aktuelle.kurse/oldies/m239/unterlagen/40 - Protokolle/Protokolle SMTP, IMAP, POP3 (E-Mail-Protokolle)/53 - Header-FAQ

1876 lines
97 KiB
Plaintext
Raw Normal View History

2022-05-15 21:40:59 +02:00
<!DOCTYPE html>
<html lang='de'>
<head>
<meta charset='utf-8'>
<meta content='IE=edge' http-equiv='X-UA-Compatible'>
<meta content='width=device-width, initial-scale=1' name='viewport'>
<title>E-Mail-Header lesen und verstehen | th-h.de</title>
<meta content='Thomas Hochstein' name='author'>
<meta content='Darstellung von Aufbau und Headern einer E-Mail, insbesondere zur Rückverfolgung unerwünschter Mail, mit Hinweisen zu Tools und Beschwerdeadressen.' lang='de' name='description'>
<meta content='Nanoc 4.11.16' name='generator'>
<meta content='index,follow' name='robots'>
<link href='/favicon.ico' rel='icon' type='image/vnd.microsoft.icon'>
<link href='/favicon.ico' rel='shortcut icon' type='image/vnd.microsoft.icon'>
<!-- OpenGraph data -->
<meta content='https://th-h.de/net/usenet/faqs/headerfaq/' property='og:url'>
<meta content='E-Mail-Header lesen und verstehen' property='og:title'>
<meta content='Darstellung von Aufbau und Headern einer E-Mail, insbesondere zur Rückverfolgung unerwünschter Mail, mit Hinweisen zu Tools und Beschwerdeadressen.' property='og:description'>
<meta content='de_DE' property='og:locale'>
<meta content='website' property='og:type'>
<meta content='th-h.de' property='og:site_name'>
<meta content='https://th-h.de/res/img/thh-sitedefault.png' property='og:image'>
<meta content='300' property='og:image:width'>
<meta content='304' property='og:image:height'>
<meta content='image/png' property='og:image:type'>
<!-- end of OpenGraph data -->
<!-- Twitter Card -->
<meta content='summary' name='twitter:card'>
<meta content='https://th-h.de/res/img/thh-sitedefault.png' name='twitter:image'>
<!-- end of Twitter Card -->
<!-- Bootstrap core CSS -->
<link href='/res/css/bootstrap.css' rel='stylesheet'>
<!-- Shariff CSS -->
<link href='/res/css/shariff.complete.css' rel='stylesheet'>
<!-- Custom styles -->
<link href='/res/css/thh.css' rel='stylesheet'>
<!-- Google web fonts -->
<link href='///fonts.googleapis.com/css?family=Open+Sans:400,400italic,600,600italic,700,700italic' rel='stylesheet' type='text/css'>
<!-- HTML5 shim and Respond.js for IE8 support of HTML5 elements and media queries -->
<!--[if lt IE 9]>
<script src="https://oss.maxcdn.com/html5shiv/3.7.2/html5shiv.min.js"></script>
<script src="https://oss.maxcdn.com/respond/1.4.2/respond.min.js"></script>
<![endif]-->
</head>
<body data-spy='scroll' data-target='.toc-sidebar'>
<!-- Header -->
<header>
<div class='container-fluid thh-header'>
<div class='row'>
<div class='col-sm-3 hidden-xs'>
<a href='/'>
<img alt='th-h.de' height='48' src='/res/img/logo.gif' width='210'>
</a>
</div>
<div class='col-sm-9'>
<h1>E-Mail-Header lesen und verstehen</h1>
</div>
</div>
</div>
</header>
<!-- Static navbar with breadcrumbs -->
<nav class='navbar navbar-default navbar-static-top' role='navigation'>
<div class='container-fluid'>
<!-- Navbar -->
<div class='navbar-header'>
<button aria-controls='navbar' aria-expanded='false' class='navbar-toggle collapsed' data-target='#navbar' data-toggle='collapse' type='button'>
<span class='sr-only'>Toggle navigation</span>
<span class='icon-bar'></span>
<span class='icon-bar'></span>
<span class='icon-bar'></span>
</button>
<a class='navbar-brand' href='/me/'>Thomas Hochstein</a>
</div>
<div class='navbar-collapse collapse' id='navbar'>
<ul class='nav navbar-nav'>
<li class='dropdown'>
<a aria-expanded='false' class='dropdown-toggle' data-toggle='dropdown' href='#' role='button'>
Themen
<span class='caret'></span>
</a>
<ul class='dropdown-menu' role='menu'>
<li class='active'>
<a href='/net/'>Netz &amp; Technik</a>
</li>
<li>
<a href='/rescue/'>Rettungswesen</a>
</li>
<li>
<a href='/law/'>Juristisches</a>
</li>
</ul>
</li>
<li>
<a href='/me/'>Über mich</a>
</li>
<li class='dropdown'>
<a aria-expanded='false' class='dropdown-toggle' data-toggle='dropdown' href='#' role='button'>
Blog &amp; Co.
<span class='caret'></span>
</a>
<ul class='dropdown-menu no-symbols' role='menu'>
<li>
<a href='https://netz-rettung-recht.de/'><span class='glyphicons glyphicons-book'></span>&nbsp;Blog
</a>
</li>
<li>
<a href='https://wiki.th-h.de/'><span class='glyphicons glyphicons-notes-2'></span>&nbsp;Wiki
</a>
</li>
<li>
<a href='https://code.th-h.de/'><span class='glyphicons glyphicons-git-branch'></span>&nbsp;Git-Repositories
</a>
</li>
<li>
<a href='https://bugs.th-h.de/'><span class='glyphicons glyphicons-bug'></span>&nbsp;Bugtracker
</a>
</li>
</ul>
</li>
</ul>
<ul class='nav navbar-nav navbar-right'>
<li class='dropdown '>
<a aria-expanded='false' class='dropdown-toggle' data-toggle='dropdown' href='#' role='button'>
About
<span class='caret'></span>
</a>
<ul class='dropdown-menu' role='menu'>
<li>
<a href='/about/'>Über th-h.de</a>
</li>
<li>
<a href='/privacy/'>Datenschutz</a>
</li>
<li>
<a href='/impressum/'>Impressum</a>
</li>
<li>
<a href='/about/changelog/'>Changelog</a>
</li>
<li>
<a href='/about/sitemap/'>Sitemap</a>
</li>
</ul>
</li>
<li>
<a href='/contact/'>Kontakt</a>
</li>
</ul>
</div>
<!-- /.nav-collapse -->
<!-- Breadcrumbs -->
<ol class='breadcrumb'>
<li><a href="/"><span class="glyphicon glyphicon-home"></span></a></li>
<li><a href="/net/">Netz &amp; Technik</a></li>
<li><a href="/net/usenet/">Usenet</a></li>
<li><a href="/net/usenet/faqs/">FAQs</a></li>
<li class="active">Header-FAQ</li>
</ol>
</div>
</nav>
<!-- Page body with main area and sidebar -->
<div class='container page-container hyphenate'>
<div class='row'>
<!-- Main area -->
<div class='col-md-8 main'>
<main role='main'>
<article>
<p class='alert alert-info'>
Dieser Text
wurde
in der Newsgroup
<i>de.admin.net-abuse.mail</i>
gepostet und wendet sich dementsprechend auch an die Leser dieser
Newsgroup. Er wird hier unverändert veröffentlicht.
</p>
<h2 id="changes">Letzte Änderungen</h2>
<dl>
<dt>2019-09-18</dt>
<dd>Headerzeilen anzeigen: Google Mail korrigiert</dd>
<dt>2017-04-20</dt>
<dd>Headerzeilen anzeigen: E-Mail Center (T-Online Webmail) korrigiert<br />
<small>T-Online-Team</small></dd>
<dd>
<p>Headerzeilen anzeigen: Outlook <em>(MacOS X)</em> ergänzt<br />
<small>Wulf-Burkhard Goehmann </small></p>
</dd>
<dt>2014-08-14:</dt>
<dd>Headerzeilen anzeigen: E-Mail Center (T-Online Webmail) und Yahoo
korrigiert<br />
<small>T-Online-Team</small></dd>
<dt>2014-07-12:</dt>
<dd>Headerzeilen anzeigen: GMX korrigiert<br />
<small>T-Online-Team</small></dd>
<dt>2013-07-28:</dt>
<dd>Headerzeilen anzeigen: E-Mail Center (T-Online Webmail) korrigiert,
Yahoo, mail.com ergänzt<br />
<small>T-Online-Team</small></dd>
<dt>2013-02-18:</dt>
<dd>Online-Tools: mailheader.org<br />
<small>Matthias</small></dd>
</dl>
<h2 id="vorwort">Vorwort</h2>
<p>Zweck dieser im September 1998 begonnenen FAQ ist es, grundlegende
Informationen über den Aufbau einer Internet-E-Mail<sup id="fnref:1" role="doc-noteref"><a href="#fn:1" class="footnote">1</a></sup> und die Bedeutung
der einzelnen Headerzeilen ("Kopfzeilen") zu vermitteln, um insbesondere
den Weg einer E-Mail zurückzuverfolgen, den Absender bzw. die beteiligten
Mailserver herauszufinden und sich bei unerwünschter Massen-E-Mail
(Bulkmail oder UBE/UCE<sup id="fnref:2" role="doc-noteref"><a href="#fn:2" class="footnote">2</a></sup>) oder anderen unerwünschten Zusendungen wie
Viren oder Würmern gezielt an den richtigen Stellen beschweren zu können.</p>
<p>Nicht beabsichtigt ist eine Zusammenstellung der standardisierten und/oder
allgemein üblichen Headerzeilen und ihrer Bedeutung<sup id="fnref:3" role="doc-noteref"><a href="#fn:3" class="footnote">3</a></sup> oder eine genaue
technische Definition der jeweils erlaubten Inhalte<sup id="fnref:4" role="doc-noteref"><a href="#fn:4" class="footnote">4</a></sup> (gar noch
einschließlich der häufigsten Verstöße dagegen durch weitverbreitete
Mailprogramme). Dafür existieren bereits entsprechende Quellen, vgl.
dazu den Abschnitt "<a href="#links">Weiterführende Links</a>".</p>
<p>Nicht beabsichtigt sind ebenfalls weitergehende Hinweise zum Thema
Bulkmail, UBE/UCE oder "Spam", denkbaren Gegenmaßnahmen usw. usf. Auch
hierzu gibt es bereits spezialisierte Quellen, die im
Abschnitt "<a href="#links">Weiterführende Links</a>" dieser FAQ aufgeführt sind.
Namentlich die dort genannte FAQ von <em>de.admin.net-abuse.mail</em> sei jedem
Interessierten dringend ans Herz gelegt, obschon dieses Werk leider
seit 2004 nicht mehr aktualisiert worden ist.</p>
<p>Der Schwerpunkt der FAQ liegt somit auf den Abschnitten
"<a href="#aufbau">Aufbau und Zustellung einer E-Mail</a>" und
"<a href="#headerzeilen">Headerzeilen im einzelnen</a>", die einigermaßen technisch
gehalten sind - was in der Natur der Sache liegt, weil die Rückverfolgung
des Laufwegs einer E-Mail eine nicht ganz einfache technische
Angelegenheit ist. Es wurde bei der Formulierung aber Wert darauf gelegt,
dass die Ausführungen auch für interessierte Laien verständlich sind.</p>
<p>Korrekturen, Ergänzungshinweise und Verbesserungsvorschläge nehme ich
gerne entgegen. Diese FAQ wurde früher in <em>de.admin.net-abuse.mail</em> und
<em>de.answers</em> gepostet und steht auf dieser Webseite in der jeweils
aktuellen Fassung zur Verfügung. Die Formatierung der ursprünglichen
Textfassung wurde behutsam angepasst und die Inhalte regelmäßig
aktualisiert; die FAQ kann aber ihr Alter von mittlerweile bald 20 Jahren
nicht ganz verleugnen.</p>
<h2 id="aufbau">Aufbau und Zustellung einer E-Mail</h2>
<p>Eine E-Mail besteht aus mehreren Teilen. Wenn man den Vergleich mit einem
konventionellen Brief suchen möchte, könnte man sagen, es gibt einen
Umschlag (den sog. "SMTP-Envelope"), einen Briefkopf (den sog. "Header"
oder die "Kopfzeilen") und den eigentlichen Brieftext oder -inhalt (den
sog. "Body").</p>
<h3 id="envelope">SMTP-Envelope<sup id="fnref:5" role="doc-noteref"><a href="#fn:5" class="footnote">5</a></sup></h3>
<p>Diesen "Umschlag" bekommt der Nutzer im Normalfall nicht zu sehen;
eigentlich gibt es ihn auch gar nicht wirklich. Man bezeichnet so die für
die Zustellung einer E-Mail relevanten Informationen, die einem Mailserver
(also dem für den Versand und Empfang von E-Mail zuständigen
Computerprogramm) beim Versand vor (!) der eigentlichen E-Mail übergeben
werden. Diese Informationen gehen beim Einsortieren ins Postfach des
Empfängers normalerweise verloren, ganz analog zu einem konventionellen
Briefumschlag, der in der Poststelle einer Firma geöffnet und dann
weggeworfen wird. Nur sein Inhalt, der Briefbogen (also Header und Body
der Mail), erreicht den Empfänger. Glücklicherweise werden die Daten aus
dem "Umschlag" oft aber - zumindest teilweise - in den Header der E-Mail
übernommen, so dass man Informationen auf dem Umschlag auf diese Weise
nachvollziehen kann.</p>
<p>Die Daten für den Umschlag erhält ein Mailserver ganz zu Anfang der
Verbindungsaufnahme mit dem Einlieferer; diese Verbindung wird als
SMTP-Dialog bezeichnet, also als Dialog zwischen den beteiligten
Mailservern, die sich dabei am "<em>Simple Mail Transfer Protocol</em>"
orientieren. SMTP ist wie die meisten derzeit (auch) im Internet
verwendeten Kommunikationsprotokolle menschenlesbar, besteht also aus
festgelegten (englischen) Schlüsselworten oder Befehlen, die in bestimmter
Folge verwendet werden. Dabei stellt der einliefernde Server sich vor
(mittels <code>HELO/EHLO</code><sup id="fnref:6" role="doc-noteref"><a href="#fn:6" class="footnote">6</a></sup>), gibt den Absender an ("<em>Envelope-From</em>") und nennt
den oder die Empfänger ("<em>Envelope-To</em>"). Danach folgt nach dem Kommando
<code>DATA</code> der Briefbogen, also die E-Mail mit Headern und Body. Ein einzelner
Punkt alleine auf einer Zeile signalisiert, dass die E-Mail fertig
übertragen ist. Jetzt wird der empfangende Mailserver sie den genannten
Empfängern entweder ins Postfach stecken (wenn sie schon "am Ziel" ist),
