121416
Apr 27, 2016, updated at 15:52:46 (UTC)
1817
4
0
Kopfzeilen einer Mail entschlüsseln
Hallo alle zusammen,
wir haben von einem Kunden die Info bekommen, dass er von uns eine Email erhalten hätte. Die Mitarbeiterin schwört jedoch, diese Mail mit diesem Inhalt nie gesendet zu haben. Dies wird auch nicht angezweifelt. Im Text wird jedoch eine richtige Rechnungsnummer verwendet. Daher ist auszugehen, dass diese nicht von einer x-beliebigen Person verfasst wurde. Auch die verwendete Signatur der Mitarbeiterin wurde exakt kopiert.
Beiliegend die Headerinformationen. Hier fallen zwei Punkte auf:
- die Email-Adresse der Mitarbeiterin ist nachname2@firma2.de. Jedoch ist ihre Email-Adresse name2.nachname2@firma2.de
- es taucht diese unbekannte Email-Adresse auf: sunionlimited@gmail.com. Auf Google finde ich nichts zu dieser Email-Adresse.
Jetzt die Frage: Kann jemand erkennen wer und wann diese Mail geschrieben/geändert hat? Wenn mir jemand dazuschreiben kann, welchen Weg diese Mail genommen hat wäre ich sehr dankbar.
Vielen Dank schon mal und viele Grüße.
P.S. Um den Datenschutz zu erhalten wurden folgende Begriffe ersetzt:
Firmenname Kunde -> firma1
Vorname Kunde -> name1
Nachname Kunde -> nachname1
unser Firmenname -> firma2
Vorname Mitarbeiterin -> name2
Nachname Mitarbeiterin -> nachname2
wir haben von einem Kunden die Info bekommen, dass er von uns eine Email erhalten hätte. Die Mitarbeiterin schwört jedoch, diese Mail mit diesem Inhalt nie gesendet zu haben. Dies wird auch nicht angezweifelt. Im Text wird jedoch eine richtige Rechnungsnummer verwendet. Daher ist auszugehen, dass diese nicht von einer x-beliebigen Person verfasst wurde. Auch die verwendete Signatur der Mitarbeiterin wurde exakt kopiert.
Beiliegend die Headerinformationen. Hier fallen zwei Punkte auf:
- die Email-Adresse der Mitarbeiterin ist nachname2@firma2.de. Jedoch ist ihre Email-Adresse name2.nachname2@firma2.de
- es taucht diese unbekannte Email-Adresse auf: sunionlimited@gmail.com. Auf Google finde ich nichts zu dieser Email-Adresse.
Jetzt die Frage: Kann jemand erkennen wer und wann diese Mail geschrieben/geändert hat? Wenn mir jemand dazuschreiben kann, welchen Weg diese Mail genommen hat wäre ich sehr dankbar.
Vielen Dank schon mal und viele Grüße.
P.S. Um den Datenschutz zu erhalten wurden folgende Begriffe ersetzt:
Firmenname Kunde -> firma1
Vorname Kunde -> name1
Nachname Kunde -> nachname1
unser Firmenname -> firma2
Vorname Mitarbeiterin -> name2
Nachname Mitarbeiterin -> nachname2
Received: from exchange-pop3-connector.com (127.0.0.1) by
SERVER.FIRMA1.local (127.0.0.1) with Microsoft SMTP Server id
14.1.438.0; Wed, 27 Apr 2016 14:52:19 +0200
Received: from localhost (localhost.localdomain [127.0.0.1]) by
ns382220.ip-46-105-98.eu (Postfix) with ESMTP id 1B31A1050CC for
<name1@firma1.com>; Wed, 27 Apr 2016 15:00:30 +0200 (CEST)
Received: from ns382220.ip-46-105-98.eu ([127.0.0.1]) by localhost
(ns382220.ip-46-105-98.eu [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
id CZKIiGa2MYNV for <name1@firma1.com>; Wed, 27 Apr 2016 15:00:28 +0200
(CEST)
Received: from gateway36.websitewelcome.com (gateway36.websitewelcome.com
[192.185.184.18]) by ns382220.ip-46-105-98.eu (Postfix) with ESMTPS id
660FC1050E5 for <name1@firma1.com>; Wed, 27 Apr 2016 15:00:28 +0200
(CEST)
Received: from cm6.websitewelcome.com (cm6.websitewelcome.com
[108.167.139.19]) by gateway36.websitewelcome.com (Postfix) with ESMTP id
00BE850A21AB7 for <name1@firma1.com>; Wed, 27 Apr 2016 07:51:53 -0500
(CDT)
Received: from astro.websitewelcome.com ([192.185.2.202]) by
cm6.websitewelcome.com with id nQmr1s00D4MWdqw01QmsA1; Wed, 27 Apr 2016
07:46:52 -0500
Received: from [127.0.0.1] (port=15784 helo=webmail.globalcommunication.co.in)
