E-mail Header Analysis

Sup,
In meinem ersten post bei J0hn.X3r schreibe ich was über mail Header Analysis und welche Informationen man aus einer empfangenen E-mail auslesen kann.

1. Wie kriegt man diese daten zu sehen?

Dafür muss dein gmx oder gmail account in einem mail Programm wie Thunderbird, auf dem PC eingerichtet sein.
Ich Persönlich nutze Thunderbird:

E-mail markieren > Ansicht > Nachrichten-Quelltext
oder
E-mail markieren > Strg+U

Bei jedem E-Mail Programm ist es unterschiedlich wie man an den E-mail Header ran kommt,
aber ein Programm verändert nichts am E-mail Header, der bleibt bei jedem Programm gleich.

2. Wie sieht so ein E-mail header aus?

Montaxx war so freundlich und hat mir eine E-mail geschickt, die ich hier als “Versuchsobjekt” benutzen kann.

From - Thu Mar 11 20:06:14 2010
X-Account-Key: account2
X-UIDL: UID3-1267740838
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path: <[email protected]>
Envelope-to: [email protected]
Received: from fmmailgate03.web.de ([217.72.192.234])
	by cn04.oleco.net with esmtp (Exim 4.69)
	(envelope-from <[email protected]>)
	id 1Npnhh-000IxY-FP
	for [email protected]; Thu, 11 Mar 2010 20:05:53 +0100
Received: from smtp06.web.de (fmsmtp06.dlan.cinetic.de [172.20.5.172])
	by fmmailgate03.web.de (Postfix) with ESMTP id 67A60143B1596
	for <[email protected]>; Thu, 11 Mar 2010 20:05:09 +0100 (CET)
Received: from [12.345.67.89] (helo=[192.168.1.100])
	by smtp06.web.de with asmtp (TLSv1:AES256-SHA:256)
	(WEB.DE 4.110 #314)
	id 1Npngy-0006RN-00
	for [email protected]; Thu, 11 Mar 2010 20:05:08 +0100
Message-ID: <[email protected]>
Date: Thu, 11 Mar 2010 20:05:10 +0100
From: montaxx <[email protected]>
User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)
MIME-Version: 1.0
To: [email protected]
Subject: Kostenlose =?ISO-8859-15?Q?Penisverl=E4ngerung?=
Content-Type: text/plain; charset=ISO-8859-15; format=flowed
Content-Transfer-Encoding: 7bit
Sender: [email protected]
X-Sender: [email protected]
X-Provags-ID: V01U2FsdGVkX19CYzu4/AFWSFIJvYkOC/wqBg5tdVIQraa4qAVT
	7yZOSya/AG1SQ1uObm45gu+bYIFd0bWqfL/BYvUztoDDbE4Kx7
	b0jZs0Y4U=
X-Spam-Score: 0.2
X-Spam-Report: 0.2 MR_NOT_ATTRIBUTED_IP   Beta rule: an non-attributed IPv4 found in
	headers
	0.6 J_CHICKENPOX_12        BODY: 1alpha-pock-2alpha
	-2.6 BAYES_00               BODY: Bayesian spam probability is 0 to 1%
	[score: 0.0000]
	2.0 RATWR10_MESSID         Message-ID has ratware pattern ([email protected])
	0.0 NO_RDNS2               Sending MTA has no reverse DNS

hi n0va von Thunderbird

3. Was bedeuten diese Daten?

From - Thu Mar 11 20:06:14 2010

Empfangsdatum + Uhrzeit, erklärt sich von selbst.

X-Account-Key: account2

Nichts intressantes

X-UIDL: UID3-1267740838

Steht für (unique identifier listing), damit vermeidet der Client bereits kopierte E-mails nochmal zu laden.

X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys: 

Mozilla status codes, nichts intressantes.

Return-path: <[email protected]>

An diese Adresse wird bei einer antwort gesendet (kann sich von der Sender E-mail unterscheiden).

