Droh-Email / Identität des Absenders ermitteln

[waveform]

Received: from foo.bar (192.168.251.168) by RZPS56.kmu-mail.net
 (192.168.251.169) with Microsoft SMTP Server (TLS) id 14.2.347.0; Mon, 19 May
 2014 20:20:00 +0200
Received: from mail.xxxxxxxxx.com (192.168.251.38) by foo.bar
 (192.168.251.168) with Microsoft SMTP Server id 14.2.347.0; Mon, 19 May 2014
 20:20:00 +0200
Received: from smtp-1.yyyyyy.com ([192.168.251.134])	by mail.xxxxxxxxx.com
	; Mon, 19 May 2014 20:20:57 +0200
Received: from smtp-1.yyyyyy.com (localhost [127.0.0.1])	by smtp-1.yyyyyy.com
 (Proxmox) with ESMTP id 7BA42204FB6E	for <user2@def.com>;
 Mon, 19 May 2014 20:20:58 +0200 (CEST)
Received-SPF: none (yahoo.com.br: No applicable sender policy available) receiver=smtp-1.yyyyyy.com; identity=mailfrom; envelope-from="thebadguy@yahoo.com.br"; helo=nm42.bullet.mail.ne1.yahoo.com; client-ip=98.138.120.49
Received: from nm42.bullet.mail.ne1.yahoo.com (nm42.bullet.mail.ne1.yahoo.com
 [98.138.120.49])	by smtp-1.yyyyyy.com (Proxmox) with SMTP id 46E7E2076266	for
 <user2@def.com>; Mon, 19 May 2014 20:20:53 +0200 (CEST)
Received: from [127.0.0.1] by nm42.bullet.mail.ne1.yahoo.com with NNFMP; 19
 May 2014 18:14:58 -0000
Received: from [98.138.100.113] by nm42.bullet.mail.ne1.yahoo.com with NNFMP;
 19 May 2014 18:12:02 -0000
Received: from [98.139.215.142] by tm104.bullet.mail.ne1.yahoo.com with NNFMP;
 19 May 2014 18:12:01 -0000
Received: from [98.139.212.247] by tm13.bullet.mail.bf1.yahoo.com with NNFMP;
 19 May 2014 18:12:01 -0000
Received: from [127.0.0.1] by omp1056.mail.bf1.yahoo.com with NNFMP; 19 May
 2014 18:12:01 -0000
X-Yahoo-Newman-Property: ymail-4
X-Yahoo-Newman-Id: [email]694163.13032.bm@omp1056.mail.bf1.yahoo.com[/email]
Received: (qmail 18314 invoked by uid 60001); 19 May 2014 18:12:01 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com.br; s=s1024; t=1400523121; bh=ht6vCaIQDLDAYfoOWx7FjgJ+2sSQ52QBjUpS4nE8diA=; h=Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type; b=TmlsVqU/uFwSHRUhIFZ7b5xzW8TfycZSXMKPsZL0CgR8+Dsf4+sB/o5Kw03LAtN/sUdeEKSbT36O/KYO6yutkPPJGmgKbdsa8dhBpNssI9AqUS+1p8626AzZ0vmlOA7W8fDo0UNpInyAPNkEOKr64bGgDddw7HFutWJgKlOTWh0=
X-YMail-OSG: 0DaIaCoVM1l8FUv4KV91zOxg2XnMPHghKd5RAkBELuOIwRb
 91p6Q6TxIeCLIMnhtyWtNCzASExlev606LmkexSHoU80JQzcDRJ7bw8_M.kC
 kr_4D4HQpdQExbw8StibIIsF5bCYCgdCWdHXK3Ed5wG9pRqFGh4dJIImGncO
 6BoIShJhLhBGYpGkapBztPmFSUx216DvHG_RLIW0_XNzXtF1hB9fgHnqmZiO
 hD4FCJPsaLv1b6wDKxkwIoLqcTVMjnayeN.8RHfNxbMUJvR28byzRNAigywh
 mnUK5ajl3Zxzp7U__Q6UDiEgHYko55mnPz10DDDtLC3cSETTk433rSqcXm2o
 K.zBX2K6lj1sH4Qx.4qqvALxZOXO_6WS1ar93JNQsygelzA6kz6l86x.mW6E
 phqwq98tq_opieWC3vv_iP9kvDzhaROVXdEVFpZHarVu3drhLI.XsLJ.xZ.g
 ql5aP2IIX.Kh8k_CRgi4qpE9r9ejF7e3xQOvJc7B2QXftEb5qnu4dCSwf
Received: from [187.15.186.155] by web141206.mail.bf1.yahoo.com via HTTP; Mon,
 19 May 2014 11:12:01 PDT
X-Rocket-MIMEInfo: 002.001,SGVsbG8gTWFuYWdlcnMsCgpNci4gSm_Do28gZGEgQ3J1eiBSb2RyaWd1ZXMgaXMgc3RpbGwgcGxheWluZyBoaXMgZ2FtZXMgYW5kIHlvdSBhcmUgYXBhcmVudGx5IGNvbnZlbmllbnRlICEgYXNrIHdvcmtlcnMgaW4gdGhlIGZvcmVzdC4gSG93IGNvbWUgdGhhdCBzbyBtYW55IHRydWNrIGxvYWRzIG9mIGxvZ3MgbGVmdCB0aGUgZm9yZXN0IHRvIE1hbmFjYXB1cnUgZHVyaW5nIHRoZSBkZWVwIG5pZ2h0IHdpdGhvdXQgYW55IHBhcGVycyA_ISBQZW9wbGUgd2lsbCBiZSBpbmZvcm1lZCBhYm91dCB0aGlzIGFzIHkBMAEBAQE-
X-Mailer: YahooMailWebService/0.8.188.663
Message-ID: <XXXXXXXXXX.XXXXX.YahooMailNeo@web141206.mail.bf1.yahoo.com>
Date: Mon, 19 May 2014 11:12:01 -0700
From: Bad Guy <thebadguy@yahoo.com.br>
Reply-To: Bad Guy <thebadguy@yahoo.com.br>
Subject: AnySubject
To: "user1@abc.com" <user1@abc.com>,
	"user2@def.com" <user2@def.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="-1489213645-129000362-1400523121=:86625"
X-Proxmox-CTCH-Refid: str=0001.0A0C0207.537A4B86.0080,ss=1,re=2.100,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
X-SPAM-LEVEL: 0, hits=AWL,BAYES_00,FREEMAIL_FROM,HTML_MESSAGE,RCVD_IN_DNSWL_NONE
Return-Path: [email]thebadguy@yahoo.com.br[/email]
X-MS-Exchange-Organization-AuthSource: foo.bar
X-MS-Exchange-Organization-AuthAs: Anonymous

