Fragen zum Mailheader
Joerg Hecht
wer kann mir beim Lesen (und Verstehen) des folgenden Header helfen?
Vorgeschichte:
Bei meinem Kollegen in der Schule schlug heute eine Mail mit übelsten
Beleidigungen und Beschimfungen auf, einige Worte kann man auch als
Bedrohungen verstehen. Bevor er Anzeige erstattet (ob es nützt wage ich
zu bezweifeln) bittet er mich um Infos. Leider komme ich nur an das ran,
was Outlook zu bieten hat.
Meine Frage kann man feststellen, wo die Mail herkommt?
Hier der Header von mir unverändert (Ausnahme: Mein.Kollege = Lokalpart
der dientl. E-Mail-Adresse). Domain ist unsere Schulseite.
Zeilenumbrüche können falsch sein, habe es dummerweise in ein
Word-Dokument gepackt.
Meine Interpretation nach dem Header.
****
Microsoft Mail Internet Headers Version 2.0
Received: from skrzmx03.asp.krzwan.de ([10.0.1.25]) by
nt230sexch.herford.de with Microsoft SMTPSVC(6.0.3790.3959);
Thu, 30 Sep 2010 23:40:52 +0200
Received: from skrzmx14.asp.krzwan.de ([10.0.1.214]) by
skrzmx03.asp.krzwan.de with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 30 Sep 2010 23:40:52 +0200
Received: from mail.krz.de (62.153.231.10) by mailto.krz.de (10.0.1.214)
with
Microsoft SMTP Server id 8.2.176.0; Thu, 30 Sep 2010 23:40:51 +0200
X-NoSpamProxy-Tests: Realtime Blocklist filter: 0;CommTouch AntiSpam
Services: 0;Spam URI Realtime Blocklist filter: 0;Word filter:
0;ReceiverRewriter action: PassCommTouch Zero Hour Virus Outbreak
Protection: Pass
X-NoSpamProxy-Rating:
X-NetatworkMailGateway-TrustedMail: no
X-NetatworkMailGateway-Scl: 0,00
X-NetatworkMailGateway-Sender: postmaster+191031*@**post.webmailer.de
X-NetatworkMailGateway-Rule: mail: Domänen mit Adress-Sync
(KRZ-WAN,LVL,StWLE)
X-NetatworkMailGateway-Gateway: 81.169.146.144:33352
X-RZG-FWD-BY: Mein.Kollege in gesamtschule-friedenstal.de
Received: from RZmta-internal (client mail forwarder) by mailin.webmailer.de
(ahmed mi34) (RZmta 23.5) for <Mein.Kollege in herford.de>; Thu, 30
Sep 2010
23:40:51 +0200 (MEST)
X-RZG-CLASS-ID: mi
Received: from cg-p00-ob.rzone.de ([81.169.146.193]) by mailin.webmailer.de
(ahmed mi34) (RZmta 23.5) with ESMTP id y00f74m8ULWmic for
<Mein.Kollege in gesamtschule-friedenstal.de>; Thu, 30 Sep 2010 23:40:51
+0200 (MEST)
X-RZG-CLASS-ID: cg00
Received: from ripper.store ([192.168.41.80]) by snori-cg-04.store (RZmta
23.5) with ESMTP id 001aefm8UL7oEN for
<Mein.Kollege in gesamtschule-friedenstal.de>; Thu, 30 Sep 2010 23:40:51
+0200 (MEST)
Received: (from Unknown UID 191031@localhost) by post.webmailer.de
(8.13.7/8.13.7) id o8ULepko007102; Thu, 30 Sep 2010 21:40:51 GMT
To: Mein.Kollege in gesamtschule-friedenstal.de
Subject: Gesamtschule Friedenstal - Herford: Herr (Name)
Date: Thu, 30 Sep 2010 23:40:51 +0200
From: Diverse <Mein.Kollege in gesamtschule-friedenstal.de>
Message-ID:
<e1d874df2bde5bc3...@www.gesamtschule-friedenstal.de>
X-Priority: 3
X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.4]
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="utf-8"
X-RZG-SCRIPT:
:dTRKJxX5Nao0qjJVsH1XWWabEEb2JRAKJaLyTKvTzmxkcl6YwekDWij3YTXKL7nlPtkinKfLfl11VcZQhkFgA3BWnAUdO64BcKnWLA7qK3SNdVKHObMQwQmHlIA=
Return-Path: postmast...@post.webmailer.de
X-OriginalArrivalTime: 30 Sep 2010 21:40:52.0183 (UTC)
FILETIME=[2783F670:01CB60E8]
****
Unsere Schulseite ist bei STRATO zu denen 81.169.146.193 und
81.169.146.144 gehört. 62.153.231.10 ist Rechenzentrum Lemgo. Kollege
muss, da Rechner im Netz der Stadt Mails mit Rausguck am Exchange-Server
abholen. Da unsere at*gesamtschule...-Adressen schon länger existieren
leite ich Mails an Kollegen an an die ebenfalls existierende
Mail-adresse herford.de weiter.
Betreffzeile und erste Zeilen der Mail deuten darauf hin, dass die Mail
in das entsprechende Kontaktformular der Schulseite getippst wurde
(Joomla, betreue ich selbst.). Mehr bekomme ich nicht raus. F1!
Danke für die Geduld, aber würde dem Kollegen gern helfen.
Gruß!
Jörg
Wolfgang Jäth
>
> Microsoft Mail Internet Headers Version 2.0
> Received: from skrzmx03.asp.krzwan.de ([10.0.1.25]) by
> nt230sexch.herford.de with Microsoft SMTPSVC(6.0.3790.3959);
> Thu, 30 Sep 2010 23:40:52 +0200
Der oberste Header stammt immer von dem letzten Server in der Kette, das
ist üblicherweise Dein Provider. In diesem konkreten Fall allerdings
sind das irgend welche internen Weiterleitungen innerhalb des
Firmennetzes der Schule (10.x.x.x ist ein für lokale Netzwerke
vorgesehener IP-Bereich, der wird im öffentlichen Netz nicht geroutet).
Konkret: Der Server 'nt230sexch.herford.de' hat die Emil von einem
Server mit der IP 10.0.1.25 bekommen, der sich selbst als
'skrzmx03.asp.krzwan.de' bezeichnet (naja, jeder kann sich selbst
nennen, wie er will).
> Received: from skrzmx14.asp.krzwan.de ([10.0.1.214]) by
> skrzmx03.asp.krzwan.de with Microsoft SMTPSVC(6.0.3790.4675);
> Thu, 30 Sep 2010 23:40:52 +0200
'skrzmx03.asp.krzwan.de' hat die Email von 10.0.1.214 aka
'skrzmx14.asp.krzwan.de' bekommen.
> Received: from mail.krz.de (62.153.231.10) by mailto.krz.de (10.0.1.214)
> with
> Microsoft SMTP Server id 8.2.176.0; Thu, 30 Sep 2010 23:40:51 +0200
Und last but not least hat 10.0.1.214 (der sich hier 'mailto.krz.de'
nennt, die Email von 62.153.231.10, welcher sich ebenfalls 'mail.krz.de'
nennt. Wenn Du diese IP nun bei Whois (z.B.
http://www.heise.de/netze/tools/whois-abfrage) einwirfst, bekommst Du
als Antwort, daß der Bereich 62.153.231.0 - 62.153.231.139
dem 'Kommunales Rechenzentrum Minden-Ravensberg/Lippe' zugewiesen ist.
> X-NoSpamProxy-Tests: Realtime Blocklist filter: 0;CommTouch AntiSpam
> Services: 0;Spam URI Realtime Blocklist filter: 0;Word filter:
> 0;ReceiverRewriter action: PassCommTouch Zero Hour Virus Outbreak
> Protection: Pass
> X-NoSpamProxy-Rating:
> X-NetatworkMailGateway-TrustedMail: no
> X-NetatworkMailGateway-Scl: 0,00
> X-NetatworkMailGateway-Sender: postmaster+191031*@**post.webmailer.de
> X-NetatworkMailGateway-Rule: mail: Domänen mit Adress-Sync
> (KRZ-WAN,LVL,StWLE)
> X-NetatworkMailGateway-Gateway: 81.169.146.144:33352
> X-RZG-FWD-BY: Mein.Kollege in gesamtschule-friedenstal.de
Das sind irgend welche Header von Spamfiltern o. ä., die brauchen uns
nicht zu interessieren.
