Wer kann im Header dieser Phishing-Mail die echte Absender-Mailadresse rauslesen?

Hallo Guteantworter,

ich habe vorhin eine ziemlich gut gefälschte Phishing-Mail "von 1&1" erhalten (wo ich tatsächlich mein Mailkonto habe). Natürlich erkenne ich solche Phishing-Mails, bevor ich wo draufklicke und das Unheil seinen Lauf nähme. Die Absender-Emailadresse wurde hier auch gefälscht, was ja relativ leicht ist (....@online.de gehört wirklich zu 1&1). Mich würde jetzt interessieren, wie man im Header der Mail unten die echte Absender-Email-Adresse rausfinden? Ich hab den Header unten reinkopiert. Aber erstmal ein Screenie der Phishing-Mail, echt gut gefälscht:

Hier der Header, wichtig: meine eigene Mailadresse hab ich durch XXXXXXXXX@onlinehome.de ersetzt!:

Return-Path: <info@online.de>

Received: from mout.kundenserver.de ([212.227.126.131]) by mx.emig.kundenserver.de (mxeue109 [217.72.192.66]) with ESMTPS (Nemesis) id 1N7AuA-1g7R2N1CzE-017Oo9 for <XXXXXXXXX@onlinehome.de>; Wed, 18 Jul 2018 14:08:27 +0200

Received: from vm8FB89F2 ([82.165.247.108]) by mrelayeu.kundenserver.de (mreue003 [212.227.15.129]) with ESMTPSA (Nemesis) id 0M9tPw-1fmJko3a6y-00B0F7 for <XXXXXXXXX@onlinehome.de>; Wed, 18 Jul 2018 14:08:26 +0200

From: "1&1 Kundenservice" <info@online.de>

Subject: Sperrung Ihres EMail-Kontos

To: <XXXXXXXXX@onlinehome.de>

Content-Type: multipart/alternative; boundary="l5PAjtdPcLYe2mrvJKnO3TU7MR1E=_c2kL"

MIME-Version: 1.0

Reply-To: <info@online.de>

Date: Wed, 18 Jul 2018 12:08:26 +0000

Message-Id: <1826201807081278D6962314$8D0FEDAE6E@VMFBF>

X-Provags-ID: V03:K1:zZZTmHx8uVng/yTMm1+4U1RM9tpBTGwrO5YoEGztVTs85kj+Ji1 L+MUrzJTSRfXi7S14vwPhIfmNs2J2hVA2lSshVyUiZ92ipYw6og/ZgcbmFlUZvdvQN3l5to EzN2wSepQ2HoOZ0IGBd/ec/FlOD5OlRJ5SRhV9EL6IpKbb1ALaiTuyVPEnzTrYweId18wAp hoSJhO8PaKps4UUg5KXOA==

X-UI-Out-Filterresults: notjunk:1;V01:K0:YhnxCXaOUaI=:z+Nzvwl0sNOYaSRLiUrPPP 7cLCGoqPQoUkxRRGGYLQbdpoqJVZmygXqqUhIp5DSiFHNA1ix8h2v5ZaCd/QElDyroA2e/h70 kMZOotctvTV/6MMhKuDJNKVmT2KKxVZlPG8CaL0UQpJvWePJYxKJogq26Nm3mCoi8INO1kVDt 9YKlIESjqqbU7dqw2ftz36JqpYf6K1/DN+oeworv+PAX6snVC7fqkGKeKMMroDdFBHmLb7M95 lW5Uc6a/xP0OA5x63QoAIlLbeZB44q+B89gsZ3xsjzf+wKCjUcMBzJ3Df3ZMuudKKBb75ZSEP 9pVzO3yBCd/1OhBxEJdgbi81rfUSlSRebkia5ptlrMlZGWpjsU0y0hHJCyMkozSZcYAQXHdNz xL6SqoMLSGjdVPBSyoCIvaEQou5bc7eKCHK7Yr5jzBP39+pMPGuAXeMyk3vpTlIb/PhqtRs6a KvBM5qnEhd0FsKMq8Vs/WhP8XjaDQTuDiIxPbdOf/f7/4jpSBy3fOrWSfi3jSv8nxBAyuKv3S

