20. Februar 2012 - Anonymität

Lassen sich E-Mails eigentlich zurückverfolgen?

E-Mails sind beliebte Angriffswege für Spammer und Datendiebe. Die Absender sind natürlich gefälscht. Aber trotzdem sollte man doch diese E-Mails zurückverfolgen können, oder? Erfahren Sie, wie sich Spammer tarnen und was das über die Anonymität im Internet aussagt.

lassen-sich-e-mails-eigentlich-zuruckverfolgen.jpeg
Spammer und Datendiebe genießen die Anonymität von E-Mails (Bild: Thinkstock)

E-Mail-Absender bekannt? Trotzdem Anhang prüfen!

„Ich habe gedacht, die E-Mail sei von einem guten Kunden, der sogar zu unseren Referenzkunden gehört. Da habe ich das angehängte Foto einfach geöffnet“ – und schon war der Trojaner im Netzwerk.

Solche Erklärungen hört man oft, wenn man nachfragt, warum denn die Sicherheitsrichtlinie, alle E-Mail-Anhänge zuerst auf Schadsoftware zu überprüfen, nicht eingehalten wurde.

Datendiebe und Spammer gehen immer gezielter vor und senden nicht einfach E-Mails mit beliebigen Absendern. Sie machen sich durchaus die Mühe und schauen bei einem lohnenden Unternehmen auf die Referenzseite. Dort stehen dann oft Zitate von Kunden. Die passende E-Mail-Adresse, die zur Tarnung des Angriffs dient, findet sich dann schnell über Personensuchmaschinen oder einfach in einem sozialen Netzwerk.

E-Mail-Header anschauen statt nur den E-Mail-Absender

Es reicht eben nicht, einen Blick auf den E-Mail-Absender zu werfen, denn dieser ist einfach zu fälschen. Wesentlich besser ist es, sich den E-Mail-Header anzusehen. Dort sieht man nicht nur die Angaben „von (from)“ und „an (to)“, sondern es werden auch Stationen zwischen Absender und Empfänger sichtbar.

So kommen Sie an die Header-Informationen

Öffnen Sie doch einmal zum Test die sogenannten Kopfzeilen einer beliebigen E-Mail. Das geht bei Mozilla Thunderbird zum Beispiel unter „Ansicht – Kopfzeilen – alle“, bei Microsoft Outlook 2007 öffnen Sie die Nachricht und wählen Optionen – Nachrichtenoptionen – Internetkopfzeilen. Für Outllok 2010 gilt: Klicken Sie in einer geöffneten Nachricht auf die Registerkarte Datei.
Klicken Sie auf Eigenschaften. Kopfzeileninformationen werden im Feld Internetkopfzeilen angezeigt:

  • Die „Received“-Felder benennen Zwischenstationen der E-Mail.
  • Die „Date“-Felder zeigen den zeitlichen Ablauf des Nachrichtenversands.
  • Die erste IP-Adresse, die im Header genannt wird, gibt meist den besten Hinweis auf den Ursprung einer E-Mail (allerdings muss man den logischen Zusammenhang beachten, um welche IP-Adresse es sich handelt).

Tarnung der Spammer geht viel weiter

Tatsächlich lässt sich über die Zuordnung der IP-Adresse vielfach der genutzte Webserver identifizieren. Doch die allermeisten Spammer und Datendiebe verstecken sich nicht nur im E-Mail-Header. Stattdessen nutzen sie kostenlose Webmail-Konten, so dass die Suche nach dem Ursprung zum Beispiel beim Google-Mail-Server endet.

Oder aber sie kapern mithilfe eines Botnetzes die E-Mail-Konten ahnungsloser E-Mail-Nutzer, die dann als Spammer enttarnt werden, ohne selbst etwas Böses getan zu haben. Ebenfalls bei Spammern beliebt ist die Verwendung von Remailern, die eigentlich der Anonymität im Internet helfen sollen.


Download:


So arbeiten Remailer

Solche Remailer bilden im Prinzip eine digitale Annahmestelle für E-Mails, der mitgeteilt wird, wohin eine E-Mail gehen soll, die aber vergessen soll, woher die E-Mail kam.

Ganz einfache Varianten arbeiten mit Pseudonymen, vergeben also ihren Nutzern pseudonyme E-Mail-Adressen, die sich im Idealfall nur bis zum Remailer zurückverfolgen lassen. Doch es gibt eine Datenbank, die theoretisch angezapft werden kann mit der Umschlüsselung vom Pseudonym auf die echte E-Mail-Adresse.

Verbesserte Remailer-Konzepte sehen deshalb eine ganze Kette von Remailern vor, wobei bereits der zweite nur noch den gewünschten Empfänger kennt. Als Absender tritt der erste Remailer in Erscheinung und nicht mehr der echte Absender. Der erste Remailer aber löscht umgehend die Verbindungsdaten, so ist jedenfalls der Plan eines Remailers.

Spuren von E-Mails verwischen

Noch ausgefeilter arbeiten die sogenannten Mixmaster. Sie verzögern den Versandzeitpunkt, ändern die zeitliche Reihenfolge von Nachrichten und deren Dateiumfang, so dass sich auch diese Anhaltspunkte nicht nachverfolgen lassen.

Für Spammer sind solche Dienste natürlich eine willkommene (ungewollte) Hilfe. Ob sich bei der Nutzung von Remailern, Mixmastern oder kostenlosen Webmaileren wirklich Spuren verwischen lassen, kommt immer auf den Betreiber und die Aufzeichnung der Verbindungsdaten an. Kann man auf die Protokolldaten der Mail- oder Anonymisierungsdienste zugreifen, ist die Anonymität schnell am Ende und unter Umständen auch der Spammer oder Datendieb enttarnt.

Zurückverfolgen: Unter Umständen möglich

Wenn sich der Mailserver (über die IP-Adresse in den E-Mail-Kopfzeilen oder durch die Protokolle der Mail-Betreiber) ausfindig machen lässt, kann man selbst bei der Verwendung von pseudonymen E-Mail-Adressen wie einer info-Adresse ggf. den eigentlichen Mail-Absender ausfindig machen.

Kanadische Forscher von der Concordia University haben gezeigt, dass der Schreibstil einen E-Mail-Absender identifizierbar machen kann. Sie haben eine Software entwickelt, die E-Mails nach typischen Mustern durchsucht, zum Beispiel nach wiederkehrenden Rechtschreibfehlern. So konnte mit einer Erfolgsquote von bis zu 90 Prozent aus einer Gruppe von Mail-Nutzern der Absender zu einer anonymen E-Mail ausfindig gemacht werden.

Wenn Sie die Mitarbeiterinnen und Mitarbeiter über die Anonymität bei E-Mails informieren wollen, hilft Ihnen der aktuelle Download dabei.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln