Frage zu E-Mail Header-IP Routing echt?unecht?

[funman]

Hoffe ich bin im richtigen Forum gelandet?

Also ich hab ein paar Fragen zum Thema E-Mail Header
Hier ein Beispiel das wichtigste gexxxxt:
Return-Path: <xxx@xxx.de>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on
hostcontrol.xxxxx.eu
X-Spam-Level: *****
X-Spam-Status: No, score=5.8 required=10.0 tests=DNS_FROM_OPENWHOIS,
FH_DATE_PAST_20XX,HTML_MESSAGE,SPF_PASS autolearn=disabled version=3.2.5
Delivered-To: xxx@xxxxxxx.de
Received: from blu0-omc3-s31.xxx.hotmail.com (blu0-omc3-s31.xxx.hotmail.com [xx.xx.xx.xx])
by host.xxx.eu (Postfix) with ESMTP id D42261AE04C9
for <xx@xxxxxxxx.de>; Mon, 26 Apr 2010 23:46:38 +0200 (CEST)
Received: from BLU147-W23 ([xx.xx.xxx.xx]) by blu0-omc3-s31.xxx.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 26 Apr 2010 14:46:35 -0700
Message-ID: <BLU147-xxxxxxxxx@phx.gbl>
Content-Type: multipart/alternative;
boundary="_0baee1e0-xxx-xxxx-b601-2318395c05e0_"
X-Originating-IP: [yy.yy.yyy.yy]
From: "xxxxx ..." <xxx@xxx.de>

Also wenn ich es richtig verstanden habe ist die IP des Absenders unter X-Originating-IP zu finden? Also da wo die yyyyyy sind?
Diese IP ist eindeutig?
D.h. wenn ich damit z.b. unter http://www.ip-adress.com/ip_lokalisieren
nachschaue sollte ich den ungefähren Standort sehen?
Bitte nicht falsch verstehen es geht mir hierbei nicht um 50km!
Eher darum das mir jemand erzählt er ist in Australien und wenn ich die besagte IP dort eingebe wird mir Deutschland angezeigt inkl. einem deutschen Provider(ein Reseller vom rosa Riesen)

Oder mache ich einen Denkfehler?
Oder kann das soweit abweichen? Deutschland-Australien?

Ich wäre wirklich sehr danbar für ein paar Aussagen von euch, denn ich weiß nichtmehr was ich denken und glauben soll!

[XadreS]

Grundsätzlich kann man die IP so lokalisieren, aber genau geht das selten.
Aber ich denke, dass richtige Land wird halbwegs hinkommen. Aber ohne Garantie.

Bei mir stimmt der angezeigt Ort übrigens. Die Stadt in der ich bin, wird mir auch angezeigt.

Vielleicht kennst du aber auch die ganzen SPAM-PORN Popups. Dort werden dir dann ja auch immer Singles aus deiner Umgebung angezeigt. Das haut öfter mal hin, aber eben auch oft nicht. Hängt aber auch von dem Provider des Users ab.

[funman]

Das bin ich ja auch der Meinung!
Aber ich möchte nun auch meinem Gegenüber nichts falsches unterstellen!
Aber merkwürdig ist das schon ALLES!!!!!!
Zumal der richtige Provider sollte doch dort auf jedenfall stehen?
Oder kann der auch falsch sein?

Bzw. wie wahrscheinlich ist es das der Standort über 3-5 Tage(natürlich immer neue IP aber Ergebniss gleichbleibend???) falsch angezeigt wird?

Ich hab da noch einen Ansatz!
Die Person sagt:
Sie ist in Australien OK!
Ihre IP ist xy.xyz.xyz.xx

Nun das kuriose Ihr Sohn schreibt:
Dem seine IP:
xy.xyz.xyz.xx

Und er soll in Deutschland sein?!?!?!
Also das geht doch nicht oder?

Oder ist das Feld: X-Originating-IP
doch nicht relevant?

ICH BIN TOTAL VERWIRRT!!!!!

Hat mit dem Thema niemand Erfahrungen gemacht?

