joensson.net

Foto © A. Joensson

Archiv: E-Mail Tutorial 4/6

Technik

Auf dieser Seite:
Exkurs: Rechnernamen | Der Weg einer E-Mail

Besonders mit Blick auf Spam- und Viren-Mail ist es sinnvoll, sich Aufbau und Struktur von E-Mails anzusehen, wobei ein wenig Hintergrundwissen hilft. Einige der folgenden Infos entstammen der externer Link FAQ zur Analyse von E-Mailheadern der Newsgruppe externer Link dan-am (siehe auch [1]) und der Seite zum Thema externer Link "Reading Email Headers" auf externer Link www.stopspam.org. Sollte Ihnen dieser Abschnitt zu kompliziert sein, können Ihnen die folgenden Abschnitte zu den Themen Spam und Viren dennoch helfen, die einfacher gehalten sind.

Exkurs: Rechnernamen

Miteinander vernetzte Rechner brauchen Namen, Adressen, um identifizierbar zu werden: Woher sollte sonst ein Rechner "wissen", woher er eine Internetseite bekommen oder wohin er eine E-Mail schicken soll? Die Namen werden in maschinenlesbarer Form durch eindeutige, bis zwölfstellige IP-Nummern oder kurz "IPs" dargestellt, die aus vier Sektionen, getrennt durch Punkte, mit je bis zu drei Ziffern bestehen nach dem Muster ***.***.***.***. Dabei bezeichnet die IP-Nummer 127.0.0.1 intern und nur intern den eigenen Rechner, um z.B. einen auf dem eigenen System installierten Webserver anzusprechen. 127er-Adressen sind im öffentlichen Netzraum nicht zulässig. Weitere IPs, die nur in internen Netzen verwendet werden, sind u.a. die 10.*.*.* oder 192.168.*.*. Die ersten drei Ziffern der IP-Nummern liegen immer im Bereich zwischen 1 und 223, wobei verschiedene Klassen gebildet werden.

Statt dieser für Menschen schlecht merkbaren numerischen Form können im Internet leichter lesbare Domainnamen wie z.B. joensson.net verwendet werden, die übersetzung IP/Domainname übernimmt der DNS: Wenn Sie eine Domain im Internet anbieten wollen, sind Sie zugleich verpflichtet, einen primären und sekundären DNS anzubieten, was in der Regel Ihr Provider für Sie übernehmen wird. Bei Aufruf einer Website im Browser fragt Ihr Rechner den DNS, unter welcher IP z.B. die Domain joensson.net zu finden ist.

Domainnamen sind nach einem Schema aufgebaut: Hinten finden sich die Bezeichner für die TLD wie etwa .de oder für gTLD wie .net oder .com, davor der Hostname sowie evtl. weitere Subdomänen. In manchen Ländern sind auch Mischformen üblich wie etwa .com.br für kommerzielle Domänen in Brasilien. Der Zusatz www bezeichnet oft das für Besucher aus dem Netz freigegebene Verzeichnis des Servers, der Zusatz http:// am Anfang dient der Definition der übertragungsart bzw. des Dienstes, der auf dem Server abgerufen wird.

Damit Sie zum Surfen über den Anschluss eines Providers ins Netz gehen können, braucht auch Ihr Rechner eine IP: Er bekommt sie im Verlaufe der Verbindung meist als dynamische IP-Adresse aus dem Pool des Providers zugeteilt, evtl. kann sie sogar während einer Online-Sitzung wechseln. Der Gegensatz dazu sind statische IP-Adressen, die nicht wechseln.

Ein Domainname kann einer bestimmten IP entsprechen, muss es aber nicht zwingend: Unter einer IP-Adresse können z.B. mehrere Domains oder Server untergebracht sein; der unter einer aufgerufenen IP sich meldende Server kann intern den Abruf umsetzen auf den angeforderten Domainnamen. Wenn Sie den Namen einer Domain wissen, nun aber deren IP wissen wollen (oder umgekehrt), starten Sie auf einem Windows-System mit DOS-Eingabeaufforderung diese unter "Startmenü", "Programme", geben darin z.B. ein

tracert www.joensson.net

(oder einen anderen Sie interessierenden Domainnamen) und bestätigen mit der "Eingabe"- bzw. "Return"-Taste. Das Programm traceroute löst nun mittels einer DNS-Abfrage den Domainnamen in eine IP-Adresse auf und schickt ein Signal an den gewünschten Rechner. Ihr Rechner bekommt alle Stationen auf dem Weg dieses Signals zurückgemeldet, bis sich am Ende der Computer meldet, auf dem die gesuchte Domain liegt: Seine IP-Adresse erscheint auf Ihrem Schirm. Bei hoher Netzlast oder schwer erreichbaren Rechnern kann es auch schiefgehen, Ihr Signal "verhungert" auf dem Weg. Der Befehl zum Starten von traceroute hat weitere Steueroptionen, z.B. wie viele Stationen er maximal durchlaufen soll.