oder, falls nötig, an einen anderen Server weiterleiten, wenn er selbst
für einen Empfänger nicht zuständig ist, dessen Postfach also anderswo
liegt.</p>
<p>Die Angabe des einliefernden Servers nach <code>HELO</code> wird dabei weder
überprüft noch hat sie heutzutage besondere Bedeutung. Der Absender auf
dem Umschlag, d.h. der <em>Envelope-From</em>, wird für die Generierung von
Fehlermeldungen u.ä. verwendet, wenn die E-Mail bspw. unzustellbar ist,
aber regelmäßig ebenfalls nicht überprüft. Der oder die Empfängerangaben
im <em>Envelope-To</em> werden zur Zustellung benutzt.</p>
<p>Ein Beispiel eines solchen Dialogs sei im Folgenden dargestellt (in der
obersten Zeile jeweils der sendende Mailserver, darunter die Antwort des
empfangenden):</p>
<h4 id="helo">Die Vorstellung (<code>HELO</code>)</h4>
<p>Der Dialog beginnt damit, dass der sendende Mailserver (oder der
Mailclient) Kontakt mit dem empfangenden aufnimmt, worauf dieser sich
zunächst meldet:</p>
<pre><code>220 pri.owl.example ESMTP ready&#x000A;</code></pre>
<p>Darauf folgt dann die eigentliche Vorstellung und Begrüßung:</p>
<pre><code>HELO ancalagon.rhein-neckar.de&#x000A;250 pri.owl.example Hello ancalagon.rhein-neckar.de [193.197.90.30], pleased to meet you&#x000A;</code></pre>
<p>Der sendende Mailserver stellt sich vor (<code>HELO ...</code>), der empfangende
antwortet (<code>Hello ..., pleased to meet you</code>). Entscheidend sind dabei für
die Rechner nur der Statuscode (<code>250</code>), nicht der Text; dieser kann frei
gewählt werden.</p>
<p><strong>Wichtig:</strong> Der sendende Mailserver kann über seinen Namen "lügen"; deshalb
schaut der Empfänger-Server zumeist nach, wer denn wirklich da gerade mit
ihm "redet", und merkt sich die sog. IP-Nummer des Einlieferers (hier
193.197.90.30). Dies ist eine eindeutige Nummer, mit der man jeden am
Internet teilnehmenden Rechner identifizieren kann. Durch eine Abfrage
im <em>DNS</em> (<em>Domain Name Server</em>) lässt sich diese Nummer dann wieder
in einen Rechnernamen rückübersetzen; häufig tut das der Mailserver auch
direkt selbst und übersetzt die Nummer in einen Namen. Nicht immer ist
eine solche Rückauflösung allerdings konfiguriert, und es ist möglich,
auch hier eine falsche Fährte zu legen.<sup id="fnref:7" role="doc-noteref"><a href="#fn:7" class="footnote">7</a></sup> Verlassen kann man sich daher
nur auf die IP-Adresse selbst; diese lässt sich einem bestimmten Provider
(oder einer Firma oder Institution) zuordnen, und dieser Provider wiederum
sollte sie seinerseits einem bestimmten Rechner oder Kunden zuordnen
können. Zu beachten ist dabei, dass IP-Nummern schon lange ein zu knappes
Gut sind, um jedem Kunden permanent eine Nummer zuzuordnen. Sie werden
daher häufig dynamisch vergeben, das heisst einem bestimmten Rechner immer
nur für die Dauer einer Online-Sitzung zugewiesen. Da die entsprechenden
Log-Dateien nach kurzer Zeit gelöscht werden (manche Provider erfassen sie
gar nicht erst), ist es notwendig, sich zeitnah an den betreffenden
Provider zu wenden. Mehr Hinweise dazu finden Sie weiter unten im
Abschnitt "<a href="#beschwerde">Beschwerden über unerwünschte Massen-E-Mail</a>".</p>
<h4 id="absender--und-empfngerangabe">Absender- und Empfängerangabe</h4>
<pre><code>MAIL FROM:&lt;heinz-gustav@ancalagon.rhein-neckar.de&gt;&#x000A;250 &lt;heinz-gustav@ancalagon.rhein-neckar.de&gt;... Sender ok&#x000A;&#x000A;RCPT TO:&lt;karl-heinz@owl.example&gt;&#x000A;250 &lt;karl-heinz@owl.example&gt;... Recipient ok&#x000A;</code></pre>
<p>Der Sender gibt die Absenderadresse an, der Empfänger bestätigt; gleiches
gilt für die Empfangsadresse. Die Absenderadresse kann auch hier "gelogen"
sein und lässt sich nicht definitiv nachprüfen; statt nur eines Empfängers
können auch (nahezu) beliebig viele angegeben werden, indem die
<code>RCPT TO:</code>-Angabe entsprechend wiederholt wird.</p>
<pre><code>DATA&#x000A;354 Enter mail, end with "." on a line by itself&#x000A;</code></pre>
<p>Der "Umschlag" ist fertig, jetzt kommt der Briefbogen, bestehend aus
Header und Body.</p>
<h3 id="header">Header</h3>
<p>Der Header einer E-Mail bildet sozusagen den Briefkopf, dem man bspw.
Absender, Empfänger, Datum und Betreff entnehmen kann. Wichtig dabei:
diese Angaben sind einerseits völlig beliebig durch den Absender
einstellbar, andererseits müssen sie nicht mit den Angaben im Umschlag
übereinstimmen. Man kann also, um im Bild zu bleiben, den Briefbogen an
<code>&lt;donald.duck@entenhausen.example&gt;</code> adressieren, aber in einen Umschlag
stecken, der (wie oben) an <code>karl-heinz@owl.example</code> adressiert ist. An
letzteren wird die E-Mail dann verschickt. So kann es passieren, dass man
eine E-Mail erhält, die scheinbar (!) an eine ganz andere Person adressiert
ist.</p>
<p class="small">Sinnvoll ist dieses Vorgehen bspw. für Mailinglisten: als Empfänger steht
dann bpsw. <code>"Alle Teilnehmer der Taubenfutter-Mailingliste"&#x000A;&lt;taubenfutter@mailingliste.example&gt;</code> oder etwas anderes beliebiges im
Header, die tatsächlichen Empfänger stehen nur auf dem Umschlag. Der
Vorteil: bei 100 Teilnehmern muss dann bloß die Zeile <code>RCPT&#x000A;TO:&lt;adresse@server.domain.example&gt;</code> hundertmal (jedesmal mit einer anderen
Empfängeradresse) gesendet, die eigentliche E-Mail (der Briefbogen) aber
nur einmal übertragen werden. Um die Zustellung kümmert sich dann der
empfangende Mailserver, der sozusagen aus der einen übertragenen E-Mail
100 Kopien für 100 verschiedene Empfänger macht. Das spart immens Zeit und
damit Geld. Daher gehen aus demselben Grund Bulkmailer (Spammer) ebenso
vor - letzten Endes bedienen sie ja auch nur eine Mailingliste, allerdings
eine Liste, deren unfreiwillige Teilnehmer sich nicht für diesen Verteiler
angemeldet haben… Daher findet man beim Empfang von UBE/UCE häufig nicht
die eigene Mailadresse auf dem Briefbogen (in der Headerzeile "To:" bzw.
"An:"), sondern eine fremde oder beliebige. Spammer verwenden für ihre
Zwecke dabei im übrigen gerne sog. "offene Relays"<sup id="fnref:8" role="doc-noteref"><a href="#fn:8" class="footnote">8</a></sup> und in neuerer
Zeit auch sog. "Zombies"<sup id="fnref:9" role="doc-noteref"><a href="#fn:9" class="footnote">9</a></sup>.</p>
<p>Außer dem "Briefkopf", der schon vom Absender mitgeschickt wird, finden
sich aber auch noch Headerzeilen, die von jedem an der Übertragung
beteiligten Mailserver eingetragen werden, wenn die E-Mail befördert wird,
sozusagen Zustellvermerke (die sich bei einem konventionellen Brief
allerdings wohl eher auf dem Umschlag finden würden). <em>Diese</em>
Headerzeilen sind für die Rückverfolgung einer E-Mail entscheidend.</p>
<p>Für den Anfang soll dieser kurze Überblick genügen; die einzelnen Header
werden unten im Abschnitt "<a href="#headerzeilen">E-Mail-Headerzeilen im einzelnen</a>"
ausführlich besprochen.</p>
<h3 id="body">Body</h3>
<p>Nach einer simplen Leerzeile, die die Trennung zwischen Header und Body
darstellt, folgt dann der eigentliche Text bzw. Inhalt der E-Mail. Dieser
ist - im einfachsten Fall - nicht mehr weiter untergliedert.<sup id="fnref:10" role="doc-noteref"><a href="#fn:10" class="footnote">10</a></sup></p>
<h3 id="zustellung">Vorgehen bei der Zustellung</h3>
<p>Wenn ein Mailserver eine E-Mail bekommt, ist es seine erste Aufgabe,
festzustellen, ob und (bei mehreren) wenn ja für welche Empfänger er
selbst "zuständig" ist. Ist der Server selbst zuständig, legt er die
E-Mail dem entsprechenden Empfänger (oder den Empfängern) ins Postfach
(bzw. übergibt sie an ein anderes Programm auf derselben Maschine, das für
die Verwaltung der Postfächer zuständig ist). Ist er nicht zuständig (oder
bleiben danach Empfänger-Adressen übrig, für die er nicht zuständig ist),
ermittelt er den (oder ggf. die verschiedenen) zuständigen Mailserver<sup id="fnref:11" role="doc-noteref"><a href="#fn:11" class="footnote">11</a></sup>,
stellt zu diesem Server (oder diesen Servern) eine Verbindung her
und liefert dann seinerseits die E-Mail an diese(n) Server aus, auf
dieselbe Weise, wie er sie selbst bekommen hat, mit <code>HELO/EHLO</code>,
<code>MAIL FROM</code>, <code>RCPT TO</code> und <code>DATA</code>.</p>
<h2 id="headerzeilen">E-Mail-Headerzeilen im einzelnen</h2>
<p>Zunächst mal ein (schon etwas komplizierterer) Header "am Stück". Die
folgende E-Mail wurde von <em>Heinz-Gustav Hinz</em> an seinen Bekannten
<em>Karl-Heinz Schmitt</em> verschickt. Letzterer hat eine Adresse bei dem
E-Mail-Anbieter GMX, von dem er sich die eingehenden Mails an seine
eigentliche Adresse weiterschicken lässt.</p>
<pre><code>Return-Path: &lt;heinz-gustav@post.rwth-aachen.example&gt;&#x000A;Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])&#x000A; by ancalagon.rhein-neckar.de (8.8.5/8.8.5) with SMTP id SAA25291&#x000A; for &lt;karl-heinz@ancalagon.rhein-neckar.de&gt;; Thu, 16 Sep 1998 17:36:20&#x000A; +0200 (MET DST)&#x000A;Received: (qmail 1935 invoked by alias); 16 Sep 1998 15:36:06 -0000&#x000A;Delivered-To: GMX delivery to karl-heinz@gmx.example&#x000A;Received: (qmail 27698 invoked by uid 0); 16 Sep 1998 15:36:02 -0000&#x000A;Received: from pbox.rz.rwth-aachen.example (137.226.144.252)&#x000A; by mx3.gmx.example with SMTP; 16 Sep 1998 15:36:02 -0000&#x000A;Received: from post.rwth-aachen.example (slip-vertech.dialup.RWTH-Aachen.EXAMPLE&#x000A; [134.130.73.8]) by pbox.rz.rwth-aachen.example (8.9.1/8.9.0) with ESMTP&#x000A; id RAA28830 for &lt;karl-heinz@gmx.example&gt;; Wed, 16 Sep 1998 17:35:59&#x000A; +0200&#x000A;Message-ID: &lt;35FFDA4F.2BC2A064@post.rwth-aachen.example&gt;&#x000A;Date: Wed, 16 Sep 1998 17:33:35 +0200&#x000A;From: Heinz-Gustav Hinz &lt;heinz-gustav@post.rwth-aachen.example&gt;&#x000A;Organization: RWTH Aachen&#x000A;X-Mailer: Mozilla 4.05 [de] (Win95; I)&#x000A;To: Karl-Heinz Schmitt &lt;karl-heinz@gmx.example&gt;&#x000A;MIME-Version: 1.0&#x000A;Content-Type: text/plain; charset=iso-8859-1&#x000A;Content-Transfer-Encoding: quoted-printable&#x000A;Subject: Re: Hallo Nachbar!&#x000A;References: &lt;529471993@ancalagon.rhein-neckar.de&gt;&#x000A;Reply-To: hinz@provider.example&#x000A;X-Resent-By: Global Message Exchange &lt;forwarder@gmx.example&gt;&#x000A;X-Resent-For: karl-heinz@gmx.example&#x000A;X-Resent-To: karl-heinz@ancalagon.rhein-neckar.de&#x000A;</code></pre>
<p>Eine Headerzeile beginnt immer mit einem Schlüsselwort, ihrem Namen,
gefolgt von einem Doppelpunkt und dem Inhalt. Sehr lange Headerzeilen
können sich über mehrere Textzeilen erstrecken; die zweite und jede
folgende Zeile beginnen dann mit Leerzeichen oder einem Tabulatorzeichen
(Fortsetzungszeilen). Für die Auswertung setzen die beteiligten Programme
die einzelnen Textzeilen wieder zu einer einzigen, langen Zeile zusammen.</p>
<p>Die Reihenfolge der Headerzeilen ist ziemlich beliebig und von der
verwendeten Software abhängig. Deshalb werde ich mich auch beim
"Auseinanderpfriemeln" der einzelnen Headerzeilen nicht an der
Reihenfolge, sondern am Sinnzusammenhang orientieren.</p>
<h3 id="briefkopf">Anschrift, Absender u. Verwandtes - kurz: der Briefkopf</h3>
<p>Diese Headerzeilen sind weitgehend selbsterklärend:</p>
<pre><code>Date: Wed, 16 Sep 1998 17:33:35 +0200&#x000A;</code></pre>
<p>Das Absendedatum, eingetragen vom Mailprogramm des Absenders (kann, wenn
fehlend, aber auch von einem der beteiligten Mailserver nachgetragen
worden sein, meistens dem ersten, den die Mail passiert).</p>
<pre><code>From: Heinz-Gustav Hinz &lt;heinz-gustav@post.rwth-aachen.example&gt;&#x000A;</code></pre>
<p>Der Autor bzw. Absender. Wenn Autor und technischer Absender
unterschiedlich sind (eine Mail bspw. von einer Mailingliste verschickt
wird), steht der technische Absender ggf. in der zusätzlichen Headerzeile
"Sender:". Davon zu unterscheiden ist der bereits unter
<a href="#envelope">SMTP-Envelope</a> erwähnte "<em>Envelope-From</em>", an den bspw.
automatische Fehlermeldungen gerichtet werden.</p>
<pre><code>Organization: RWTH Aachen&#x000A;</code></pre>
<p>Die Organisation (Firma, Hochschule, Verein …) des Absenders.