Envelope-To: <XXXXXXXXX@onlinehome.de>

X-UI-Filterresults: notjunk:1;V01:K0:QnO6CgTCILM=:XddXNS6hxcnwTryY8Ls5o5KkpJ mu5bGszkz1NF9UsS+GnTjKjEEgzkwgx6WKbTGuXKq3WtJ8okvQGO4Bp8fikh2tnypAckwVUbp lZEsqMV/cDpPsV4CHUc7qoc3tB5m8X75pL3xnRo5LzEnpH/584910tioCyQ3DeN0RhdC8gWM6 fnyh1jEatVKfUcL5iZ7ZQxEiQ15MvKOPZpILYMYff2jOZ0AlY4EQmk0tM9QHdcLKmWrbbWQ9O d4rkQK2zfFTxFAstp/HZsB7G3Z59ETMZhgvmVQ38M1a/Za5Uuux8saIa0Hra11rNbM0goEvoC QXXrzH4N62P2/89LVpudom6JkbV4LNhs91isH3NhJkXygKgWplx7SZxBsYkWy/ER5SkVZoW9T r4fgGz5yJOK+q+s6jBAUG3m4PZm5sejNmRz/H9jZh/6C7TYHLhm5YbG21n7Bu89iBRRCMNtGL 6LepNVEHcUrKBgcp2tOYVmAv5nAHQnkNO/TMt/tIiIA80J2bwQYz/PGuJbARVcsSKeDYH9oLq

Answer 1

[priesterlein]

Die entsprechende Einträge fehlen hier. Man kann davon ausgehen, dass auch die anderen Einträge einfach eingetragen wurden und nicht dem realen Absender entsprechen.

Answer 2

[Lestigter]

Du musst dich auf die "Received"Zeilen konzentrieren. Sollte es mehrere geben, dann gilt nur fie letzte, ( die darüber dind nur für Verschleierung).

Bei dir ist die wichtige also:

Received: from vm8FB89F2 ([82.165.247.108]) by mrelayeu.kundenserver.de (mreue003 [212.227.15.129]) with ESMTPSA (Nemesis) id 0M9tPw-1fmJko3a6y-00B0F7 for <XXXXXXXXX@onlinehome.de>; Wed, 18 Jul 2018 14:08:26 +0200

Die "emailadresse" kommt da nicht raus, aber der Absender über die IP

Hier ( 212.227.15.129) ist das Schlund, also 1&1 - oder hast du irgendwas nicht richtig kopiert..

Comments

[NianMao]

( die darüber dind nur für Verschleierung).

sind sie natürlich nicht, sie zeigen i.d.R. den weiteren Weg der email, hier eben das mrelayeu (.kundenserver.de) die mail angenommen hat und dann mout (.kundenserver.de) die an den mx weitergeschickt hat.

Die "emailadresse" kommt da nicht raus, aber der Absender über die IP

Soweit richtig. aber...

Hier ( 212.227.15.129)

Wie kommt ihr denn darauf?

vm8FB89F2 ([82.165.247.108]) ist der absendende Host "vm8FB89F2" ist dabei der Text der beim HELO als Identifikation angegeben wurde, die IP Adresse die, die für die Verbindung zum Server genutzt wurde.

also 82.165.247.108 ist die Absender IP. (scheint aber auch 1&1 zu sein :P)

Answer 3

[netzclub]

ist zwar schon 3 jahre her aber hatte das selbe must anzeige auf unbekannt und dan die daten der server ist kundenserver.de und der ser ist mreue003 wie du das in den header code lesen kannst hatte auch schwierigkeiten mit user mreue028

 PS für die anzeige brauchst du den orginal header-code

Woher ich das weiß: eigene Erfahrung

Answer 4

[Pleitegeier22]

https://www.onlinewarnungen.de/warnungsticker/phishing-nachrichten-im-namen-von-11-internet-se-vorsicht-spam-der-letzte-lastschrifteinzug-ist-leider%D6%BA-fehlgeschlagen/

Auf jeden Fall ist info@online.de schon mal nicht von 1&1

Comments

[priesterlein]

online.de gehört zu schlund und das ist praktisch 1&1. Dass der eintrag nur ein falsch und zur Irreführung eingetragener Text ist, ist eine andere Sache.

