen;
eigentlich gibt es ihn auch gar nicht wirklich. Man bezeichnet so die
fⁿr die Zustellung einer E-Mail relevanten Informationen, die einem
Mailserver (also dem fⁿr den Versand und Empfang von E-Mail
zustΣndigen Computerprogramm) beim Versand vor der eigentlichen E-Mail
ⁿbergeben werden. Diese Informationen gehen beim Einsortieren ins
Postfach des EmpfΣngers normalerweise verloren, ganz analog zu einem
konventionellen Briefumschlag, der in der Poststelle einer Firma
ge÷ffnet und dann weggeworfen wird. Nur sein Inhalt, der Briefbogen
(also Header und Body der Mail), erreicht den EmpfΣnger.
Glⁿcklicherweise werden die Daten aus dem "Umschlag" oft aber -
zumindest teilweise - in den Header der E-Mail ⁿbernommen, so da▀ man
den Inhalt des Umschlags nachvollziehen kann.
Die Daten fⁿr den Umschlag erhΣlt ein Mailserver ganz zu Anfang der
Verbindungsaufnahme mit dem Einlieferer; diese Verbindung wird als
SMTP-Dialog [5] bezeichnet, also als Dialog zwischen den beteiligten
Mailservern, die sich dabei am "Simple Mail Transfer Protocol"
orientieren. SMTP ist wie die meisten derzeit (auch) im Internet
verwendeten Kommunikationsprotokolle menschenlesbar, besteht also aus
festgelegten (englischen) Schlⁿsselworten oder Befehlen, die in
bestimmter Folge verwendet werden. Dabei stellt der einliefernde
Server sich vor (mittels HELO/EHLO [6]), gibt den Absender an
("Envelope-From") und nennt den oder die EmpfΣnger ("Envelope-To").
Danach folgt nach dem Kommando "DATA" der Briefbogen, also die E-Mail
mit Headern und Body. Ein einzelner Punkt alleine auf einer Zeile
signalisiert, da▀ die E-Mail fertig ⁿbertragen ist. Jetzt wird der
empfangende Mailserver sie den genannten EmpfΣngern entweder ins
Postfach stecken (wenn sie schon "am Ziel" ist), oder, falls n÷tig, an
einen anderen Server weiterleiten, wenn er selbst fⁿr einen EmpfΣnger
nicht zustΣndig ist, dessen Postfach also anderswo liegt.
Die Angabe des einliefernden Servers nach "HELO" wird dabei weder
ⁿberprⁿft noch hat sie heutzutage besondere Bedeutung. Der Absender auf
dem Umschlag, d.h. der Envelope-From, wird fⁿr die Generierung von
Fehlermeldungen u.Σ. verwendet, wenn die E-Mail bspw. unzustellbar ist.
Der oder die EmpfΣngerangaben im Envelope-To werden zur Zustellung
benutzt.
Ein Beispiel eines solchen Dialogs sei im Folgenden dargestellt (in der
obersten Zeile jeweils der sendende Mailserver, darunter die Antwort des
empfangenden):
2.1.1 Die Vorstellung (HELO)
Der Dialog beginnt damit, dass der sendende Mailserver (oder der
Mailclient) Kontakt mit dem empfangenden aufnimmt, worauf dieser sich
zunΣchst meldet:
220
Darauf folgt dann die eigentliche Vorstellung und Begrⁿ▀ung:
| HELO ancalagon.rhein-neckar.de
| 250 pri.owl.example Hello ancalagon.rhein-neckar.de [193.197.90.30],
| pleased to meet you
Der sendende Mailserver stellt sich vor ("HELO.."), der empfangende
antwortet ("Hello ..., pleased to meet you"). Entscheidend sind dabei fⁿr
die Rechner nur der Statuscode (250), nicht der Text; dieser kann frei
gewΣhlt werden.
Wichtig: Der sendende Mailserver kann ⁿber seinen Namen "lⁿgen"; deshalb
schaut der EmpfΣnger-Server zumeist nach, wer denn wirklich da gerade mit
ihm "redet", und merkt sich die sog. IP-Nummer des Einlieferers (hier
193.197.90.30). Dies ist eine eindeutige Nummer, mit der man jeden am
Internet teilnehmenden Rechner identifizieren kann. Durch eine Abfrage
beim DNS (Domain Name Server/Service) lΣ▀t sich diese Nummer dann wieder
in einen Rechnernamen rⁿckⁿbersetzen; hΣufig tut das der Mailserver auch
direkt selbst und ⁿbersetzt die Nummer in einen Namen. Nicht immer ist
eine solche Rⁿckaufl÷sung allerdings konfiguriert, und es ist m÷glich,
auch hier eine falsche FΣhrte zu legen. [7] Verlassen kann man sich daher
nur auf die IP-Adresse; diese lΣ▀t sich einem bestimmten Provider (oder
einer Firma oder Institution) zuordnen, und dieser Provider wiederum
sollte sie seinerseits einem bestimmten Rechner oder Kunden zuordnen
k÷nnen. Zu beachten ist dabei, da▀ IP-Nummer schon lange ein zu knappes
Gut sind, um jedem Kunden permanent eine Nummer zuzuordnen. Sie werden
daher hΣufig dynamisch vergeben, das hei▀t einem bestimmten Rechner immer
nur fⁿr die Dauer einer Online-Sitzung zugewiesen. Da die entsprechenden
Log-Dateien nach einer gewissen Zeit gel÷scht werden, ist es notwendig,
sich zeitnah an den betreffenden Provider zu wenden. Mehr Hinweise dazu
finden Sie weiter unten in Abschnitt 5.
2.1.2 Absender- und EmpfΣngerangabe
| MAIL FROM:<heinz-gustav@ancalagon.rhein-neckar.de>
| 250 <heinz-gustav@ancalagon.rhein-neckar.de>... Sender ok
| RCPT TO:<karl-heinz@owl.example>
| 250 <karl-heinz@owl.example>... Recipient ok
Der Sender gibt die Absenderadresse an, der EmpfΣnger bestΣtigt;
gleiches gilt fⁿr die Empfangsadresse. Die Absenderadresse kann auch
hier "gelogen" sein und lΣ▀t sich nicht definitiv nachprⁿfen; statt nur
eines EmpfΣngers k÷nnen auch (nahezu) beliebig viele angegeben werden,
indem die RCPT-TO:-Angabe entsprechend wiederholt wird.
| DATA
| 354 Enter mail, end with "." on a line by itself
Der "Umschlag" ist fertig, jetzt kommt der Briefbogen, bestehend aus
Header und Body.
[5] SMTP steht fⁿr "Simple Mail Transfer Protokol", den derzeit
ⁿblichen Standard, nach dem E-Mail im Internet zwischen
verschiedenen Servern ausgetauscht wird.
Siehe dazu den RFC 2821: "Simple Mail Transfer Protocol"
(URL: <http://www.faqs.org/rfcs/rfc2821.html>)
[6] Auf HELO folgt der eigene Rechnername, bei EHLO zusΣtzlich noch
Parameter, die angeben, welche erweiterten Funktionen der Mailserver
beherrscht.
[7] Die Rⁿckaufl÷sung (aus der Nummer zum Namen) mu▀ nicht mit der
ⁿblicherweise verwendeten VorwΣrtsaufl÷sung (aus dem Namen zur Nummer;
notwendig, um bspw. aus dem Servernamen "www.provider.example" die
dazugeh÷rige IP-Adresse zu erfahren und den Server ansprechen zu
k÷nnen) konsistent sein. Ein b÷swilliger Anbieter "a-provider.example", der
fⁿr den Server mit der IP-Nummer 193.197.90.30 zustΣndig ist, k÷nnte
in der RⁿckwΣrtsaufl÷sung mit dieser Nummer den Namen des Mailservers
seines Konkurrenten, "mail.b-provider.example" verbinden, auch wenn
umgekehrt die Eingabe von "mail.a-provider.example" vorwΣrts zu der Nummer
193.197.90.30 fⁿhrt und "mail.b-provider.example" eine ganz andere IP-
Adresse ergibt. So k÷nnen die Kunden jeweils mit der Angabe des Namens
auf den richtigen Server zugreifen, weil sie zu dem Namen die korrekte
IP-Nummer geliefert bekommen; wenn jedoch "mail.a-provider.example" mit der
Nummer 193.197.90.30 sich mit irgendeinem anderen Server verbindet,
wird dieser sowohl die IP-Nummer als auch den mit der Nummer
verbundenen (falschen!) Namen "mail.b-provider.example" registrieren.
2.2 Header
Der Header einer E-Mail bildet sozusagen den Briefkopf, dem man bspw.
Absender, EmpfΣnger, Datum und Betreff entnehmen kann. Wichtig dabei:
diese Angaben sind einerseits v÷llig beliebig durch den Absender
einstellbar, andererseits mⁿssen sie nicht mit den Angaben im Umschlag
ⁿbereinstimmen. Man kann also, um im Bild zu bleiben, den Briefbogen an
<donald.duck@entenhausen.example> adressieren, aber in einen Umschlag
stecken, der (wie oben) an <karl-heinz@owl.example> adressiert ist. An
letzteren wird die E-Mail dann verschickt. So kann es passieren, da▀ man
eine E-Mail erhΣlt, die scheinbar (!) an jemand ganz anderen adressiert
ist. [8]
Au▀er dem "Briefkopf", der schon vom Absender mitgeschickt wird, finden
sich aber auch noch Headerzeilen, die von jedem an der ▄bertragung
beteiligten Mailserver eingetragen werden, wenn die E-Mail bef÷rdert wird,
sozusagen Zustellvermerke (die sich bei einem konventionellen Brief
allerdings wohl eher auf dem Umschlag finden wⁿrden :-)). *Diese*
Headerzeilen sind fⁿr die Rⁿckverfolgung einer E-Mail entscheidend.