Merke: <cite>"There is no 's' in Organization."</cite></p>
<pre><code>To: Karl-Heinz Schmitt &lt;karl-heinz@gmx.example&gt;&#x000A;</code></pre>
<p>Der Empfänger. Hier können auch mehrere oder viele Namen / Adressen
stehen, jeweils durch Kommata getrennt.</p>
<p>Außerdem kann es noch die Headerzeile "CC:" geben, die angibt, wer diese
Mail in Kopie zur Kenntnisnahme erhalten hat. Der Unterschied ist rein
administrativ, ähnlich wie bei Rundschreiben mit "Empfängern" und "Zur
Kenntnis in Kopie an"; wie auch dort wird (vermutlich! - die Angaben in
To:/CC: sind nur informativ und haben für die Zustellung keine Bedeutung!)
an jeden Namen / jede Adresse in beiden Kategorien jeweils ein Exemplar
verschickt. Technisch gesehen werden beim Versand einer normalen E-Mail
die Adressen, die im Mailprogramm des Absenders in die Felder "To:" und
"CC:" eingetragen wurden, nicht nur zur Generierung dieser beiden
Headerzeilen benutzt, sondern auch beim SMTP-Dialog als "RCPT TO:"
übertragen, also sozusagen für den Umschlag abgeschrieben.</p>
<p>Die meisten Mailprogramm bieten noch ein "BCC:"-Feld für "blinde" Kopien.
Die hier eingegebene Adressen werden zwar in den Umschlag übernommen
(jeder erhält ein Exemplar der Mail), erscheinen aber im Header der E-Mail
(auf dem Briefbogen) nicht; die anderen Empfänger wissen also nichts von
den Empfängern dieser blinden Kopien. Mailinglisten (oder auch Bulkmail /
Spam) werden häufig auf diese oder eine vergleichbare Weise verschickt.</p>
<pre><code>Subject: Re: Hallo Nachbar!&#x000A;</code></pre>
<p>Der Betreff.</p>
<pre><code>Reply-To: hinz@provider.example&#x000A;</code></pre>
<p>Die Adresse, an die geantwortet werden soll. Hier schickt <em>Heinz-Gustav
Hinz</em> die E-Mail von seinem Account an der RWTH Aachen ab, möchte Antworten
aber an seine private Mailadresse haben.</p>
<p>Alle diese Zeilen können beliebig durch den Absender bestimmt werden und
sind demzufolge für eine Rückverfolgung weitgehend wertlos.</p>
<h3 id="technisches">"Technische" Angaben</h3>
<pre><code>Message-ID: &lt;35FFDA4F.2BC2A064@post.rwth-aachen.example&gt;&#x000A;In-Reply-To: &lt;529471993@ancalagon.rhein-neckar.example&gt;&#x000A;References: &lt;529471993@ancalagon.rhein-neckar.example&gt;&#x000A;</code></pre>
<p>Die Message-ID ist eine eindeutige Kennung der E-Mail (vergleichbar einer
Seriennummer). Sie sollte aus einer unverwechselbaren Zeichenfolge vor dem
<code>@</code> (meistens Datum und Benutzerkennung in einer kodierten Form) und einem
Rechnernamen hinter dem <code>@</code> bestehen. Häufig wird die Message-ID bereits
vom Mailprogramm des Absenders erzeugt; ansonsten tragen die meisten
Mailserver sie nach, soweit sie fehlt. Sie ist demnach kein Beleg für den
tatsächlichen Absender.</p>
<p>Wenn sich die E-Mail auf eine andere bezieht, diese also beantwortet,
findet sich deren Message-ID in der Headerzeile "References:" oder
"In-Reply-To:". Diese Angaben nutzen manche Mailprogramme, um die einzelnen
E-Mails, bspw. aus einer Mailingliste, zu sortieren und einen "Thread",
einen "Diskussionsfaden" (oder "-baum") daraus zu bauen (wie bei einem
Newsreader).</p>
<pre><code>MIME-Version: 1.0&#x000A;Content-Type: text/plain; charset=iso-8859-1&#x000A;Content-Transfer-Encoding: quoted-printable&#x000A;</code></pre>
<p>Diese Angaben beschreiben, welcher Art der Inhalt der Mail ist. Hier
handelt es sich um reinen Text ("plain text") mit dem Zeichensatz
<code>iso-8859-1</code> und der Sonderzeichenkodierung <code>quoted-printable</code>. Diese
Daten sind für das Mailprogramm notwendig, um bspw. Umlaute und
Sonderzeichen richtig anzeigen und Dateianhänge u.ä. erkennen und
behandeln zu können.</p>
<pre><code>X-Mailer: Mozilla 4.05 [de] (Win95; I)&#x000A;</code></pre>
<p>Alle mit "X-" beginnenden Headerzeilen sind nicht standardisiert und
können von verschiedenen Programmen (oder auch Benutzern) beliebig
eingefügt werden. Üblich ist ein Header wie dieser, der die verwendete
Software angibt. Ein anderes Mailprogramm produziert stattdessen
vielleicht direkt mehrere X-Header, zum Beispiel</p>
<pre><code>X-Priority: 3&#x000A;X-MSMail-Priority: Normal&#x000A;X-Mailer: Microsoft Outlook Express 4.72.3110.1&#x000A;X-MimeOLE: Produced By Microsoft MimeOLE V4.72.3110.3&#x000A;</code></pre>
<p>Möglich ist auch die Verwendung des Headers "User-Agent" (der dann einer
standardisierten Form genügen muss).</p>
<p>Bei weiteren Headern lässt sich meist aus dem Namen der jeweiligen
Headerzeile schließen, wofür er denn gedacht sein mag; ansonsten finden
sich die entsprechenden technischen Dokumente (RFCs) im Abschnitt
"<a href="#links">Weiterführende Links</a>" aufgezählt.</p>
<p>Der Hinweis, dass alle diese Header vom Absender beliebig gewählt (und
damit auch gefälscht) werden können, ist an dieser Stelle vermutlich
bereits fast überflüssig.</p>
<h3 id="received">"Zustellvermerke": den Weg einer E-Mail nachvollziehen</h3>
<p>Die noch verbleibenden Headerzeilen lassen sich für die Rückverfolgung
einer E-Mail verwenden. Auch hierbei ist natürlich ein wenig Vorsicht
geboten, um nicht plumpen (und weniger plumpen) Fälschungsversuchen
aufzusitzen.</p>
<pre><code>Return-Path: &lt;heinz-gustav@post.rwth-aachen.example&gt;&#x000A;</code></pre>
<p>Diese Zeile sollte, wenn sie existiert, ganz am Anfang der E-Mail stehen.
Sie enthält den <em>Envelope-From</em> (also die Absenderangabe aus dem
SMTP-Umschlag), die - wir erinnern uns - beliebig angegeben werden kann. Sie
bringt für eine Rückverfolgung also herzlich wenig.</p>
<h4 id="received-headerzeilen">"Received:"-Headerzeilen</h4>
<p>Die "eigentlichen" Zustellvermerke sind die "Received:"-Headerzeilen, die
jeweils vor dem Weiterschicken einer E-Mail vom Mailserver vorne angefügt
werden. Man muss sie also rückwärts (!) lesen: die letzte Received:-Zeile
ist die oberste (!). Daraus resultiert zweierlei: die oberste
"Received:"-Zeile wurde vom eigenen Mailserver (bzw. dem des Providers)
erzeugt - sie ist also vertrauenswürdig. Und: die übrigen genannten
Headerzeilen müssen normalerweise unterhalb der "Received:"-Zeilen stehen,
da sie ja schon bei der Einlieferung vorhanden waren. Andererseits könnten
natürlich auch vorgeschriebene Headerzeilen bei der Einlieferung gefehlt
haben, die dann erst später von einem der empfangenden Mailserver ergänzt
wurden und daher über der ersten "Received:"-Zeile stehen. Dennoch: Wenn
"mittendrin" noch einmal "Received:"-Zeilen auftauchen, handelt es sich
mit hoher Wahrscheinlichkeit um Fälschungen, die einfach vom Absender
schon vor dem ersten Versenden eingefügt wurden.</p>
<p>Gleiches gilt, wenn sich "Lücken" zwischen einzelnen "Received:"-Zeilen
auftun. Eine "Received:"-Zeile gibt immer an, wer die Mail von wem
empfangen hat. Das heißt: Wenn A die Mail von B bekommen hat, muss als
nächstes eine Zeile folgen, in der B die Mail von C bekommen hat. Beachten
muss man dabei allerdings, dass ein und derselbe Rechner durchaus mehrere
"Namen" haben kann. So wird ein Rechner, der den E-Mail-Verkehr erledigt,
vielleicht <code>mail.domain.example</code> heißen. Wenn derselbe Rechner auch für
das WWW und News zuständig ist, heißt er vielleicht auch noch
<code>www.domain.example</code> und <code>news.domain.example</code> - das ist aber immer noch
derselbe Rechner. Genauer feststellen lässt sich das durch eine
DNS-Abfrage (<code>nslookup</code>, vgl. den Abschnitt "<a href="#tools">Hilfreiche Tools für die
Headeranalyse</a>"); in diesem Fall müssten dort beide Namen für
denselben Rechner, d.h. dieselbe IP-Nummer, registriert sein.</p>
<p>Bevor wir weitere Kennzeichen für mögliche Fälschungen erörtern, ist es
aber notwendig, erst einmal den Aufbau einer "Received:"- Headerzeile
genauer kennenzulernen.</p>
<h4 id="received-headerzeilen-im-einzelnen">"Received:"-Headerzeilen im einzelnen</h4>
<pre><code>Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])&#x000A; by ancalagon.rhein-neckar.de (8.8.5/8.8.5) with SMTP id SAA25291&#x000A; for &lt;karl-heinz@ancalagon.rhein-neckar.de&gt;; Thu, 16 Sep 1998 17:36:20&#x000A; +0200 (MET DST)&#x000A;</code></pre>
<p>Jetzt geht's ans Eingemachte. Diese Zeile muss nämlich wiederum in ihre
Einzelteile auseinandergepflückt werden.</p>
<pre><code>by ancalagon.rhein-neckar.de (8.8.5/8.8.5) with SMTP id SAA25291&#x000A;</code></pre>
<p>Der eigene Mailserver des Empfängers (hier <code>ancalagon.rhein-neckar.de</code>)
hat diese E-Mail empfangen ("Received by"). Die Angabe in Klammern gibt
dabei (Namen und) Version des dort laufenden Mailserver-Programmes (MTA)
an. (Hier handelt es sich um das Programm <code>sendmail</code>.) Empfangen wurde per
SMTP mit der internen Kennnummer <code>SAA25291</code> (was für uns bedeutungslos
ist, aber es dem Mailserverbetreiber erleichtern kann, in seinen
Logdateien die richtige E-Mail aufzufinden).</p>
<pre><code>for &lt;karl-heinz@ancalagon.rhein-neckar.de&gt;; Thu, 16 Sep 1998 17:36:20 +0200 (MET DST)&#x000A;</code></pre>
<p>Freundlicherweise wird hier der <em>Envelope-To</em> wiedergegeben (also die
Anschrift auf dem SMTP-Umschlag). Außerdem finden sich das Datum und die
Uhrzeit, zu dem die Mail einging. Ob diese Angaben hier stehen, ist einmal
vom verwendeten MTA und zum anderen davon abhängig, ob die Mail nur an
einen oder an mehrere Empfänger auf demselben (!) Server ging. Im
letzteren Fall fehlt die Angabe des Empfängers aus dem "Umschlag" meist,
da es ja die einzelnen Empfänger nichts angeht, wer die E-Mail sonst noch
bekommen hat, und die Liste ggf. auch etwas lang würde.</p>
<pre><code>Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])&#x000A;</code></pre>
<p>Hier steht jetzt, von welchem Mailserver die E-Mail empfangen wurde.</p>
<p>Das Format dieser Zeile ist leider nicht ganz einheitlich. Immer gilt: die
Nummer in (eckigen) Klammern ist die unverwechselbare IP-Nummer des
einliefernden Rechners - hier <code>195.63.104.129</code>.<sup id="fnref:12" role="doc-noteref"><a href="#fn:12" class="footnote">12</a></sup> Außerdem ist
angegeben, wie dieser sich vorgestellt hat (die Angabe aus dem HELO) -
hier <code>qmailr@mx3.gmx.example</code><sup id="fnref:13" role="doc-noteref"><a href="#fn:13" class="footnote">13</a></sup>. Das hat unser Mailserver brav
überprüft und festgestellt, dass die IP-Nummer tatsächlich zu
<code>mx3.gmx.example</code> gehört. Soweit also alles in Ordnung.</p>
<p>Wenn <code>HELO</code> und Realität übereinstimmen, wird der <code>HELO</code>-Parameter
manchmal gar nicht angegeben. Dann findet sich nur die IP-Nummer und der
(als richtig festgestellte) Name des einliefernden Servers. Andererseits
geben manche MTA nur den (möglicherweise gefälschten) <code>HELO</code>-Parameter und
die (echte) IP-Nummer an, ohne den zugehörigen Namen nachzuschauen. Dann
ist der angegebene Name gerade <strong>nicht</strong> wahr. Auch ist es möglich, dass
die Reihenfolge der Angaben genau umgekehrt ist (zuerst <code>HELO,</code> dann
tatsächliche Angabe). Schließlich - und am schlimmsten - gibt es
(heutzutage sehr selten) ältere MTAs, die noch an das Gute im Menschen
glauben und außer dem (beliebig fälschbaren) <code>HELO</code> überhaupt nichts
festhalten. Da ist dann guter Rat teuer. In diesem Falle hilft es nur
noch, sich direkt an den Postmaster dieses Systems zu wenden, der dann
möglicherweise über die automatisch geführten Logdateien noch weitere
Informationen ermitteln kann.</p>
<p>Daher ergibt sich folgendes: Soweit man weiß oder ausprobiert hat, in
welchem Format der eigene MTA bzw. der des eigenen Providers die Angaben
in der Received:-Zeile macht, gibt es kein Problem. Wenn man sich nicht
sicher ist, welcher der Rechnernamen jetzt der echte ist, hilft nichts
anderes, als selbst nachzuschauen, welcher Name zu der angegebenen
IP-Nummer passt. Dazu gibt es bspw. das Tool <a href="#nslookup"><code>nslookup</code></a>.</p>
<pre><code>Received: (qmail 1935 invoked by alias); 16 Sep 1998 15:36:06 -0000&#x000A;</code></pre>
<p>Diese Zeile ist eine Spezialität der bei GMX verwendeten
Mailserversoftware <code>qmail</code>.</p>
<pre><code>Delivered-To: GMX delivery to karl-heinz@gmx.example&#x000A;</code></pre>
<p>Auch dies eine Spezialität von GMX: eine E-Mail an diesen GMX-Kunden wurde
ausgeliefert.</p>
<pre><code>Received: (qmail 27698 invoked by uid 0); 16 Sep 1998 15:36:02 -0000&#x000A;</code></pre>
<p>Wieder <code>qmail</code>. Alle diese Software-spezifischen Zeilen sind für die
Rückverfolgung zunächst ohne Bedeutung.</p>
<pre><code>Received: from pbox.rz.rwth-aachen.example (137.226.144.252)&#x000A; by mx3.gmx.example with SMTP; 16 Sep 1998 15:36:02 -0000&#x000A;</code></pre>
<p>Hier wird es jetzt spannend - diese Zeile wurde ja nicht mehr von unserem
vertrauenswürdigen eigenen Mailserver erzeugt. Schauen wir mal:</p>
<pre><code>by mx3.gmx.example with SMTP; 16 Sep 1998 15:36:02 -0000&#x000A;</code></pre>
<p><code>mx3.gmx.example</code> hat die Mail empfangen. Das ist der Rechner, der sie
dann an uns weitergereicht hat - stimmt also. Wundert eigentlich auch
wenig; den Mailserver von GMX darf man wohl durchaus als vertrauenswürdig
bezeichnen.</p>
<pre><code>Received: from pbox.rz.rwth-aachen.example (137.226.144.252)&#x000A;</code></pre>
<p>Bekommen hat er sie von <code>pbox.rz.rwth-aachen.example</code> mit der IP-Nummer
<code>137.226.144.252</code>. GMX gibt bei Übereinstimmung von HELO-Angabe und
tatsächlichem Namen diesen nur einmal an.</p>
<p>Anderes Beispiel:</p>
<pre><code>Received: from hiper1-d87.cwnet.com (HELO mailer1.themailmachaine.net)&#x000A; (205.162.108.87) by mx1.gmx.example with SMTP; 10 Sep 1998 23:29:25 -0000&#x000A;</code></pre>
<p>Hier hat sich der einliefernde Rechner beim <code>HELO</code> als
<code>mailer1.themailmachaine.net</code> vorgestellt; tatsächlich heißt er aber
<code>hiper1-d87.cwnet.com</code>. Wenn man die IP-Nummer <code>205.162.108.87</code> mittels
<code>nslookup</code> nachschaut, kann man das feststellen.<sup id="fnref:14" role="doc-noteref"><a href="#fn:14" class="footnote">14</a></sup></p>
<p>Aber weiter im Text - wir waren stehengeblieben bei der Feststellung, dass
GMX die Mail von <code>pbox.rz.rwth-aachen.example</code> hat.</p>
<pre><code>Received: from post.rwth-aachen.example (slip-vertech.dialup.RWTH-Aachen.EXAMPLE&#x000A; [134.130.73.8]) by pbox.rz.rwth-aachen.example (8.9.1/8.9.0) with ESMTP&#x000A; id RAA28830 for &lt;karl-heinz@gmx.example&gt;; Wed, 16 Sep 1998 17:35:59 +0200&#x000A;</code></pre>
<p><code>pbox.rz.rwth-aachen.example</code> wiederum hat sie von jemandem, der sich als
<code>post.rwth-aachen.example</code> vorgestellt hat, tatsächlich aber
<code>slip-vertech.dialup.RWTH-Aachen.EXAMPLE</code> heißt. Da beides
Rechnerbezeichnungen der RWTH Aachen sind und der letztere Name (<code>dialup</code>)
darauf hindeutet, dass es sich hier um einen Einwahlport handelt, dessen
IP-Nummer dynamisch immer wechselnden Anrufern zugewiesen wird, macht auch
das keinen übermäßig verdächtigen Eindruck. Auch der Zeitunterschied von
nur 3 Sekunden zwischen <code>17:35:59 +0200</code> und <code>15:36:02 -0000</code> passt ganz
gut für die Entgegennahme und direkt folgende Weiterleitung einer E-Mail.</p>
<p>Die E-Mail kam also von einem Einwahlport an der RWTH Aachen.</p>
<pre><code>X-Resent-By: Global Message Exchange &lt;forwarder@gmx.example&gt;&#x000A;X-Resent-For: karl-heinz@gmx.example&#x000A;X-Resent-To: karl-heinz@ancalagon.rhein-neckar.de&#x000A;</code></pre>
<p>Diese unmittelbar aufeinander folgenden Header sind wiederum eine
Spezialität von GMX, die angeben, an welche GMX-Adresse die Mail geschickt
wurde, und an welche tatsächliche Adresse sie dann weitergeleitet wurde.
