Quelltext Analyse

[W124]

Hallo aus dem sonnigen Norden!!!!!

Ich bin so neu hier wie ich (leider) noch ziemlich feucht hinter den Ohren bin, was Computer angeht...zumindest, was bestimmte Themen betrifft.

Grund meiner 'Einwanderung' hier? Ich habe nen Problem, also für mich einfach ein seit Monaten andauernder ärgerlicher Zustand. Ich erhalte immerzu merkwürdige Emails von irgendwelchen Nachbarn, die sich wiederum auf selbst zuvor erhaltene Emails beziehen...und ich werde tausend toller Sachen bezichtigt. Manchmal lustig, manchmal nur noch unter der Gürtellinie. Nun kam ich auf die Idee, mir mal den Quelltext einer solchen Email anzuschauen, um festzustellen, ob man die Verlaufshistorie einer Email herausfinden könnte. Ja, kann man, das weiß ich jetzt auch. Zumindest bedingt kann man das erlesen. Ich war da ja schon stolz auf mich.

Was ich nicht möchte und damit das nicht falsch verstanden wird: Ich möchte nichts rechtswidriges begehen, sondern einfach Daten auswerten, die ich erhalten habe. Sofern mir also eine Email zugestellt wird, kann ich die ja analysieren. Das dürfte mir ja zustehen. Ich habe nun in der Quelltextdatei zwei sehr interessante Zeilen entdeckt, die ich hier - nicht etwa aus Misstrauen, sondern aus Spam-Schutz-Gründen abgeändert - zeigen öchte. Was ich gerne wissen würde:

Liegt das nur an meinem Mailprogramm oder kann ich grundsätzlich nie entziffern, wer der urspürngliche 'in-reply-to'-Absender war?
Folgende Quelltextdatei wird mir angezeigt (abgändert wie gesagt ;-))


References: <3F******7E@W2K8SBS.*****************.local> <1****-1****0@fwd06.aul.t-online.de>
In-Reply-To: <1****-1****0@fwd06.aul.t-online.de>


Es muss wohl ein t-online-Anschluss sein...eine zeitversetzter Email-Versand lag zu grunde ("fwd06")...aber was ist mit den Zahlen und Ziffern vor dem Klammeraffe?

Ich würde mich wirklich und ausgesprochen über Anregungen und Tipps freuen!!!!

Grüße
w124

 

[Chakky]

Ich zitiere mal folgendes von der T-Onlineseite.

Wie richte ich meine Wunsch-E-Mail-Adresse ein?
Als Kunde erhalten Sie automatisch eine E-Mail-Adresse, die sich aus Ihrer Zugangsnummer (vormals T-Online Nummer), der Mitbenutzerkennung und der so genannten Domäne "@t-online.de" zusammensetzt. Wir empfehlen Ihnen jedoch, eine einprägsame E-Mail-Adresse nach Ihrem Wunsch einzurichten

und aus der Wiki:

Reply-To: Antwortadresse
Eine oder mehrere durch Kommata getrennte E-Mail-Adressen, an die eine Antwort auf die E-Mail geschickt werden soll (falls unterschiedlich zum From-Feld).

http://de.wikipedia.org/wiki/Header_(E-Mail)

Ich denke das beantwortet deine Frage

 

[W124]

Hallo Chakky,

ja ja, schon, ...schau, wenn ich mir so diese Quelltextdatei ansehe, dann sind da einige Zeilen kryptisch, vom text-body ganz zu schweigen...soll wohl etwas mit Base64 zu tun haben....

ich erhoffte mir, dass die verschlüsslte Kennung zu entschlüsseln sei, denn zwei Zeilen weiter drüber steht direkt unter dem eindeutig lesbaren Betreff (Thread-Topic: *** A***....) der Email:

Thread-Topic: *** A*********: L******* K***** (<----hier von mir unlesbar gemacht)
Thread-Index: A*******3YWwSyO/qy8*******Pcw (<--- in real nicht lesbar)

 

[Chakky]

mmhhz wenn du denkst es ist Base64 jag es doch mal durch den De/Encoder.

Eine weite möglichkeit wäre noch folgende angabe

Diese Angaben nutzen manche Mailprogramme, um die einzelnen E-Mails, bspw. aus einer Mailingliste, zu sortieren und einen "Thread", einen "Diskussionsfaden" (oder "-baum") daraus zu bauen (wie bei einem Newsreader).