> Received: from RZmta-internal (client mail forwarder) by mailin.webmailer.de
> (ahmed mi34) (RZmta 23.5) for <Mein.Kollege in herford.de>; Thu, 30
> Sep 2010
> 23:40:51 +0200 (MEST)
Ab so einem Received-Header, ohne konkrete sprich nachprüfbare
Informationen, ist der Rest normalerweise mit äußerster Vorsicht zu
genießen. Im Falle die Zweifel lassen sich im weiteren Verlauf nicht
einwandfrei auflösen, ist der Header /davor/ der letzte
vertrauenswürdige Header; dann wäre der Admin von 62.153.231.10 der
Ansprechpartner.
In diesem Fall würde ich jedoch - unter Vorbehalt - erst mal 'nur' davon
ausgehen, daß das eine interne Weiterleitung innerhalb besagtem
Rechenzentrum ist.; mal schauen, was weiter kommt.
> X-RZG-CLASS-ID: mi
> Received: from cg-p00-ob.rzone.de ([81.169.146.193]) by mailin.webmailer.de
> (ahmed mi34) (RZmta 23.5) with ESMTP id y00f74m8ULWmic for
> <Mein.Kollege in gesamtschule-friedenstal.de>; Thu, 30 Sep 2010 23:40:51
> +0200 (MEST)
Hm; irgendwer, der sich als mailin.webmailer.de ausgibt, hat die Email
von 81.169.146.193 aka cg-p00-ob.rzone.de bekommen; diese IP stammt aus
einem Bereich, der 'Strato Rechenzentrum, Berlin' gehört.
> X-RZG-CLASS-ID: cg00
> Received: from ripper.store ([192.168.41.80]) by snori-cg-04.store (RZmta
> 23.5) with ESMTP id 001aefm8UL7oEN for
> <Mein.Kollege in gesamtschule-friedenstal.de>; Thu, 30 Sep 2010 23:40:51
> +0200 (MEST)
192.168.x.x ist ebenfalls ein lokaler Adressbereich, d. h. hier handelt
es sich wieder um eine interne Weiterleitung - oder ein Fake (wie
gesagt, Vorsicht ...).
> Received: (from Unknown UID 191031@localhost) by post.webmailer.de
> (8.13.7/8.13.7) id o8ULepko007102; Thu, 30 Sep 2010 21:40:51 GMT
Also /das/ ist definitiv kein korrekter Received-Header; das
erkennt sogar ein Blinder mit Krückstock ohne überhaupt hin zu schauen
auf den ersten Blick. Kein vernünftiger Server würde so etwas
kaputtes produzieren.
An dieser Stelle wäre ich schon fast geneigt, die letzten drei Header
als Fake zu bezeichnen, wenn ich da nicht im letzten Moment weiter unten
noch ein
> X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.4]
gesehen hätte. Diese verd****** PHP-Mailer-Programme sind meistens
*sowas* von völlig neben der Kappe programmiert. Da versuchen sich
anscheinend immer nur irgend welche, dem Sandkasen nochgar nicht richtig
entwachsene Kiddies, die noch nie was von RFC o. ä. gehört haben. Und
genau so sehen dann die produzierten Header aus. :-(((
Aber da kannst /Du/ ja nix dafür ... :-/
(hoffe ich zumindest ;-) )
> Unsere Schulseite ist bei STRATO zu denen 81.169.146.193 und
> 81.169.146.144 gehört. 62.153.231.10 ist Rechenzentrum Lemgo. Kollege
> muss, da Rechner im Netz der Stadt Mails mit Rausguck am Exchange-Server
> abholen. Da unsere at*gesamtschule...-Adressen schon länger existieren
> leite ich Mails an Kollegen an an die ebenfalls existierende
> Mail-adresse herford.de weiter.
> Betreffzeile und erste Zeilen der Mail deuten darauf hin, dass die Mail
> in das entsprechende Kontaktformular der Schulseite getippst wurde
> (Joomla, betreue ich selbst.). Mehr bekomme ich nicht raus. F1!
Ja, so würde ich das ebenfalls sehen; auch wenn bei mir immer noch ein
kleiner Rest der o. g. Zweifel vorhanden sein mögen.
Wenn Du sicher gehen willst, dann schicke doch einfach selber mal eine
kleine Message über das Formular ab, und verlgeiche dann die Header.
BTW, wenn Dir mal zufällig der Schreiberling dieses ominösen PHPMailer
über den Weg laufen sollte, dann schlag ihm doch bitte mal
http://www.heise.de/netze/rfc/rfcs/rfc2821.shtml um die Ohren; und zwar
kräftig (darf ruhig weh tun).
Wolfgang, leider ohne die Hoffnung, daß das tatsächlich mal passiert :-((
--
Joerg Hecht
> Am 01.10.2010 17:27, schrieb Joerg Hecht:
>
> [...interne Weiterleitung...]
>
>> Received: from mail.krz.de (62.153.231.10) by mailto.krz.de (10.0.1.214)
>> with
>> Microsoft SMTP Server id 8.2.176.0; Thu, 30 Sep 2010 23:40:51 +0200
>
> Und last but not least hat 10.0.1.214 (der sich hier 'mailto.krz.de'
> nennt, die Email von 62.153.231.10, welcher sich ebenfalls 'mail.krz.de'
> nennt. Wenn Du diese IP nun bei Whois (z.B.
> http://www.heise.de/netze/tools/whois-abfrage) einwirfst, bekommst Du
> als Antwort, daß der Bereich 62.153.231.0 - 62.153.231.139
> dem 'Kommunales Rechenzentrum Minden-Ravensberg/Lippe' zugewiesen ist.
Hallo Wolfgang,
für mich schlüssig, unsere Stadtverwaltung wird von diesem KRZ betreut.
>
>> ... Spam-Filter-Einträge ...
>
> ...Header von Spamfiltern o. ä., ...
>
>> Received: from RZmta-internal (client mail forwarder) by mailin.webmailer.de
>> (ahmed mi34) (RZmta 23.5) for <Mein.Kollege in herford.de>; Thu, 30
>> Sep 2010
>> 23:40:51 +0200 (MEST)
>
> ... berechtigte Zweifel an Nachprüfbarkeit ...
>
>
>> X-RZG-CLASS-ID: mi
>> Received: from cg-p00-ob.rzone.de ([81.169.146.193]) by mailin.webmailer.de
>> (ahmed mi34) (RZmta 23.5) with ESMTP id y00f74m8ULWmic for
>> <Mein.Kollege in gesamtschule-friedenstal.de>; Thu, 30 Sep 2010 23:40:51
>> +0200 (MEST)
>
> Hm; irgendwer, der sich als mailin.webmailer.de ausgibt, hat die Email
Ist STRATO, kenne ich von früher, als wir unsere Schulmails noch per
POP/SMTP mit STRATO getauscht haben, passt.
> von 81.169.146.193 aka cg-p00-ob.rzone.de bekommen; diese IP stammt aus
> einem Bereich, der 'Strato Rechenzentrum, Berlin' gehört.
Passt, automatische Weiterleitung von at gesamtschule... auf at herford.
At gesamtschule... exitiert schon seit Jahren, vor 1,5 Jahren wurden wir
zwangsweise ans städt. Verwaltungsnetz angeschlossen. Damit keine Chance
POP/SMTP zu machen. Jeder MA hat eine Mail-Addy at Herford. So leite ich
eben die (bekannteren) alten Adressen weiter.
>> X-RZG-CLASS-ID: cg00
>> Received: from ripper.store ([192.168.41.80]) by snori-cg-04.store (RZmta
>> 23.5) with ESMTP id 001aefm8UL7oEN for
>> <Mein.Kollege in gesamtschule-friedenstal.de>; Thu, 30 Sep 2010 23:40:51
>> +0200 (MEST)
>
> 192.168.x.x ist ebenfalls ein lokaler Adressbereich, d. h. hier handelt
> es sich wieder um eine interne Weiterleitung - oder ein Fake (wie
> gesagt, Vorsicht ...).
Bis hierher mit meinem Wissen logisch, aber wer hat (unter Annahme der
Richtigkeit) bei Strato eingeliefert?
>
>> Received: (from Unknown UID 191031@localhost) by post.webmailer.de
>> (8.13.7/8.13.7) id o8ULepko007102; Thu, 30 Sep 2010 21:40:51 GMT
>
> [... Entsetzen...] ;-)
>
> An dieser Stelle wäre ich schon fast geneigt, die letzten drei Header
> als Fake zu bezeichnen, wenn ich da nicht im letzten Moment weiter unten
> noch ein
>
>> X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.4]
^^^^^^^^^^^^^^^^^^^^^^^^^^ (?)