nach obennach oben

Der Weg einer E-Mail

Wer schon einmal E-Mail erhalten hat, hat auch bereits die ersten E-Mail-Headerzeilen gesehen, denn diese werden i.d.R. von jedem Mailprogramm angezeigt. In folgendem Beispiel beginnt der eigentliche Mailbody erst mit dem "Hallo", darüber stehen Headerzeilen:

Von: vorname.nachname@example.de (AbsenderIn)
Datum: Do, 16. Mai. 2002 18:57:43 +0200 CEST
An: jemand.anderes@example.de (EmpfängerIn)
Betreff: Kinobesuch?

Hallo,

was hälst Du davon, heute abend ins Kino zu gehen?

Der in den Beispielen fett dargestellte Teil zeigt die Kategorie, zu welcher die jeweilige Information zählt, danach folgt die Detailinformation des Spezialfalles, gestrichelt unterstrichener Text liefert hier per Tooltip weitere Infos zur Art der jeweiligen Daten.

Weitere Header kann sich zeigen lassen, wer im eigenen Mailprogramm die Option zum "Anzeigen aller Header" aktiviert, über die wohl alle Mailer verfügen dürften, wenn sie sich auch anders nennen mag. Falls Ihr Programm dies nicht bietet, sollten Sie sich ein anderes besorgen. Aber schauen Sie zuerst in die externer Link Header-FAQ der Newsgroup dan-am, die sehr weit unten eine Liste der Tastenkombinationen liefert, mit denen die Headeranzeige in vielen Mailreadern umgestellt werden kann.

Die Mailprogramme oder -reader (MUAs) sind nur die ersten bzw. letzten Stationen auf dem Weg einer E-Mail, die Vermittlung dazwischen erledigen Mailserver der Netzwerke oder sonstigen Anbieter des Internetzuganges, mit denen absendender und empfangender Rechner verbunden sind. Einige der Header können übernommen werden aus dem so genannten SMTP-Envelope und in der ankommenden Mail gezeigt werden, eingefügt werden sie von den MTAs der übertragenden Mailservern, um den Weg der Mail zu dokumentieren. Die Etappe vom absendenden Rechner zum Mailserver seines Netzwerkes dokumentiert letzterer durch Einfügen einer Received-Zeile, die diverse IDs für beteiligte Rechner und für die eigentliche Nachricht enthält. Die Mail wird weiter geschickt zum Mailserver der Bestimmungsadresse, der wiederum einen Received-Vermerk einfügt, und zwar i.d.R. oben, so dass diese Received-Headerzeilen, von unten nach oben gelesen, es ermöglichen, den Weg der Mail vom Senden bis zum Empfang nachzuvollziehen. Nach Empfang der Mail kann das beispielhaft wie folgt aussehen:

Von: vorname.nachname@example.de (AbsenderIn)
Datum: Thu, May 16 2002, 18:57:43 +0200 (CEST)
An: jemand.anderes@example.de (EmpfängerIn)
Betreff: Kinobesuch?
Received: from mail.example.de (mail.example.de [400.100.100.23]) by mailhost.example.de (8.8.5/8.7.2) with ESMTP id LAA20869 for jemand.anderes@example.de; Thu, May 16 2002 19:02:24 +0200 (CEST)
Received: from rechner1.example.de (rechner1.example.de [400.100.100.12]) by mail.example.de (8.8.5) id XY007; Thu, May 16 2002 18:57:47 +0200 (CEST)
Message-Id: <5akjdbefh973SULKFEPDBnHAQ@mail.example.de>
X-Mailer: Email XY Version 1
Mime-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable

Hallo,

was hälst Du davon, heute abend ins Kino zu gehen?