 

[waveform]

Das wäre dann der nächste Schritt, wenn die Analyse nichts bringt.
Der Absender sitzt vermutlich in Brasilien, das heisst, die Anzeige müsste bei den Behörden dort erfolgen, oder?

 

[schumi99]

Reaktion auf Drohmails und Spam

schon mal was von

SpamCop.net

gehört? Ich habe dort einen Account, "blöde" Mails rapportiere ich dort. Das Mail wird dort analysiert und alle betroffene Site Admins werden avisiert.
Ist einen Versuch wert!

 

[waveform]

SpamCop kenne ich. Da ich davon ausgegangen bin, dass die Email via Yahoo Webmail verschickt wurde, habe ich das dort nicht gemeldet.
Mir geht es nicht darum, die Emails zu stoppen, sondern darum, den Absender zu identifizieren.
Der Absender schickt die Emails übrigens an 2 Personen aus dem Firmenvorstand und sie gehen davon aus, dass es evtl. ein ehemaliger Mitarbeiter ist. Sicher sind sie aber nicht.

 

[schumi99]

könnte es sein, dass die Mails intern versandt werden? Es gibt Tools (glaube Anon Mail o.ä.) bei denen man den Sender fälschen kann. Der Spam Copsagt z.b.
4: Received: from nm42.bullet.mail.ne1.yahoo.com (nm42.bullet.mail.ne1.yahoo.com [98.138.120.49]) by smtp-1.yyyyyy.com (Proxmox) with SMTP id 46E7E2076266 for <x>; Mon, 19 May 2014 20:20:53 +0200 (CEST)
Hostname verified: nm42.bullet.mail.ne1.yahoo.com
Possible forgery. Supposed receiving system not associated with any of your mailhosts
Will not trust this Received line.
Mailhost configuration problem, identified internal IP as source

kann aber sein, dass nicht der ganze Mailtext übermittelt wurde.