>
> gesehen hätte. Diese verd****** PHP-Mailer-Programme sind meistens
> *sowas* von völlig neben der Kappe programmiert. Da versuchen sich
> anscheinend immer nur irgend welche, dem Sandkasen nochgar nicht richtig
> entwachsene Kiddies, die noch nie was von RFC o. ä. gehört haben. Und
> genau so sehen dann die produzierten Header aus. :-(((
>
> Aber da kannst /Du/ ja nix dafür ... :-/
>
> (hoffe ich zumindest ;-) )
<Hose runter>
"Unter den Blinden ist der Einäugige König."
Bin Mathe-/Physik-Lehrer und betreue die Schulhomepage. Bevor ich selbst
einen PHP-Flickenteppich produziere, verwende ich lieber Joomla und
halte das aktuell. Ich hab nix gemacht! Ich schwööhhr!!
</Hose runter>
>
>> ...
>
> Wenn Du sicher gehen willst, dann schicke doch einfach selber mal eine
> kleine Message über das Formular ab, und verlgeiche dann die Header.
Gerade von zu Hause (ohne KRZ) gemacht, passt. Auch der ömninöse
192.168.41.x ist wieder da. Haben wir eine Chance, den einliefernden
Rechner zu sehen?
>
> BTW, wenn Dir mal zufällig der Schreiberling dieses ominösen PHPMailer
> über den Weg laufen sollte, dann schlag ihm doch bitte mal
> http://www.heise.de/netze/rfc/rfcs/rfc2821.shtml um die Ohren; und zwar
> kräftig (darf ruhig weh tun).
Vielen Dank! Ich lese schon seit einigen jahren hier mit und hab wohl
doch ein wenig kapiert. Es scheint mir der Header schlüssig. Was kann
ich dem Kollegen berichten? Einliefernder Rechner nicht feststellbar?
Falls jemand von euch Joomla 1.5 kennt, kann man da irgendwo fahnden?
Wie gesagt, der Inhalt der Mail war weit unter der Gürtellinie.
Gruß!
Jörg
Uwe Schröder
> Einliefernder Rechner nicht feststellbar?
Wohin wird das Kontaktformular von der Webseite geschickt?
<form action="????">
Dort müßte es ein Server-Logfile geben, in dem der Einlieferer zu
finden ist. Falls das über einen externen Dienstleister läuft, wird
der sich allerdings wahrscheinlich und mit Recht auf den Datenschutz
berufen. Also Strafanzeige + Strafantrag und die Kripo das Logfile
einsehen lassen.
usch
Wolfgang Jäth
>
>> Hm; irgendwer, der sich als mailin.webmailer.de ausgibt, hat die Email
>
> Ist STRATO, kenne ich von früher,
Vermutlich ja, besonders in diesem Kontext. Das lässt sich aber nicht
verifizieren. D. h. *jeder* könnte theoretisch einen solchen Header
schreiben und einfügen. Daher meine vorsichtige Formulierung.
>> 192.168.x.x ist ebenfalls ein lokaler Adressbereich, d. h. hier handelt
>> es sich wieder um eine interne Weiterleitung - oder ein Fake (wie
>> gesagt, Vorsicht ...).
>
> Bis hierher mit meinem Wissen logisch, aber wer hat (unter Annahme der
> Richtigkeit) bei Strato eingeliefert?
Das müsstest Du im Log des Webservers suchen (falls Du da überhaupt
Zugriff darauf hast). In Frage kommen alle, die um ungefähr 'Thu, 30 Sep
2010 23:40:51 +0200 (MEST)' auf Deine Website (speziell auf die
betreffende Kontakteseite) zugegriffen hatten.
>>> >> X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.4]
> ^^^^^^^^^^^^^^^^^^^^^^^^^^ (?)
Da hat sich einfach nur der eingesetzte PHP-Mailer selber ein Denkmal
gesetzt; nix ungewöhnliches oder gar beängstigendes.
>> BTW, wenn Dir mal zufällig der Schreiberling dieses ominösen PHPMailer
>> über den Weg laufen sollte, dann schlag ihm doch bitte mal
>> http://www.heise.de/netze/rfc/rfcs/rfc2821.shtml um die Ohren; und zwar
>> kräftig (darf ruhig weh tun).
>
> www.joomla.org ?
Keine Ahnung; produzieren die denn bessere Header? <duck>
> Vielen Dank! Ich lese schon seit einigen jahren hier mit und hab wohl
> doch ein wenig kapiert. Es scheint mir der Header schlüssig. Was kann
> ich dem Kollegen berichten? Einliefernder Rechner nicht feststellbar?
S. o.
> Wie gesagt, der Inhalt der Mail war weit unter der Gürtellinie.
Frag Dich (oder besser gesagt Deinen Kollegen) doch einfach mal, ob es
/so/ jemand wirklich *wert* ist, sich über ihn aufzuregen oder
/überhaupt/ Gedanken zu machen. *Mir* hilft diese Frage in ärgerlichen
Situationen immer ungemein ...
Wolf 'was juckt es die Eiche, wenn die Sau sich an ihr kratzt :-)' gang
--
Wolfgang Jäth
Am 02.10.2010 17:41, schrieb Joerg Hecht:
> Wolfgang Jäth schrieb:
>> Am 01.10.2010 20:48, schrieb Joerg Hecht:
>>> Bis hierher mit meinem Wissen logisch, aber wer hat (unter Annahme der
>>> Richtigkeit) bei Strato eingeliefert?
>>
>> Das müsstest Du im Log des Webservers suchen (falls Du da überhaupt
>> Zugriff darauf hast). In Frage kommen alle, die um ungefähr 'Thu, 30 Sep
>> 2010 23:40:51 +0200 (MEST)' auf Deine Website (speziell auf die
>> betreffende Kontakteseite) zugegriffen hatten.
>
> So, ich denke, jetzt gabs Erleuchtung!
> Mail durch PHP-Mailer erzeugt, der lief auf dem Webserver, deshalb steht
> dieser am Anfang der Liste. In etwa korrekt?
Ja.
Wolfgang
--
Peter J. Holzer
> Am 01.10.2010 17:27, schrieb Joerg Hecht:
>> Received: (from Unknown UID 191031@localhost) by post.webmailer.de
>> (8.13.7/8.13.7) id o8ULepko007102; Thu, 30 Sep 2010 21:40:51 GMT
>
> Also /das/ ist definitiv kein korrekter Received-Header; das
> erkennt sogar ein Blinder mit Krückstock ohne überhaupt hin zu schauen
> auf den ersten Blick. Kein vernünftiger Server würde so etwas
> kaputtes produzieren.
Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
konform) produziert sendmail. Hier zum Vergleich ein Header aus
einer Mail, von der ich sicher weiß, dass sie über einen sendmail
eingeliefert wurde:
Received: (from root@localhost)
by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
Sat, 2 Oct 2010 04:02:02 +0200
Der einzige relevante Unterschied ist, dass bei mir als User "root"
drinsteht (korrekt - es war der cron) und in Jörgs Mail "Unknown UID
191031". Kann es sein, dass der Webmailer dort unter UID 191031 läuft
und diese UID nicht im /etc/passwd steht?
hp
Uwe Schröder
> Mail durch PHP-Mailer erzeugt, der lief auf dem Webserver, deshalb
> steht dieser am Anfang der Liste. In etwa korrekt?
Euer Webserver heißt "post.webmailer.de"?
usch
Wolfgang Jäth
>
> Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
> konform) produziert sendmail. Hier zum Vergleich ein Header aus
> einer Mail, von der ich sicher weiß, dass sie über einen sendmail
> eingeliefert wurde:
>
> Received: (from root@localhost)
> by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
> Sat, 2 Oct 2010 04:02:02 +0200
Örks; dann gilt das von wegen RFC um die Ohren schlagen auch und ganz
besonders für den Autor von sendmail (und ich dachte immer, Linux sei
etwas besseres ... <g>).
> Der einzige relevante Unterschied ist, dass bei mir als User "root"
> drinsteht (korrekt - es war der cron) und in Jörgs Mail "Unknown UID
> 191031". Kann es sein, dass der Webmailer dort unter UID 191031 läuft
> und diese UID nicht im /etc/passwd steht?