FAQs: E-Mail-Header lesen und verstehen

Aber wenn ich dich richtig verstehe willst du den genauen Absender ermitteln und nicht nur die Reply Adresse (die evtl ein ansatz wäre)? Wenn das der Fall ist, sollte wird es schwierig werden, ein E-Mail Header kannst du schnell mit einen offnen Mail Server nach beliebig Anfertigen, auch was da drinne stehen soll sofern die wichtigstens Sache den Standard enstprechen wird auch die Mail bearbeitet....

 

[W124]

...LOL..ich bezwiefele, dass der Absender Header manipulieren kann. Einmal dachte er sogar, eine an mich versendete Email wieder zurückziehen zu können....da erschien in meinem Mailprogramm auf einmal die Nachricht: Absender XY versucht, die Email vom XX.XX..XXXX zurückzuholen.

diese Zeile: in-reply-to heißt aber doch, dass die Kennung nach dem Klammeraffen zumindest vermutlich auf den ursprünglichen Verfasser des Emailanhanges hinweist?...Vorausgesetzt, es ist kein Vollpfrofi oder so, der Header manipulieren kann...?!

 

[Chakky]

dieses Reply To sagt nur aus wohin die E-Mail gesendet werden soll wenn du mit deinen Mailprogramm auf "Antworten" klickst, nicht mehr und nicht weniger. Du kannst natürlich den ursprünglichen Absender reininterpretieren ob es stimmt, die Antwort weiß wohl nur der Wind...

 

[W124]

Chakky! Super! Danke!

Das wollte ich hören. Der nähere Sachverhalt, damit Du verstehst:

Der Verwalter konfrontierte mich wiederholt mit anonymisierten Stellungnahmen anderer Hausbewohner. Ich lasse mal außen vor, was da alles für Mist drin stand und im Grunde nur darauf abzielte, mich zu beleidigen...

Die letzte Email, die ich vom Verwalter erhielt, beinhaltete ein Zitat aus einer Email, die der Verwalter selbst zuvor erhalten hatte. Bevor also der Verwalter die zuvor an ihn gerichtete Email des 'anonymen' anderen Hausbewohners an mich weiterleiten wollte, löschte er die Email-Daten das anderen Bewohner aus dem Fließtext (kennst du ja: Herr XY schrieb am soundsovielten um soundsoviel Uhr blabla) und natürlich entfernte er dessen Unterschrift. Sodann schickte mir der Verwalter eine wüste Vorhaltung, in deren Abspann (also angehängt) sich eine zum minimalisierten Zitat verkümmerte Kommentierung des anderen Hausbewohners befand. Daher denke ich, dass diese Zeile "In-reply-to: blabla@t-online.de" also eigentlich den Absender der Kommentierung benennt, wobei der Verwalter dann doch an mich schrieb.

 

[Gelöschtes Mitglied 16444]

dieses Reply To sagt nur aus wohin die E-Mail gesendet werden soll wenn du mit deinen Mailprogramm auf "Antworten" klickst, nicht mehr und nicht weniger.

Das ist so nicht ganz richtig. Was du meinst ist zwar das "Reply-To"-Feld. Hier gehts aber ja um das "In-Reply-To"-Feld.

Aus dem RFC 5322:

3.6.4. Identification Fields

Though listed as optional in the table in section 3.6, every message SHOULD have a "Message-ID:" field. Furthermore, reply messages SHOULD have "In-Reply-To:" and "References:" fields as appropriate and as described below. The "Message-ID:" field contains a single unique message identifier. The "References:" and "In-Reply-To:" fields each contain one or more unique message identifiers, optionally separated by CFWS.

und weiter

The "Message-ID:" field provides a unique message identifier that refers to a particular version of a particular message. The uniqueness of the message identifier is guaranteed by the host that generates it (see below). This message identifier is intended to be machine readable and not necessarily meaningful to humans. A message identifier pertains to exactly one version of a particular message; subsequent revisions to the message each receive new message identifiers.

 

[Chakky]

Das ist so nicht ganz richtig. Was du meinst ist der "Return-Path". Hier gehts aber ja um das "In-Reply-To"-Feld.

hab das mir aus der Wiki gezogen...

 

[Gelöschtes Mitglied 16444]

hab das mir aus der Wiki gezogen...

Ich habe mich auch geirrt. Das, was du meintest und ich irrtümlich mit "Return-Path" bezeichnet hatte ist tatsächlich das "Reply-To"-Feld.

