emails werden unerwünscht gelesen und weitergeleitet

Hi!
Emails, die ich aus Outlook heraus versende, werden von irgendjemandem (ich tippe jemand hier in der Firma(?)) gelesen und anonym an andere Personen weitergeleitet.
Es handelt sich dabei nicht um kriminelle Inhalte, ich möchte nur folgendes wissen:
Wie kann ich das unterbinden?
Wie kann ich herausfinden, WER das war und/oder WIE er es gemacht hat?
Ich arbeite hier unter Win2000 in einem Novell-Netzwerk.

 

Über das GMX-Webinterface kannst du den Header nicht einsehen. Du musst dir das Mail lokal auf den Rechner laden. (also per Mailproggy abrufen)

so weit ich das auswendig weiß heißt der pop-Server von GMX

pop.gmx.net

als Username mußt du die komplette Mailadresse angeben (also z.B. meinemail@gmx.de)

Wenn du kein Mailproggy zur Hand hast (oder keines installieren kannst), kannst du dir auch mit Telnet helfen.

 

Hm, na im Moment ist es ruhig, und keine Mail mehr, in der man den Header sehen kann, existiert noch.
Bei gmx - hab ich eine bekommen, die in Richtung sex. Belästigung geht - kein Scherz - ich habe den Verdacht, dass derselbe Verursacher" dahinter steht - aber da finde ich keine Möglichkeit, den Header anzeigen zu lassen... Könnt ihr mir da nochmal helfen?

 

Hallo,

die Ken-Software arbeitet ungefähr so... jeder Mitarbeiter hat ein Postfach auf dem Ken-Rechner. Dort bleiben eingehende Mails (extern/intern) solange bis der jeweilige Mitarbeiter sie liest bzw. abholt. Werden Mails gesendet landen sie erstmal in der "Postausgangs-Box" von Ken. Je nachdem wie Ken eingestellt ist (hängt in der Regel vom Internetzugang ab, ISDN, DSL, FLATRATE) sendet Ken sofort oder in einem eingestellten Zeitintervall.

Sendest du Mails über Web.de, Gmx usw. und über das Webinterface (Website des jeweiligen Anbieters) wird vermutlich niemand mitlesen da ich vermute dass die Schwachstelle die KEN-Maschine ist und Personen die auf diesen Rechner direkten Zugriff oder über euer Netzwerk haben.

Grüße
Wolfgang

 

Eine Weiterleitung nützt dir auch nichts. Du brauchst den Originalheader so einer Nachricht. Also das was bei Anzeigen/Quelltext ganz oben steht.

Das sieht ungefähr so aus (ist ein Mail von mir an mich :

Code:

From - Wed Oct 22 15:27:08 2003
X-UIDL: 5dd17be1c36bc299f40edf5d77df2f51
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <xxxxx@gmx.de>
X-Flags: 0000
Delivered-To: GMX delivery to [email]xxxxx@gmx.at[/email]
Received: (qmail 5286 invoked by uid 65534); 22 Oct 2003 13:25:55 -0000
Received: from viefep11-int.chello.at (EHLO viefep11-int.chello.at) (213.46.255.27)
  by mx0.gmx.net (mx015) with SMTP; 22 Oct 2003 15:25:55 +0200
Received: from gmx.de ([80.110.227.199]) by viefep11-int.chello.at
          (InterMail vM.5.01.05.17 201-253-122-126-117-20021021) with ESMTP
          id <20031022132550.KTTX9654.viefep11-int.chello.at@gmx.de>
          for <xxxxx@gmx.at>; Wed, 22 Oct 2003 15:25:50 +0200
Message-ID: <3F96859C.20104@gmx.de>
Date: Wed, 22 Oct 2003 15:26:52 +0200
From: Harald Katzler <xxxxx@gmx.de>
User-Agent: Mozilla/4.78 (Macintosh; U; PPC)
X-Accept-Language: de-at, en-us, en
MIME-Version: 1.0
To:  [email]xxxxx@gmx.at[/email]
Subject: Test
Content-Type: text/plain; charset=us-ascii; format=flowed
Content-Transfer-Encoding: 7bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)

TextTextTextTextTextTextTextTextTextTextText
TextTextTextTextTextTextTextTextTextTextText

Im untersten "Received: from" steht der Rechner, von dem die Nachricht geschrieben wurde (also meiner; der mit der IP 80.110.227.199 - das gmx.de kommt vom Mail-Proggy und stört nicht - wichtig ist nur die IP!)