Das musst Du den Admin des betreffenden Host fragen (aber bei einem
Hostbetreiber wie Strato dürfte das wohl nahe liegen).
Wolfgang
--
Wolfgang Jäth
>
>> Mail durch PHP-Mailer erzeugt, der lief auf dem Webserver, deshalb
>> steht dieser am Anfang der Liste. In etwa korrekt?
>
> Euer Webserver heißt "post.webmailer.de"?
Hint: die Email wurde nicht vom Webserver /selbst/ verschickt, sondern
von einem /Programm/ darauf; und wen juckt es, wie dieses Programm sich
selbst oder den Rechner, auf dem es läuft, nennt? Da könnte genauso gut
'mail.google.de' oder 'kaiser.von.china' stehen.
Wolfgang
--
Toni Grass
> Am 02.10.2010 22:10, schrieb Peter J. Holzer:
>> Received: (from root@localhost)
>> by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
>> Sat, 2 Oct 2010 04:02:02 +0200
> Örks; dann gilt das von wegen RFC um die Ohren schlagen auch und ganz
> besonders für den Autor von sendmail (und ich dachte immer, Linux sei
> etwas besseres ... <g>).
öhm. Was hat das mit Linux zu tun (außer daß es eine Sendmail-Portierung
halt auch dafür gibt)?
Toni
Joerg Hecht
Zumindest de bei Strato. War schon immer so, auch vor dem Joomla-Einsatz:
Wurde ein Formular einer Webseite ausgefüllt und als Mail versendet,
dann stand dieser Name als Absender drin.
Gruß!
Jörg
Joerg Hecht
> On 2010-10-01 17:15, Wolfgang Jäth <jawo.us...@goldmail.de> wrote:
>> Am 01.10.2010 17:27, schrieb Joerg Hecht:
>>> Received: (from Unknown UID 191031@localhost) by post.webmailer.de
>>> (8.13.7/8.13.7) id o8ULepko007102; Thu, 30 Sep 2010 21:40:51 GMT
>> Also /das/ ist definitiv kein korrekter Received-Header; das
>> erkennt sogar ein Blinder mit Krückstock ohne überhaupt hin zu schauen
>> auf den ersten Blick. Kein vernünftiger Server würde so etwas
>> kaputtes produzieren.
>
> Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
Korrekt. Ich habe Jommla fast unverändert laufen. Da wird sendmail
verwendet.
>
> Der einzige relevante Unterschied ist, dass bei mir als User "root"
> drinsteht (korrekt - es war der cron) und in Jörgs Mail "Unknown UID
> 191031". Kann es sein, dass der Webmailer dort unter UID 191031 läuft
> und diese UID nicht im /etc/passwd steht?
Auch das passt:
Wenn in einem (vor Joomla-) Formular im Feld Absender nichts drin stand
war der Absender der entsprechenden Mail 'postmaster+191031' bei diesem
post.webmailer.de.
Was Strato damit bezweckt hat mich nie groß gejuckt.
Gruß!
Jörg
Uwe Schröder
>> Euer Webserver heißt "post.webmailer.de"?
>
> Hint: die Email wurde nicht vom Webserver /selbst/ verschickt, sondern
> von einem /Programm/ darauf; und wen juckt es, wie dieses Programm sich
> selbst oder den Rechner, auf dem es läuft, nennt? Da könnte genauso gut
> 'mail.google.de' oder 'kaiser.von.china' stehen.
Das Format der Received:-Zeilen ist in RFC 5321 festgelegt. Wenn da
steht "Received By", dann hat da der Name des empfangenden Systems
drinzustehen. Es ist also davon auszugehen, daß die Mail im ersten Hop
über einen Host namens "post.webmailer.de" gelaufen ist. Dazu paßt
auch der Return-Path.
Die Frage ist also, ob "post.webmailer.de" dem OP gehört, so daß er da
die Logfiles einsehen kann.
usch
Uwe Schröder
> War schon immer so, auch vor dem Joomla-Einsatz:
> Wurde ein Formular einer Webseite ausgefüllt und als Mail versendet,
> dann stand dieser Name als Absender drin.
Du hast meine Frage von vorgestern noch nicht beantwortet.
usch
Claus-Dieter Schulmann
> Hint: die Email wurde nicht vom Webserver /selbst/ verschickt, sondern
> von einem /Programm/ darauf; und wen juckt es, wie dieses Programm sich
> selbst oder den Rechner, auf dem es läuft, nennt? Da könnte genauso gut
> 'mail.google.de' oder 'kaiser.von.china' stehen.
Es ist egal wie sich dieser Rechner selbst nennt wenn die
damit produzierten Daten (SMTP-Header u. ä.) Euren eigenen
Zuständigkeitsbereich mit Sicherheit nicht verlassen.
Ansonsten sollte (rechtlich ist das vermutlich sogar ein muss)
man sich vorher mit dem jeweiligen Domain-Inhaber über die
Verwendung seines Namensraums verständigen.
Hierbei dürfen selbstverständlich auch evtl. Weiterleitungen
und Bounces nicht vergessen werden weil damit die SMTP-Header
nach aussen getragen werden können.
Das könnte für den tatsächlichen Domain-Inhaber negative Aus-
wirkungen haben weil manche Mailserver die Received-Zeilen
von Mails analysieren und u. U. den echten Domain-Inhaber in
ein schlechtes Licht rücken könnten.
Fazit: Verwende grundsätzlich keine beliebigen Domains sondern
nur solche, die mit dem jeweiligen Domain-Inhaber abgestimmt
sind oder eine Domain aus RFC 2606.
--
Claus-Dieter
Ulrich F. Heidenreich
>Die Frage ist also, ob "post.webmailer.de" dem OP gehört, so daß er da
>die Logfiles einsehen kann.
Unwahrscheinlich. Denn das ist der Smarthost für Strato-Kunden.
CU!
Ulrich
--
In 2 Monaten und 22 Tagen ist Weihnachten
LMKJI CK8WX BF12I GZCMD OOAQL 7L0NT FU4MF O3H4K IHTIH
Stellt euch vor, es ist Sonntag und keiner geht hin!
Joerg Hecht
> On 01.10.2010 20:48, Joerg Hecht wrote:
>
>> Einliefernder Rechner nicht feststellbar?
>
> Wohin wird das Kontaktformular von der Webseite geschickt?
> <form action="????">
Sorry Uwe, hier die (überfällige) Antwort:
<form
action="/index.php?option=com_contact&view=category&catid=12&Itemid=100"
method="post" ...>,
typisch Joomla halt.
Gruß!
Jörg
Peter J. Holzer
> Am 02.10.2010 22:10, schrieb Peter J. Holzer:
>> Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
>> konform) produziert sendmail. Hier zum Vergleich ein Header aus
>> einer Mail, von der ich sicher weiß, dass sie über einen sendmail
>> eingeliefert wurde:
>>
>> Received: (from root@localhost)
>> by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
>> Sat, 2 Oct 2010 04:02:02 +0200
>
> Örks; dann gilt das von wegen RFC um die Ohren schlagen auch und ganz
> besonders für den Autor von sendmail
Welchen RFC willst Du ihm denn um die Ohren schlagen? Wie ich schon
schrieb, ist das zu RFC 5322, Kapitel 3.6.7 konform. Und RFC 5321 ist
nicht anwendbar, da die Mail nicht über SMTP emfpangen wurde. Wenn Du
einen RFC kennst, der das Format von Received-Zeilen bei lokaler
Einlieferung regelt, lass uns an Deinem Wissen teilhaben.
> (und ich dachte immer, Linux sei etwas besseres ... <g>).
Um, sendmail ist ein bisschen älter als Linux. Und nicht jedes Linux
verwendet sendmail.
>> Der einzige relevante Unterschied ist, dass bei mir als User "root"
>> drinsteht (korrekt - es war der cron) und in Jörgs Mail "Unknown UID
>> 191031". Kann es sein, dass der Webmailer dort unter UID 191031 läuft
>> und diese UID nicht im /etc/passwd steht?
>
> Das musst Du den Admin des betreffenden Host fragen (aber bei einem
> Hostbetreiber wie Strato dürfte das wohl nahe liegen).