[DarkBlueSkyy]

Man kann bei 1&1 als Kunde aber E-Mail Adressen erstellen mit der Endung @online.de oder @onlinehome.de also gehört es dazu.

Answer 5

[OpaAlfons]

Die absendende IP-Adresse 212.227.126.131 gehört zu 1&1, die Mail ist echt:

inetnum: 212.227.126.128 - 212.227.126.255

netname: SCHLUND-NET

descr: 1&1 Internet AG

country: DE

remarks: For abuse issues, please use only abuse@oneandone.net

admin-c: IPAD-RIPE

tech-c: IPOP-RIPE

status: ASSIGNED PA

mnt-by: AS8560-MNT

created: 2002-07-16T16:21:25Z

last-modified: 2009-05-28T17:47:26Z

source: RIPE # Filtered

role: IP Administration

address: 1&1 Internet SE

admin-c: RME9-RIPE

admin-c: JR2342-RIPE

admin-c: LTO3-RIPE

tech-c: RME9-RIPE

tech-c: JR2342-RIPE

tech-c: LTO3-RIPE

nic-hdl: IPAD-RIPE

abuse-mailbox: abuse@oneandone.net

mnt-by: AS8560-MNT

created: 2009-05-20T17:24:09Z

last-modified: 2016-03-17T10:00:27Z

source: RIPE # Filtered

role: IP Operations

address: 1&1 Internet AG

admin-c: RME9-RIPE

admin-c: JR2342-RIPE

admin-c: LTO3-RIPE

tech-c: RME9-RIPE

tech-c: JR2342-RIPE

tech-c: LTO3-RIPE

nic-hdl: IPOP-RIPE

abuse-mailbox: abuse@oneandone.net

mnt-by: AS8560-MNT

created: 2009-05-28T16:25:04Z

last-modified: 2015-05-06T12:02:53Z

source: RIPE # Filtered

% Information related to '212.227.0.0/16AS8560'

route: 212.227.0.0/16

descr: SCHLUND-PA-2

origin: AS8560

mnt-by: AS8560-MNT

created: 2011-04-27T14:38:19Z

last-modified: 2017-12-14T12:39:36Z

source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.91.2 (WAGYU)

Comments

[DarkBlueSkyy]

Die Mail ist nicht echt sondern Phishing, weil Pleitegeier22 in der andren Antwort diesen Link zeigte, wo genau diese Phishing Mail drin steht, etwas runter scrollen: https://www.onlinewarnungen.de/warnungsticker/phishing-nachrichten-im-namen-von-11-internet-se-vorsicht-spam-der-letzte-lastschrifteinzug-ist-leider%D6%BA-fehlgeschlagen/

[OpaAlfons]

@DarkBlueSkyy

Für die im Header auch genannte IP 82.165.247.108:

Final results obtained from whois.ripe.net.

Results:

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.

% To receive output for a database update, use the "-B" flag.

% Information related to '82.165.0.0 - 82.165.255.255'

% Abuse contact for '82.165.0.0 - 82.165.255.255' is 'abuse@oneandone.net'