Envelope-to: [email protected] 

Empfänger

Received: from fmmailgate03.web.de ([217.72.192.234])
	by cn04.oleco.net with esmtp (Exim 4.69)
	(envelope-from <[email protected]>)
	id 1Npnhh-000IxY-FP
	for [email protected]; Thu, 11 Mar 2010 20:05:53 +0100

Der Empfänger Mailserver cn04.oleco.net hat vom Sender Mailserver fmmailgate03.web.de, (IP Adresse 217.72.192.234) am 11. März 2010 um 20:05:53 Uhr die E-mail erhalten.
+0100 Steht für die Zeitzone des Empfänger Servers. esmtp steht für das Protokoll(erweiterung) womit diese E-mail übertragen wurde.

Received: from smtp06.web.de (fmsmtp06.dlan.cinetic.de [172.20.5.172])
	by fmmailgate03.web.de (Postfix) with ESMTP id 67A60143B1596
	for <[email protected]>; Thu, 11 Mar 2010 20:05:09 +0100 (CET)

Hier sieht man den smtp server und ein paar weitere informationen, nichts neues für uns.

Received: from [12.345.67.89] (helo=[192.168.1.100])
	by smtp06.web.de with asmtp (TLSv1:AES256-SHA:256)
	(WEB.DE 4.110 #314)
	id 1Npngy-0006RN-00
	for [email protected]; Thu, 11 Mar 2010 20:05:08 +0100

Dort wo [12.345.67.89] steht, müsste eigentlich die IP Adresse des Senders stehen (wurde zensiert). Des weiteren sieht man das der Sender Server das asmtp Protokoll nutzt.
Meine E-mail, also die Empfänger E-mail Adresse ist auch sichtbar mitsamt datum wann die Mail ankam.

Message-ID: <[email protected]>
Date: Thu, 11 Mar 2010 20:05:10 +0100

Die Message-ID ist eine Art Seriennummer für E-mails, Damit lässt sich eine E-mail unmissverständlich identifizieren. Datum erklärt sich auch wieder von selbst.

From: montaxx <[email protected]>
User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)

Hier sieht man wieder Die Sender E-mail Adresse.

Darunter befinden sich weitere interessante Details über den Sender, er benutzt Thunderbird  version 2.0.0.23 mit dem Betriebsystem Windows.
Die zahlen hinten sehen aus wie ein Datum, wahrscheinlich nutzt der Sender Windows 7.

MIME-Version: 1.0
To: [email protected]

Nichts was wir nicht schon wissen …

Subject: Kostenlose =?ISO-8859-15?Q?Penisverl=E4ngerung?=
Content-Type: text/plain; charset=ISO-8859-15; format=flowed
Content-Transfer-Encoding: 7bit

Hinter Subject: befindet sich der angegebene Betreff der E-mail umlaute werden umgewandelt.
Content-Type: sagt das der eigentliche Inhalt der E-mail aus reinem Text besteht mit dem Zeichensatz charset=ISO-8859-15.

Sender: [email protected]
X-Sender: [email protected]

Wieder nichts neues.

X-Provags-ID: V01U2FsdGVkX19CYzu4/AFWSFIJvYkOC/wqBg5tdVIQraa4qAVT
	7yZOSya/AG1SQ1uObm45gu+bYIFd0bWqfL/BYvUztoDDbE4Kx7
	b0jZs0Y4U=

Hinter X-Provags-ID: steht eine E-mail in verschlüsselter form, aber diese intressiert nicht.

X-Spam-Score: 0.2
X-Spam-Report: 0.2 MR_NOT_ATTRIBUTED_IP   Beta rule: an non-attributed IPv4 found in
	headers
	0.6 J_CHICKENPOX_12        BODY: 1alpha-pock-2alpha
	-2.6 BAYES_00               BODY: Bayesian spam probability is 0 to 1%
	[score: 0.0000]
	2.0 RATWR10_MESSID         Message-ID has ratware pattern ([email protected])
	0.0 NO_RDNS2               Sending MTA has no reverse DNS

Weitere nutzlose Informationen.

hi n0va von Thunderbird

Der eigentliche Inhalt der E-mail, das was Montaxx mir geschrieben hat.

Es gibt im Internet einige tools die einem bei der E-mail Header analyse helfen:
http://www.mxtoolbox.com/Public/Tools/EmailHeaders.aspx
http://headertool.apelord.com/headers

Einfach den E-mail Header rein kopieren und es sich tabellarisch ausgeben lassen.