Die Frage war an Jörg gerichtet. Der weiß das hoffentlich, wenn er auf
der Kiste Joomla betreut. Und er sollte erklären können, wie das
zustandegekommen ist und es gegebenenfalls bereinigen.
hp
Peter J. Holzer
> Peter J. Holzer schrieb:
>> On 2010-10-01 17:15, Wolfgang Jäth <jawo.us...@goldmail.de> wrote:
>>> Am 01.10.2010 17:27, schrieb Joerg Hecht:
>>>> Received: (from Unknown UID 191031@localhost) by post.webmailer.de
>>>> (8.13.7/8.13.7) id o8ULepko007102; Thu, 30 Sep 2010 21:40:51 GMT
>>> Also /das/ ist definitiv kein korrekter Received-Header; das
>>> erkennt sogar ein Blinder mit Krückstock ohne überhaupt hin zu schauen
>>> auf den ersten Blick. Kein vernünftiger Server würde so etwas
>>> kaputtes produzieren.
>>
>> Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
>> konform) produziert sendmail. ...
>
> Korrekt. Ich habe Jommla fast unverändert laufen. Da wird sendmail
> verwendet.
Joomla hat mit sendmail nichts zu tun. Joomla wird vermutlich jeden MSA
verwenden können, der installiert ist und bei Eurere Distribution ist
das halt zufällig sendmail.
hp
Joerg Hecht
> Die Frage war an Jörg gerichtet. Der weiß das hoffentlich, wenn er auf
> der Kiste Joomla betreut. Und er sollte erklären können, wie das
> zustandegekommen ist und es gegebenenfalls bereinigen.
>
Deswegen habe ich hier gefragt.
Was bitte bereinigen? Ich denke, dass ich darauf keinen Einfluss habe.
Als Beispiel mal die entsprechenden (untersten) Zeilen eines älteren
Header aus vor Joomla-Zeiten:
| Received: (from Unknown UID 191031@localhost)
| by post.webmailer.de (8.13.7/8.13.7) id o3T6hHEB019512;
| ...
| From: postmast...@post.webmailer.de
| ...
Versendet wurder der Inhalt eines Formulars mit der PHP-Funktion 'mail()'.
Was hätte ich da ändern können?
Jörg 'Ahnungslos'
Joerg Hecht
> ...
> Joomla hat mit sendmail nichts zu tun. Joomla wird vermutlich jeden MSA
> verwenden können, der installiert ist und bei Eurere Distribution ist
> das halt zufällig sendmail.
>
Stimmt, so ist es korrekter ausgedrückt.
Jörg
Wolfgang Jäth
>
>>> Euer Webserver heißt "post.webmailer.de"?
>>
>> Hint: die Email wurde nicht vom Webserver /selbst/ verschickt, sondern
>> von einem /Programm/ darauf; und wen juckt es, wie dieses Programm sich
>> selbst oder den Rechner, auf dem es läuft, nennt? Da könnte genauso gut
>> 'mail.google.de' oder 'kaiser.von.china' stehen.
>
> Das Format der Received:-Zeilen ist in RFC 5321 festgelegt.
Hee, das ist _mein_ Text! [dsf 9.4]
>Wenn da
> steht "Received By", dann hat da der Name des empfangenden Systems
> drinzustehen.
Woher willst Du wissen, daß es das nicht *ist*? Solange die Email ein
Netzwerk (hier Strato) nicht verlässt, muss der Hostname auch nur
innerhalb dieses Netzwerkes eindeutig sein.
Was mich an dieser Stelle ärgert ist, daß Du den OP mit einer für einen
Laien völlig überraschenden und unverständlichen (und nebenbei gesagt
auch völlig belanglosen) Frage verwirrst. :-(
So Du überhaupt gewollt hättest, wäre es Dir sicherlich ein leichtes
gewesen, selber festzustellen, daß die Domain "webmailer.de" auch ganz
offiziell Strato gehört (und was Strato damit zu tun hat, kannst Du im
unteren Drittel des OP nachlesen).
>Es ist also davon auszugehen, daß die Mail im ersten Hop
> über einen Host namens "post.webmailer.de" gelaufen ist.
Ja. Und?
Irgendwohin muß die Website bzw. der von OP eingesetzte Webmailer die
Email schließlich schicken, oder?
>Dazu paßt
> auch der Return-Path.
>
> Die Frage ist also, ob "post.webmailer.de" dem OP gehört,
Sie gehört dem OP genauso wenig, wie /Dir/ die Domain *Deines*
Emailproviders gehört (denn /der/ wäre derjenige, der in /Deinen/ Emails
im 'by' des ersten Received:-Header auftauchen würde).
>so daß er da
> die Logfiles einsehen kann.
Wozu? Wir haben doch schon längst festgestellt, daß die besagte Email
über ein Webinterface erzeugt wurde. Dein ominöses Logfile könnte auch
nicht mehr sagen.
Irgendwie verstehe ich nicht, worauf Du überhaupt hinaus willst.
Wolfgang
--
Thomas Hochstein
> Betreffzeile und erste Zeilen der Mail deuten darauf hin, dass die Mail
> in das entsprechende Kontaktformular der Schulseite getippst wurde
> (Joomla, betreue ich selbst.). Mehr bekomme ich nicht raus.
Sieht nachvollziehbar aus und war auch meine Vermutung beim Lesen des
Headers. Demnach ist diese E-Mail erst ab "eurem" Webserver [1] eine
E-Mail und läßt sich daher ohne weiteres auch nur bis zu diesem
zurückverfolgen. Jede weitere Rückverfolgung muss daher beim Webserver
ansetzen. Entweder schaut man genau am richtigen Zeitpunkt ins
Webserver-Log und sucht nach dem POST-Request, oder die Applikation
loggt das irgendwo mit (es wäre sicher nicht dumm, so etwas in Header
oder Body zu schreiben, vereinfacht die Suche).
Grüße,
-thh
[1] "Eurer" in dem Sinne, dass eure Webseiten dort gehostet werden;
dürfte eine shared-hosting-Maschine bei Strato sein.
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<http://th-h.de/faq/danam-intro.html> und ggf. die dort genannten FAQs
lesen! [Üoreyäatr qre Fvtanghe traruzvtg qhepu qvr Hfrarg-Irejnyghat!]
Weitere kleine Texte rund um das Thema E-Mail:
<http://th-h.de/infos/email/>
Uwe Schröder
>> Wohin wird das Kontaktformular von der Webseite geschickt?
>
> <form
> action="/index.php?option=com_contact&view=category&catid=12&Itemid=100"
> method="post" ...>,
Ah, ok. Dann geht das tatsächlich an euren Webserver, und es müßte
dann eine POST-Zeile mit dem URL im Server-Log geben.
usch
Uwe Schröder
> Irgendwie verstehe ich nicht, worauf Du überhaupt hinaus willst.
Ich will herausfinden, welchen Weg die Mail genommen hat. Es gibt
Formmailer-Dienste, bei denen das gesamte Formular einfach zu einem
externern Host gePOSTet wird, d.h. der Webserver des OP hätte das
überhaupt nicht zu sehen bekommen, und auf dem Webserver müßte dann
auch kein MTA laufen.
Da er auf meine Frage nach dem Webformular nicht geantwortet hatte,
hab ich halt versucht, das von der anderen Seite aus anzugehen. Das
hat sich ja jetzt geklärt.
Ich versteh die Received-Zeilen aber trotzdem immer noch nicht
wirklich. Der erste Eintrag ist also sehr wahrscheinlich von einem
sendmail. Aber auf welchem Host lief das? Auf dem Webserver selber?
Dann sind wir wieder bei der Frage, ob und wenn ja warum der sich
"post.webmailer.de" nennt. Oder hab ich was übersehen?
usch
Uwe Schröder
> Wenn in einem (vor Joomla-) Formular im Feld Absender nichts drin
> stand war der Absender der entsprechenden Mail 'postmaster+191031' bei
> diesem post.webmailer.de.
> Was Strato damit bezweckt hat mich nie groß gejuckt.
Nuja, dahin gehen Bounces, wenn eine Mail nicht zustellbar ist. Wer
bekommt denn die Mails an "postmast...@post.webmailer.de"?
usch
Wolfgang Jäth
>
> Ich versteh die Received-Zeilen aber trotzdem immer noch nicht
> wirklich. Der erste Eintrag ist also sehr wahrscheinlich von einem
> sendmail. Aber auf welchem Host lief das? Auf dem Webserver selber?
Ja (oder einer Serverfarm o. ä.). Wobei ich ohne diese Info über
sendmail[1] ja eher auf den Webmailer getippt hätte; aber egal;
jedenfalls befindet sich das Programm auf dem Webserver selbst.