Nichts desto trotz geht es hier um das "In-Reply-To"-Feld :wink:

 

[W124]

...ichhebe mal ganz schüchtern die Hand...;-)

frage ich mal so:

Nehmen wir mal an: Ich erhalte eine Email von einem t-online-account. Daraufhin kürze ich den erhaltenen Text, den Absender im Fließtext streiche ich noch raus und dann antworte ich nicht, sondern leite diese nun abgeänderte Email an jemand anderes weiter.

Kann der Empfänger dann noch sehen, dass ich selbst zuvor eine Email von einem t-online-account erhalten habe?

 

[Chakky]

Foward to steht meist irgendwo im Header

aber was hindert dich daran mit Copy und Paste die alte Mail in eine neue zu kopieren da siehst du von der Weiterleitung garnicht....

 

[Gelöschtes Mitglied 16444]

Kann der Empfänger dann noch sehen, dass ich selbst zuvor eine Email von einem t-online-account erhalten habe?

Bei einem normalen Anwendungsfall in der Regel schon. Aber die Message-ID dürfte keine Rückschlüsse auf den ursprünglichen Absender bieten können.

 

[W124]

....ja, also ich sehe ja am Quelltext, dass die Email, die ich erhielt, eine Weiterleitung sein muss. Der Absender hat also nicht geantwortet, sondern die Email die er selbst erhielt, abgeändert und an mich weitergeleitet, weshalb wohl die ID des in-reply-to kryptisch dargestellt wird....nämlich als "1****-1****0@fwd06.aul.t-online.de"

Hätte ja sein können, dass ich die Zahlenkombination entziffern könnte. Muss ja irgendwo in der Quelldatei der Email hinterlegt sein, dachte ich mir...

 

[Chromatin]

Du haettest schon laengst eine Antwort wenn Du endlich mal den verdammten Header hier posten wuerdest. Die relevanten Angaben kannst du ja durch andere Zeichen ersetzen.

Email Header sind keine Zauberei sonder mit hohem Grad Standard, so dass Deine Frage schon lange geklaert waere.

 

[W124]

Ok, ok...will nur nicht irgendwie was verraten, dass man mir dann in Garten k*cken kann...

From - Tue Aug 9 15:44:56 2011
X-Account-Key: account9
X-UIDL: 01sHt0-1RcBdN0fGe-00lZSR
X-Mozilla-Status: 1003
X-Mozilla-Status2: 00000000 X-Mozilla-Keys:
Return-Path: <**@*********.de>
Delivered-To: GMX delivery to **********@gmx.de
Received: (qmail invoked by alias); 09 Aug 2011 13:10:16 -0000
Received: from mo-p00-ob.rzone.de (EHLO mo-p00-ob.rzone.de) [**.***.***.***] by mx0.gmx.net (mx099) with SMTP; 09 Aug 2011 15:10:16 +0200
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; t=*******; l=9316; s=domk; d=*********.de; h=MIME-Version:Content-Type:In-Reply-To:References:Subjectate:To: From:X-RZG-CLASS-ID:
X-RZG-AUTH; bh=q0UzgEYJPzaU0MKkjp7W/J48w98=; b=BQ7UoDW86VjxTC+newVxvlfJwfKXZeHYiULRlcRwgadZIS7vgS/h+T9O5RmhYCV9f+p ha00UTkl7SKWA8V4sEUSI9fGVZfpHoezqUjlvv2OOUISbs3NagzuW6Cwmka+HTCNAKaHe sdzyyHyXvKzPJ6dfSK1CB6zmEZYYQmamfyw=
X-RZG-AUTH: :O2kGeEG7b/pS1Em8Xmu2hbAKJCi0naTpNrhwKi6d9Zfhc5itjIX6+vxyVlP0KowQTQ==
X-RZG-CLASS-ID: mo00
Received: from remote.***********.de (business-***-***-***-***.static.arcor-ip.net [**.**.***.**]) by smtp.strato.de (jimi mo39) (RZmta 26.2) with (AES128-SHA encrypted) ESMTPA id q06f31n79CUCx6 for ************@gmx.de>; Tue, 9 Aug 2011 15:09:45 +0200 (MEST)
Received: from W2K8SBS.************.local ([****::****:****:****:****]) by W2K8SBS.***********.local ([****::****:****:****:****%**]) with mapi; Tue, 9 Aug 2011 15:12:06 +0200
From: ******** *********** <**@***********.de>
To: '******* ****' <*************@gmx.de>
Date: Tue, 9 Aug 2011 15:12:06 +0200
Subject: WG: Zur Kenntnis:
Thread-Topic: Zur Kenntnis:
Thread-Index: AcwxyztHbeuZ3YWwSyO/qy8YvFO+IQkynPcw
Message-ID: <3F7DDD39AAB5D54C9B91A521433E7B7D4085FD31D8@W2K8SBS.***********.local> References: <3F7DDD39AAB5D54C9B91A521433E7B7D4085FD307E@W2K8SBS.***********.local> <1****S-1*****0@fwd06.aul.t-online.de>
In-Reply-To: <1****S-1*****0@fwd06.aul.t-online.de>
Accept-Language: de-DE
Content-Language: de-DE
acceptlanguage: de-DE
x-tm-as-product-ver: SMEX-8.6.0.1388-6.500.1024-18312.006
x-tm-as-result: No--43.689600-5.000000-31
x-tm-as-user-approved-sender: No
x-tm-as-user-blocked-sender: No
Content-Type: multipart/alternative; boundary="_000_3F7DDD39AAB5D54C9B91A521433E7B7D4085FD31D8W2K8SBS******_" MIME-Version: 1.0
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=5D7Q89H**********q2qKXvEQ8LwUOQlL 0x0V1; --_000_3F7DDD39AAB5D54C9B91A521433E7B7D4085FD31D8W2K8SBS*****_
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: base64