Fⁿr den Anfang soll dieser kurze ▄berblick genⁿgen; die einzelnen Header
werden unten in Abschnitt 3 ausfⁿhrlich besprochen.
[8] Sinnvoll ist dieses Vorgehen bspw. fⁿr Mailinglisten: als EmpfΣnger steht
dann bpsw. "Alle Teilnehmer der Taubenfutter-Mailingliste"
<taubenfutter@mailingliste.example> oder etwas anderes beliebiges im
Header, die tatsΣchlichen EmpfΣnger stehen nur auf dem Umschlag. Der
Vorteil: bei 100 Teilnehmern mu▀ blo▀ die Zeile "RCPT
TO:<adresse@server.domain.example>" hundertmal (jedesmal mit einer anderen
EmpfΣngeradresse) gesendet, die eigentliche E-Mail (der Briefbogen)
aber nur einmal ⁿbertragen werden. Um die Zustellung kⁿmmert sich dann
der empfangende Mailserver, der sozusagen aus der einen ⁿbertragenen
E-Mail 100 Kopien fⁿr 100 verschiedene EmpfΣnger macht. Das spart
immens Zeit und damit Geld. Daher gehen aus demselben Grund Bulkmailer
(Spammer) ebenso vor - letzten Endes bedienen sie ja auch nur eine
Mailingliste, allerdings eine Liste, deren unfreiwillige Teilnehmer
sich nicht fⁿr diesen Verteiler angemeldet haben... Daher findet man
beim Empfang von UBE/UCE hΣufig nicht die eigene Mailadresse auf dem
Briefbogen (in der Headerzeile "To:" bzw. "An:"), sondern eine fremde
oder beliebige. Spammer verwenden fⁿr ihre Zwecke dabei im ⁿbrigen
gerne sog. "offene Relays" [9].
[9] Ein offenes Relay ist ein Mailserver, der nicht nur Mail von seinen
eigenen Benutzern und Kunden an die ganze Welt und umgekehrt Mail
von ⁿberall an die eigenen Kunden ausliefert, sondern von ⁿberall
und jedermann Mail annimmt, die er auch nach ⁿberall wieder
ausliefert. Frⁿher war das eine nette Geste, um ServerausfΣlle bspw.
bei kleineren Providern abzufangen; heute werden offene Relays
gerne mi▀braucht, um Bulkmail auszuliefern und landen deswegen auf
"schwarzen Listen" mit der Folge, da▀ viele Systeme weltweit Mail
von dort gar nicht mehr oder nur noch verz÷gert annehmen.
2.3 Body
Nach einer simplen Leerzeile, die die Trennung zwischen Header und Body
darstellt, folgt dann der eigentliche Text bzw. Inhalt der E-Mail. Dieser
ist nicht mehr weiter untergliedert.
2.4 Vorgehen bei der Zustellung
Wenn ein Mailserver eine E-Mail bekommt, ist es seine erste Aufgabe,
festzustellen, ob und (bei mehreren) wenn ja fⁿr welche EmpfΣnger er
selbst "zustΣndig" ist. Ist der Server selbst zustΣndig, legt er die E-
Mail dem entsprechenden EmpfΣnger (oder den EmpfΣngern) ins Postfach (bzw.
ⁿbergibt sie an ein anderes Programm auf derselben Maschine, das fⁿr die
Verwaltung der PostfΣcher zustΣndig ist). Ist er nicht zustΣndig (oder
bleiben danach EmpfΣnger-Adressen ⁿbrig, fⁿr die er nicht zustΣndig ist),
ermittelt er den (oder ggf. die verschiedenen) zustΣndigen Mailserver [10],
stellt zu diesem Server (oder diesen Servern) eine Verbindung her und
liefert dann seinerseits die E-Mail an diese(n) Server aus, auf dieselbe
Weise, wie er sie selbst bekommen hat, mit HELO/EHLO, MAIL FROM, RCPT TO
und DATA.
[10] Dazu wird im DNS der Eintrag fⁿr den sog. Mail Exchanger (MX) fⁿr die
entsprechende Domain abgefragt. Als Antwort wird der Name eines oder
mehrerer Rechner, die fⁿr den Mailempfang fⁿr diese Domain zustΣndig
ist oder sind, zurⁿckgeliefert, nach PrioritΣt geordnet.
----------------------------------------------------------------------
3. E-Mail-Headerzeilen im einzelnen
===================================
ZunΣchst mal ein (schon etwas komplizierterer) Header "am Stⁿck". Die
folgende E-Mail wurde von Heinz-Gustav Hinz an seinen Bekannten
Karl-Heinz Schmitt verschickt. Letzterer hat eine Adresse bei dem
E-Mail- Forwarder GMX, von dem er sich die eingehenden Mails an
seine eigentliche Adresse weiterschicken lΣ▀t.
| Return-Path: <heinz-gustav@post.rwth-aachen.example>
| Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])
| by ancalagon.rhein-neckar.de (8.8.5/8.8.5) with SMTP id SAA25291
| for <karl-heinz@ancalagon.rhein-neckar.de>; Thu, 16 Sep 1998 17:36:20
| +0200 (MET DST)
| Received: (qmail 1935 invoked by alias); 16 Sep 1998 15:36:06 -0000
| Delivered-To: GMX delivery to karl-heinz@gmx.example
| Received: (qmail 27698 invoked by uid 0); 16 Sep 1998 15:36:02 -0000
| Received: from pbox.rz.rwth-aachen.example (137.226.144.252)
| by mx3.gmx.example with SMTP; 16 Sep 1998 15:36:02 -0000
| Received: from post.rwth-aachen..example (slip-vertech.dialup.RWTH-Aachen.EXAMPLE
| [134.130.73.8]) by pbox.rz.rwth-aachen.example (8.9.1/8.9.0) with ESMTP
| id RAA28830 for <karl-heinz@gmx.example>; Wed, 16 Sep 1998 17:35:59
| +0200
| Message-ID: <35FFDA4F.2BC2A064@post.rwth-aachen.example>
| Date: Wed, 16 Sep 1998 17:33:35 +0200
| From: Heinz-Gustav Hinz <heinz-gustav@post.rwth-aachen.example>
| Organization: RWTH Aachen
| X-Mailer: Mozilla 4.05 [de] (Win95; I)
| To: Karl-Heinz Schmitt <karl-heinz@gmx.example>
| MIME-Version: 1.0
| Content-Type: text/plain; charset=iso-8859-1
| Content-Transfer-Encoding: quoted-printable
| Subject: Re: Hallo Nachbar!
| References: <529471993@ancalagon.rhein-neckar.de>
| Reply-To: hinz@provider.example
| X-Resent-By: Global Message Exchange <forwarder@gmx.example>
| X-Resent-For: karl-heinz@gmx.example
| X-Resent-To: karl-heinz@ancalagon.rhein-neckar.de
Die Reihenfolge der Headerzeilen ist ziemlich beliebig und von der
verwendeten Software abhΣngig. Deshalb werde ich mich auch beim
"Auseinanderpfriemeln" der einzelnen Headerzeilen nicht an der
Reihenfolge, sondern am Sinnzusammenhang orientieren.
3.1 Anschrift, Absender u. Verwandtes - kurz: der Briefkopf
Diese Headerzeilen sind weitgehend selbsterklΣrend:
| Date: Wed, 16 Sep 1998 17:33:35 +0200
Das Absendedatum, eingetragen vom Mailprogramm des Absenders (kann, wenn
fehlend, aber auch von einem der beteiligten Mailserver nachgetragen
worden sein, meistens dem ersten, den die Mail passiert).
| From: Heinz-Gustav Hinz <heinz-gustav@post.rwth-aachen.example>
Der Autor bzw. Absender. Wenn Autor und technischer Absender
unterschiedlich sind (eine Mail bspw. von einer Mailingliste verschickt
wird), steht der technische Absender ggf. in der zusΣtzlichen Headerzeile
"Sender:". - Davon zu unterscheiden ist der bereits in Abschnitt 2.1
erwΣhnte "Envelope-From:", an den bspw. automatische Fehlermeldungen
gerichtet werden.
| Organization: RWTH Aachen
Die Organisation (Firma, Hochschule, Verein ...) des Absenders. - Merke:
"There is no 's' in Organization". ;-)
| To: Karl-Heinz Schmitt <karl-heinz@gmx.example>
Der EmpfΣnger. Hier k÷nnen auch mehrere oder viele Namen / Adressen
stehen, jeweils durch Kommata getrennt.