[1] was btw. im Nachinein auch erklärt, warum mir praktisch alle diese
Webmailer kaputt vor kommen: Weil die praktisch alle unter einem Unix-
Derivat laufen - und somit sendmail benutzen. Insofern muss ich mich
wohl bei den Autoren der Webmailer entschuldigen.
> Dann sind wir wieder bei der Frage, ob und wenn ja warum der sich
> "post.webmailer.de" nennt. Oder hab ich was übersehen?
Anscheinend. Also nochmal ganz langsam zum mitdenken <g>: Besagter
Webserver ist laut OP ein von Strato für Kunden bereitgestellter Host.
Und webmailer.de ist laut whois eine Strato gehörende Domain. Und auch
ganz offensichtlich *die* Domain, über welche Strato die von den
Webseiten der Kunden generierten Emails abwickelt. Der Kunde selbst
(also der OP bzw. besser gesagt die Schule) hat damit überhaupt nix zu
tun.
Aber *warum* Strato sich ausgerechnet *diesen* Domainnamen ausgesucht
hat, um Emails von den Webinterfaces seiner Kunden entgegen zu nehmen
und weiter zu senden, kann ich Dir beim besten Willen nicht beantworten;
das musst Du Strato fragen.
Wolfgang
--
Wolfgang Jäth
> On 2010-10-03 05:45, Wolfgang Jäth <jawo.us...@goldmail.de> wrote:
>> Am 02.10.2010 22:10, schrieb Peter J. Holzer:
>>> Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
>>> konform) produziert sendmail. Hier zum Vergleich ein Header aus
>>> einer Mail, von der ich sicher weiß, dass sie über einen sendmail
>>> eingeliefert wurde:
>>>
>>> Received: (from root@localhost)
>>> by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
>>> Sat, 2 Oct 2010 04:02:02 +0200
>>
>> Örks; dann gilt das von wegen RFC um die Ohren schlagen auch und ganz
>> besonders für den Autor von sendmail
>
> Welchen RFC willst Du ihm denn um die Ohren schlagen? Wie ich schon
> schrieb, ist das zu RFC 5322, Kapitel 3.6.7 konform. Und RFC 5321 ist
> nicht anwendbar, da die Mail nicht über SMTP emfpangen wurde.
Hmm; wenn Du RFC 5322 für zuständig erklärst, musst du auch RFC 5321
akzeptieren:
RFC 5322, 3.6.7. Trace Fields
| Further restrictions are applied to the syntax of the trace fields by
| specifications that provide for their use, such as [RFC5321].
[...]
| A full discussion of the Internet mail use of trace fields is
| contained in [RFC5321].
Aber anscheinend berufst Du Dich auf RFC 5321, 3.7.2. (Received Lines in
Gatewaying); ok, das kann ich akzeptieren.
Dennoch fehlt da dann entweder in diesem Received-Header oder in dem
darauf folgenden ein 'via' Eintrag (siehe RFC 5321, 3.7.2.).
Wolfgang
--
Wolfgang Jäth
>
>>> Received: (from root@localhost)
>>> by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
>>> Sat, 2 Oct 2010 04:02:02 +0200
>
>> Örks; dann gilt das von wegen RFC um die Ohren schlagen auch und ganz
>> besonders für den Autor von sendmail (und ich dachte immer, Linux sei
>> etwas besseres ... <g>).
>
> öhm. Was hat das mit Linux zu tun (außer daß es eine Sendmail-Portierung
> halt auch dafür gibt)?
Ok, ok, ich mein natürlich die ganze Unix-Familie .. <g>
Wolfgang
--
Joerg Hecht
> ... Wer
> bekommt denn die Mails an "postmaster+191031 @ post.webmailer.de"?
>
Ich. Ein erster Versuch scheint zu zeigen, das postmaster @ meine schule
die Mails erhält. Habe eine höfliche kurze Anfrage gestellt, die Mail
lag sofort in meinem Fach (1).
Schön, dass ich sie hier selbst veröffentlicht habe :-(
(1) Habe einige Aliase auf meine dienstliche Mail geschaltet, u.a. den
postmaster. Davon scheint dieser wahrscheinlichster Kandidat zu sein.
Sehe ich morgen auf Arbeit.
Gruß!
Jörg
Joerg Hecht
>
> Frag Dich (oder besser gesagt Deinen Kollegen) doch einfach mal, ob es
> /so/ jemand wirklich *wert* ist, sich über ihn aufzuregen oder
> /überhaupt/ Gedanken zu machen. *Mir* hilft diese Frage in ärgerlichen
> Situationen immer ungemein ...
>
> Wolf 'was juckt es die Eiche, wenn die Sau sich an ihr kratzt :-)' gang
Übers Wochendende gings weiter - mehrere Mails des vorigen Kalibers.
Kollege steht 6 Monate vor der Pensionierung und lässt sich von dem
Inhalt der Mails ziemlich mitnehmen.
Hab ihm dann doch die Pozilei empfohlen. An die Logs bei Strato komme
ich ja nicht ran. Und Joomla scheint sich da nix zu notieren. Jedenfalls
nix gefunden. Werde bei Joomla.org mal fragen.
Gruß!
Jörg
Peter Faust
> Wolfgang Jäth schrieb:
> >
> > Frag Dich (oder besser gesagt Deinen Kollegen) doch einfach mal, ob es
> > so jemand wirklich wert ist, sich über ihn aufzuregen oder
> > überhaupt Gedanken zu machen. Mir hilft diese Frage in ärgerlichen
> > Situationen immer ungemein ...
> >
> > Wolf 'was juckt es die Eiche, wenn die Sau sich an ihr kratzt :-)' gang
>
> Übers Wochendende gings weiter - mehrere Mails des vorigen Kalibers.
> Kollege steht 6 Monate vor der Pensionierung und lässt sich von dem
> Inhalt der Mails ziemlich mitnehmen.
Als erste Hilfe wäre es sicher nicht verkehrt eMail an deinen
Kollegen vielleicht von jemanden mit dickerem Fell zu empfangen
und zu sammeln, dem Kollegen jedoch nicht auszuhändigen. Sollte
aber natürlich vorher mit dem Kollegen abgesprochen werden ...
> Hab ihm dann doch die Pozilei empfohlen. An die Logs bei Strato komme
> ich ja nicht ran. Und Joomla scheint sich da nix zu notieren. Jedenfalls
> nix gefunden. Werde bei Joomla.org mal fragen.
Ist zwar schon lange her dass ich bei Strato war, aber IIRC kann
man im Kundencenter die Logfiles doch als *.pdf runterladen. (?)
Falls nicht, Kundenservice nachfragen ob und wie man dran kommt.
Ggfls. auch schon den Auftrag auf Sicherung der Logs erteilen.
Ich sehe gerade, bei BasicWeb XL gibt es Logfiles, im Kundencenter
einzusehen: http://www.strato.de/hosting/basicweb/pakete/index.html
Falls ihr das habt, im Kundencenter nachsehen.
Gruß, Peter
--
Der Klügere gibt so lange nach, bis er der Dumme ist.
Joerg Hecht
> Ich sehe gerade, bei BasicWeb XL gibt es Logfiles, im Kundencenter
> einzusehen: http://www.strato.de/hosting/basicweb/pakete/index.html
> Falls ihr das habt, im Kundencenter nachsehen.
Wir haben PowerPlus, ist dort aber genauso. Danke!
Daten sind anonymisiert:
"Aus datenschutzrechlichen Gründen werden in den Logfiles der Hostname
bzw. die IP-Adresse des Clients, der Ihre Website aufruft, anonymisiert."
Interessiert mich trotzdem, ich geh mal lesen.
Gruß!
Jörg
Joerg Hecht
> Peter Faust schrieb:
>> [... Log-Dateien bei Strato...]
>
> ... Danke!
> Daten sind anonymisiert:
> "Aus datenschutzrechlichen Gründen werden in den Logfiles der Hostname
> bzw. die IP-Adresse des Clients, der Ihre Website aufruft, anonymisiert."
> Interessiert mich trotzdem, ich geh mal lesen.
>
> Gruß!
> Jörg
>
Bin vom Lesen zurück. Zu den fraglichen Seiten wurde die Seite mit dem
Kontaktformular mit GET aufgerufen, kurz darauf mit POST ein Versand
gemacht. Hoffe, dass ich das richtig ausgedückt habe. damit und ggf. mit
dem Heranschaffen der IP-Adressen mögen sich Spezis beschäftigen.