Aus den obigen Zeilen lässt sich folgendes rekonstruieren: Am Rechner "rechner1.example.de" in der Domain "example.de" sitzt eine Benutzerin "Vorname Nachname", die übers Netz eine Mail sendet an "Jemand Anderes", dessen Rechner im Netz "example.de" steht. Die Mail wird vom Mailserver "mail.example.de" entgegen genommen, der die korrekte Identifikation von "rechner1" bestätigt und außerdem die Mail weiterleitet an den Mailserver von "example.de". Dieser nimmt sie an, bestätigt wiederum und fügt seine Zustellvermerke oberhalb der älteren ein (siehe Zeitangaben).

Die Klarnamen-Angaben sind dabei weniger verlässlich als die IP-Nummern, da sie leicht fälschbar sind. Manche Mailserver überprüfen das und geben an, wenn sie einen Rechnernamen anhand der IP anders identifiziert haben, als er angegeben wurde: Damit ist auch klar, dass jemand eine falsche Spur legen wollte. Auf alle anderen Header ("X-Mailer", "Antwort an" etc.) ist überhaupt kein Verlass, sie sind beliebig vom Absender einzutragen. Auch das Fälschen ganzer Received-Zeilen ist möglich, hindert aber die tatächlich beteiligten Mailserver nicht daran, ihre Vermerke einzutragen: Die untersten Zeilen der Header, die den angeblichen Absender identifizieren, sind also mit Vorsicht zu genießen.

Dazu zwei Beispiele:

Received: from mail.nu (airserver*.***.com [194.**.***.***]) by [...]

Die tatsächlichen Angaben wurden hier, bis auf den angeblich versendenen Server namens "mail.nu" aus Datenschutzgründen unkenntlich gemacht: Einen Server namens "mail.nu" gab es zum Zeitpunkt der Erstellung dieser Seite nicht, der weiterleitende Mailserver hat dies registriert, den richtigen Namen ermittelt und mit der IP-Nummer in den Received-Header eingetragen. Im folgenden Beispiel fallen gleich zwei Täuschungen auf:

Received: from turk.enforma.com (209.**.***.**) by mail**.***.de (RS ver 1.0.63s) with SMTP id ********* for <xyz@***-***.de>; Tue, 14 May 2002 10:00:01 +0200 (CEST)
Received: from lto (62.***.**.***) by SERVER13 (MailMax 4. 8. 3. 0) with ESMTP id [...]

Wieder gab es den angeblichen Server "turk.informa.com" nicht, wie sich mit Programmen wie nslookup feststellen lässt, die dazu genannte IP gehörte einem anderen Provider, der die Beschwerde bekam. Die zweite Received-Zeile "lto (62.***.**.***)" kann also nicht echt sein: Wenn "turk.informa.com" nicht existiert, kann es auch keinen SERVER13 geben, der die Mail an "turk.informa.com" weitergeleitet hätte. Diese Zeile mitsamt der darin auftauchenden und real existierenden 62er-IP (übrigens eine der DTAG) wurde zur Täuschung eingefügt, zudem wurde mit dieser Mail ein Virus verschickt: Evtl. hat das Virus, vermutlich Klez32 (siehe Virus) auch gleich die Header-Zeile gefälscht.

Noch genauer und entsprechend umfänglicher erklärt wird die Headeranalyse in der zu Anfang erwähnten deutschsprachigen externer Link FAQ E-Mailheader der Newsgruppe dan-am. Von Bedeutung ist die korrekte Headeranalyse z.B. um sich bei der richtigen Abuse-Stelle über Spam- oder auch Virus-Mail zu beschweren, was bei letzterer Art vor allem Sinn macht, wenn Viren wie Klez32 auftreten, die einen Rechner unbemerkt infizieren und danach Mails generieren, die in den "einfachen" Headern gefälschte Absender vorgaukeln, aber die Zustellvermerke der Mailserver nicht beeinflussen.

nach obennach oben

Hier geht es weiter zur Seite über Spam.

_ _ _ _ _ _ _ _ _ _ _

[1]: Links zu Newsgruppen funktionieren auf Ihrem System nur, wenn Sie einen Newsserver für Ihr System konfiguriert haben (ähnlich einem Mailserver für Mail) und einen Newsreader, ähnlich einem Mailprogramm für Mail, installiert haben. Weitere Infos dazu finden Sie z.B. unter externer Link news.individual.de. Hier geht es zurück zum Text.