inetnum: 82.165.0.0 - 82.165.255.255

netname: DE-SCHLUND-20030806

country: DE

org: ORG-SA12-RIPE

admin-c: IPAD-RIPE

tech-c: IPOP-RIPE

status: ALLOCATED PA

remarks: For abuse issues, please use only abuse@oneandone.net

mnt-by: RIPE-NCC-HM-MNT

mnt-by: AS8560-MNT

mnt-routes: AS8560-MNT

created: 2003-08-06T09:08:16Z

last-modified: 2016-12-02T16:53:07Z

source: RIPE # Filtered

organisation: ORG-SA12-RIPE

org-name: 1&1 Internet SE

org-type: LIR

address: Brauerstra�e 48

address: 76135

address: Karlsruhe

address: GERMANY

phone: +49 721 91374 0

fax-no: +49 721 91374 212

mnt-ref: RIPE-NCC-HM-MNT

mnt-ref: AS8560-MNT

mnt-ref: SCHLUND-MNT

mnt-by: RIPE-NCC-HM-MNT

mnt-by: AS8560-MNT

admin-c: JR2342-RIPE

admin-c: IPAD-RIPE

admin-c: RME9-RIPE

admin-c: JD8719-RIPE

abuse-c: ABDE2-RIPE

created: 2004-04-17T11:11:55Z

last-modified: 2016-12-02T16:53:23Z

source: RIPE # Filtered

role: IP Administration

address: 1&1 Internet SE

admin-c: RME9-RIPE

admin-c: JR2342-RIPE

admin-c: LTO3-RIPE

tech-c: RME9-RIPE

tech-c: JR2342-RIPE

tech-c: LTO3-RIPE

nic-hdl: IPAD-RIPE

abuse-mailbox: abuse@oneandone.net

mnt-by: AS8560-MNT

created: 2009-05-20T17:24:09Z

last-modified: 2016-03-17T10:00:27Z

source: RIPE # Filtered

role: IP Operations

address: 1&1 Internet AG

admin-c: RME9-RIPE

admin-c: JR2342-RIPE

admin-c: LTO3-RIPE

tech-c: RME9-RIPE

tech-c: JR2342-RIPE

tech-c: LTO3-RIPE

nic-hdl: IPOP-RIPE

abuse-mailbox: abuse@oneandone.net

mnt-by: AS8560-MNT

created: 2009-05-28T16:25:04Z

last-modified: 2015-05-06T12:02:53Z

source: RIPE # Filtered

% Information related to '82.165.0.0/16AS8560'

route: 82.165.0.0/16

descr: SCHLUND-PA-4

origin: AS8560

mnt-by: AS8560-MNT

created: 2003-08-08T10:58:01Z

last-modified: 2009-05-14T16:44:59Z

source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.91.2 (BLAARKOP)

Wenn man die Header-Daten vergleicht mit den RIPE-Daten, dann kommt die Mail aus dem internen Netz von 1&1.

Jetzt sollte man noch den Link wissen, zu dem die Mail führt.

Der müsste aus dem Quelltext der Mail ersichtlich sein, bzw. anklicken, URL kopieren und erstmal nicht einloggen.

[DarkBlueSkyy]

@OpaAlfons

Der Link zu dem der Button führt ist https://bit.ly/2zVJVXA (lieber nicht anklicken!) und wenn ich den in so eine Seite eingebe, wo man solche kurz URLs auflösen kann dann zeigt es auf: https://bitly.com/a/warning?hash=2zVJVXA&url=https://www.onlinemail24.net/
Also irgendwas mit onlinemail24 offenbar

[OpaAlfons]

@DarkBlueSkyy

Domain: www.onlinemail24.net

Screenshot: https://workupload.com/file/eMqXLaM

Quelltext der "Login-Seite":

<!DOCTYPE html>
<html lang="de">
   <head>
      <link rel="shortcut icon" href="assets/images/favicon.png" type="image/x-icon">
      <meta http-equiv="Content-type" content="text/html; charset=UTF-8">
      <meta http-equiv="Pragma" content="No-cache">
      <meta http-equiv="Cache-Control" content="no-cache, no-store, private, must revalidate">
      <title>1&1 E-Mail und Online-Speicher – Webmailer Login</title>
      <script src="assets/script.js"></script>
      <link rel="stylesheet" href="assets/style.css">
   </head>
   <body>
      <div class="content">
         <header>
            <div class="headerCenter" title="Webmail">
               <i class="logo"></i>
               <span>Webmailer</span>
            </div>
         </header>
         <main>
            <section>
               <div class="login">
                  <div class="tabSelector">
                     <ul><li class="active">E-Mail</li><li>Online-Speicher</li></ul>
                  </div>
                  <div class="tabData">
                     <form>
                        <dl class="mgError"><h4>Es ist ein Fehler aufgetreten.</h4><span>Die eingegebene E-Mail-Adresse ist nicht korrekt.</span></dl>
                        <div class="fieldset">
                           <label for="mail">E-Mail-Adresse</label>
                           <input id="mail" type="text" placeholder="E-Mail-Adresse" autocomplete="off" autofocus>
                        </div>
                        <div class="fieldset">
                           <label for="pw">Passwort</label>
                           <input id="pw" type="password" placeholder="Passwort" autocomplete="off">
                           <dl>Passwort vergessen?</dl>
                        </div>
                        <button type="submit">Login</button>
                     </form>
                     <div class="leftData">
                        <span>Möchten Sie eine individuelle Mail-Domain haben? Klicken Sie hier!</span>
                     </div>
                  </div>
                  <div class="botData">
                     <div class="gd33">
                        <div class="bgOffice"></div>
                     </div>
                     <div class="gd66">
                        <h3>Jetzt neu bei 1&1: Microsoft Office 365</h3>
                        <ul>
                           <li>Millionenfach bewährte Anwendungen wie Word, Excel und viele mehr</li>
                           <li>Ob am PC / Mac im Büro oder unterwegs auf Notebooks, Tablets oder Smartphones: überall und jederzeit verfügbar</li>
                           <li>Immer up to date: stets die neusten Versionen</li>
                           <li>Kostenloser Einrichtungs-Service mit Erstübertragung Ihrer Daten durch 1&1 Experten</li>
                        </ul>
                        <button class="btnInfo">Mehr Informationen</button>
                     </div>
                  </div>
               </div>
            </section>
         </main>
      </div>
   </body>
</html>