Ich hänge mal wieder den Mathe-Physik-Lehrer raus.
Falls sich nix Neues ergibt:
Besten Dank an alle für viele hilfreiche Infos!
Vielleicht darf ich mal wiederkommen?
Gruß!
Jörg
Peter J. Holzer
Mittlerweile glaube ich verstanden zu haben, dass ihr da nur einen
Webhost habt. In dem Fall kannst Du nichts ändern, weil der der Betrieb
des Webservers Sache des Providers ist. Du kannst höchstens höflich
nachfragen, was sie sich bei dieser - äh - eigenwilligen Konstruktion
gedacht haben. Falls ich mich irre, und Du doch für den Webserver
zuständig bist: Lass ihn unter einer UID laufen, von der das System
etwas weiß.
hp
Peter J. Holzer
> Am 03.10.2010 16:01, schrieb Peter J. Holzer:
>> On 2010-10-03 05:45, Wolfgang Jäth <jawo.us...@goldmail.de> wrote:
>>> Am 02.10.2010 22:10, schrieb Peter J. Holzer:
>>>> Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
>>>> konform) produziert sendmail. Hier zum Vergleich ein Header aus
>>>> einer Mail, von der ich sicher weiß, dass sie über einen sendmail
>>>> eingeliefert wurde:
>>>>
>>>> Received: (from root@localhost)
>>>> by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
>>>> Sat, 2 Oct 2010 04:02:02 +0200
>>>
>>> Örks; dann gilt das von wegen RFC um die Ohren schlagen auch und ganz
>>> besonders für den Autor von sendmail
>>
>> Welchen RFC willst Du ihm denn um die Ohren schlagen? Wie ich schon
>> schrieb, ist das zu RFC 5322, Kapitel 3.6.7 konform. Und RFC 5321 ist
>> nicht anwendbar, da die Mail nicht über SMTP emfpangen wurde.
>
> Hmm; wenn Du RFC 5322 für zuständig erklärst, musst du auch RFC 5321
> akzeptieren:
Ich akzeptiere RFC 5321 für seinen Anwendungszweck, nämlich SMTP. Das
ist hier aber nicht im Spiel.
> RFC 5322, 3.6.7. Trace Fields
>| Further restrictions are applied to the syntax of the trace fields by
>| specifications that provide for their use, such as [RFC5321].
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
"for their use", und RFC5321 wird als Beispiel genannt. Der "use" von
RFC5321 ist SMTP. RFC5321 spezifiziert das Format von Received-Zeilen,
die ein MTA einfügen muss, der eine Mail über SMTP empfängt. Er trifft
keine Aussagen über andere Kommunikationskanäle.
> [...]
>| A full discussion of the Internet mail use of trace fields is
>| contained in [RFC5321].
Auch das Internet ist hier nicht beteiligt.
> Aber anscheinend berufst Du Dich auf RFC 5321, 3.7.2. (Received Lines in
> Gatewaying); ok, das kann ich akzeptieren.
Nein. Ich berufe mich darauf, dass RFC5321 hier nicht anwendbar ist und
daher nur die (zugeben vage) Spezifikation aus RFC5322 anzuwenden ist -
es sei denn, es gäbe einen RFC, der das Format von Received-Headern bei
lokaler Einlieferung genauer regelt. Ein solcher RFC ist mir nicht
bekannt.
Auch Postfix hält sich an das von sendmail vorgegebene Format
Received: by $fqdn id $id; $date
(mit Informationen über den lokalen User in einem Kommentar).
Exim weicht davon ab und macht ein
Received: from $username by $fqdn with local id $id; $date
daraus. Das entspricht natürlich auch nicht RFC5321, weil laut dem nach
from ein Domainname kommen sollte, aber welchen Sinn sollte das bei bei
einer lokalen Einlieferung haben?
qmail versteckt gleich die ganze Information in einem Kommentar.
Andere Beispiele für lokale Einlieferung finde ich auf die Schnelle
nicht: Lotus Notes und Microsoft Exchange scheinen dafür gar keinen
Received Header zu generieren.
hp
Joerg Hecht
> Mittlerweile glaube ich verstanden zu haben, dass ihr da nur einen
> Webhost habt.
Sorry Peter, dass ich das nich ausdrücklich erwähnt habe. Was bei mir
normal ist, ist bei euch hier sicher nicht Standard.
Wir haben ein 'STRATO PowerPlus'-Paket. Ich habe die Konfiguration des
Mail-Versandes immer so hingenommen. Erst im Zuge meiner Anfrage habe
ich von hier von ...
> ... dieser - äh - eigenwilligen Konstruktion
erfahren. Ich habe die (anonymisierten) Log-dateien von Strato geholt.
Jetzt soll der Kollege entscheiden, ob rechtl. Schritte unternimmt.
Ähhm, eine Frage dazu.
Bei der Polizei in unserer Stadt hat er erfahren, dass seit 1.10. die
verbindungsdaten nicht mehr gespeichert werden. Habe ich da was verpasst?
Gruß!
Jörg
Paul Muster
> erfahren. Ich habe die (anonymisierten) Log-dateien von Strato geholt.
> Jetzt soll der Kollege entscheiden, ob rechtl. Schritte unternimmt.
Wenn ihr noch lange rumdiskutiert und -überlegt, sind die nicht
anonymisierten Log-Dateien gelöscht. Das ist grundsätzlich sehr gut so,
aber euch wird es in diesem Fall ärgern.
> Ähhm, eine Frage dazu.
> Bei der Polizei in unserer Stadt hat er erfahren, dass seit 1.10. die
> verbindungsdaten nicht mehr gespeichert werden. Habe ich da was verpasst?
Egal. Man diskutiere nicht mit irgendeinem Polizisten, der schonmal
einen PC als Schreibmaschine benutzt hat, sondern formuliere die
Strafanzeige und ggf. den Strafantrag und schicke die an die nächste
*Staatsanwaltschaft*. Per Mail vorab (damit schnellstmöglich bei Strato
die Logs gesichert werden) und per Post hinterher. Oder
http://de.wikipedia.org/wiki/Strafanzeige#Online-Strafanzeige
mfG Paul
Joerg Hecht
> Joerg Hecht schrieb:
>
>> > erfahren. Ich habe die (anonymisierten) Log-dateien von Strato geholt.
>> > Jetzt soll der Kollege entscheiden, ob rechtl. Schritte unternimmt.
> Wenn ihr noch lange rumdiskutiert und -überlegt, sind die nicht
> anonymisierten Log-Dateien gelöscht. Das ist grundsätzlich sehr gut so,
ACK
> mfG Paul
Gruß!
Jörg
Wolfgang Jäth
>>>>> Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
>>>>> konform) produziert sendmail. Hier zum Vergleich ein Header aus
>>>>> einer Mail, von der ich sicher weiß, dass sie über einen sendmail
>>>>> eingeliefert wurde:
>>>>>
>>>>> Received: (from root@localhost)
>>>>> by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
>>>>> Sat, 2 Oct 2010 04:02:02 +0200
>>>>
>>>> Örks; dann gilt das von wegen RFC um die Ohren schlagen auch und ganz
>>>> besonders für den Autor von sendmail
>>>
>>> Welchen RFC willst Du ihm denn um die Ohren schlagen? Wie ich schon
>>> schrieb, ist das zu RFC 5322, Kapitel 3.6.7 konform. Und RFC 5321 ist
>>> nicht anwendbar, da die Mail nicht über SMTP emfpangen wurde.
>>
>> Hmm; wenn Du RFC 5322 für zuständig erklärst, musst du auch RFC 5321
>> akzeptieren:
>
> Ich akzeptiere RFC 5321 für seinen Anwendungszweck, nämlich SMTP. Das
> ist hier aber nicht im Spiel.
Ähm; natürlich ist es das. Sendmail sendet per SMTP-Protokoll weiter
(oder willst Du /das/ etwa /auch/ bestreiten?).
Wenn nun, wie Du behauptest, /vor/ sendmail etwas anderes gesprochen
wird, als /nach/ sendmail, dann muss es sich bei sendmail ja wohl um ein
Gateway handeln. Und dann gilt auch:
RFC 5321 3.7.2. Received Lines in Gatewaying
|
| When forwarding a message into or out of the Internet environment, a
| gateway MUST prepend a Received: line [...]
| The gateway SHOULD indicate the environment and protocol in the
| "via" clauses of Received header field(s) that it supplies.