Auch sie sind für die Rückverfolgung zunächst bedeutungslos.</p>
<p>Für die Bewertung, welche "Received:"-Zeilen vertrauenswürdig und "normal"
sind und welche nicht, ist es sinnvoll, sich - für jeden E-Mail-Account,
den man sein eigen nennt - zunächst einmal zu vergegenwärtigen, wie denn
eine legitime Mail aussieht und welche Zeilen darin (am Ende, also oben)
immer wieder vorkommen und damit zum Mailsystem des eigenen Providers
gehören. Dabei sollte man sich nicht dadurch irritieren lassen, dass
manche Provider "neutrale" Rechnernamen für ihre Infrastruktur verwenden
(<code>kundenserver.de</code> bspw. bei Unternehmen der United-Internet-Gruppe wie
1&amp;1 oder Schlund) oder dass Rechnernamen Umbenennungen oder Fusionen von
Firmen oder Marken nicht mitgemacht haben (so dass bspw. die
Mailinfrastruktur von <code>web.de</code> früher einmal Rechnernamen innerhalb der
Domain <code>cinetic.de</code> verwendete).</p>
<h4 id="indizien-fuer-geflschte-received-zeilen">Indizien fuer gefälschte "Received:"-Zeilen</h4>
<p>Wer über den tatsächlichen Laufweg bzw. die wahre Herkunft einer E-Mail
täuschen will, muss bei den "Received:"-Zeilen ansetzen. Versender
unerwünschter (Massen-)Mail hängen oft gefälschte Zeilen zusätzlich unten
an (setzen sie also an den Anfang der Kette), um die Analyse zu erschweren
und die Beschwerde-Abteilungen unbeteiligter Provider zu belästigen. Je
mehr unnötige Beschwerden auftauchen, desto weniger Ressourcen bleiben für
die Bekämpfung des tatsächlichen Missbrauchs übrig. Eine unrühmliche Rolle
spielen hier auch - schlecht geschriebene - Programme, die Beschwerden
automatisch möglich machen sollen.</p>
<p>Es gibt jedoch Indizien für solchermaßen gefälschte "Received:"-Zeilen:
kleine oder nicht ganz so kleine Ungewöhnlichkeiten und Implausibilitäten,
die einzeln, aber auch zusammenhängend auftreten können. Keine dieser
Indizien sind allerdings zwingend.</p>
<p>Aufmerksam sollte man werden, wenn eine "Received:"-Zeile nur aus einer
überlangen, d.h. mehr als 80 Zeichen langen Textzeile besteht.
Normalerweise sollte ein Mailserver diese lange Zeile in mehrere
Fortsetzungszeilen aufspalten, wobei die zweite und jede folgende Zeile
dann mit Leerzeichen beginnen. Statt</p>
<pre><code>Received: from c-67-170-28-227.client.comcast.example (c-67-170-28-227.client.comcast.example [113.56.119.16]) by h196.165.40.162.ip.alltel.example with SMTP id i2M5cXd3019578; Mon, 22 Mar 2004 06:38:34 -0600&#x000A;</code></pre>
<p>würde man daher vielmehr folgendes erwarten:</p>
<pre><code>Received: from c-67-170-28-227.client.comcast.example&#x000A; (c-67-170-28-227.client.comcast.example [113.56.119.16]) by &#x000A; h196.165.40.162.ip.alltel.example with SMTP id i2M5cXd3019578;&#x000A; Mon, 22 Mar 2004 06:38:34 -0600&#x000A;</code></pre>
<p>Ungewöhnlich ist es auch, wenn die angegebene Zeitzone nicht zu dem
angeblichen Namen des Servers passt, der die Mail angenommen haben soll:</p>
<pre><code>Received: from adsl-68-127-120-70.dsl.frsn02.pacbell.net&#x000A; (adsl-68-127-120-70.dsl.frsn02.pacbell.net [68.127.120.70]) by&#x000A; smtp1.belwue.de (8.12.10/8.12.8) with SMTP id i2E44Y75023435; Sat,&#x000A; 13 Mar 2004 23:05:16 -0500 (EST)&#x000A;</code></pre>
<p><code>smtp1.belwue.de</code> steht in Deutschland, man würde also mitteleuropäische
(Sommer-)Zeit (<code>+0100</code> oder <code>+0200</code>) erwarten, nicht jedoch <code>-0500</code> und
<code>EST</code>, also <em>Eastern Standard Time</em>.</p>
<p>Manchmal fehlt die Angabe der <code>(E)SMTP id</code>, also der internen Kennnummer
des Servers, unter der er die E-Mail behandelt hat:</p>
<pre><code>Received: from pcp566694pcs.rthfrd01.tn.comcast.example &#x000A; (pcp566694pcs.rthfrd01.tn.comcast.example [182.181.169.48]) by &#x000A; simba.csa.example with SMTP; 26 Feb 2004 15:16:39 -0600&#x000A;</code></pre>
<p>Stattdessen steht die <code>id</code> manchmal auch in spitzen Klammern:</p>
<pre><code>Received: from [72.193.48.203] by 129.143.2.12 with ESMTP id &lt;065027-77135&gt;&#x000A; for &lt;framstag@bofh.belwue.example&gt;; Mon, 22 Mar 2004 04:33:56 -0500&#x000A;</code></pre>
<p>Oder sie besteht nur aus seltsamen alphanumerischen Zeichen:</p>
<pre><code>Received: from [56.194.200.218] by 24.8.12.192 with qepxtpax SMTP;&#x000A; Wed, 17 Mar 2004 02:51:00 -0600&#x000A;</code></pre>
<p>In allen vorgenannten Fällen ist gleichermaßen auffällig, dass für den
angeblich sendenden Server nur die IP in eckigen Klammern angegeben wird
und dass auch der angeblich annehmende Server nicht seinen Namen, sondern
nur seine IP-Nummer registriert.</p>
<p>Zeichen für eine erfundene "Received:"-Zeile kann es schließlich auch
sein, wenn das <code>HELO</code>, also die "Vorstellung" des angeblich einliefernden
Servers, nur aus Zeichengewirr besteht:</p>
<pre><code>Received: from [200.207.1.240] (helo=QRJATYDI)&#x000A; by gentoo.lithosting.example with smtp (Exim 4.21)&#x000A; id 1B3Wi8-0001cZ-6y; Wed, 17 Mar 2004 02:47:38 -0600&#x000A;&#x000A;Received: from (HELO 37jcl0h) [129.206.192.195] by &#x000A; 12-241-137-231.client.attbi.example with SMTP; Thu, 06 Nov 2003 07:40:50 +0300&#x000A;</code></pre>
<p>Für die vorstehenden Ausführungen (und nicht nur für diese) geht ein
Dankeschön an <em>Ulli Horlacher</em>, der sie beigesteuert hat.</p>
<h3 id="specialheader">Spezielle Headerzeilen</h3>
<p>Einige recht häufig vorkommende Headerzeilen wurden noch nicht genannt. So
ist zum Beispiel</p>
<pre><code>Comments: Authenticated Sender is &lt;....&gt;&#x000A;</code></pre>
<p>recht verbreitet (wobei statt <code>&lt;....&gt;</code> natürlich eine E-Mail-Adresse
steht). Eigentlich sollte diese Zeile einmal angeben, wer denn nun
tatsächlich der Absender dieser E-Mail war (wenn der Mailserver des
eigenen Providers verwendet wurde bspw. durch Rückgriff auf die bei der
Einwahl ins System verwendete Nutzerkennung). Manchmal trifft das auch
noch zu; häufig - bei unerwünschter Bulkmail nahezu immer - ist diese
Zeile aber zwecks Irreführung gefälscht.</p>
<p>Beliebt ist oder war auch die Headerzeile <code>X-Sender</code>, die ebenfalls den
tatsächlichen Absender angeben soll. Zumindest bei T-Online-Kunden
funktionierte das lange Jahre anerkanntermaßen, solange auch einer der
T-Online-Mailserver verwendet wurde:</p>
<pre><code> X-Sender: 06221168783-0001@t-online.de&#x000A;</code></pre>
<p>Die Angabe war in diesem Fall die T-Online-Benutzerkennung, die bei
älteren Kunden zu allem Überfluss auch noch mit der Telefonnummer identisch
war. In diesem speziellen Fall konnte man eventuelle Nachfragen dann sogar
telefonisch klären. Nachdem T-Online den "X-Sender:" abgeschafft hat,
ist das allerdings - leider - nur noch von historischem Interesse.</p>
<p>Stattdessen gibt es jetzt eine "X-ID:"-Headerzeile, die allerdings
verschlüsselte Daten enthält, die nur noch T-Online selbst dem Übeltäter
zuordnen kann. Bitte beachten Sie in jedem Fall, dass das bloße
Vorhandensein einer "X-ID:"-Zeile aber nicht besagt, dass eine E-Mail
tatsächlich von einem T-Online-Kunden stammt. Man kann auch diese Zeile
beliebig hinzufälschen; es ist aber immer auch anhand der
"Received:"-Zeilen zu prüfen, ob die E-Mail tatsächlich bei T-Online
eingeliefert wurde oder nicht.</p>
<h2 id="tools">Hilfreiche Tools für die Header-Analyse</h2>
<p>Ganz ohne Hilfsprogramme ist auch die Analyse eines E-Mail-Headers nicht
möglich. Wichtig ist es insbesondere, herauszufinden, welche IP-Nummern
welchen Namen zugeordnet sind, und wer hinter diesen Nummern/Namen
tatsächlich hintersteckt. Die wichtigsten Tools sollen hier kurz
vorgestellt werden. <a href="#pakete">Bezugsquellen</a> für die einzelnen Programme
folgen dann im Anschluss.</p>
<h3 id="nslookup"><code>nslookup</code> (<code>host</code>/<code>dig</code>)</h3>
<p>Dieses Tool erwartet die Angabe einer IP-Nummer oder eines Rechnernamens
und liefert durch die Anfrage bei einem DNS-Server die fehlende Angabe
zurück. Das geht natürlich nur online.</p>
<p>Wir haben beispielsweise folgende Headerzeile:</p>
<pre><code>Received: from hiper1-d87.cwnet.com (HELO mailer1.themailmachaine.net) (205.162.108.87)&#x000A;</code></pre>
<p><code>nslookup</code> liefert für <code>hiper1-d87.cwnet.com</code> zurück:</p>
<pre><code>[hiper1-d87.cwnet.com]&#x000A;Translated Name: hiper1-d87.cwnet.com&#x000A;IP Address: 205.162.108.87&#x000A;</code></pre>
<p>Und eine Anfrage mit 205.162.108.87 ergibt:</p>
<pre><code>[205.162.108.87]&#x000A;Translated Name: hiper1-d87.cwnet.com &#x000A;IP Address: 205.162.108.87&#x000A;</code></pre>
<p>Wie bereits im Abschnitt <a href="#helo">Die Vorstellung</a> erwähnt, muss die
Rückwärtsauflösung von der Nummer zum Namen hin nicht unbedingt
funktionieren oder wahr sein. Es empfiehlt sich daher, sie ggf. durch eine
Vorwärtsauflösung zu überprüfen: wenn <code>205.162.108.87</code> zum Namen
<code>hiper1-d87.cwnet.com</code> gehören soll, dann muss umgekehrt die Abfrage auf
<code>hiper1-d87.cwnet.com</code> wieder die Nummer <code>205.162.108.87</code> liefern.</p>
<p>(Statt <code>nslookup</code> wird man heutzutage üblicherweise <code>host</code> bzw. <code>dig</code>
verwenden.)</p>
<h3 id="whois"><code>whois</code></h3>
<p>Mit Hilfe von <code>whois</code> lässt sich beispielsweise herausfinden, wem bestimmte
IP-Nummern, IP-Nummern-Bereiche oder Domains gehören. Auf diesem Weg
lassen sich nicht nur zusätzliche Beschwerdeadressen finden, interessant
ist es häufig auch, festzustellen, wer hinter einem bestimmten
Domain-Namen oder einer bestimmten IP-Nummer steckt. Manchmal sind das
bereits "alte Bekannte", so dass von vornherein klar ist, dass Beschwerden
dort keinen Erfolg haben werden …</p>
<p>Beispielsweise ergibt die Abfrage <code>whois 205.162.108.87</code> den
Verantwortlichen für diese IP-Nummer bzw. denjenigen, dem diese Nummer
respektive der ganze Nummernblock, zu dem diese Nummer gehört, zugeteilt
wurde. Bei der Angabe eines Domainnamens statt einer IP-Nummer wird der
Eigentümer der entsprechenden Domain zurückgeliefert: <code>whois domain.name</code>
ergibt entsprechend die Daten desjenigen, der diese Domain registriert
hat. - Die Eigentümer von Subdomains, bspw. von <code>irgendwas.de.vu</code>, lassen
sich in der Regel nicht ermitteln; jedenfalls nicht auf diesem Wege,
sondern allenfalls über den Zuständigen für die Haupt-Domain
(Second-Level-Domain), bspw. <code>de.vu</code>.</p>
<p><strong>Bitte beachten:</strong> Es gibt viele verschiedene Whois-Server, die jeweils
nur für eine bestimmte Top-Level-Domain (bspw. "de" oder "at" oder "com")
zuständig sind, und auch die Zuständigkeit für die IP-Nummern-Bereiche ist
auf eine Handvoll <em>Regional Internet Registries</em> (RIRs) verteilt, insb.