Au▀erdem kann es noch die Headerzeile "CC:" geben, die angibt, wer diese
Mail in Kopie zur Kenntnisnahme erhalten hat. Der Unterschied ist rein
administrativ, Σhnlich wie bei Rundschreiben mit "EmpfΣngern" und "Zur
Kenntnis in Kopie an"; wie auch dort wird (vermutlich! - die Angaben
in To:/CC: sind nur informativ und haben fⁿr die Zustimmung keine Bedeutung!)
an jeden Namen / jede Adresse in beiden Kategorien jeweils ein Exemplar
verschickt. Technisch gesehen werden beim Versand einer normalen E-Mail
die Adressen, die im Mailprogramm des Absenders in die Felder "To:" und
"CC:" eingetragen wurden, nicht nur zur Generierung dieser beiden
Headerzeilen benutzt, sondern auch beim SMTP-Dialog als "RCPT TO:"
ⁿbertragen, also sozusagen fⁿr den Umschlag abgeschrieben.
Die meisten Mailprogramm bieten noch ein "BCC:"-Feld fⁿr "blinde"
Kopien. Die hier eingegebene Adressen werden zwar in den Umschlag
ⁿbernommen (jeder erhΣlt ein Exemplar der Mail), erscheinen aber im
Header der E-Mail (auf dem Briefbogen) nicht; die anderen EmpfΣnger
wissen also nichts von den EmpfΣngern dieser blinden Kopien. Mailinglisten
(oder auch Bulkmail / Spam) werden hΣufig auf diese oder eine
vergleichbare Weise verschickt.
| Subject: Re: Hallo Nachbar!
Der Betreff.
| Reply-To: hinz@provider.example
Die Adresse, an die geantwortet werden soll. Hier schickt Heinz-Gustav
Hinz die E-Mail von seinem Account an der RWTH Aachen ab, m÷chte
Antworten aber an seine private Mailadresse haben.
Alle diese Zeilen k÷nnen beliebig durch den Absender bestimmt werden und
sind demzufolge fⁿr eine Rⁿckverfolgung weitgehend wertlos.
3.2 "Technische" Angaben
| Message-ID: <35FFDA4F.2BC2A064@post.rwth-aachen.example>
| In-Reply-To: <529471993@ancalagon.rhein-neckar.example>
| References: <529471993@ancalagon.rhein-neckar.example>
Die Message-ID ist eine eindeutige Kennung der E-Mail (vergleichbar
einer Seriennummer). Sie sollte aus einer unverwechselbaren Zeichenfolge
vor dem "@" (meistens Datum und Benutzerkennung in einer kodierten Form)
und einem Rechnernamen hinter dem "@" bestehen. HΣufig wird die Message-
ID bereits vom Mailprogramm des Absenders erzeugt; ansonsten tragen die
meisten Mailserver sie nach, soweit sie fehlt. Sie ist demnach kein
Beleg fⁿr den tatsΣchlichen Absender.
Wenn sich die E-Mail auf eine andere bezieht, diese also beantwortet,
findet sich deren Message-ID in der Headerzeile "References:" oder "In-
Reply-To:". Diese Angaben nutzen manche Mailprogramme, um die einzelnen
E-Mails, bspw. aus einer Mailingliste, zu sortieren und einen "Thread",
einen "Diskussionsfaden" (oder "-baum") daraus zu bauen (wie bei einem
Newsreader).
| MIME-Version: 1.0
| Content-Type: text/plain; charset=iso-8859-1
| Content-Transfer-Encoding: quoted-printable
Diese Angaben beschreiben, welcher Art der Inhalt der Mail ist. Hier
handelt es sich um reinen Text ("plain text") mit dem Zeichensatz
"iso-8859-1" und der Sonderzeichenkodierung "quoted-printable". Diese
Daten sind nur fⁿr das Mailprogramm notwendig, um bspw. Umlaute und
Sonderzeichen richtig anzeigen und DateianhΣnge u.Σ. erkennen und
behandeln zu k÷nnen.
| X-Mailer: Mozilla 4.05 [de] (Win95; I)
Alle mit "X-" beginnenden Headerzeilen sind nicht standardisiert und
k÷nnen von verschiedenen Programmen (oder auch Benutzern) beliebig
eingefⁿgt werden. ▄blich ist ein Header wie dieser, der die verwendete
Software angibt. Ein anderes Mailprogramm produziert stattdessen
vielleicht direkt mehrere X-Header, zum Beispiel
> X-Priority: 3
> X-MSMail-Priority: Normal
> X-Mailer: Microsoft Outlook Express 4.72.3110.1
> X-MimeOLE: Produced By Microsoft MimeOLE V4.72.3110.3
M÷glich ist auch die Verwendung des Headers "User-Agent" (der dann
einer standardisierten Form genⁿgen mu▀).
Bei weiteren Headern lΣ▀t sich meist aus dem Namen der jeweiligen
Headerzeile schlie▀en, wofⁿr er denn gedacht sein mag; ansonsten finden
sich die entsprechenden technischen Dokumente (RFCs) in Abschnitt 7
aufgezΣhlt.
Der Hinweis, da▀ alle diese Header vom Absender beliebig gewΣhlt und
damit auch gefΣlscht werden k÷nnen, ist an dieser Stelle vermutlich bereits
fast ⁿberflⁿssig.
3.3 "Zustellvermerke": den Weg einer E-Mail nachvollziehen
Die noch verbleibenden Headerzeilen lassen sich fⁿr die Rⁿckverfolgung
einer E-Mail verwenden. Auch hierbei ist natⁿrlich ein wenig Vorsicht
geboten, um nicht plumpen (und weniger plumpen) FΣlschungsversuchen
aufzusitzen.
| Return-Path: <heinz-gustav@post.rwth-aachen.example>
Diese Zeile sollte, wenn sie existiert, ganz am Anfang der E-Mail
stehen. Sie enthΣlt den Envelope-From (also die Absenderangabe aus dem
SMTP-Umschlag), die - wir erinnern uns - beliebig angegeben werden kann.
Bringt fⁿr eine Rⁿckverfolgung also herzlich wenig.
3.3.1 "Received:"-Headerzeilen
Die "eigentlichen" Zustellvermerke sind die "Received:"-Headerzeilen, die
jeweils vor dem Weiterschicken einer E-Mail vom Mailserver vorne angefⁿgt
werden. Man mu▀ sie also rⁿckwΣrts (!) lesen: die letzte Received:-Zeile
ist die oberste (!). Daraus resultiert zweierlei: die oberste "Received:"-
Zeile wurde vom eigenen Mailserver (bzw. dem des Providers) erzeugt - sie
ist also vertrauenswⁿrdig. Und: die ⁿbrigen genannten Headerzeilen mⁿssen
normalerweise unterhalb der "Received:"-Zeilen stehen, da sie ja schon bei
der Einlieferung vorhanden waren. Andererseits k÷nnten natⁿrlich auch
vorgeschriebene Headerzeilen bei der Einlieferung gefehlt haben, die dann
erst spΣter von einem der empfangenden Mailserver ergΣnzt wurden und daher
ⁿber der ersten "Received:"-Zeile stehen. Dennoch: Wenn "mittendrin" noch
einmal "Received:"-Zeilen auftauchen, handelt es sich mit hoher
Wahrscheinlichkeit um FΣlschungen, die einfach vom Absender schon vor dem
ersten Versenden eingefⁿgt wurden.
Gleiches gilt, wenn sich "Lⁿcken" zwischen einzelnen "Received:"-Zeilen
auftun. Eine "Received:"-Zeile gibt immer an, wer die Mail von wem
empfangen hat. Das hei▀t: Wenn jetzt A die Mail von B bekommen hat, mu▀
als nΣchstes eine Zeile folgen, in der B die Mail von C bekommen hat.
Beachten mu▀ man dabei allerdings, da▀ ein und derselbe Rechner durchaus
mehrere "Namen" haben kann. So wird ein Rechner, der den E-Mail-Verkehr
erledigt, vielleicht mail.domain.example hei▀en. Wenn derselbe Rechner auch
fⁿr das WWW und News zustΣndig ist, hei▀t er vielleicht auch noch
www.domain.example und news.domain.example - das ist aber immer noch
derselbe Rechner. Genauer feststellen lΣ▀t sich das durch eine DNS-Abfrage
(nslookup, vgl. Abschnitt 4); in diesem Fall mⁿ▀ten dort beide Namen fⁿr
denselben Rechner, d.h. dieselbe IP-Nummer, registriert sein.
3.3.2 "Received:"-Headerzeilen im einzelnen
| Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])
| by ancalagon.rhein-neckar.de (8.8.5/8.8.5) with SMTP id SAA25291
| for <karl-heinz@ancalagon.rhein-neckar.de>; Thu, 16 Sep 1998 17:36:20
| +0200 (MET DST)
Jetzt geht's ans Eingemachte. :-) Diese Zeile mu▀ nΣmlich wiederum in
ihre Einzelteile auseinandergepflⁿckt werden.
| by ancalagon.rhein-neckar.de (8.8.5/8.8.5) with SMTP id SAA25291
Der eigene Mailserver des EmpfΣngers (hier "ancalagon.rhein-neckar.de")
hat diese E-Mail empfangen ("Received by"). Die Angabe in Klammern gibt
dabei (Namen und) Version des dort laufenden Mailserver-Programmes (MTA)
an. (Hier handelt es sich um das Programm "sendmail".) Empfangen wurde per
SMTP mit der internen Kennnummer "SAA25291" (was fⁿr uns bedeutungslos
ist).
| for <karl-heinz@ancalagon.rhein-neckar.de>; Thu, 16 Sep 1998 17:36:20
| +0200 (MET DST)
Freundlicherweise wird hier der Envelope-To wiedergegeben (also die
Anschrift auf dem SMTP-Umschlag). Au▀erdem findet sich das Datum und die
Uhrzeit, zu dem die Mail einging. Ob diese Angaben hier stehen, ist einmal
vom verwendeten MTA und zum anderen davon abhΣngig, ob die Mail nur an
einen oder an mehrere EmpfΣnger auf demselben (!) Server ging. Im
letzteren Fall fehlt die Angabe des EmpfΣngers aus dem "Umschlag" meist,
da es ja die einzelnen EmpfΣnger nichts angeht, wer die E-Mail sonst noch
bekommen hat, und die Liste ggf. auch etwas lang wⁿrde. :)
| Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])
Hier steht jetzt, von welchem Mailserver die E-Mail empfangen wurde. Das
Format dieser Zeile ist leider nicht ganz einheitlich. Immer gilt: die
Nummer in (eckigen) Klammern ist die unverwechselbare IP-Nummer des
einliefernden Rechners - hier "195.63.104.129". [11] Au▀erdem ist angegeben,
wie dieser sich vorgestellt hat (die Angabe aus dem HELO) - hier
"qmailr@mx3.gmx.example". Das hat unser Mailserver brav ⁿberprⁿft und
festgestellt, da▀ die IP-Nummer tatsΣchlich zu "mx3.gmx.example" geh÷rt.