[marac]

Die "X-Originating-IP" ist nur ein optionaler Header, der gar nicht von allen Mailprogrammen gesetzt wird, insofern muss die eigentlich gar nichts aussagen.
Interessanter ist für gewöhnlich die Auflistung der verschiedenen "Received"-Header. Hier sollte eigentlich der Weg der eMail nachvollzogen werden können. Verschleierungsmöglichkeiten gibt es hier aber natürlich auch nahezu beliebig, da ja auch bereits beim Versender "Received"-Header direkt in die Mail geschrieben werden könnten, die gar nichts mit dem tatsächlichen Weg der eMail zu tun haben.
In deinem Fall würde ich aber eher darauf tippen, dass der Absender einen Webmail-Dienst verwendet, und dass du daher in den Mailheadern nur die IP des Rechners findest, auf dem dieser Webmailer läuft.

[funman]

Danke für die Ausführung!
Und wie verhält es sich nun wenn ich die IP des User durch einen Webseitenlog ebenfalls habe?

Wie zuverlässig arbeiten die IP Routing Dienste ?
Kann es echt sein das die mir Deutschland inkl. Deutschem Provider anzeigen und die Person sitzt in Australien?

[marac]

Zitat:

Zitat von funman

Kann es echt sein das die mir Deutschland inkl. Deutschem Provider anzeigen und die Person sitzt in Australien?

Durch die Nutzung von Proxy-Servern ist so ziemlich alles denkbar...

[funman]

Ja ok Proxy mal aussen vor lassen!
Denn die Person möchte ja eigentlich das ich glaube das sie in Australien ist.

[DaPhreak]

Wenn die Mail über einen Webmailer geschrieben wird, dann wird die Absendeadresse nicht der PC des Schreibers sein, sondern der Mailserver, der von dem Webformular die Daten entgegen nimmt und daraus eine Mail generiert. Dieser kann erstmal überall stehen, hängt jetzt halt vom Provider ab. Nur wenn die Mail per SMTP/POP abgesetzt wird, sollte der entgegennehmende Mailserver den sendenden Host als erstes received-from eintragen.

[jimmy08]

@DaPhreak: Genau das hatte ich auch vermutet, allerdings habe ich keine Info dazu gefunden. Hast Du 'ne Quelle dafür?

[marac]

Kleine Mail-Header-FAQ

[DaPhreak]

Zitat:

Zitat von jimmy08

@DaPhreak: Genau das hatte ich auch vermutet, allerdings habe ich keine Info dazu gefunden. Hast Du 'ne Quelle dafür?

Was heißt Quelle, das ist doch klar. Da steht der Trace drin von allen Hosts die die Mail weitergeleitet haben. Wenn ein Webserver die Mail erstellt ist er freilich der erste in der Kette.

Nachzulesen ggfs in den RFCs, zutreffend wäre hier RFC #822 (Sec. 4), RFC #1123 (Sec. 5), vielleicht noch RF #2076.

[marac]

Zitat:

Zitat von DaPhreak

Wenn ein Webserver die Mail erstellt ist er freilich der erste in der Kette.

Nicht ganz... Er ist nicht der erste, sondern der letzte, da die neuen Header oben angefügt werden. Die Liste der Received-Header ist folglich von unten nach oben zu lesen.

[DaPhreak]

Zitat:

Zitat von marac

Nicht ganz... Er ist nicht der erste, sondern der letzte, da die neuen Header oben angefügt werden. Die Liste der Received-Header ist folglich von unten nach oben zu lesen.

Er ist der erste in der Kette der Hosts die die Mail forwarden, so meinte ich es.

Die Liste der received-header enthält diese Kette, ist aber natürlich von unten nach oben zu lesen.

[marac]

Dann sind wir uns ja einig

@funman: Die interessanteste Zeile aus deiner Mail ist also diese:

Zitat:

Zitat von funman

Received: from BLU147-W23 ([xx.xx.xxx.xx]) by blu0-omc3-s31.xxx.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 26 Apr 2010 14:46:35 -0700

Anhand dieser Zeile stellen wir fest, dass die eMail wohl über Hotmail verschickt wurde (BLU147-W23 ist ein Hotmail-Server), und hier finden wir dann die Info, dass Hotmail tatsächlich den "X-Originating-IP"-Header verwendet, um den absendenden Rechner in der Mail mit zu vermerken. Wenn diese IP nun in Deutschland angesiedelt ist, ist es also recht unwahrscheinlich, dass sich der Absender in Australien aufhält... Fälschen lässt sich zwar vieles, aber wenn du sagst, dass der Absender ja gerade will, dass du glaubst, er sei in Australien, wird er wohl nicht absichtlich Spuren nach Deutschland legen...

[jimmy08]

Wer lesen kann ist klar im Vorteil... Ich hatte DaPhreaks Post etwas mißverstanden, aber jetzt ist es klar.