die von <em>ARIN</em> (amerikanischer Raum), <em>RIPE</em> (europäischer Bereich) und
<em>APNIC</em> (asiatisch-pazifischer Raum). Moderne <code>whois</code>-Clients sollten
automatisch den richtigen Server abfragen; wenn aber keine vernünftige
Antwort auf eine Abfrage erfolgt, muss stattdessen ein anderer, sprich der
zuständige Whois-Server befragt werden. Als weitere kommen auch die
<a href="#online">Online-Abfrageseiten</a> im Web in Betracht.</p>
<h3 id="traceroute"><code>traceroute</code></h3>
<p><code>traceroute</code> gibt den Weg an, den Datenpakete vom eigenen Rechner zum
angegebenen Zielrechner zurücklegen. So lässt sich der Uplink für den
Zielrechner ermitteln, also sozusagen der "Provider des Providers". Falls
Beschwerden beim Provider selbst ständig erfolglos und ohne Antwort
bleiben, kann man auch daran denken, es eine Ebene höher zu probieren und
sich an den Uplink zu wenden.</p>
<h3 id="pakete">Programmpakete und Bezugsquellen</h3>
<p>Auf UNIX-Rechnern bzw. unter Linux stehen die genannten Tools meist unter
eben diesen Namen zur Verfügung. Unter anderen Betriebssystemen ist das
zumeist nicht der Fall - aber auch dort gibt es inzwischen Programmpakete,
in denen die gebräuchlichsten Tools zusammengefasst (und häufig mit einer
leicht bedienbaren grafischen Benutzeroberfläche versehen) sind. Die
Programme sind im allgemeinen Free- oder Shareware.</p>
<p><strong>Nicht</strong> zu empfehlen sind hingegen "automatische" Auswertungsprogramme,
die eigenständig Headerzeilen analysieren und fertige Beschwerden erzeugen
können; jedenfalls dann nicht, wenn ihnen eine hohe Fehlerquote eigen ist,
die haufenweise zu Beschwerden bei Unbeteiligten führt und sich damit als
ausgesprochen kontraproduktiv erweist.</p>
<h4 id="unter-windows">Unter Windows</h4>
<p>Standardmäßig existieren <code>ping</code> und <code>tracert</code> (<code>traceroute</code>). Diese können
in einer DOS-Box (<code>cmd.exe</code>) mit <code>ping [hostname/IP]</code> oder <code>tracert&#x000A;[hostname/IP]</code> aufgerufen werden.</p>
<p>Statt des Downloads spezialisierter Software kann sich ein Rückgriff auf
die <a href="#online">Online-Abfrageseiten</a> im Web empfehlen.</p>
<dl>
<dt><a href="https://en.wikipedia.org/wiki/Sam_Spade_(software)">Sam Spade</a></dt>
<dd>Dieses Programm war speziell zur Rückverfolgung unerwünschter Bulkmail
ausgelegt. Es bot neben <code>ping</code>, <code>nslookup</code>, <code>traceroute</code>, IP-Blocks und
weiteren Tools auch eine "automatische" Headeranalyse, die bei einem
ersten Einstieg in die Materie sicher hilfreich sein konnte, und lieferte
daneben auch einige hervorragende, allerdings englischsprachige FAQs,
Links und Step-by-step-Anleitungen für die Absenderfeststellung und
Beschwerde bei unerwünschter Bulkmail mit.</dd>
<dt><a href="https://www.netscantools.com/nstbasicmain.html">NetScanTools</a></dt>
<dd><code>ping</code>, <code>traceroute</code>, <code>nslookup</code>, <code>whois</code> u.a.</dd>
<dt><a href="http://www.visualroute.com/">VisualRoute</a></dt>
<dd>Graphisches <code>traceroute</code> mit Whois-Abfragen und Portscan</dd>
</dl>
<h4 id="unter-os2">Unter OS/2</h4>
<p>Es existieren standardmäßig <code>ping</code>, <code>nslookup</code> und <code>finger</code> - diese
Programme heißen auch so. <code>traceroute</code> heißt hier <code>tracerte</code>.</p>
<p>Desweiteren hatte <em>Frank Ellermann</em> eine <code>whois</code>-implementation unter
<a href="http://purl.net/xyzzy/rxwhois.htm">http://purl.net/xyzzy/rxwhois.htm</a> zum Download bereitgestellt, die
mittlerweile aber nicht mehr erreichbar ist.</p>
<h4 id="unter-macos-x">Unter MacOS X</h4>
<p>Es existiert serienmäßig das "Network Utility" bzw. "Network
Dienstprogramm", welches unter "Applications/Utilities" zu finden ist. Zum
Funktionsumfang gehören <code>netstat</code>, <code>ping</code>, <code>lookup</code>, <code>trace[route]</code>,
<code>whois</code>, <code>finger</code> und Portscans.</p>
<dl>
<dt><a href="http://www.sustworks.com/site/prod_ipmonitor.html">IPNetMonitor</a></dt>
<dd><code>ping</code>, <code>traceroute</code>, <code>nslookup</code>, <code>whois</code> u.a.</dd>
</dl>
<h3 id="online">Online-Tools</h3>
<p>Schließlich gibt es die kleinen Helferchen inzwischen auch vielfach als
Webformular, mit dem man entsprechende Anfragen stellen kann.</p>
<p>Eine Zusammenstellung vieler guter Tools fand sich auf
<a href="https://web.archive.org/web/20061008144350/http://www.samspade.org/">https://web.archive.org/web/20061008144350/http://www.samspade.org/</a>;
derzeit ist die Website jedoch leider nicht mehr erreichbar.</p>
<p>Alle verbreiteten Tools bietet <a href="https://network-tools.com/">https://network-tools.com/</a> an.
Empfehlenswert ist auch der allgemeine whois-Dienst auf
<a href="http://www.iks-jena.de/Tools/Whois">http://www.iks-jena.de/Tools/Whois</a>.</p>
<p>Eine Online-Auswertung von Mailheadern und deren "Übersetzung" bietet
<a href="https://www.mailheader.org/">https://www.mailheader.org/</a> an.</p>
<p>Eine umfangreichere Liste von Tools (Stand 2004) findet sich in der FAQ
der Newsgroup <em>de.admin.net-abuse.mail</em>; vgl. dazu die weiterführenden
Hinweise im Abschnitt "<a href="#links">Weiterführende Links</a>" dieser FAQ.</p>
<h3 id="abusenet">6. abuse.net</h3>
<p>Das <a href="https://www.abuse.net/"><em>Network Abuse Clearinghouse</em></a> sammelt
Kontaktadressen von Providern, unter denen man die jeweilige
Beschwerdestelle erreichen kann. Die Kontaktdatenbank lässt sich auf
zweierlei Weise abfragen:</p>
<ul>
<li>Im WWW: <a href="https://www.abuse.net/lookup.phtml">https://www.abuse.net/lookup.phtml</a></li>
<li><del>Per finger: <code>finger example.com@abuse.net</code><br />
(mit der betreffenden Domain statt "example.com", natürlich)</del></li>
<li>Per whois: <code>whois -h whois.abuse.net example.com</code><br />
mit der betreffenden Domain statt "example.com", natürlich)</li>
</ul>
<p>Ergänzungen dieser Datenbank kann jedermann einreichen; insbesondere dann,
wenn die - eigentlich vorgeschriebenen - Adressen <code>abuse</code> oder
<code>postmaster</code> nicht existieren, ist es interessant, welche anderen Adressen
bei dem betreffenden Provider für Beschwerden brauchbar sind. Dazu genügt
eine Mail an <a href="mailto:update@abuse.net">update@abuse.net</a>, die die entsprechende(n) Adresse(n)
möglichst in folgender Form enthält:</p>
<pre><code>domain.example: beschwerde.hier@domain.example weitere.beschwerde@domain.example&#x000A;</code></pre>
<p>Wenn nicht direkt klar ist, woher diese Angaben stammen, sollte eine kurze
Begründung angegeben werden, warum das Kontaktadressen für Beschwerden
über diese bestimmte Domain sind, bzw. wie man sie gefunden hat - auf
Englisch, bitte.</p>
<p>Mehr dazu unter <a href="https://www.abuse.net/addnew.phtml">https://www.abuse.net/addnew.phtml</a>.</p>
<h3 id="blacklists">Blacklists auswerten</h3>
<p>Diverse Anbieter führen (schwarze) Listen, in denen bestimmte Rechner
(IP-Adressen) und/oder Domains geführt werden, die bestimmte
Voraussetzungen erfüllen, insbesondere negativ aufgefallen sind. Eine
manuelle oder automatisierte Auswertung dieser Listen kann durchaus
sinnvoll sein - sei es, dass man feststellen möchte, ob ein bestimmter
Rechner bereits als offenes Relay aufgefallen ist, oder dass man darauf
aufbauende automatische Filter verwenden möchte, die bspw. Mail von
bestimmten Rechnern kennzeichnen oder gar nicht mehr annehmen (zum Thema
Mailfilterung wie auch über Blacklists siehe die Verweise in der FAQ von
<em>de.admin.net-abuse.mail</em>, genannt im Abschnitt "<a href="#links">Weiterführende
Links</a>" dieser FAQ).</p>
<p>Wichtig bei der Verwendung solcher Listen ist es aber, sich zuvor zu
informieren, nach welchen Kriterien dort Rechner gelistet werden, und wie
verlässlich die Anbieter sind. Es gibt Listen von Rechnern, über die
unerwünschte Massenwerbung verschickt wurde, von sog. offenen Relays, aber
auch Listen der IP-Nummern-Bereiche von Einwahlkunden (die deshalb nicht
notwendigerweise Spammer sind) oder von Providern, die bestimmte
Beschwerdeadressen nicht eingerichtet haben. Diese Listen sind teilweise
gut gepflegt, teilweise enthalten sie aber auch falsche Einträge oder
werden gar für persönliche Feden zwischen dem Betreiber und anderen
Institutionen benutzt.</p>
<p>Die meisten dieser Blacklists sind über spezielle DNS-Server realisiert:
man fragt dort nach dem Namen eines bestimmten Rechners oder einer Domain,
und wenn ein Eintrag existiert, dann steht dieser Rechner oder diese
Domain in der jeweiligen Blacklist. Teilweise kommt auch dem Inhalt der
zurückgelieferten Antwort eine Bedeutung zu. Wie nun genau diese Abfrage
erfolgt, ist listenspezifisch; üblich ist die Angabe der IP-Adresse in
umgekehrter Reihenfolge der Ziffernblöcke oder des Domainnamens, jeweils
gefolgt vom Namen der Blacklist. Um also den Rechner mit der IP-Nummer
<code>a.b.c.d</code> bei der Blacklist <code>dnsbl.sorbs.net</code> abzuchecken, verwendet man
eine Abfrage der Form <code>host d.c.b.a.dnsbl.sorbs.net</code> (oder ein anderes
Tool, wie <code>nslookup</code>, bzw. ein Programmpaket, was dies beherrscht, siehe
dazu den Abschnitt <a href="#pakete">Programmpakete und Bezugsquellen</a>). Ggf. muss
man zu einem Rechnernamen erst noch die IP-Nummer(n) ermitteln, bevor man
die Abfrage starten kann:</p>
<pre><code>thh@thangorodrim:~$ host mout.kundenserver.de &#x000A;mout.kundenserver.de has address 212.227.17.10&#x000A;mout.kundenserver.de has address 212.227.126.134&#x000A;mout.kundenserver.de has address 212.227.126.187&#x000A;mout.kundenserver.de has address 212.227.17.24&#x000A;mout.kundenserver.de has address 212.227.126.133&#x000A;mout.kundenserver.de has address 217.72.192.75&#x000A;mout.kundenserver.de has address 217.72.192.73&#x000A;mout.kundenserver.de has address 212.227.126.130&#x000A;mout.kundenserver.de has address 212.227.126.135&#x000A;mout.kundenserver.de has address 217.72.192.74&#x000A;mout.kundenserver.de has address 212.227.17.13&#x000A;mout.kundenserver.de has address 212.227.126.131&#x000A;&#x000A;thh@thangorodrim:~$ host 10.17.227.212.dnsbl.sorbs.net&#x000A;10.17.227.212.dnsbl.sorbs.net has address 127.0.0.6&#x000A;</code></pre>
<p>Die genaue Bedeutung des Abfrageergebnisses lässt sich in diesem Falle der
jeweiligen Webseite entnehmen. Hier steht die IP-Adresse in der Liste
<code>new.spam.dnsbl.sorbs.net</code>, was bedeutet, dass von den Betreibern des
<em>Spam and Open Relay Blocking System</em> (SORBS) in den letzten 48 Stunden
Spam-Mails von dieser Adresse empfangen wurden.</p>
<p>Mit dem <a href="http://www.anti-abuse.org/multi-rbl-check/">Multi-RBL Check</a> des
<em>Anti-Abuse Project</em> lassen sich über 50 Blacklists auf einen Schlag
abfragen.</p>
<h2 id="beschwerde">Beschwerden über unerwünschte Massen-E-Mail</h2>
<p>Die häufigsten Gründe, sich über den tatsächlichen Absender einer E-Mail
informieren zu wollen, sind die, dass man den bzw. die Verantwortlichen für
eine unerwünschte, massenhaft verschickte (Werbe-)E-Mail ("unsolicited
commercial/bulk email", kurz UCE bzw. UBE) ausfindig machen möchte, um
sich dort zu beschweren, oder dass man das Opfer eines Bombardements sich
per E-Mail selbst verbreitender Viren und Würmer steht, in einem Fall also
das Opfer von Böswilligkeit, in einem anderen das von Fahrläsigkeit ist.