Soweit also alles in Ordnung.
Wenn HELO und RealitΣt ⁿbereinstimmen, wird der HELO-Parameter manchmal
gar nicht angegeben. Dann findet sich nur die IP-Nummer und der (als
richtig festgestellte) Name des einliefernden Servers. Andererseits geben
manche MTA nur den (m÷glicherweise gefΣlschten) HELO-Parameter und die
(echte) IP-Nummer an, ohne den zugeh÷rigen Namen nachzuschauen. Dann ist
der angegebene Name gerade *nicht* wahr. Auch ist es m÷glich, da▀ die
Reihenfolge der Angaben genau umgekehrt ist (zuerst HELO, dann tatsΣchliche
Angabe). Schlie▀lich - und am schlimmsten :-( - gibt es Σltere MTAs, die
noch an das Gute im Menschen glauben und au▀er dem (beliebig fΣlschbaren)
HELO ⁿberhaupt nichts festhalten. Da ist dann guter Rat teuer. In diesem
Falle hilft es nur noch, sich direkt an den Postmaster dieses Systems zu
wenden, der dann m÷glicherweise ⁿber die automatisch gefⁿhrten Log-Dateien
noch weitere Informationen ermitteln kann.
Daher ergibt sich folgendes: Soweit man wei▀ oder ausprobiert hat, in
welchem Format der eigene MTA bzw. der des eigenen Providers die Angaben
in der Received:-Zeile macht, gibt es kein Problem. Wenn man sich nicht
sicher ist, welcher der Rechnernamen jetzt der echte ist, hilft nichts
anderes, als selbst nachzuschauen, welcher Name zu der angegebenen
IP-Nummer pa▀t. Dazu gibt es bspw. das Tool "nslookup" (vgl. Abschnitt 4.1).
[11] "Immer" ist dabei etwas relativ zu sehen - oft hindert nichts den
einliefernden Rechner, sich beim HELO/EHLO nicht nur mit seinem Namen
vorzustellen, wie er es eigentlich sollte, sondern eine nahezu
beliebige Zeichenfolge abzukippen, die dann auch eckige Klammern
enthalten oder gar andere Bestandteile der Received:-Zeile
vortΣuschen kann. Ggf. kann es dann - je nach verwendeter Server-
Software - vorkommen, da▀ das Ende der Received:-Zeile wegen des
ⁿberlangen HELO/EHLO abgeschnitten wird. Diesen fiesen Trick sollte
man also bei "seltsamen" Received:-Zeilen im Hinterkopf behalten.
| Received: (qmail 1935 invoked by alias); 16 Sep 1998 15:36:06 -0000
Diese Zeile ist eine SpezialitΣt der bei GMX verwendeten
Mailserversoftware "qmail".
| Delivered-To: GMX delivery to karl-heinz@gmx.example
Auch dies eine SpezialitΣt von GMX: eine E-Mail an diesen GMX-Kunden
wurde ausgeliefert.
| Received: (qmail 27698 invoked by uid 0); 16 Sep 1998 15:36:02 -0000
Wieder "qmail". Alle diese Software-spezifischen Zeilen sind fⁿr die
Rⁿckverfolgung zunΣchst ohne Bedeutung.
| Received: from pbox.rz.rwth-aachen.example (137.226.144.252)
| by mx3.gmx.example with SMTP; 16 Sep 1998 15:36:02 -0000
Hier wird es jetzt spannend - diese Zeile wurde ja nicht mehr von
unserem vertrauenswⁿrdigen eigenen Mailserver erzeugt. Schauen wir mal:
| by mx3.gmx.example with SMTP; 16 Sep 1998 15:36:02 -0000
"mx3.gmx.example" hat die Mail empfangen. Das ist der Rechner, der sie dann
an uns weitergereicht hat - stimmt also. Wundert eigentlich auch wenig;
den Mailserver von GMX darf man wohl durchaus als vertrauenswⁿrdig
bezeichnen.
| Received: from pbox.rz.rwth-aachen.example (137.226.144.252)
Bekommen hat er sie von "pbox.rz.rwth-aachen.example" mit der IP-Nummer
"137.226.144.252". GMX gibt bei ▄bereinstimmung von HELO-Angabe und
tatsΣchlichem Namen diesen nur einmal an.
Anderes Beispiel:
> Received: from hiper1-d87.cwnet.com (HELO mailer1.themailmachaine.net)
> (205.162.108.87) by mx1.gmx.example with SMTP; 10 Sep 1998 23:29:25 -0000
Hier hat sich der einliefernde Rechner beim HELO als
"mailer1.themailmachaine.net" vorgestellt; tatsΣchlich hei▀t er aber
"hiper1-d87.cwnet.com". Wenn man die IP-Nummer "205.162.108.87" mittels
"nslookup" nachschaut, kann man das feststellen. (NΣheres dazu weiter
unten, Abschnitt 4.1). [12]
Aber weiter im Text - wir waren stehengeblieben bei der Feststellung,
da▀ GMX die Mail von "pbox.rz.rwth-aachen.example" hat.
| Received: from post.rwth-aachen.example (slip-vertech.dialup.RWTH-Aachen.EXAMPLE
| [134.130.73.8]) by pbox.rz.rwth-aachen.example (8.9.1/8.9.0) with ESMTP
| id RAA28830 for <karl-heinz@gmx.example>; Wed, 16 Sep 1998 17:35:59
| +0200
"pbox.rz.rwth-aachen.example" wiederum hat sie von jemandem, der sich als
"post.rwth-aachen.example" vorgestellt hat, tatsΣchlich aber "slip-
vertech.dialup.RWTH-Aachen.EXAMPLE" hei▀t. Da beides Rechnerbezeichnungen der
RWTH Aachen sind und der letztere Name ("dialup") darauf hindeutet, da▀
es sich hier um einen Einwahlport handelt, dessen IP-Nummer dynamisch
immer wechselnden Anrufern zugewiesen wird, macht auch das keinen
ⁿbermΣ▀ig verdΣchtigen Eindruck. Auch der Zeitunterschied von nur 3
Sekunden zwischen "17:35:59 +0200" und "15:36:02 -0000" pa▀t ganz gut fⁿr
die Entgegennahme und direkt folgende Weiterleitung einer E-Mail.
Die E-Mail kam also von einem Einwahlport an der RWTH Aachen.
| X-Resent-By: Global Message Exchange <forwarder@gmx.example>
| X-Resent-For: karl-heinz@gmx.example
| X-Resent-To: karl-heinz@ancalagon.rhein-neckar.de
Diese unmittelbar aufeinander folgenden Header sind wiederum eine
SpezialitΣt von GMX, die angeben, an welche GMX-Adresse die Mail
geschickt wurde, und an welche tatsΣchliche Adresse sie dann
weitergeleitet wurde. Auch sie sind fⁿr die Rⁿckverfolgung zunΣchst
bedeutunglos.
[12] Solche Beispiele sind natⁿrlich nichts anderes als eben Beispiele
und bleiben daher auch nicht allzeit gⁿltig. Momentan (Juli 2001)
hei▀t der betreffende Rechner mit der IP-Nummer "205.162.108.87" nicht
mehr "hiper1-d87.cwnet.com", sondern "hiper4b-d87.stk.cwnet.com", und
nΣchsten Monat vielleicht schon wieder ganz anders. Klar werden soll
das Prinzip.
3.4 Spezielle Headerzeilen
Einige recht hΣufig vorkommende Headerzeilen wurden noch nicht genannt.
So ist zum Beispiel
| Comments: Authenticated Sender is <....>
recht verbreitet (wobei statt "<....>" natⁿrlich eine E-Mail-Adresse
steht). Eigentlich sollte diese Zeile einmal angeben, wer denn nun
tatsΣchlich der Absender dieser E-Mail war (wenn der Mailserver des
eigenen Providers verwendet wurde bspw. durch Rⁿckgriff auf die bei der
Einwahl ins System verwendete Nutzerkennung). Manchmal trifft das auch
noch zu; hΣufig - bei unerwⁿnschter Bulkmail nahezu immer - ist diese
Zeile aber zwecks Irrefⁿhrung gefΣlscht.