 

[Chromatin]

Wunderbar. Jetzt noch den von Chakky geposteten Link studieren und Deine Frage ist nahezu beantwortet.

Kleiner Cheat: X-* Tags kannste ignorieren.

 

[W124]

...mit anderen Worten:

Erst, wenn überhaupt das Feld 'in-reply-to' aufgeführt wird, kann man davon ausgehen, dass es sich um eine weitergeleitete email handelt.

In meinem Fall kam demnach die Ursprungsemail von blabla@fwd*t-online.de...

und diese Kennung ist nur maschinen-lesbar, nicht aber unbedingt vom Menschen.


?? Ne...blödsinn...

der typ hat aus einer an ihn gerichteten Email einen text aus dem verlauf kopiert, den dann in eine neue mail gepackt, dann aber erst vom kopierten text (wo noch die absender-email drinstand) eben diese absenderangaben gelöscht und dann die email an mich geschickt.

was machen also die maildienste: sie können immer noch lesen, dass der text einen fremden hereinkopierten textkörper enthält (nebst absender), geben von diesem text aber nur als ****.****@**t-onli...an.

liege ich jetzt richtig? Nee...

also ich frage mich, wie eine t-online Endung im Quelltext erscheinen kann...ich sehe den Wald vor lauter Bäumen nicht. Aus dem Bauch heraus würde ich sagen:

da kam ne mail von t-online an herrn xy, der nen arcor-anschluss hat. Herr xy hat dann die email mit seinem senf ergänzt und nicht etwa an t-online geantwortet, sondern an mich weitergeleitet.

 

[Chromatin]

Der Übersicht halber habe ich mal alles unrelevante rausgenommen

From - Tue Aug 9 15:44:56 2011
Return-Path: <**@*********.de>
Delivered-To: GMX delivery to **********@gmx.de
Received: from mo-p00-ob.rzone.de (EHLO mo-p00-ob.rzone.de) [**.***.***.***] by mx0.gmx.net (mx099)


Received: from remote.***********.de (business-***-***-***-***.static.arcor-ip.net [**.**.***.**]) by smtp.strato.de (jimi mo39) (RZmta 26.2) with (AES128-SHA encrypted) ESMTPA id q06f31n79CUCx6 for ************@gmx.de>; Tue, 9 Aug 2011 15:09:45 +0200 (MEST)
Received: from W2K8SBS.************.local ([****::****:****:****:****]) by W2K8SBS.***********.local ([****::****:****:****:****%**]) with mapi; Tue, 9 Aug 2011 15:12:06 +0200

From: ******** *********** <**@***********.de>

To: '******* ****' <*************@gmx.de>

Date: Tue, 9 Aug 2011 15:12:06 +0200
Subject: WG: Zur Kenntnis:
Thread-Topic: Zur Kenntnis:

In-Reply-To: <1****S-1*****0@fwd06.aul.t-online.de>





Also da hat erstmal jemand einem anderenm geantwortet ...
Ansonsten liegste soweit richtig

 

[W124]

Danke, Chromatin! Das hat mir sehr geholfen!!!! Wirklich! Vielen Dank!