Womit sich in beiden Fällen die Frage stellt: Wo und wie beschwert man
sich?</p>
<p>Dazu sollen hier nur einige grundlegende Hinweise gegeben werden; Verweise
auf weitere Informationsquellen finden sich im Abschnitt "<a href="#links">Weiterführende
Links</a>". Insbesondere die Lektüre der FAQ der Newsgroup
<em>de.admin.net-abuse.mail</em> sollte für diese Fälle ein Muss sein.</p>
<h3 id="beschwerdewo">Wo kann ich mich beschweren?</h3>
<h4 id="beim-angeblichen-versender-der-betreffenden-e-mail">Beim (angeblichen) Versender der betreffenden E-Mail</h4>
<p>Das ist wenig sinnvoll - meist sind die Absenderadressen gefälscht, und
wenn die Beschwerde ankommt, führt das im Zweifelsfall nur dazu, dass Ihre
Absenderadresse als tatsächlich existent vorgemerkt wird (was zu einer
Vermehrung der Werbeflut führen kann). Ausnahmen kann man vielleicht bei
UCE aus deutschen Landen machen, insb. dann, wenn man ohnehin rechtliche
Schritte erwägt, oder wenn man den Eindruck hat, der Betreffende wisse gar
nicht, was er gerade anrichtet. Das Risiko, die eigene Adresse als "gut"
zu bestätigen, bleibt.</p>
<p>Auch bei Viren und Würmern wird die Absenderadresse praktisch immer
gefälscht. Es ist also nutzlos bis nervig, den angeblichen Absender von
einer angeblichen Infektion seines Rechners zu informieren. Daher sollten
unbedingt auch automatische Benachrichtigungen des Absenders in
Virenscannern deaktiviert werden! Leicht wird man sonst durch die
Benachrichtigungsfunktion zur UBE-Schleuder wider Willen gemacht.</p>
<h4 id="beim-hersteller-o-des-per-uce-beworbenen-produkts">Beim Hersteller o.ä. des per UCE beworbenen Produkts</h4>
<p>Auch dies ist nur sinnvoll, wenn es sich um eine namhafte Firma handelt,
die entweder von dieser "Werbekampagne" gar nichts weiß, oder zumindest
keine Ahnung hat, wie sehr sie gerade ihrem Ruf schadet. Halbseidene
Anbieter, die bewusst unerwünschte Werbung versenden, freuen sich
ansonsten nur über eine validierte E-Mail-Adresse.</p>
<h4 id="beim-tatschlichen-provider-des-uce-viren-versenders">Beim (tatsächlichen!) Provider des UCE-/Viren-Versenders</h4>
<p>Viele Provider schätzen keine Spammer unter ihren Kunden und
reagieren darauf - wie auch auf Vireninfektionen - entsprechend mit
Verwarnungen, Accountentzug und/oder Vertragsstrafen, sofort oder im
Wiederholungsfall. Manche reagieren allerdings auch gar nicht.</p>
<p>Die Adresse für Beschwerden ist (sollte sein)
<code>abuse@providername.example</code>; sofern diese Adresse nicht existiert,
ersatzweise <code>postmaster@providername.example</code>, wobei natürlich jeweils die
E-Mail-Domain des Providers statt <code>providername.example</code> einzusetzen ist,
also bspw. <code>t-online.de</code>. Darauf sollte auf jeden Fall eine Antwort
kommen, meist eine automatische Bestätigung oder der Hinweis, dass für UCE
u.ä. spezielle Beschwerdeadressen existieren. Falls diese Adressen nicht
existieren, kann der betreffende Provider bei <a href="http://rfc-clueless.org/">http://rfc-clueless.org/</a>
gemeldet werden; dort wird eine (schwarze) Liste solcher Provider, die
technische Standards (RFCs) nicht befolgen, geführt. Diese kann man
natürlich auch selbst zuvor abfragen, vgl. dazu die genannte Webseite und
den Abschnitt "<a href="#blacklists">Blacklists auswerten</a>" dieser FAQ.</p>
<p>Vereinfachen lässt sich dieses Vorgehen über <a href="https://www.abuse.net/">https://www.abuse.net/</a>
(siehe dazu auch den Abschnitt "<a href="#abusenet">abuse.net</a> dieser FAQ). Dort
wird eine Datenbank mit Beschwerdeadressen geführt; E-Mail an
<code>provider.domain@abuse.net</code> (bspw. <code>aol.com@abuse.net</code>) wird automatisch
an die passenden Beschwerdeadressen weitergeleitet. Bei Providern, die
erfahrungsgemäß nicht reagieren, geht eine Kopie der Beschwerde an den
Uplink des Anbieters.</p>
<p>Falls auf keine der genannten Vorgehensweisen eine Antwort erfolgt, kann
man noch versuchen, sich an den <em>Administrative Contact</em> (<em>Admin-C</em>) der
Domain zu wenden. Dessen Erreichbarkeit (auch Telefon- und Faxnummer sowie
Anschrift) lässt sich mittels des Tools "<a href="#whois"><code>whois</code></a>" herausfinden.</p>
<h4 id="beim-uplink-des-providers">Beim Uplink des Providers</h4>
<p>Wenn ein Provider längere Zeit nicht reagiert, bleibt die Möglichkeit,
sich eine Stufe höher beim Uplink (also dem "Provider des Providers") zu
beschweren. Wer das ist, lässt sich bspw. mithilfe des Tools
<a href="#traceroute"><code>traceroute</code></a> herausfinden.</p>
<h4 id="bei-offenen-relays">Bei offenen Relays</h4>
<p>UCE wird meist nicht direkt verschickt, sondern über unbeteiligte Dritte
versandt, bspw. bei einem (unbeteiligten) Mailserver "abgekippt", der so
gutgläubig ist, nicht nur E-Mail von eigenen Benutzern nach überall und
von überall an die eigenen Benutzer zuzustellen, sondern von überall nach
überall weiterzuleiten. Das mag einmal sinnvoll und hilfreich gewesen
sein, ist aber heutzutage nur noch eine Einladung zum Missbrauch. Insofern
sollte man auch dort den zuständigen Postmaster auf den Missbrauch
hinweisen und ihn bitten, seinen Mailserver "relayfest" zu machen.</p>
<p>Das Problem der offenen Relays wird zunehmend durch das Problem der viren-
oder wurminfizierten und "gekaperten" Rechner abgelöst; bei diesen werden
dann - auch auf ganz normalen Endbenutzerrechnern, die sonst nur zur
Textverarbeitung und zum Surfen im Internet genutzt werden! - heimlich
Mailsysteme installiert, ohne dass der Benutzer davon weiss oder dies
bemerkt.</p>
<h4 id="bei-e-mail--und-webspace-providern">Bei E-Mail- und Webspace-Providern</h4>
<p>Die meisten Anbieter von (kostenlosen) E-Mail-Adressen, wie <em>gmx.net</em>,
<em>hotmail.com</em> etc. verbieten die Verwendung dieser Adressen in Zusammenhang
mit UCE, sei es als Absender, sei es als im Body angegebene Adresse für
weitere Infos, und löschen auf Hinweis solche Accounts ("Dropboxen")
sofort. Auch manche Webspace-Provider reagieren, wenn Webseiten per UCE
beworben werden.</p>
<h4 id="bei-dritten-firmen-behrden-institutionen">Bei Dritten (Firmen, Behörden, Institutionen)</h4>
<p>Die Freiwillige Selbstkontrolle Multimedia-Diensteanbieter (FSM) e.V. und
eco Verband der Internetwirtschaft e.V. betreiben als gemeinsames
Projekt eine
<a href="https://www.internet-beschwerdestelle.de/">Internet-Beschwerdestelle</a>.
Dort sind
<a href="https://www.internet-beschwerdestelle.de/de/beschwerde/einreichen/e-mail-und-spam.html">Kontakt-E-Mail-Adressen</a>
genannt, an die unerwünschte Werbe-E-Mails weitergeleitet werden können.
Dabei ist es natürlich erforderlich, die kompletten Header mitzusenden, da
nur so eine Überprüfung und weitere Bearbeitung möglich ist.</p>
<p>Auch darüber hinaus kann es in ganz bestimmten Fällen sinnvoll sein, sich
mit seiner Beschwerde an Dritte zu wenden, bspw. dort, wo der Versand
unerwünschter Werbe-E-Mail ordnungswidrig oder strafbar ist, an die
zuständige Behörde. Oder beim Bewerben von Raubkopien von Software an den
Hersteller oder einen Verband der Softwareindustrie. Oder bei
offensichtlichem Betrug (aber nur dann!) an eine Polizeidienststelle. Oder
bei Versuchen, Passworte auszuspionieren, bspw. für das Onlinebanking, an
die betroffene Bank. Diese Institutionen haben oft ein eigenes Interessen,
gegen den Urheber vorzugehen, und teilweise andere rechtliche und/oder
tatsächliche Möglichkeiten als Otto Normalverbraucher.</p>
<h3 id="beschwerdewie">Wie beschwere ich mich?</h3>
<ul>
<li>
<p>Auf jeden Fall <strong>höflich</strong>; der Provider kann meist nichts für seine Kunden,
und selbst wenn: durch Beschimpfungen erreicht man nichts.</p>
</li>
<li>
<p>Nach Möglichkeit <strong>kurz</strong>; meist kommt nicht eine Beschwerde, sondern
Dutzende bzw. Hunderte.</p>
</li>
<li>
<p>Immer unter Beifügung des <strong>vollständigen Headers</strong> - nur dann kann der
Beschwerde nachgegangen und etwas unternommen werden.</p>
</li>
<li>
<p>Im Zweifelsfall in <strong>englischer</strong> Sprache.</p>
</li>
<li>
<p>Und letztlich: bitte immer beim <strong>richtigen Ansprechpartner</strong>, nicht
wahllos bei allen irgendwo in der E-Mail genannten Adressen und Domains.
In diesem Zusammenhang sei von der Verwendung "automatischer"
Beschwerde-Tools abgeraten.</p>
</li>
</ul>
<h2 id="headerzeigen">Headerzeilen anzeigen lassen</h2>
<p>Bei vielen Mailclients werden standardmäßig gar keine oder zumindest nicht
alle Headerzeilen angezeigt. Wie man dennoch an den vollständigen Header
einer E-Mail kommt, lässt sich normalerweise der Dokumentation des
Programms oder der Online-Hilfe entnehmen.</p>
<p>Hier finden sich dementsprechend nur kurze Hinweise für die
gebräuchlichsten Programme (in alphabetischer Reihenfolge).</p>
<h3 id="mailreader">Mailclients</h3>
<dl>
<dt>AK-Mail</dt>
<dd>"Ansicht", "Kopf-Zeilen"<br />
Dieser Menüpunkt steht nur zur Verfügung,
wenn der Mail-Body sichtbar ist.</dd>
<dt>Crosspoint:</dt>
<dd>Taste <kbd>o</kbd><br />
Crosspoint speichert den Header im ZConnect-Format.</dd>
<dt>elm</dt>
<dd>Taste <kbd>h</kbd></dd>
<dt>XEmacs VM-Mail:</dt>
<dd>Taste <kbd>t</kbd><br />
Alternativ kann man in der <code>$HOME/.emacs</code> eine Zeile der Art
<pre><code>(setq vm-invisible-header-regexp "X-.*")&#x000A;</code></pre>
<p>einfügen. Dann werden alle Header bis auf die, die mit <code>X-</code> beginnen,
angezeigt, jedoch erst nach einem Neustart des <code>emacs</code>.</p>
</dd>
<dt>Eudora 3.0</dt>
<dd>"BlahBlah"-Button in der Toolbar anklicken</dd>
<dt>Evolution</dt>
<dd>Menü "Ansicht", "Nachrichtenanzeige", "alle Kopfzeilen anzeigen"<br />
<em>oder</em><br />
Menü "Ansicht", "Nachrichtenanzeige", "E-Mail-Quelltext anzeigen"<br />
<em>oder (Evolution 2.4.0)</em><br />
Menü "Ansicht", "Alle Nachrichtenköpfe"</dd>
<dd>
<p>Evolution kann die E-Mail auch komplett mit allen Headern weiterleiten:<br />
Menü "Aktionen", "Weiterleiten als", "Beigelegt"</p>
</dd>
<dt>Forte (Free) Agent</dt>
<dd>Taste <kbd>h</kbd></dd>
<dt>Gnus</dt>
<dd>Tasten <kbd>Strg</kbd>-<kbd>u</kbd> <kbd>g</kbd><br />
(im "<em>Summary Buffer</em>" auf der Zeile der Mail einzugeben)<br />
<em>oder</em><br />
<kbd>W</kbd> <kbd>v</kbd><br />
(im "<em>Summary Buffer</em>")</dd>
<dt>Incredimail</dt>
<dd>"Datei", "Eigenschaften" oder <kbd>Alt</kbd>+<kbd>Enter</kbd><br />
Dort dann den Reiter "Einzelheiten" anwählen.</dd>
<dt>KMail 1.8.2</dt>
<dd>"Ansicht", "Vorspann", "Alle"</dd>
<dt>Lotus Notes <em>(vor Version 6)</em></dt>
<dd>Die Lösung ist etwas kompliziert - folgende zwei Möglichkeiten bestehen:</dd>
<dd>
<p>Für einzelne Headerzeilen:<br />
Wenn die Mail in Notes zur Ansicht geöffnet ist, im Menü "Datei /
Eigenschaften: Dokument" auswählen, und in dem erscheinenden Fenster den
zweiten Reiter von links ("Felder") auswählen. Man sieht nun die
einzelnen Headerzeilen wie Message-ID usw.</p>
</dd>
<dd>
<p>Für den kompletten Header:<br />
Wenn man sich im View (z.B. "<em>Inbox</em>") befindet: den Fokus auf die Mail
stellen, "Datei / "Export…" auswählen und "<em>Structured Text</em>" als
Exportformat auswählen. Im nachfolgenden Dialog "<em>Selected Documents</em>"
auswählen; nun erhält man eine Klartext-Datei mit allen Headerzeilen und
dem Body am Stück. Funktioniert nur im <em>View</em>, nicht wenn die Mail zur
Ansicht geöffnet ist! Aus dieser Datei die uninteressanten Notes-Header
zu löschen ist meist einfacher als die relevanten Header aus der
"Properties"-Box einzeln zu kopieren.</p>
</dd>
<dt>Lotus Notes 6</dt>
<dd>Für den Notes-6-Client gibt es eine einfachere Lösung:<br />
Die E-Mail bildschirmfüllend öffnen (Doppelklick auf die E-Mail in der
Inbox) und im (engl.) Menu dann "View" / "Show" / "Page Source"
anwählen. Die dann angezeigte Seite lässt sich problemlos in die
Zwischenablage kopieren.</dd>
<dt>MacSOUP</dt>
<dd>Taste <kbd>h</kbd><br />
<em>oder</em><br />
Tasten <kbd>Befehl</kbd>+<kbd>h</kbd></dd>
<dt>Mail.app <em>(Apple)</em></dt>
<dd>Menü "Darstellung", "E-Mail öffnen", "Lange Header"<br />
<em>oder</em><br />
Tasten <kbd>Apfel</kbd>+<kbd>Shift</kbd>&gt;+<kbd>h</kbd>&gt;</dd>
<dt>Mozilla:</dt>
<dd>Die Angaben sind gleichermaßen auch für <strong>Thunderbird</strong> zutreffend.</dd>
<dd>
<p>"View", "Headers", "All" <em>bzw.</em> "Ansicht", "Kopfzeile", "Alle"<br />
(funktioniert im Ggs. zu alten <em>Netscape</em>-Versionen besser; allerding
werden möglicherweise lange Headerzeilen am Zeilenende abgeschnitten)</p>
</dd>
<dd>
<p>"View", "Page Source" <em>bzw.</em> "Ansicht", "Nachrichten-Quelltext"<br />
(Anzeige der Mail mit allen Headern im Editor)</p>
</dd>
<dd>
<p>Installation von <a href="https://addons.thunderbird.net/de/thunderbird/addon/mnenhy/">mnheny</a>
und dann entsprechende Konfiguration zusätzlich anzuzeigender Header.</p>
</dd>
<dd>
<p><kbd>Ctrl</kbd>-<kbd>U</kbd> <em>bzw.</em> <kbd>Strg</kbd>-<kbd>U</kbd></p>
</dd>
<dt>MS Entourage (Mac OS X)</dt>
<dd>"View", "Internet Headers"<br />
<em>oder</em><br />
Tasten <kbd>Shift</kbd>+<kbd>Apfel</kbd>+<kbd>h</kbd></dd>
<dt>mutt</dt>
<dd>Taste <kbd>h</kbd></dd>
<dt>Netscape 4.x und älter</dt>
<dd>"Ansicht", "Seitenquelltext"<br />
Netscape zermanscht bei eingeschalteten Headern ("View", "Headers", "All")
die einzelnen Headerzeilen durch Einrückungen etc. zu einem wilden Brei.