Beliebt ist zunehmend auch die Headerzeile "X-Sender". Diese soll
ebenfalls den tatsΣchlichen Sender angeben. Zumindest bei T-Online-Kunden
funktioniert das anerkannterma▀en (natⁿrlich nur, solange auch einer der
T-Online-Mailserver verwendet wird):
| X-Sender: 06221168783-0001@t-online.de
Die Angabe ist in diesem Fall die T-Online-Benutzerkennung, die bei
Σlteren Kunden zu allem ▄berflu▀ auch noch mit der Telefonnummer identisch
ist. In diesem speziellen Fall kann man eventuelle Nachfragen dann sogar
telefonisch klΣren. ;-) Auch sonst lassen sich ⁿber das bei T-Online
automatisch angelegte Impressum der Nutzer-Webseiten eventuell die
pers÷nlichen Daten des Versenders ermitteln - wenn dieser Versender
private Webseiten bei T-Online hat: es findet sich dann unter
<http://home.t-online.de/home/NUTZERKENNUNG/.impressum.html>, im Beispiel
also unter <http://home.t-online.de/home/06221168783-0001/.impressum.html>.
Bitte beachten: auch ein X-Sender lΣ▀t sich natⁿrlich fΣlschen, wenn die
E-Mail in Wahrheit gar nicht ⁿber einen Mailserer von T-Online verschickt
wurde. Fⁿr andere Mailserver hat diese Headerzeile keine spezielle
Bedeutung, so da▀ sie dafⁿr jeden Wert akzeptieren. Sie mⁿssen also
ⁿberprⁿfen, ob die E-Mail auch tatsΣchlich vom T-Online Mailserver an
Sie ausgeliefert wurde.
Ein Beispiel:
| Received: from mailout06.sul.t-online.com ([194.25.134.19])
| by mail.server.meines.providers.example with esmtp (Exim 3.36 #1)
| id 17WcWQ-00032C-00
| for meine.adresse@meines.providers.example; Wed, 01 Jan 2003 00:10:53 +0100
| Received: from fwd06.sul.t-online.de
| by mailout06.sul.t-online.com with smtp
| id 17WcWQ-0001nK-02; Wed, 01 Jan 2003 00:10:48 +0100
| Received: from (06221168783-0001@[123.124.125.126]) by fwd06.sul.t-online.com
| with smtp id 17WcWQ-0DlTD4C; Wed, 01 Jan 2003 00:10:34 +0100
Die beiden unteren Received:-Zeilen sind typisch fⁿr eine Auslieferung
ⁿber T-Online. Sie erkennen aus der untersten Zeile, unter welcher IP-
Nummer der T-Online-Kunde eingewΣhlt war (hier: 123.124.125.126, eine
Fantasie-Nummer), und welche T-Online-Kennung er hat (hier:
06221168783-0001). Darauf k÷nnen Sie sich aber nur dann verlassen,
wenn auch die darⁿberliegende (hier: die oberste) Received:-Zeile
bestΣtigt, da▀ die E-Mail ⁿberhaupt wirklich ⁿber T-Online
ausgeliefert wurde (und wenn diese Zeile von einem vertrauenswⁿrdigen
Server erzeugt wurde, also bspw. von dem Ihres Providers, und nicht
noch weitere angebliche Stationen dazwischenliegen).
Also schauen wir uns das mal schnell an: die mitgeloggte IP-Nummer ist
"194.25.134.19", und das ist, wie sich bspw. mittels nslookup schnell
prⁿfen lΣ▀t, (derzeit - zum Zeitpunkt der Abfassung dieses Textes)
auch wirklich ein Server von T-Online:
| [thomas@xerxes thomas]$ host 194.25.134.19
| 19.134.25.194.in-addr.arpa domain name pointer mailout06.sul.t-online.com.
Also: stimmt, und der ▄beltΣter ist schnell identifiziert.
----------------------------------------------------------------------
4. Hilfreiche Tools fⁿr die Header-Analyse
==========================================
Ganz ohne Hilfsprogramme ist auch die Analyse eines E-Mail-Headers nicht
m÷glich. Wichtig ist es insbesondere, herauszufinden, welche IP-Nummern
welchen Namen zugeordnet sind, und wer hinter diesen Nummern/Namen
tatsΣchlich hintersteckt. Die wichtigsten Tools sollen hier kurz
vorgestellt werden. Bezugsquellen fⁿr die Programme folgen unten unter 4.4.
4.1 nslookup (host/dig)
Dieses Tool erwartet die Angabe einer IP-Nummer oder eines Rechnernamens
und liefert durch die Anfrage bei einem DNS-Server die fehlende Angabe
zurⁿck. Das geht natⁿrlich nur online. Wir haben beispielsweise folgende
Headerzeile:
> Received: from hiper1-d87.cwnet.com (HELO mailer1.themailmachaine.net)
> (205.162.108.87)
nslookup liefert fⁿr hiper1-d87.cwnet.com zurⁿck:
| [hiper1-d87.cwnet.com]
| Translated Name: hiper1-d87.cwnet.com
| IP Address: 205.162.108.87
Und eine Anfrage mit 205.162.108.87 ergibt:
| [205.162.108.87]
| Translated Name: hiper1-d87.cwnet.com
| IP Address: 205.162.108.87
Wie bereits im Abschnitt 2.1 in Fu▀note [7] erwΣhnt, mu▀ die
RⁿckwΣrtsaufl÷sung von der Nummer zum Namen hin nicht unbedingt
funktionieren oder wahr sein. Es empfiehlt sich daher, sie ggf. durch eine
VorwΣrtsaufl÷sung zu ⁿberprⁿfen: wenn "205.162.108.87" zum Namen
"hiper1-d87.cwnet.com" geh÷ren soll, dann mu▀ umgekehrt die Abfrage auf
"hiper1-d87.cwnet.com" wieder die Nummer "205.162.108.87" liefern.
Hinweis: nslookup dⁿrfte zukⁿnftig von "host" bzw. "dig" abgel÷st werden.
4.2 whois
Mit Hilfe von whois lΣ▀t sich beispielsweise herausfinden, wem bestimmte
IP-Nummern, IP-Nummern-Bereiche oder Domains geh÷ren. Auf diesem Weg
lassen sich nicht nur zusΣtzliche Beschwerdeadressen finden, interessant
ist es hΣufig auch, festzustellen, wer hinter einem bestimmten
Domain-Namen oder einer bestimmten IP-Nummer steckt. Manchmal sind das
bereits "alte Bekannte", so da▀ von vornherein klar ist, da▀ Beschwerden
dort keinen Erfolg haben werden ...
Beispielsweise ergibt die Abfrage "whois 205.162.108.87" den
Verantwortlichen fⁿr diese IP-Nummer bzw. denjenigen, dem diese Nummer
respektive der ganze Nummernblock, zu dem diese Nummer geh÷rt, zugeteilt
wurde. Bei der Angabe eines Domainnamens statt einer IP-Nummer wird der
Eigentⁿmer der entsprechenden Domain zurⁿckgeliefert: "whois domain.name"
ergibt entsprechend die Daten desjenigen, der diese Domain registriert
hat. - Die Eigentⁿmer von Subdomains, bspw. von "irgendwas.de.vu", lassen
sich in der Regel nicht ermitteln; jedenfalls nicht auf diesem Wege,
sondern allenfalls ⁿber den ZustΣndigen fⁿr die Haupt-Domain (Second-
Level-Domain), bspw. "de.vu".
Bitte beachten: es gibt viele verschiedene Whois-Server, die jeweils nur
fⁿr eine bestimmte Top-Level-Domain (bspw. "de" oder "at" oder "com")
zustΣndig sind, und auch die ZustΣndigkeit fⁿr die IP-Nummern-Bereiche ist
auf eine Handvoll Regional Internet Registries (RIRs) verteilt, insb. die
von ARIN (amerikanischer Raum), RIPE (europΣischer Bereich) und APNIC
(asiatisch-pazifischer Raum). Wenn daher keine vernⁿnftige Antwort auf
eine Abfrage erfolgt, mu▀ stattdessen ein anderer, sprich der zustΣndige
Whois-Server befragt werden. Man kann auch direkt einen der "intelligenten"
Whois-Server wie whois.thur.de verwenden; diese leiten die Anfrage dann an
den richtigen Server weiter. Als weitere Alternative siehe dazu auch die
Online-Abfrageseiten im WWW unten unter 4.6.
4.3 traceroute
Traceroute gibt den Weg an, den Datenpakete vom eigenen Rechner zum
angegebenen Zielrechner zurⁿcklegen. So lΣ▀t sich der Uplink fⁿr den
Zielrechner ermitteln, also sozusagen der "Provider des Providers". Falls
Beschwerden beim Provider selbst stΣndig erfolglos und ohne Antwort
bleiben, kann man auch daran denken, es eine Ebene h÷her zu probieren und
sich an den Uplink zu wenden.
4.4 Programmpakete und Bezugsquellen
Auf UNIX-Rechnern stehen die genannten Tools meist unter eben diesem
Namen zur Verfⁿgung. Unter anderen Betriebssystemen ist das zumeist nicht
der Fall - aber auch dort gibt es inzwischen Programmpakete, in denen die
gebrΣuchlichsten Tools zusammengefa▀t (und hΣufig mit einer leicht
bedienbaren grafischen BenutzeroberflΣche versehen) sind. Die Programme
sind im allgemeinen Free- oder Shareware.