by astro.websitewelcome.com with esmtpa (Exim 4.86_1) (envelope-from
<nachname2@firma2.de>) id 1avOri-000UKg-Kj for name1@firma1.com; Wed,
27 Apr 2016 07:46:50 -0500
From: name2 nachname2 <nachname2@firma2.de>
To: name1 nachname1 <name1@firma1.com>
Subject: RE: invoice reminder
Thread-Topic: invoice reminder
Thread-Index: AQHRoILdJ2+0f+kmTBy6ZcqkSse79Q==
Disposition-Notification-To: name2 nachname2 <nachname2@firma2.de>
Return-Receipt-To: <nachname2@firma2.de>
Date: Wed, 27 Apr 2016 12:46:49 +0000
Message-ID: <08f363402c6d2007f948115c59736fdc@globalcommunication.co.in>
Reply-To: "sunionlimited@gmail.com" <sunionlimited@gmail.com>
Content-Language: fr-BE
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-AuthSource: SERVER.FIRMA1.local
X-MS-Has-Attach:
X-MS-Exchange-Organization-SCL: 0
X-MS-TNEF-Correlator:
x-sender: nachname2@firma2.de
x-antiabuse: Sender Address Domain - firma2.de
user-agent: Roundcube Webmail/1.0.6
delivered-to: name1@firma1.com
x-spam-flag: NO
x-spam-status: NO, hits=0 required=5, database-version=[2016-03-09_01],
tests=spam.BD_NON_SPAM=1,spam.[BDANTISPAM_EmlIsClean Build: [Engines:
2.15.6.911, Stamp: 3], Multi: [Enabled, t: (0.015284,0.015268)], BW:
[Enabled, t: (0.000019,0.000002)], RTDA: [Enabled, t: (0.066472), Hit: No,
Details: v2.3.6; Id: 30ah0v8.1ags059f3.e4cbf], total: 0(675)=1
x-virus-scanned: amavisd-new at HOSTNAME
x-source-args:
x-source-dir:
x-source:
x-source-cap: Z2xvYmFsY29tbXVuaWNhdDthYjQwNjM7YXN0cm8ud2Vic2l0ZXdlbGNvbWUuY29t
x-source-sender: (webmail.globalcommunication.co.in) [127.0.0.1]:15784
x-source-auth: sales6@globalcommunication.co.in
x-email-count: 7
x-bwhitelist: no
Content-Type: multipart/alternative;
boundary="_000_08f363402c6d2007f948115c59736fdcglobalcommunicationcoin_"
MIME-Version: 1.0
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 303029
Url: https://administrator.de/contentid/303029
Printed on: April 18, 2024 at 12:04 o'clock
4 Comments
Latest comment
Hallo,
welche Server sind davon denn von Euch?
Ausgang dürfte (webmail.globalcommunication.co.in) in Indien über (astro.websitewelcome.com) sein.
Stefan
welche Server sind davon denn von Euch?
Ausgang dürfte (webmail.globalcommunication.co.in) in Indien über (astro.websitewelcome.com) sein.
Stefan
hallo,
ich sehe noch
in Zeile 44 "user agent: RoundCube Webmail"
Welches Mailprogramm nutzt Ihr in Eurer Firma ?
Zeile 36: Spracheinstellung ist auf fr-BE (französich / Belgien) eingestellt
Zeile 17/21: die Uhrzeit "07:51:53 -0500"
War die Mitarbeiterin zu dieser zeit in der Firma und an ihrem Platz? Ggf. Teilnahme an einer Besprechung? Außerhalb der Arbeitszeit?
den *.co.in - Server hat ja Stefan schon genannt.
Gruß
Holger
ich sehe noch
in Zeile 44 "user agent: RoundCube Webmail"
Welches Mailprogramm nutzt Ihr in Eurer Firma ?
Zeile 36: Spracheinstellung ist auf fr-BE (französich / Belgien) eingestellt
Zeile 17/21: die Uhrzeit "07:51:53 -0500"
War die Mitarbeiterin zu dieser zeit in der Firma und an ihrem Platz? Ggf. Teilnahme an einer Besprechung? Außerhalb der Arbeitszeit?
den *.co.in - Server hat ja Stefan schon genannt.
Gruß
Holger
Mit dem Hinweis darauf, dass "Received"-Header gefälscht werden können. Man müsste wissen, welcher Server vom Empfänger ist um zu sehen, bis zu welchem Punkt man den Received-Headern vertrauen kann.
Hallo,
Versendet ihr über einen Smarthost (astro.websitewelcome.com) oder direkt?
Was sagt Eure Mailarchivierung, ist eine Mail dieses Inhaltes bzw. zu dem Zeitpunkt überhaupt von eurem System versendet worden?
Nachrichtenverfolgung in eurem system?
Gruß
Chonta
Versendet ihr über einen Smarthost (astro.websitewelcome.com) oder direkt?
Was sagt Eure Mailarchivierung, ist eine Mail dieses Inhaltes bzw. zu dem Zeitpunkt überhaupt von eurem System versendet worden?
Nachrichtenverfolgung in eurem system?
Gruß
Chonta