Wichtig: sollte die Nachricht über ein Webinterface geschrieben worden sein, hilft dir der Header auch nichts. Der Absender ist der Webmail-Server; alles "vorher" ist verloren.

Übrigens kann man über Webinterfaces "abgeschickte" Mails mit einem untergeschobenen/korrupten Server nicht abfangen, weil sie bis zu dem Webmail-Server noch keine Mails sind, sondern (vereinfacht gesagt) HTML-Daten (mit einem Sniffer geht das aber natürlich!). Allerdings kann man - mit entsprechenden Tools - jedes empfangene Mail abfangen.

Ehem, Korrektur: Wenn du die Mails über das Webinterface liest, dann gehen sie wieder nicht über den KEN (weil's ja HTML-Daten sind) und können daher auch nicht so einfach "mitgelesen" werden.

 

Noch ne andere Frage, da ich nicht glaube, das mit meinen Minimalkenntnissen heraus zu bekommen:
Kann der- oder diejenige die mails, die über einen Anbeiter wie web oder gmx geschrieben werden, auf die gleiche Art "mitlesen"?

 

Die mails werden an Personen ausserhalb der Firma gesendet.
Beziehungsweise wurden nur 2 Adressen ausgesucht, bei denen das gemacht wird... Und auf verblüffte Rückfragen hin stellt man das dann halt fest...
Es wurden auch Auszüge aus den mail geschickt, als nicht einfach nur weiter geleitet, sondern wohl auch "bearbeitet", daher glaube ich nicht an einen Wurm o.ä.
Ich hab mal unseren Software-Betreuer (externe Firma) gefragt, der sagte mir, mails werden auf dem KEN-Rechner sofort gelöscht, nachdem sie vom Adressaten abgeholt wurden.
In meinen "KEN"-Einstellungen werden die mails ebenfalls nicht an andere user weitergeleitet.
Einen Header konnte ich bislang leider nicht sehen, da die Empfänger der mails nicht im Haus sitzen... Und als Info hab ich nur den reinen Text bekommen, nicht als "Weiterleitung".

 

Wie hast du das denn festgestellt.. werden die Mails an Personen innerhalb der Firma gesendet oder extern. Hast du dir den Header einer solchen Mail mal angeschaut ?.

Wer Zugang zu dem Rechner hat auf dem die KEN-Software läuft, auf dieser Maschine sind die Postfächer eingerichtet, kann auch die Mails mitlesen, kopieren und umleiten.

Möglich wäre auch dass ihr einfach einen Wurm/Virus im Netzwerk habt der sowas auch machen könnte.

Grüße
Wolfgang

 

Das mit dem unterschobenen Mailserver kannst du prüfen, indem du im Mailproggy nachschaust, ob der "offizielle" Mailserver eingetragen ist und indem du in der Datei "hosts." nachsiehst, ob der Mailserver den das mailproggy verwendest NICHT woanders hin umgebogen wurde.

Das mit dem korrupten offiziellen Mailserver kannst du garnicht prüfen, es sei denn du hast dort Admin-Rechte (und kennst dich wirklich gut aus).

Das Sniffen kannst du auch nicht prüfen (außer, du überprüfst JEDEN EINZELNEN Rechner in der Collision-Domain auf Sniffer-Proggies - dazu brauchst du Adminrechte auf jedem einzelnen Rechner)

 

Hmmm... Also das geht gegen mindestens 2 Gesetze, die mir so auf die schnelle einfallen. Ich würde mich mal an den Chef/Admin wenden.

Abfangen kann man Mails auf verschiedenen Wegen.
Z.B. kann man einen eigenen Mailserver unterschieben, über den dann die Mails "umdirigiert" werden (muß aber jemand an deinem Rechner entweder im Mailprogramm oder in der hosts-Datei gedreht haben)
oder die Mails werden vom (lokalen) Mailserver selber dupliziert (muß aber der Admin zumindest passiv mitwirken indem er Sachen "übersieht" oder schlechte Passworte verwendet)
oder jemand snifft einfach den kompletten Traffic im Netzwerk mit und fischt die mails heraus (eher unwahrscheinlich weil aufwendig aber SEHR wirkungsvoll)

Ganz unterbinden kann man das prinzipiell garnicht. Netzwerke können immer abgehört werden, Routen können immer umgebogen werden,...
Du kannst aber dem Lauscher gründlich den Spass verderben, indem du die Mails verschlüsselst (Geht natürlich nur, wenn der Empfänger mitspielt)