Fⁿr Windows 95/98 (wahrscheinlich auch NT/2000):
StandardmΣ▀ig existieren "ping" und "tracert" (=traceroute). DOS-Box
÷ffnen und "ping [hostname/IP]" oder "tracert [hostname/IP]" eintippen.
+ Sam Spade
<http://samspade.org/ssw/>
Dieses Programm ist speziell zur Rⁿckverfolgung unerwⁿnschter Bulkmail
ausgelegt. Es bietet neben ping, nslookup, traceroute, IP-Blocks und
weiteren Tools auch eine "automatische" Headeranalyse, die bei einem
ersten Einstieg in die Materie sicher hilfreich ist, und liefert daneben
auch einige hervorragende, allerdings englischsprachige FAQs, Links
und Step-by-step-Anleitungen fⁿr die Absenderfeststellung und Beschwerde
bei unerwⁿnschter Bulkmail mit.
+ Cyber Kit
<http://www.cyberkit.net/>
Bietet Ping, Traceroute, Finger, WhoIs, NS Lookup, QoD.
Derzeit ist die o.g. Website nicht zugΣnglich.
+ Internet Maniac
<http://network-spy.com/maniac.php>
Bietet Host Lookup, Ping, Traceroute, Connect, Time, Finger, Whois,
POP3, Listener, Scanner, Winsock, Raw connect, Speed check.
Derzeit ist die o.g. Website nicht zugΣnglich.
+ NetScan Tools for Windows 95
<http://www.netscantools.com/nstmain.html>
Nslookup, Finger, Ping, Traceroute, Scanner, etc.
+ VisualRoute
<http://www.visualware.com/visualroute/>
Graphisches Traceroute mit Whois-Abfragen und Portscan.
Fⁿr OS/2:
Es existieren standardmΣ▀ig "ping", "nslookup" und "finger" - diese
Programme hei▀en auch so. "traceroute" hei▀t hier "tracerte".
Desweiteren gibt es eine whois-implementation von Frank Ellermann zum
Download unter <http://frank.ellermann.bei.t-online.de/src/rxwhois.cmd>
Andere Programmpakete sind mir derzeit nicht bekannt.
Fⁿr Amiga:
+ <http://ftp.wustl.edu/systems/amiga/aminet/comm/tcp/>
Fⁿr Ataris:
(Zur Zeit keine URLs bekannt.)
Fⁿr MacOS 9:
+ IPNetMonitor:
<http://www.sustworks.com/site/prod_ipmonitor.html>
Shareware, $20
+ Interarchy (ehemals MAC TCP Watcher):
<http://www.interarchy.com/>
Fⁿr MacOS X:
Es existiert serienmΣ▀ig das "Network Utility" bzw. "Network
Dienstprogramm", welches unter "Applications/Utilities" zu finden ist.
Funktionsumfang: Netstat, Ping, Lookup, Trace, Whois, Finger, Portscan.
4.5 Finger-Gateway auf info.belwue.de
Wer ⁿber keines dieser Programme verfⁿgt, aber Zugriff auf einen
finger-client hat, kann stattdessen das finger-Gateway auf info.belwue.de
verwenden. Eine Hilfe dazu gibt es, wenn man help@info.belwue.de
anfingert:
| BelWue finger-gateway, available services:
| ping,traceroute,whois,nslookup,dnslist,acronym,translate,schwob,dfn,
| date,test
|
| You may specify arguments by adding them with an ':', examples:
| finger traceroute@info.belwue.de
| finger traceroute:www.bofh.net@info.belwue.de
| finger whois:belwue.de@info.belwue.de
| finger acronym:RTFM@info.belwue.de
4.6 Online-Tools
Schlie▀lich gibt es die kleinen Helferchen inzwischen auch vielfach
als Formular im WWW, mit dem man entsprechende Anfragen stellen kann.
Eine Zusammenstellung vieler guter Tools findet sich auf
<http://www.samspade.org/>
Empfehlenswert auch der allgemeine whois-Dienst auf
<http://www.iks-jena.de/cgi-bin/whois>
sowie der whois-Dienst von
<http://www.geektools.com/cgi-bin/proxy.cgi>
Eine umfangreichere Liste findet sich in der FAQ der Newsgroup
de.admin.net-abuse.mail; vgl. dazu die weiterfⁿhrenden Hinweise in
Abschnitt 7 dieser FAQ.
4.7 abuse.net
Das "Network Abuse Clearinghouse", <http://www.abuse.net/>, sammelt
Kontaktadressen von Providern, unter denen man die jeweilige
Beschwerdestelle erreichen kann. Die Kontaktdatenbank lΣ▀t sich auf
dreierlei Weise abfragen:
Im WWW:
<http://www.abuse.net/lookup.phtml>
Per finger:
finger example.com@abuse.net
[mit der betreffenden Domain statt "example.com", natⁿrlich]
Per whois:
whois example.com @whois.abuse.net
[mit der betreffenden Domain statt "example.com", natⁿrlich]
ErgΣnzungen dieser Datenbank kann jedermann einreichen; insbesondere dann,
wenn die - eigentlich vorgeschriebenen - Adressen "abuse" oder
"postmaster" nicht existieren, ist es interessant, welche anderen Adressen
bei dem betreffenden Provider fⁿr Beschwerden brauchbar sind. Dazu genⁿgt
eine Mail an <mailto:update@abuse.net>, die die entsprechende(n)
Adresse(n) m÷glichst in folgender Form enthΣlt:
| domain.example: beschwerde.hier@domain.example weitere.beschwerde@domain.example
Wenn nicht direkt klar ist, woher diese Angaben stammen, sollte eine kurze
Begrⁿndung angegeben werden, warum das Kontaktadressen fⁿr Beschwerden
ⁿber diese bestimmte Domain sind, bzw. wie man sie gefunden hat - in
Englisch, bitte. :-)
Mehr dazu unter <http://www.abuse.net/addnew.html>.
4.8 Blacklists auswerten
Diverse Anbieter fⁿhren (schwarze) Listen, in denen bestimmte Rechner (IP-
Adressen) und/oder Domains gefⁿhrt werden, die bestimmte Voraussetzungen
erfⁿllen, insbesondere negativ aufgefallen sind. Eine manuelle oder
automatisierte Auswertung dieser Listen kann durchaus sinnvoll sein - sei
es, da▀ man feststellen m÷chte, ob ein bestimmter Rechner bereits als
offenes Relay (vgl. dazu Fu▀note 9) aufgefallen ist, oder da▀ man darauf
aufbauende automatische Filter verwenden m÷chte, die bspw. Mail von
bestimmten Rechnern kennzeichnen oder gar nicht mehr annehmen (zum Thema
Mailfilterung wie auch ⁿber Blacklists siehe die Verweise in der FAQ von
de.admin.net-abuse.mail, genannt in Abschnitt 7 dieser FAQ).
Wichtig bei der Verwendung solcher Listen ist es aber, sich zuvor zu
informieren, nach welchen Kriterien dort Rechner gelistet werden, und wie
verlΣ▀lich die Anbieter sind. Es gibt Listen von Rechnern, ⁿber die
unerwⁿnschte Massenwerbung verschickt wurde, von Rechnern bei Providern,
die auf solche Beschwerden reagieren, von sog. offenen Relays, aber auch
Listen der IP-Nummern-Bereiche von Einwahlkunden (die deshalb nicht
notwendigerweise Spammer sind) oder von Providern, die bestimmte
Beschwerdeadressen nicht eingerichtet haben. Diese Listen sind teilweise
gut gepflegt, teilweise enthalten sie aber auch falsche EintrΣge oder
werden gar fⁿr pers÷nliche Feden zwischen dem Betreiber und anderen
Institutionen benutzt.
Die meisten dieser Blacklists sind ⁿber spezielle DNS-Server realisiert:
man fragt dort nach dem Namen eines bestimmten Rechners oder einer Domain,
und wenn ein Eintrag existiert, dann steht dieser Rechner oder diese
Domain in der jeweiligen Blacklist. Teilweise kommt auch dem Inhalt der
zurⁿckgelieferten Antwort eine Bedeutung zu. Wie nun genau diese Abfrage
erfolgt, ist listenspezifisch; ⁿblich ist die Angabe der IP-Adresse in
umgekehrter Reihenfolge der Ziffernbl÷cke oder des Domainnamens, jeweils
gefolgt vom Namen der Blacklist. Um also den Rechner mit der IP-Nummer
"a.b.c.d"" bei der - inzwischen abgeschalteten - Blacklist
relays.osirusoft.com abzuchecken, verwendet man eine Abfrage der Form
"host d.c.b.a.relays.osirusoft.com" (oder ein anderes Tool, wie nslookup,
bzw. ein Programmpaket, was dies beherrscht, siehe dazu
Abschnitt 4.4). Ggf. mu▀ man zu einem Rechnernamen erst noch
die IP-Nummer(n) ermitteln, bevor man die Abfrage starten kann:
| [thomas@xerxes thomas]$ host moutvdom.kundenserver.de
| moutvdom.kundenserver.de has address 195.20.224.131
| moutvdom.kundenserver.de has address 195.20.224.200
| moutvdom.kundenserver.de has address 195.20.224.149
| moutvdom.kundenserver.de has address 195.20.224.130
|
| [thomas@xerxes thomas]$ host 131.224.20.195.relays.osirusoft.com
| 131.224.20.195.relays.osirusoft.com has address 127.0.0.4
Die genaue Bedeutung des Abfrageergebnisses lΣ▀t sich in diesem Falle der
jeweiligen Webseite entnehmen.