"View", "Page Source" ("Ansicht", "Seitenquelltext") liefert den Header in
lesbarer Formatierung.</dd>
<dt>Netscape 7.x</dt>
<dd>Siehe oben unter "<strong>Mozilla</strong>".</dd>
<dt>Opera (M2)</dt>
<dd>"Alle Kopfzeilen anzeigen" anklicken</dd>
<dt>Outlook <em>(vor Outlook 97)</em></dt>
<dd>"Ansicht", "Optionen"</dd>
<dt>Outlook 97</dt>
<dd>"Datei", "Eigenschaften", "Internet"</dd>
<dt>Outlook 2000-2007</dt>
<dd>Rechtsklick auf die entsprechende Mail, "Optionen"<br />
(dort dann unter der Überschrift "Internetkopfzeilen")</dd>
<dt>Outlook 2010</dt>
<dd>Mail in eigenem Fenster öffnen (Doppelklick), und dann<br />
"Datei", "Eigenschaften"<br />
(dort dann unter der Überschrift "Internetkopfzeilen")<br />
<em>oder</em><br />
im Tab "Nachricht" in der Gruppe "Kategorien" den Erweiterungspfeil unten
rechts anklicken<br />
(dort dann unter der Überschrift "Internetkopfzeilen")</dd>
<dt>Outlook <em>(MacOS X)</em></dt>
<dd>Rechtsklick auf die entsprechende Mail, "Quelle anzeigen"</dd>
<dt>Outlook Express</dt>
<dd>"Eigenschaften", "Details"<br />
<em>oder</em><br />
Tasten <kbd>Strg</kbd>+<kbd>F3</kbd></dd>
<dt>Pegasus-Mail</dt>
<dd>Tasten <kbd>Strg</kbd>+<kbd>h</kbd></dd>
<dt>pine</dt>
<dd>Taste <kbd>h</kbd><br />
Ggf. muss vorher die Option "Main Menu" / "Setup" / "Config" /
"enable-full-header-cmd" aktiviert werden.</dd>
<dt>Sylpheed Claws</dt>
<dd>"Ansicht", "Zeige alle Kopfzeilen"<br />
<em>oder</em><br />
Tasten <kbd>Strg</kbd>+<kbd>h</kbd></dd>
<dt>The Bat! 1.61</dt>
<dd>"Special", "View Source" (oder <kbd>F9</kbd>)</dd>
<dd>
<p>"View", "RFC-822 header" aktivieren (oder <kbd>Shift</kbd>+<kbd>Strg</kbd>+<kbd>K</kbd>)</p>
</dd>
<dt>Thunderbird</dt>
<dd>Siehe oben unter "<strong>Mozilla</strong>".</dd>
<dt>T-Online E-Mail</dt>
<dd>Im Kontextmenü "Alle Kopfzeilen anzeigen" wählen (d.h. mit der Maus in
die Mail klicken, rechte Maustaste, "Alle Kopfzeilen anzeigen").</dd>
</dl>
<h3 id="webmail">Webmail</h3>
<p>Die zunehmende Nutzung von Webmail-Diensten lässt auch dort die Frage
entstehen, wie man die Weboberfläche dazu bewegen kann, die vollständigen
Header herauszurücken.</p>
<dl>
<dt>AOL Webmail</dt>
<dd>E-Mail öffnen und auf "Details" im Kopf klicken; die Headerzeilen
erscheinen dann in einem eigenen Fenster. Das funktioniert nicht bei
E-Mails innerhalb von AOL!</dd>
<dt>Bluemail <em>(Bluewin Webmail)</em></dt>
<dd>E-Mail öffnen und auf das Icon "Kopfzeile" in der Menüleiste klicken.</dd>
<dt>Google Mail (GMAil)</dt>
<dd>E-Mail öffnen, auf das Menü "Weitere Optionen" (drei übereinanderstehende
Punkte, neben dem Symbol für "Antworten", in der Regel rechts oben)
klicken und dort "Original anzeigen" auswählen. Es öffnet sich ein
Zusatzfenster mit den kompletten Headerzeilen (und weiteren Informationen).</dd>
<dt>GMX</dt>
<dd>E-Mail öffnen und das Symbol
<span class="glyphicons glyphicons-info-sign" style="margin-left: -0.5em; margin-right: -0.5em;"></span>
(rechts oben neben der Anzeige des Versandzeitpunktes) anklicken. Ein
Zusatzfenster mit den kompletten Headerzeilen öffnet sich.</dd>
<dt>Hotmail <em>(hotmail.com, hotmail.de, live.com, live.de)</em></dt>
<dd>Rechtsklick mit der Maus auf eine E-Mail in der Übersicht, dann im
Kontext-Menü "Quelltext anzeigen" auswählen. Ein Zusatzfenster mit den
kompletten Headerzeilen öffnet sich.</dd>
<dt>IMP 3 <a href="https://www.horde.org/apps/imp/">https://www.horde.org/apps/imp/</a></dt>
<dd>"Quelltext" oder "Message Source" in dem Zusatzmenü über dem
Nachrichtenfenster anklicken (direkt über der Datumszeile).</dd>
<dt>IMP 4 <a href="https://www.horde.org/apps/imp/">https://www.horde.org/apps/imp/</a></dt>
<dd>In der letzten Header-Zeile "Kopfeinträge: Alle" bzw.
"Headers: Show All Headers" anklicken.<br />
<em>oder</em><br />
"Quelltext" oder "Message Source" im Zusatzmenü über dem
Nachrichtenfenster anklicken.</dd>
<dt>mail.com <em>(englischsprachige Version)</em></dt>
<dd>Zur Anzeige des Headers (und des Quelltextes) im Mailanzeigefenster ggf.
oben rechts auf <em>[+] more info</em> klicken, dann auf das
Info-Symbol
<span class="glyphicons glyphicons-info-sign" style="margin-left: -0.5em; margin-right: -0.5em;"></span>.</dd>
<dt>E-Mail Center <em>(T-Online Webmail)</em></dt>
<dd>E-Mail per Doppelklick zum Lesen öffnen und dann bei gedrückter
<kbd>Alt</kbd>-Taste mit der linken Maustaste in den Kopfbereich der
Nachricht klicken.</dd>
<dt>web.de</dt>
<dd>E-Mail zum Lesen öffnen, dann auf die Schaltfläche links neben dem
"Von:" und danach rechts auf den Link "Mehr Informationen" klicken.</dd>
<dt>Yahoo <em>(deutschsprachige Version)</em></dt>
<dd>"Mehr …" / "Gesamten Header herunterladen"</dd>
</dl>
<h2 id="links">Weiterführende Links</h2>
<h3 id="einfhrung-in-das-thema-e-mail-an-sich">Einführung in das Thema E-Mail an sich:</h3>
<ul>
<li>
<p><a href="https://www.fitug.de/bildung/e-mail/e-mail.html">E-Mail-Einführung</a></p>
</li>
<li>
<p><a href="http://www.daniel-rehbein.de/rfc2821.html">Transport von E-Mails - RFC 2821</a></p>
</li>
<li>
<p><a href="https://tools.ietf.org/html/rfc2076">RFC 2076</a>: "Common Internet Message Headers"</p>
</li>
<li>
<p><a href="https://tools.ietf.org/html/rfc5322">RFC 5322</a>: "Internet Message Format"</p>
</li>
<li>
<p><a href="https://tools.ietf.org/html/rfc5321">RFC 5321</a>: "Simple Mail Transfer Protocol"</p>
</li>
<li>
<p><a href="https://www.iana.org/assignments/message-headers/message-headers.xhtml">Message Headers</a><br />
(IANA-Registry gemäß RFC <a href="https://tools.ietf.org/html/rfc4021">3864</a>)</p>
</li>
<li>
<p>RFC <a href="https://tools.ietf.org/html/rfc4021">4021</a>: Registration of Mail and MIME Header Fields</p>
</li>
</ul>
<h3 id="e-mail-missbrauch">E-Mail-Missbrauch:</h3>
<ul>
<li>
<p><a href="http://www.faqs.org/faqs/de-net-abuse/mail-faq/">FAQ, Abkuerzungen: de.admin.net-abuse.mail</a></p>
</li>
<li>
<p><a href="http://altlasten.lutz.donnerhacke.de/mitarb/lutz/usenet/teergrube.html">Teergruben-FAQ</a></p>
</li>
<li>
<p>Newsgroup <a href="news://de.admin.net-abuse.mail">de.admin.net-abuse.mail</a></p>
</li>
<li>
<p>vereinfachtes <a href="https://www.abuse.net/lookup.phtml">Auffinden der richtigen Beschwerdeadresse(n)</a></p>
</li>
<li>
<p>Spam melden mit <a href="https://www.spamcop.net/">SpamCop</a></p>
</li>
</ul>
<p>Insbesondere die FAQ von <em>de.admin.net-abuse.mail</em> sei jedem, der sich mit
unerwünschten Werbemails herumschlägt, ans Herz gelegt. Es erscheint mir
nicht sinnvoll, die dortigen Informationen und insbesondere Links hier
alle zu wiederholen.</p>
<h2 id="credits">Credits</h2>
<p>Die Idee zu dieser FAQ kam ursprünglich von <em>Hermann Roth</em>.</p>
<p>Für hilfreiche Tips, Hinweise und Korrekturen geht ein Dankeschön u.a. an (in alphabetischer Reihenfolge)</p>
<ul>
<li>Claus Assmann</li>
<li>Rene Auberger</li>
<li>Florian Bannasch</li>
<li>Jens Baumeister</li>
<li>Theo Baumeister</li>
<li>Stefan Bion</li>
<li>Ralf Borchert</li>
<li>Philipp Buehler</li>
<li>Georg Burkhard</li>
<li>Christoph Conrad</li>
<li>Andreas Croll</li>
<li>Christoph Daldrup</li>
<li>Matthias Damm</li>
<li>Felix Deutsch</li>
<li>Frank Ellermann</li>
<li>Hubert Englmaier</li>
<li>Daniele Frijia</li>
<li>Wulf-Burkhard Goehmann</li>
<li>Ulf Herbers</li>
<li>Stephan Hochhaus</li>
<li>Ulli Horlacher</li>
<li>Ludwig Huegelschaefer</li>
<li>Jochen Klein</li>
<li>Albert Koellner</li>
<li>Helmut Reininger</li>
<li>Hermann Roth</li>
<li>Johannes Sempert</li>
<li>Otto Stolz</li>
<li>Jörg Strohmayer</li>
<li>Olaf Titz</li>
<li>T-Online-Team / T-Home-Team</li>
<li>Rainer Zocholl</li>
<li>Michael Zolk</li>
</ul>
<p>und viele andere.</p>
<p>Korrekturen und Ergänzungen nehme ich gerne entgegen.</p>
<div class="footnotes" role="doc-endnotes">
<ol>
<li id="fn:1" role="doc-endnote">
<p>wie früher in <a href="https://tools.ietf.org/html/rfc2822">RFC 2822</a>
und jetzt <a href="https://tools.ietf.org/html/rfc5322">RFC 5322</a>
definiert <a href="#fnref:1" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:2" role="doc-endnote">
<p><abbr>UBE</abbr>: unsolicited bulk e-mail,
unverlangte Massen-E-Mail<br />
<abbr>UCE</abbr>: unsolicited commercial e-mail,
unverlangte kommerzielle E-Mail <a href="#fnref:2" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:3" role="doc-endnote">
<p><a href="https://tools.ietf.org/html/rfc2076">RFC 2076</a>: "Common Internet Message Headers" <a href="#fnref:3" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:4" role="doc-endnote">
<p><a href="https://tools.ietf.org/html/rfc5322">RFC 5322</a>: "Internet Message Format" <a href="#fnref:4" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:5" role="doc-endnote">
<p>SMTP steht für "Simple Mail Transfer Protokol", den derzeit üblichen
Standard, nach dem E-Mail im Internet zwischen verschiedenen Servern
ausgetauscht wird. Siehe dazu den RFC
<a href="https://tools.ietf.org/html/rfc5321">5321</a>: "Simple Mail Transfer Protocol". <a href="#fnref:5" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:6" role="doc-endnote">
<p>Auf <code>HELO</code> folgt der eigene Rechnername. Wird stattdessen <code>EHLO</code>
verwendet, enthält die Antwort des empfangenden Mailservers zusätzlich
noch Parameter, die angeben, welche erweiterten Funktionen er
beherrscht. <a href="#fnref:6" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:7" role="doc-endnote">
<p>Die Rückauflösung (aus der Nummer zum Namen) muss technisch nicht
zwingend mit der üblicherweise verwendeten Vorwärtsauflösung (aus
dem Namen zur Nummer; notwendig, um bspw. aus dem Servernamen
<code>www.provider.example</code> die dazugehörige IP-Adresse zu erfahren und
den Server ansprechen zu können) übereinstimmen sein. Ein
böswilliger Anbieter <code>a-provider.example</code>, der für den Server mit
der IP-Nummer <code>193.197.90.30</code> zuständig ist, könnte in der
Rückwärtsauflösung mit dieser Nummer den Namen des Mailservers
seines Konkurrenten <code>mail.b-provider.example</code> verbinden, auch wenn
umgekehrt die Eingabe von <code>mail.a-provider.example</code> vorwärts zu der
Nummer <code>193.197.90.30</code> führt und die Abfrage von
<code>mail.b-provider.example</code> eine ganz andere IP-Adresse liefert. So
können die Kunden jeweils mit der Angabe des Namens auf den
richtigen Server zugreifen, weil sie zu dem Namen die korrekte
IP-Nummer geliefert bekommen; wenn jedoch <code>mail.a-provider.example</code>
mit der Nummer <code>193.197.90.30</code> sich mit irgendeinem anderen Server
verbindet, könnte dieser sowohl die IP-Nummer als auch den mit der
Nummer verbundenen (falschen!) Namen <code>mail.b-provider.example</code>
registrieren. Um solche Spielchen zu erkennen, wird heutzutage
üblicherweise in einem weiteren Schritt überprüft, ob der zur
IP-Nummer erhaltene Name auch wiederum die ursprüngliche angefragte
IP-Adresse liefert. <a href="#fnref:7" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:8" role="doc-endnote">
<p>Ein offenes Relay ist ein Mailserver, der nicht nur Mail von seinen
eigenen Benutzern und Kunden an die ganze Welt und umgekehrt Mail
von überall an die eigenen Kunden ausliefert, sondern von überall
und jedermann Mail annimmt, die er auch nach überall wieder
ausliefert. Früher war das eine nette Geste, um Serverausfälle bspw.
