E-Mai Header verstehen

[ignoramus]

Hallo!

Bei uns hat gestern Abend user@domain.de eine E-Mail von sich selbst bekommen, die er nicht selbst verschickt hat. Zunächst dachte ich, gut, Absender einfach gefälscht. Ein Blick in den Header brachte mich aber zum Nachdenken. Die letzte, also erste, Reveived-Zeile weist unseren smtp-auth-Server aus. Das lässt für mich nur drei Schlüsse zu:

1. Der smtp-Server ist nicht richtig konfiguriert und nimmt auch unautorisierte Aufträge entgegen.
2. Der Account des Mitarbeiters wurde geknackt und unter seiner Kennung verschickt.
3. Die letzte Received-Zeile fehlt und die Mail wurde doch über einen anderen Server verschickt.

Kann das letzte sein? Habe gelesen, dass man problemlos zusätzliche Received-Zeilen hinzufügen kann. Ist es auch möglich, etwas wegzulassen, so dass die unten stehende Mail vielleicht doch nicht über smtp-auth.server.de verschickt wurde?

Nachtrag: Die Message-ID weist ja auch darauf hin, dass unser smtp-Server verwendet wurde. Wie schafft der das aus Spanien?

From user@domain.de Mon Sep 3 20:23:15 2007
Return-Path: <user@domain.de>

Received: from smtp-auth.server.de (xnode10eth0.rz.server.de [Server IP-Adresse])
by a24n51.rz.server.de (8.13.1/8.13.1) with ESMTP id l84INFgU002343
for <user@domain.de>; Mon, 3 Sep 2007 20:23:15 +0200

Received: from 207.pool85-60-65.dynamic.orange.es (77.pool85-59-79.dynamic.orange.es [85.59.79.77])
by smtp-auth.server.de (8.13.1/8.13.1) with ESMTP id l83INE7O002921
for <user@domain.de>; Mon, 3 Sep 2007 20:23:15 +0200

Comments: xnode10-smtpext
Date: Mon, 3 Sep 2007 20:23:14 +0200
From: user@domain.de
Message-Id: <20070903dsfsdf.l83INE7O002921@smtp-auth.server.de>

[mragucci]

Die Received Meldungen musst Du "verkehrt herum" lesen, also von unten nach oben!

Regards

[ignoramus]

That's what i did.

[storm]

Kann das letzte sein? Habe gelesen, dass man problemlos zusätzliche Received-Zeilen hinzufügen kann. Ist es auch möglich, etwas wegzulassen, so dass die unten stehende Mail vielleicht doch nicht über smtp-auth.server.de verschickt wurde?

Grundsatz: bei vollständigem Zugang zum Server kann man eine Mail eigentlich beliebig verändern. Deinen letzten Satz versteh ich allerdings nicht so richtig: wenn man eine Zeile (der erste Server in der Kette) rauslassen würde, bliebe smtp-auth.server.de trotzdem drin stehen und ab dem beginnt ja die Kette eurer Server (also der "vertrauenswürdigen" Server).

Nachtrag: Die Message-ID weist ja auch darauf hin, dass unser smtp-Server verwendet wurde. Wie schafft der das aus Spanien?

Für mich sieht das (formal) ganz koscher aus: Der/Ein User hat sich von einem privaten Orange-Anschluss in Spanien bei eurem Server eingewählt und eine Mail abgesetzt. Also 1. oder 2. sind bei weitem wahrscheinlicher als die letzte Möglichkeit. Auch gerade wegen der korrekten MID.

ciao, storm

[ignoramus]

Hallo!

Danke für Deine Antwort! Ich meinte es so, dass evtl. jemand die Mail über einen anderen smtp-Server verschickt und die Spuren gelöscht hat, so dass eigentlich unter dem letzten Received-Eintrag noch ein anderer kommen müsste - der nun aber gelöst wurde. Aber das kann ja eigentlich nicht sein, da die Zeile ja von dem versendenden Server hinzugefügt wird, nachdem der Sender die Mail "aus seinem Verfügungsbereich" entlassen hat. Danach kann er ja nichts mehr manipulieren, wenn ich das richtig verstehe.

Die Sache hat sich aber jetzt aufgeklärt. Es handelt sich um einen Server in einem Uni-RZ. Einige Server lassen auch das Versenden ohne Autorisation zu, wenn die Mail in das Uni-Netz hinein geht, also nicht an extern! Das war hier der Fall. Die Server wurden jedoch noch nicht entsprechend umbenannt, so dass zwar smtp-auth drauf steht, Mails (nach intern) aber auch ohne auth annimmt. ;-))

Das soll bisher nicht anders möglich gewesen sein.

Besten Dank nochmal.
Gruß, ignoramus

[storm]

Ah, gut zu Wissen. Ich glaube mich zu erinnern, dass das an einer Uni, an der ich mal verweilt hab, auch so war.

ciao, storm