Mit dem unter <http://rblcheck.sourceforge.net/> verfⁿgbaren Tool lΣ▀t
sich die Abfrage von solchen Listen vereinfachen. Alternativ verfⁿgen die
meisten Blacklists auch ⁿber WWW-Formulare fⁿr solche Abfragen. Links dazu
finden sich am ehesten in der FAQ von de.admin.net-abuse.mail, die in
Abschnitt 7 referenziert ist.
----------------------------------------------------------------------
5. Beschwerden ⁿber unerwⁿnschte Massen-E-Mail
==============================================
Der hΣufigste Grund, sich ⁿber den tatsΣchlichen Absender einer E-Mail
informieren zu wollen, ist der, da▀ man den bzw. die Verantwortlichen fⁿr
eine unerwⁿnschte, massenhaft verschickte (Werbe-)E-Mail ("unsolicited
commercial/bulk email", kurz UCE bzw. UBE) ausfindig machen m÷chte, um
sich dort zu beschweren. Womit sich die Frage stellt: Wo und wie
beschwert man sich?
Dazu sollen hier nur einige grundlegende Hinweise gegeben werden; Verweise
auf weitere Informationsquellen finden sich unten unter Punkt 7
("Weiterfⁿhrende Hinweise"). Insbesondere die Lektⁿre der FAQ der
Newsgroup de.admin.net-abuse.mail sollte fⁿr diese FΣlle ein Mu▀ sein.
5.1 Wo kann ich mich beschweren?
5.1.1 Beim Versender der UCE.
Wenig sinnvoll - meist sind die Absenderadressen gefΣlscht, und wenn die
Beschwerde ankommt, fⁿhrt das im Zweifelsfall nur dazu, da▀ Deine
Absenderadresse als tatsΣchlich existent vorgemerkt wird (was zu einer
Vermehrung der Werbeflut fⁿhren kann). Ausnahmen kann man vielleicht bei
UCE aus deutschen Landen machen, insb. dann, wenn man ohnehin rechtliche
Schritte erwΣgt, oder wenn man den Eindruck hat, der Betreffende wisse
gar nicht, was er gerade anrichtet. Das Risiko, die eigene Adresse als
"gut" zu bestΣtigen, bleibt.
5.1.2 Beim Hersteller o.Σ. des beworbenen Produkts.
Auch das nur sinnvoll, wenn es sich um eine namhafte Firma handelt, die
entweder von dieser "Werbekampagne" gar nichts wei▀, oder zumindest keine
Ahnung hat, wie sehr sie gerade ihrem Ruf schadet.
5.1.3 Beim (tatsΣchlichen) Provider des UCE-Versenders.
Die meisten Provider m÷gen keine UCE-Versender unter ihren Kunden und
reagieren entsprechend mit Verwarnungen, Accountentzug und/oder
Vertragsstrafen, sofort oder im Wiederholungsfall (manche allerdings auch
gar nicht). Die Adresse fⁿr Beschwerden ist (sollte sein) abuse@.....;
sofern diese Adresse nicht existiert, ersatzweise postmaster@..... Darauf
sollte auf jeden Fall eine Antwort kommen, meist eine automatische
BestΣtigung oder der Hinweis, da▀ fⁿr UCE u.Σ. spezielle
Beschwerdeadressen existieren. - Falls diese Adressen nicht existieren,
kann der betreffende Provider bei <http://www.rfc-ignorant.org/> gemeldet
werden; dort wird eine (schwarze) Liste solcher Provider, die technische
Standards (RFCs) nicht befolgen, gefⁿhrt. Diese kann man natⁿrlich auch
selbst zuvor abfragen, vgl. dazu die genannten Webseite und Abschnitt 4.8
dieser FAQ.
Vereinfachen lΣ▀t sich dieses Vorgehen ⁿber <http://www.abuse.net/> (siehe
dazu auch Abschnitt 4.7 dieser FAQ). Dort wird eine Datenbank mit
Beschwerdeadressen gefⁿhrt; E-Mail an provider.domain@abuse.net (bspw.
aol.com@abuse.net) wird automatisch an die passenden Beschwerdeadressen
weitergeleitet. Bei Providern, die erfahrungsgemΣ▀ nicht reagieren, geht
eine Kopie der Beschwerde an den Uplink (s. unten).
Falls auf keine der genannten Weisen eine Antwort erfolgt, kann man noch
versuchen, sich an den "Administrative Contact" (Admin-C) der Domain zu
wenden. Dessen Erreichbarkeit (auch Telefon- und Faxnumemr sowie
Anschrift) lΣ▀t sich mittels des Tools "whois" herausfinden.
5.1.4 Beim Uplink des Providers.
Wenn ein Provider lΣngere Zeit nicht reagiert, bleibt die M÷glichkeit,
sich eine Stufe h÷her beim Uplink (also dem "Provider des Providers") zu
beschweren. Wer das ist, lΣ▀t sich bspw. mit Hilfe des Tools "traceroute"
(s. oben, Abschnitt 4.3) herausfinden.
5.1.5 Bei offenen Relays.
UCE wird meist nicht direkt verschickt, sondern bei einem
(unbeteiligten) Mailserver "abgekippt", der so gutglΣubig ist, nicht nur
E-Mail von eigenen Benutzern nach ⁿberall und von ⁿberall an die eigenen
Benutzer zuzustellen, sondern von ⁿberall nach ⁿberall weiterzuleiten.
Das mag einmal sinnvoll und hilfreich gewesen sein, ist aber heutzutage
nur eine Einladung zum Mi▀brauch. Insofern sollte man auch dort den
zustΣndigen Postmaster auf den Mi▀brauch hinweisen und ihn bitten, seinen
Mailserver "relayfest" zu machen.
Unter <http://mail-abuse.org/tsi/ar-test.html> gab es einen einfachen Test
(zur Zeit wegen Mi▀brauchs leider deaktiviert), um festzustellen, ob
ein Mailserver fⁿr jedermann relayed oder nicht; stattdessen finden sich
dort jetzt Verweise auf andere Testm÷glichkeiten. Auch kann man (wenn man
Zugriff auf den betreffenden Server hat, d.h. sich dort mindestens als
User einloggen kann) mittels eines "telnet mail-abuse.org", ausgefⁿhrt auf
dem betreffenden Mailserver, ebenfalls feststellen, ob dieser relayfest
ist. Es wird dann automatisch ein Relaytest gegen diesen Server, von dem
aus man sich eingeloggt hat, gefahren. Das eignet sich in der Regel eher
fⁿr Administratoren.
Unter <http://rblcheck.sourceforge.net/> lΣ▀t sich ein einfaches Tool
herunterladen, um zu prⁿfen, ob der betreffende Server bereits in eine
Blacklist (bspw. als offenes Relay) eingetragen wurde. Das kann ggf. einen
eigenen Test ersparen.
Fⁿr eine tiefergehende ErlΣuterung und weitergehende Links verweise ich
auf die FAQ der Newsgroup de.admin.net-abuse.mail, vgl. Abschnitt 7 dieser
FAQ.
5.1.6 Bei E-Mail- und Webspace-Providern.
Die meisten Anbieter von (kostenlosen) E-Mail-Adressen, wie gmx.net,
hotmail.com etc. verbieten die Verwendung dieser Adressen in Zusammenhang
mit UCE, sei es als Absender, sei es als im Body angegebene Adresse fⁿr
weitere Infos, und l÷schen auf Hinweis solche Accounts ("Dropboxen")
sofort. Auch manche Webspace-Provider reagieren, wenn Webseiten per UCE
beworben werden.
5.2 Wie beschwere ich mich?
Auf jeden Fall *h÷flich*; der Provider kann meist nichts fⁿr seine
Kunden, und selbst wenn: durch Beschimpfungen erreicht man nichts.
Nach M÷glichkeit *kurz*; meist kommt nicht eine Beschwerde, sondern
Dutzende bzw. Hunderte.
Immer unter Beifⁿgung des *vollstΣndigen Headers* - nur dann kann der
Beschwerde nachgegangen und etwas unternommen werden.
Im Zweifelsfall auf englisch.
Und letztlich: bitte immer beim *richtigen* Ansprechpartner, nicht
wahllos bei allen irgendwo in der E-Mail genannten Adressen und Domains.
----------------------------------------------------------------------
6. Headerzeilen anzeigen lassen
===============================
Bei vielen Mailclients werden standardmΣ▀ig gar keine oder zumindest
nicht alle Headerzeilen angezeigt. Wie man dennoch an den vollstΣndigen
Header einer E-Mail kommt, lΣ▀t sich normalerweise der Dokumentation des
Programms oder der Online-Hilfe entnehmen. Hier finden sich
dementsprechend nur kurze Hinweise fⁿr die gebrΣuchlichsten Programme
(in alphabetischer Reihenfolge).
6.1 Mailclients
AK-Mail:
"Ansicht", "Kopf-Zeilen"
Hinweis: Dieser Menⁿpunkt steht nur zur Verfⁿgung, wenn der Mail-Body
sichtbar ist.
Crosspoint:
Taste <o>
Hinweis: Crosspoint speichert den Header im ZConnect-Format; um an den
originalen RFC-Header zu kommen, bedarf es eines Umwegs:
(1) Unter edit boxen edit diverses
Verschiedene Einstellungen
Filter Eingang \XP\BACKUP.BAT $PUFFER
eintragen.