Bedenklich: Kein Link hat Funktion, nur der Button "Login"!

Nach Login erfolgt Weiterleitung nach "https://webmailer.1und1.de/" mit Javascript.

Was das aufgerufene "script.js" noch macht, ... muss es erst noch untersuchen.

Info von RIPE zur Seite:

Domain Name: onlinemail24.net
Registry Domain ID: 2260185752_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.ovh.com
Registrar URL: http://www.ovh.com
Updated Date: 2018-05-05T08:20:32.0Z
Creation Date: 2018-05-05T08:17:13.0Z
Registrar Registration Expiration Date: 2019-05-05T08:17:13.0Z
Registrar: OVH, SAS
Registrar IANA ID: 433
Registrar Abuse Contact Email: abuse@ovh.net
Registrar Abuse Contact Phone: +33.972101007
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientTransferProhibited https://icann.org
epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name:
Registrant Organization:
Registrant Street:
Registrant City:
Registrant State/Province:
Registrant Postal Code:
Registrant Country: DE
Registrant Phone:
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: 54vz1a50nust82j7io44@b.o-w-o.info
Registry Admin ID:
Admin Name:
Admin Organization:
Admin Street:
Admin City:
Admin State/Province:
Admin Postal Code:
Admin Country:
Admin Phone:
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: fvx66rr7o8ar8b6yzqhw@s.o-w-o.info
Registry Tech ID:
Tech Name:
Tech Organization:
Tech Street:
Tech City:
Tech State/Province:
Tech Postal Code:
Tech Country:
Tech Phone:
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: fvx66rr7o8ar8b6yzqhw@s.o-w-o.info
Name Server: dns100.ovh.net
Name Server: ns100.ovh.net
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2018-05-26T04:05:37.0Z <<<

[OpaAlfons]

@OpaAlfons

Dass 1&1 eine Domain bei der Konkurrenz www.ovh.com registriert ist unwahrscheinlich.

Du hast recht: Phishing!

[Luc99Music]

IP geo lookup überprüft das mal

Continent:  Europe

Country:  Germany

Country Code:  DE

Country CF:  99

Region: 

State:  Baden-wuerttemberg

State Code: 

State CF:  97

DMA: 

MSA: 

City:  Karlsruhe

Postal Code:  76133

Timezone:  Greenwich Mean Time

Area Code: 

City CF:  95

Latitude:  49.01336

Longitude:  8.38979

[NianMao]

Also, wie eben schon gesagt, ist die Absender IP nicht diese, sondern 82.165.247.108. Ist aber auch 1&1.

Aber: Warum ist sie dann echt? nochmal zum "auf der Zunge zergehen lassen": die mail kommt über ein mailrelayeu in das das mailsystem von 1&1.

Wenn es eine offizielle mail ist, erwarte ich, das die mail direkt dem mailhost übergeben wird.