Und bevor Du jetzt anfängst von wegen daß da nur 'should' steht, lies
besser vorher RFC 2119.
>> RFC 5322, 3.6.7. Trace Fields
>>| Further restrictions are applied to the syntax of the trace fields by
>>| specifications that provide for their use, such as [RFC5321].
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>
> "for their use", und RFC5321 wird als Beispiel genannt. Der "use" von
> RFC5321 ist SMTP. RFC5321 spezifiziert das Format von Received-Zeilen,
> die ein MTA einfügen muss, der eine Mail über SMTP empfängt. Er trifft
> keine Aussagen über andere Kommunikationskanäle.
Er trifft Aussagen über von anderen Protokollen übernommenen Nachrichten
(Stichwort Gateway).
>
>> [...]
>>| A full discussion of the Internet mail use of trace fields is
>>| contained in [RFC5321].
>
> Auch das Internet ist hier nicht beteiligt.
LOL; guter Joke.
> Auch Postfix hält sich an das von sendmail vorgegebene Format
>
> Received: by $fqdn id $id; $date
Auch nicht RFC-konform (da fehlt der FROM-Tag).
> (mit Informationen über den lokalen User in einem Kommentar).
>
> Exim weicht davon ab und macht ein
>
> Received: from $username by $fqdn with local id $id; $date
>
> daraus. Das entspricht natürlich auch nicht RFC5321,
Kommt ihm von allen bisherigen Beispielen aber noch am nächsten.
>weil laut dem nach
> from ein Domainname kommen sollte,
Genau genommen ja; mit viel Mühe und gutem Willen könnte man den
Usernamen auch als eine Art Domain interpretieren (immerhin kann man ihn
innerhalb des (Sub-)Netzwerkes eindeutig zuordnen).
Wolfgang
--
Peter J. Holzer
> Am 04.10.2010 22:48, schrieb Peter J. Holzer:
>>>>>> Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
>>>>>> konform) produziert sendmail. Hier zum Vergleich ein Header aus
>>>>>> einer Mail, von der ich sicher weiß, dass sie über einen sendmail
>>>>>> eingeliefert wurde:
>>>>>>
>>>>>> Received: (from root@localhost)
>>>>>> by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
>>>>>> Sat, 2 Oct 2010 04:02:02 +0200
>>>>>
>>>>> Örks; dann gilt das von wegen RFC um die Ohren schlagen auch und ganz
>>>>> besonders für den Autor von sendmail
>>>>
>>>> Welchen RFC willst Du ihm denn um die Ohren schlagen? Wie ich schon
>>>> schrieb, ist das zu RFC 5322, Kapitel 3.6.7 konform. Und RFC 5321 ist
>>>> nicht anwendbar, da die Mail nicht über SMTP emfpangen wurde.
>>>
>>> Hmm; wenn Du RFC 5322 für zuständig erklärst, musst du auch RFC 5321
>>> akzeptieren:
>>
>> Ich akzeptiere RFC 5321 für seinen Anwendungszweck, nämlich SMTP. Das
>> ist hier aber nicht im Spiel.
>
> Ähm; natürlich ist es das. Sendmail sendet per SMTP-Protokoll weiter
> (oder willst Du /das/ etwa /auch/ bestreiten?).
Der Header heißt "Received:" nicht "Sent:". Er wird vom SMTP-Server
eingefügt, nicht vom SMTP-Client. Ob und wie die Mail danach
weitergeschickt wird, ist irrelevant (das betrifft dann den *nächsten*
Received:-Header).
> Wenn nun, wie Du behauptest, /vor/ sendmail etwas anderes gesprochen
> wird, als /nach/ sendmail, dann muss es sich bei sendmail ja wohl um ein
> Gateway handeln. Und dann gilt auch:
>
> RFC 5321 3.7.2. Received Lines in Gatewaying
Lies den Anfang von Kapitel 3.7. Da ist explizit von einem "intermediate
SMTP server" die Rede. Der MTA, der eine Mail lokal (via
/usr/sbin/sendmail) entgegennimmt, arbeitet aber nicht als SMTP-Server.
>>>| A full discussion of the Internet mail use of trace fields is
>>>| contained in [RFC5321].
>>
>> Auch das Internet ist hier nicht beteiligt.
>
> LOL; guter Joke.
Überhaupt kein Witz. Das ist eine rein lokale Angelegenheit. Ein Prozess
übergibt über einen lokalen IPC-Mechanismus eine Mail an einen anderen,
der sie dann auf die Platte schreibt.
[Beispiele real existierender MTAs gesnippt]
> Kommt ihm von allen bisherigen Beispielen aber noch am nächsten.
Du solltest Dir Gedanken darüber machen, warum sich scheinbar kein
einziger MTA-Autor an die RFCs hält. Kann es sein, dass Deine
Interpretation der RFCs falsch ist?
"Ein Geisterfahrer? Hunderte!"
hp
Wolfgang Jäth
>>>>>>> Sowas "kaputtes" (soweit ich sehe, ist das zu RFC 5322, Kapitel 3.6.7
>>>>>>> konform) produziert sendmail. Hier zum Vergleich ein Header aus
>>>>>>> eingeliefert wurde:
>>>>>>>
>>>>>>> Received: (from root@localhost)
>>>>>>> by algernon.wsr.ac.at (8.13.8/8.13.8/Submit) id o92222GV010889;
>>>>>>> Sat, 2 Oct 2010 04:02:02 +0200
>>>>>>
>>>>>> besonders fï¿œr den Autor von sendmail
>>>>>
>>>>> Welchen RFC willst Du ihm denn um die Ohren schlagen? Wie ich schon
>>>>> schrieb, ist das zu RFC 5322, Kapitel 3.6.7 konform. Und RFC 5321 ist
>>>>
>>>> Hmm; wenn Du RFC 5322 fï¿œr zustï¿œndig erklï¿œrst, musst du auch RFC 5321
>>>> akzeptieren:
>>>
>>> Ich akzeptiere RFC 5321 fï¿œr seinen Anwendungszweck, nï¿œmlich SMTP. Das
>>> ist hier aber nicht im Spiel.
>>
>> (oder willst Du /das/ etwa /auch/ bestreiten?).
>
> eingefï¿œgt, nicht vom SMTP-Client. Ob und wie die Mail danach
> weitergeschickt wird, ist irrelevant (das betrifft dann den *nï¿œchsten*
> Received:-Header).
Schlaf; nach Deiner Auffassung ï¿œbernimmt sendmail die Email aus einem
anderen Protokoll in das SMTP-Protokoll. Und /dieser/ Gating-Vorgang
muss laut RFC durch einen entsprechenden Header sozusagen angezeigt werden.
>> Wenn nun, wie Du behauptest, /vor/ sendmail etwas anderes gesprochen
>> wird, als /nach/ sendmail, dann muss es sich bei sendmail ja wohl um ein
>> Gateway handeln. Und dann gilt auch:
>>
>> RFC 5321 3.7.2. Received Lines in Gatewaying
>
> Lies den Anfang von Kapitel 3.7. Da ist explizit von einem "intermediate
> SMTP server" die Rede.
Hast /Du/ das Kapitel denn gelesen? Und bist Du dem darin enthaltenden Link
nach 'Section 2.3.10' mal gefolgt?
| A "gateway" SMTP system (usually referred to just as a "gateway")
| receives mail from a client system in one transport environment and
| transmits it to a server system in another transport environment.
Wie anders kᅵnnte man die Tatsache beschreiben, daᅵ *vor* sendmail ein
anderes Protokoll gesprochen wird als *hinter* sendmail?
>Der MTA, der eine Mail lokal (via
> /usr/sbin/sendmail) entgegennimmt, arbeitet aber nicht als SMTP-Server.
Natï¿œrlich; MTA (oder besser gesagt MSA) ist schlieï¿œlich auch nur ein
anderes Wort fï¿œr 'Server'.
Oder, wie Wikipedia es so schï¿œn beschreibt
(http://de.wikipedia.org/wiki/SMTP):
| Die Abwicklung des SMTP-Verfahrens wird meist fï¿œr den Anwender
| unsichtbar durch sein Mailprogramm vorgenommen, den sogenannten Mail
| User Agent (MUA). Dieses Programm verbindet sich mit einem
| SMTP-Server, dem Mail Submission Agent (MSA), der die Mail ï¿œber ggf.
| weitere SMTP-Server, sogenannte Mail Transfer Agents (MTA), zum Ziel
| transportiert.
Wolfgang
--