(2) Datei \XP\BACKUP.BAT anlegen mit folgendem Inhalt:
@echo off
cls
REM :: Puffer mit Mails in Sicherheit bringen, da er bei
REM :: ESC-Abbruch gel÷scht wird!
copy /B \XP\spool\*. \XP\backup\.
REM :: Mail kommt noch mal extra damit suchen schneller geht
copy /B \XP\spool\D-N*. \XP\backupN\.
REM :: MIMEs extrahieren hier
REM :: XP-Filter hier
(3) Die Mails finden sich als einzelne Dateien in \XP\backupN\
Das Verzeichniss sollte man von Zeit zu Zeit aufrΣumen. Zur Suche
empfiehlt es sich, die Message-ID bei "find" oder "grep" anzugeben,
es gibt auch kleines Tool, das einem die Suche von XP aus erlaubt.
elm:
Taste <h>
XEmacs VM-Mail:
(1) Taste <t>
(2) Alternativ kann man in der $HOME/.emacs eine Zeile der Art
(setq vm-invisible-header-regexp "X-.*")
einfuegen. Dann werden alle Header bis auf die, die mit X- beginnen,
angezeigt. Wirkt erst nach einem Neustart des emacs.
Eudora 3.0:
'BlahBlah'-Button in der Toolbar anklicken
Forte (Free) Agent:
Taste <h>
Gnus:
Tasten <Strg>-<u> <g>
(im "Summary Buffer" auf der Zeile der Mail einzugeben) oder
<W> <v> (im "Summary Buffer")
Lotus Notes (vor Version 6):
Die L÷sung ist etwas kompliziert - folgende zwei M÷glichkeiten bestehen:
(1) Fⁿr einzelne Headerzeilen:
Wenn die Mail in Notes zur Ansicht ge÷ffnet ist, im Menⁿ "Datei /
Eigenschaften: Dokument" auswΣhlen, in dem erscheinenden Fenster
den zweiten Reiter von links ("Felder") auswΣhlen: man sieht die
einzelnen Headerzeilen wie MessageID usw.
(2) Fⁿr den kompletten Header:
Wenn man sich im View (z.B. "Inbox") befindet: den Fokus auf die
Mail stellen, "Datei / "Export..." auswΣhlen und "Structured Text"
als Exportformat auswΣhlen. Im nachfolgenden Dialog "Selected
Documents" auswΣhlen und man erhΣlt eine Klartext-Datei mit allen
Headerzeilen und dem Body am Stⁿck. Funktioniert nur im View, nicht
wenn die Mail zur Ansicht ge÷ffnet ist! Aus dieser Datei die
uninteressanten Notes-Header zu l÷schen ist meist einfacher als die
relevanten Header aus der "Properties"-Box einzeln zu kopieren.
Lotus Notes 6:
Fⁿr den Notes-6-Client gibt es eine einfachere L÷sung:
Die EMail bildschirmfⁿllend oeffnen (Doppelklick auf die EMail in der
Inbox) und im (engl.) Menu dann "View" --> "Show" --> "Page View"
anwΣhlen. Die dann angezeigte Seite lΣ▀t sich problemlos in die
Zwischenablage kopieren.
MacSOUP:
Taste <h> oder Tasten Befehl+<h>
Mozilla:
1. "View", "Headers", "All"
(funktioniert im Ggs. zu alten Netscape-Versionen besser; allerding
werden m÷glicherweise lange Headerzeilen am Zeilenende abgeschnitten)
2. View", "Page Source"
(Anzeige der Mail mit allen Headern im Editor)
3. Installation von mnheny (<http://mnenhy.mozdev.org/>) und dann
entsprechende Konfiguration zusΣtzlich anzuzeigender Header
4. Ctrl-U (bzw. Strg-U)
MS Outlook:
"Ansicht", "Optionen"
MS Outlook 97:
"Datei", "Eigenschaften", "Internet"
MS Outlook Express:
"Eigenschaften", "Details"
oder Tasten <Strg>+<F3>
mutt:
Taste <h>
Netscape 4.x:
"Ansicht", "Seitenquelltext"
Hinweis: Netscape zermanscht bei eingeschalteten Headern ("View",
"Headers", "All") die einzelnen Headerzeilen durch Einrⁿckungen etc. zu
einem wilden Brei. "View", "Page Source" ("Ansicht", "Seitenquelltext")
liefert den Header in lesbarer Formatierung.
Netscape 7.x:
siehe "Mozilla"
Novell GroupWise:
<http://www-lan.uni-regensburg.de/email/gw/header.html>
Pegasus-Mail:
Tasten <Strg>+<h>
pine:
Taste <h>
Ggf. mu▀ man vorher die Option
Main Menu -> Setup -> Config -> enable-full-header-cmd
aktivieren.
Sylpheed Claws:
"Ansicht", "Zeige alle Kopfzeilen"
oder Tasten <Strg>+<h>
The Bat! 1.61:
"Special", "View Source" (oder <F9>)
"View", "RFC-822 header" aktivieren (oder <Shift>+<Strg>+<K>)
T-Online E-Mail:
Im Kontextmenⁿ "Alle Kopfzeilen anzeigen" wΣhlen
(also mit der Maus in die Mail klicken, rechte Maustaste,
"Alle Kopfzeilen anzeigen").
6.2 Webmail
Die zunehmende Nutzung von Webmail-Diensten lΣ▀t auch da die Frage
entstehen, wie man die WeboberflΣche dazu bewegen kann, die
vollstΣndigen Header herauszurⁿcken.
GMX
- E-Mail ÷ffnen
- Briefumschlag-Icon (rechts oben) mit Titel "Ausdruck der Header-
Informationen" klicken
- Zusatzfenster mit kompletten Header ÷ffnet sich
IMP 3 - <http://www.horde.org/imp/>
"Quelltext" oder "Message Source" in dem Zusatzmenⁿ ⁿber dem
Nachrichtenfenster anklicken (direkt ⁿber der Datumszeile).
web.de
- E-Mail ÷ffnen
- Klick auf "erweiterten Header anzeigen"
- Reload der Seite, diesmal mit Anzeige der vollen Header
----------------------------------------------------------------------
7. Weiterfⁿhrende Hinweise
==========================
Einfⁿhrung in das Thema E-Mail an sich:
-- E-Mail-Einfⁿhrung
<http://www.fitug.de/bildung/e-mail/e-mail.html>
-- Mail - eine Einfⁿhrung
<http://piology.org/mail/>
-- Reading Email Header
<http://www.stopspam.org/email/headers/headers.html>
-- Transport von E-Mails - RFC 2821
http://www.daniel-rehbein.de/rfc2821.html
-- RFC 2076: "Common Internet Message Headers"
<http://www.faqs.org/rfcs/rfc2076.html>
-- RFC 2822: "Internet Message Format"
<http://www.faqs.org/rfcs/rfc2822.html>)
-- RFC 2821: "Simple Mail Transfer Protocol"
<http://www.faqs.org/rfcs/rfc2821.html>)
E-Mail-Mi▀brauch:
-- FAQ, Abkuerzungen: de.admin.net-abuse.mail
<http://www.irrlicht.net/~laura/de.admin.net-abuse.mail.txt>
<http://www.cs.uu.nl/wais/html/na-dir/de-net-abuse/mail-faq.html>
-- Teergruben-FAQ
<http://www.iks-jena.de/mitarb/lutz/usenet/teergrube.html>
-- Newsgruppe de.admin.net-abuse.mail
news:de.admin.net-abuse.mail
-- vereinfachtes Auffinden der richtigen Beschwerdeadresse(n)
<http://www.abuse.net/>
-- Script zur Header-Analyse (online) inkl. Vorbereitung /
Versenden von Beschwerden
<http://spamcop.net/>
Insbesondere die FAQ von de.admin.net-abuse.mail sei jedem, der sich mit
unerwⁿnschten Werbemails herumschlΣgt, ans Herz gelegt. Es erscheint mir
nicht sinnvoll, die dortigen Informationen und insbesondere Links hier
alle zu wiederholen.
----------------------------------------------------------------------
8. Credits
==========
Die Idee zu dieser FAQ kam ursprⁿnglich von Hermann Roth.
Fⁿr hilfreiche Tips, Hinweise und Korrekturen geht ein Dankesch÷n an
* Claus Assmann
* Florian Bannasch
* Jens Baumeister
* Theo Baumeister
* Stefan Bion
* Ralf Borchert
* Philipp Buehler
* Christoph Conrad
* Andreas Croll
* Christoph Daldrup
* Matthias Damm
* Felix Deutsch
* Frank Ellermann
* Hubert Englmaier
* Daniele Frijia
* Ulf Herbers
* Ulli Horlacher
* Ludwig Huegelschaefer
* Jochen Klein
* Albert Koellner
* Helmut Reininger
* Hermann Roth
* Johannes Sempert
* Otto Stolz
* J÷rg Strohmayer
* Olaf Titz
* Rainer Zocholl
* Michael Zolk
* und andere
Diese FAQ wird in de.admin.net-abuse.mail und de.answers gepostet und
steht auf <http://www.th-h.de/faq/headerfaq.html> in der jeweils
aktuellen Fassung auch im WWW zur Verfⁿgung.
Thomas Hochstein * <http://www.th-h.de/> * <mailto:faq@usenet.th-h.de>