bei kleineren Providern abzufangen; heute werden offene Relays gerne
missbraucht, um Bulkmail auszuliefern und landen deswegen auf
"schwarzen Listen" mit der Folge, dass viele Systeme weltweit Mail
von dort gar nicht mehr oder nur noch verzögert annehmen. <a href="#fnref:8" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:9" role="doc-endnote">
<p>Zombies sind gekaperte oder "gehackte" Rechner von nichtsahnenden
Benutzern, auf deren System durch die Ausnutzung von Schwachstellen
oder durch einen Virus oder Wurm "Hintertüren" installiert wurden,
die es einem Angreifer erlauben, das System fernzusteuern. Die Zahl
der solcherart kompromittierten Systeme dürfte bei mehreren 100.000
liegen, die teilweise durch DSL- oder Kabelmodem breitbandig
angebunden sind und zum Versand von Spam oder Viren, zum Tausch von
"Warez", also Raubkopien, und anderen illegalen Medien, als
Ausgangspunkt für andere Angriffe oder auch zum Durchführen sog.
"denial of service"-Angriffe benutzt werden, um damit andere Systeme
aus dem Netz unerreichbar zu machen.</p>
<p>Solche Angriffe durch Zombies oder ganze Netze von mehreren
zigtausend Maschinen, die weltweit verteilt stehen, deren
eigentliche Besitzer aber keine Kontrolle mehr über sie haben,
können sich gegen missliebige Personen oder Institutionen richten
oder auch zu Erpressungsversuchen genutzt werden. Es ist nicht
fernliegend, in diesem Bereich auch Strukturen organisierter
Kriminalität zu vermuten, die jedenfalls auch Ressourcen für den
Versand unerwünschter Mails - gegen Bezahlung - bereitstellen. Unter
anderem deshalb, aber auch wegen der zunehmenden Verbreitung von
Viren und Würmern, die sich selbst per E-Mail verbreiten, wird
E-Mail direkt von Endbenutzerrechnern (also solchen, die mit einer
dynamischen, bei der Einwahl jeweils neu vergebenen IP - auch via
DSL - unterwegs sind, und keine echte Standleitung mit ständiger
Netzverbindung haben) häufig nicht mehr angenommen, so dass Benutzer
ihre E-Mails über den Mailserver ihres Providers verschicken müssen. <a href="#fnref:9" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:10" role="doc-endnote">
<p>Wenn aber die E-Mail verschiedene Teile, bspw. Bilder oder
angehängte Dateien, enthält, besteht auch der Body aus
verschiedenen <em>MIME</em>-Elementen; siehe dazu RFC
<a href="https://tools.ietf.org/html/rfc2045">2045</a>. <a href="#fnref:10" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:11" role="doc-endnote">
<p>Dazu wird im DNS der Eintrag für den sog. <em>Mail Exchanger</em> (MX) für
die entsprechende Domain abgefragt. Als Antwort wird der Name eines
oder mehrerer Rechner, die für den Mailempfang für diese Domain
zuständig ist oder sind, zurückgeliefert, nach Priorität geordnet. <a href="#fnref:11" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:12" role="doc-endnote">
<p>"Immer" ist dabei etwas relativ zu sehen - oft hindert nichts den
einliefernden Rechner, sich beim <code>HELO/EHLO</code> nicht nur mit seinem
Namen vorzustellen, wie er es eigentlich sollte, sondern eine
nahezu beliebige Zeichenfolge abzukippen, die dann auch eckige
Klammern enthalten oder gar andere Bestandteile der Received:-Zeile
vortäuschen kann. Ggf. kann es dann - je nach verwendeter
Server-Software - vorkommen, dass das Ende der Received:-Zeile wegen
des überlangen <code>HELO/EHLO</code> abgeschnitten wird. Diesen fiesen Trick
sollte man also bei "seltsamen" Received:-Zeilen im Hinterkopf
behalten. <a href="#fnref:12" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:13" role="doc-endnote">
<p><code>qmailr</code> ist hier die Benutzerkennung (<code>UID</code>), unter der Prozess
lief, der die E-Mail ausgeliefert hat. <a href="#fnref:13" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
<li id="fn:14" role="doc-endnote">
<p>Solche Beispiele sind natürlich nichts anderes als eben Beispiele
und bleiben daher auch nicht ewig gültig. Momentan (Juli 2001)
heißt der betreffende Rechner mit der IP-Nummer <code>205.162.108.87</code>
nicht mehr <code>hiper1-d87.cwnet.com</code>, sondern
<code>hiper4b-d87.stk.cwnet.com</code>, und nächsten Monat vielleicht schon
wieder ganz anders. Klar werden soll das Prinzip. <a href="#fnref:14" class="reversefootnote" role="doc-backlink">&#8617;</a></p>
</li>
</ol>
</div>
<img src="https://ssl-vg03.met.vgwort.de/na/7e9cd1c1d8244a1293a2e5f396c149f4" width="1" height="1" alt="">
<div class='panel panel-default'>
<div class='panel-heading'>
<h2 class='panel-title' id='license'>Lizenz</h2>
</div>
<div class='panel-body'>
<!-- Creative Commons-Lizenzvertrag -->
<p>
<span class='no-symbols'>
<a href='https://creativecommons.org/licenses/by-nc-sa/4.0/deed.de' rel='license'>
<img alt='Creative Commons-Lizenzvertrag' class='pull-left' src='/res/icons/logo-cc-by-nc-sa-3-dt-88x31.png' style='margin-right: 1em;'>
</a>
</span>
Dieser Inhalt ist unter der
<i>Creative Commons-Lizenz</i>
<a href='https://creativecommons.org/licenses/by-nc-sa/4.0/deed.de' rel='license'>BY-NC-SA 4.0 DE</a>
lizenziert; er darf unter Namensnennung des Autors nicht-kommerziell
weitergegeben und auch bearbeitet werden, soweit das neue Werk gleichfalls
wieder dieser Creative-Commons-Lizenz unterliegt. Die Einzelheiten ergeben
sich aus dem
<a href='https://creativecommons.org/licenses/by-nc-sa/4.0/de/legalcode'>Lizenzvertrag</a>.
</p>
<!-- /Creative Commons-Lizenzvertrag -->
<!--
<rdf:RDF xmlns="http://web.resource.org/cc/"
xmlns:dc="http://purl.org/dc/elements/1.1/"
xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#">
<Work rdf:about="">
<dc:type rdf:resource="http://purl.org/dc/dcmitype/Text" />
<license rdf:resource="https://creativecommons.org/licenses/by-nc-sa/4.0/deed.de" />
</Work>
<License rdf:about="https://creativecommons.org/licenses/by-nc-sa/4.0/deed.de">
<permits rdf:resource="http://web.resource.org/cc/Reproduction" />
<permits rdf:resource="http://web.resource.org/cc/Distribution" />
<requires rdf:resource="http://web.resource.org/cc/Notice" />
<requires rdf:resource="http://web.resource.org/cc/Attribution" />
<prohibits rdf:resource="http://web.resource.org/cc/CommercialUse" />
<permits rdf:resource="http://web.resource.org/cc/DerivativeWorks" />
<requires rdf:resource="http://web.resource.org/cc/ShareAlike" />
</License>
</rdf:RDF>
-->
</div>
</div>
</article>
</main>
</div>
<!-- /.main -->
<!-- Sidebar -->
<div class='col-md-3 col-md-offset-1 sidebar'>
<!-- Teaser - hidden in sm and xs -->
<aside class='hidden-xs hidden-sm' role='complementary'>
<h4>Übersicht</h4>
<p>Zweck dieser FAQ ist es, grundlegende Informationen über den Aufbau einer Internet-E-Mail und die Bedeutung der einzelnen Headerzeilen zu vermitteln, um insbesondere den Weg einer E-Mail zurückzuverfolgen, den Absender bzw. die beteiligten Mailserver herauszufinden und sich bei unerwünschter Massen-E-Mail (Bulkmail oder UBE/UCE) oder anderen unerwünschten Zusendungen gezielt an den richtigen Stellen beschweren zu können.</p>
</aside>
<!-- Shariff social sharing box -->
<aside class='hidden-xs hidden-sm no-symbols' role='complementary'>
<h4>Social Media Sharing</h4>
<div class='shariff' data-button-style='icon' data-services='[&amp;quot;twitter&amp;quot;,&amp;quot;facebook&amp;quot;,&amp;quot;reddit&amp;quot]'></div>
</aside>
<!-- Navigation with siblings and children, if there are either -->
<nav role='navigation'>
<h4>Mehr zum Thema ...</h4>
<!-- Display siblings, if there are any -->
<h5>
FAQs
<span class='glyphicon glyphicon-circle-arrow-right'></span>
</h5>
<ul class="list-sitemap">
<li><a href="/net/usenet/faqs/danam-intro/">d.a.n-a.m-Einführung</a></li>
<li><a href="/net/usenet/faqs/datm-info/">d.a.t.m-Einführung</a></li>
<li><a href="/net/usenet/faqs/dsr-info/">d.s.r.*-Einführung</a></li>
<li><a href="/net/usenet/faqs/netdigest-faq/">de.alt.netdigest</a></li>
<li><a href="/net/usenet/faqs/newsserverliste/">Newsserver-Liste</a></li>
<li><a href="/net/usenet/faqs/den-info/">d.e.n-Einführung</a></li>
<li><a href="/net/usenet/faqs/fw-info/">fwmann.de-Einführung</a></li>
<li><a href="/net/usenet/faqs/fw-chat-faq/">fwmann.de-Chat-FAQ</a></li>
<li><a href="/net/usenet/faqs/fw-best-of-faq/">fw.best-of-FAQ</a></li>
<li><a href="/net/usenet/faqs/checkbot/">Checkbot-Info</a></li>
<li><a href="/net/usenet/faqs/hybris/">Mail-Viren</a></li>
<li><a href="/net/usenet/faqs/maillist/">Mailinglisten</a></li>
<li><a href="/net/usenet/faqs/mtq-faq/">Mailtraq für Fortgeschrittene</a></li></ul>
</nav>
<!-- TOC - hidden in sm and xs -->
<!-- Display a Table of Contents, if one has been defined -->
<nav class='toc-sidebar hidden-print hidden-xs hidden-sm'>
<h4>Auf dieser Seite</h4>
<ul class='nav toc-sidenav'>
<li><a href="#changes">Letzte Änderungen</a></li>
<li><a href="#vorwort">Vorwort</a></li>
<li><a href="#aufbau">Aufbau einer E-Mail</a>
<ul class="nav">
<li><a href="#envelope">SMTP-Envelope</a></li>
<li><a href="#header">Header</a></li>
<li><a href="#body">Body</a></li>
<li><a href="#zustellung">Zustellung</a></li>
</ul>
</li>
<li><a href="#headerzeilen">Headerzeilen</a>
<ul class="nav">
<li><a href="#briefkopf">Briefkopf</a></li>
<li><a href="#technisches">"Technische" Angaben</a></li>
<li><a href="#received">"Zustellvermerke"</a></li>
<li><a href="#specialheader">Spezielle Header</a></li>
</ul>
</li>
<li><a href="#tools">Hilfreiche Tools</a>
<ul class="nav">
<li><a href="#nslookup">nslookup</a></li>
<li><a href="#whois">whois</a></li>
<li><a href="#traceroute">traceroute</a></li>
<li><a href="#pakete">Programmpakete</a></li>
<li><a href="#online">Online-Tools</a></li>
<li><a href="#abusenet">abuse.net</a></li>
<li><a href="#blacklists">Blacklists</a></li>
</ul>
</li>
<li><a href="#beschwerde">Beschwerden über Spam</a>
<ul class="nav">
<li><a href="#beschwerdewo">Wo beschweren?</a></li>
<li><a href="#beschwerdewie">Wie beschweren?</a></li>
</ul>
</li>
<li><a href="#headerzeigen">Headerzeilen anzeigen</a>
<ul class="nav">
<li><a href="#mailreader">Mailclients</a></li>
<li><a href="#webmail">Webmail</a></li>
</ul>
</li>
<li><a href="#links">Weiterführende Links</a></li>
<li><a href="#credits">Credits</a></li>
<li><a href="#license">Lizenz</a></li>
</ul>
</nav>
</div>
<!-- /.sidebar -->
</div>
<!-- /.row -->
</div>
<!-- /.container -->
<!-- Footer with copyright and creation / modification dates -->
<footer class='footer'>
<div class='container-fluid'>
<p class='text-muted pull-left' role='contentinfo'>
Erstellt:&nbsp;01.09.1998
| Stand:&nbsp;18.09.2019
|
<a href='/privacy/'>Datenschutz</a>
/
<a href='/impressum/'>Impressum</a>
</p>
<p class='text-muted pull-right' role='contentinfo'>
Erstellt mit <i>Nanoc</i>, <i>HAML</i>, <i>LESS</i> und <i>kramdown</i>.
CSS von <i>Bootstrap</i>.
</p>
</div>
</footer>
<!--
Bootstrap core JavaScript
Placed at the end of the document so the pages load faster
-->
<script src='/res/js/jquery-1-11-1.min.js'></script>
<script src='/res/js/bootstrap-min.js'></script>
<!-- Shariff JavaScript -->
<script src='/res/js/shariff.min.js'></script>
<!-- Other JavaScript -->
<script src='/res/js/hyphenate.min.js'></script>
<!-- Custom JavaScript -->
<script src='/res/js/thh.js'></script>
</body>
</html>