 

[freakazoid]

Ich fasse geschwind nochmal zusammen. Die E-Mail wurde über die Webseite von Yahoo verschickt. Die IP-Adresse über die die E-Mail verschickt wurde ist vorhanden.

Received: from [187.15.186.155] by web141206.mail.bf1.yahoo.com via HTTP; Mon,

Die gehört zu den IP-Adressen des Anbieters Oi. Natürlich kann es sein, dass der Computer mit dieser IP-Adresse ein Bot war und als Proxy diente. Wie sinnig ist es, dass der Verdächtige in Brasilien sitzt?

Du hast bei den deutschen Behörden Strafanzeige, wegen versuchter Erpressung, erstattet. Die Tat wurde vermutlich in Brasilien begangen, aber der Taterfolg würde in Deutschland eintreten, demnach müsste die deutschen Behörden ermitteln. (Betstimmt eine waghalsige Formulierung. Das kann der Anwalt aber sicherlich besser formulieren) Ist natürlich fraglich, wieviel Erfolg die Ermittlungen haben. Rein aus Interesse würde mich interessieren, wie die Sache ausgeht. Ob der Anbieter die Verbindungsdaten speichert, wie lange und ob er sie herausgibt.

 

[SchwarzeBeere]

Ist natürlich fraglich, wieviel Erfolg die Ermittlungen haben. Rein aus Interesse würde mich interessieren, wie die Sache ausgeht. Ob der Anbieter die Verbindungsdaten speichert, wie lange und ob er sie herausgibt.

Aus Erfahrung kann ich dir sagen, dass keine Ermittlungen aufgenommen werden, da das Interesse schlicht zu gering bzw. noch kein wirklicher Schaden aufgetreten ist, als dass sich grenzübergreifende Zusammenarbeit finanziell lohnen würden. Selbst bei Morddrohungen von dem oder der Bedrohten bekannten Personen schreitet die Polizei nur dahingehend ein, dass sie Fahndungshinweise an die Grenzbehörden rausgibt, die die Person dann bei der Einreise "catchen". Viel Hoffnung würde ich mir hier also nicht machen.

Je nach Größe des möglichen Schadens kann es natürlich auch Sinn machen, sich selbst bei den ausländischen Behörden zu melden. Das ist meiner Erfahrung nach nur in sehr wenigen Fällen wirklich der Fall. Man muss auch immer die Kosten für Anwalt und Strafverfolgung betrachten, die gerade in solchen Fällen für viele kleine und mittelständische Unternehmen oft über dem eigentlichen Schaden liegen.

Wichtig ist lediglich, dass der Polizei die Drohung mitgeteilt wird und dass Anzeige zumindest gegen unbekannt erstattet wird. Damit ist das ganze offiziell in den Akten und kann im möglichen Schadensfall als Nachweis gegenüber Versicherungen oder in Prozessen herangezogen werden. Man sollte sich nicht die Hoffnung machen, dass man solche Fälle auch ohne die Behörden lösen könnte.

 

[waveform]

Ich fasse geschwind nochmal zusammen. Die E-Mail wurde über die Webseite von Yahoo verschickt. Die IP-Adresse über die die E-Mail verschickt wurde ist vorhanden.

Received: from [187.15.186.155] by web141206.mail.bf1.yahoo.com via HTTP; Mon,

Die gehört zu den IP-Adressen des Anbieters Oi. Natürlich kann es sein, dass der Computer mit dieser IP-Adresse ein Bot war und als Proxy diente. Wie sinnig ist es, dass der Verdächtige in Brasilien sitzt?

Es ist sehr stark davon auszugehen, dass der Verdächtige in Brasilien sitzt, da er Informationen hat, die er nur vor Ort sammeln konnte. Die Firma des Geschäftspartners ist u.a. auch in Brasilien aktiv.