Weitere Informationen:
http://th-h.de/faq/headerfaq.php
http://de.wikipedia.org/wiki/Header_%28E-Mail%29

4. Was kann man mit diesen Daten anfangen?

Angreifer nutzen diese Informationen um sich ein Bild vom (Ziel)netzwerk zu machen und es besser verstehen können (Stichwort: information gathering, network mapping).
Manche Websites nutzen ihre eigenen POP und SMTP Server, somit vergrößert sich die Angriffsfläche.
Wenn z.b. der POP Server schlecht gesichert ist oder eine veraltete Software darauf läuft, dann wird es gefährlich für den Betreiber.

Anderes Szenario:
Die Domain der Website von Person A hat eine whois protection, aber Person A nutzt eine Private E-mail Adresse, der POP Server wurde auf seinen echten Namen registriert.
Der Angreifer Person X will den echten namen von Person A herausfinden. Er kontaktiert Person A mit einer E-mail auf die Person A antworten “muss”, z.B.:

Schicke Seite, wie lange hast du dafür gebraucht? Antworte plz.

Person A antwortet auf diese E-mail und sendet damit Informationen über seinen POP Server, Angreifer X macht eine whois abfrage und sieht den echten Namen von Person A.

FIN

Ich hoffe ich konnte hier einen informativen beitrag leisten.
Dieser post wird bald auch in Englisch erscheinen

P.S.: Das ist mein erster post auf Deutsch :P.

Visit me at: www.novacaine.site11.com

Mfg, n0va

From - Thu Mar 11 20:06:14 2010

9 Replies to “E-mail Header Analysis”

  1. Erst Post auf J0hnny Blog und vor allem dein erster Post in deutsch.

    Wünsche mir mehr von solchen Posts 🙂
    Danke für alles Schatz <3

  2. 1) Noch ein wenig auf Rechtschreibfehler achten
    2) ” ” ” ” auf Formulierungen achten

    Zum Thema: Recht langweilig (nichts gegen dich).. Ist so ein Thema der Klassen: “Gut mal gelesen zu haben, aber das reicht dann auch”.

    Und eine Art Ergänzung noch, welche nicht für Angreifer interessant ist: Spamschutz
    Wie jeder weiß, trudeln am Tag ziemlich viele Spammails rein – aber wie kann man sich effektiv davor schützen? Relativ einfach:
    Wenn ein normaler Mailserver eine Email verschickt, wartet dieser noch auf eine Art “SYN/ACK”, dass sie erfolgreich angekommen ist. Ist diese Bestätigung nicht innerhalb von X Minuten eingetroffen, wird die *gleiche* Email erneut verschickt.
    Was aber ist gleich? Die Message-ID.

    Wie zu nutzte machen?
    Spammer mit ihren Botnets besitzten in den meisten Fällen keinen richtigen Mailserver, der über diese Funktion zur erneuten versendung verfügt – trotz, dass man es leicht integrieren könnte.

    Wenn man nun jede Mail vor dem eintreffen abfängt, erhält der Mailserver keine Bestätigung -> Wir warten X Minuten und es müsste erneut die Mail mit der gleichen ID kommen -> Es ist ein richtiger Mailserver -> Chance, dass es Spam ist, gering.

    Funktioniert top. 😛

  3. Ist viel zu früh morgens, dass ist doch unhuman.
    Ich sollte eigentlichs straight zurück ins Bett.

    Wollte noch hinzufügen:
    Über eine Whitelist von “richtigen Mailservern” kann dann noch dafür gesorgt werden, dass nicht bei jeder Mail gewartet wird, trotz, dass vor weniger als ner Stunde schon mal getestet wurde. 😉

    cya <3

  4. Das Spam-Scoring sollte man nicht als “Weitere nutzlose Informationen.” abtun. Wenn man mal Mails bekommt, die false-positives sind, kann man daran ja schon Mal ungefähr sehen, warum Sie als Spam gekennzeichnet wurden, obwohl sie von Oma Inge kamen.

Leave a Reply

Your email address will not be published.