Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Von welchem Standort wurd G-Mail-Nachricht gesendet?

Frage Internet E-Mail

Mitglied: Chefschwabe

Chefschwabe (Level 1) - Jetzt verbinden

19.04.2013, aktualisiert 17:42 Uhr, 2381 Aufrufe, 8 Kommentare

Hallo,
ich bin auf der Suche nach gerichtsverwertbaren technischen Quellen zu der Frage, von welchem Ort aus ein Webmailer bedient wurde.

Hallo,
ich bin als Opfer an einem Strafverfahren beteiligt. Der Täter will nun seine Unschuld beweisen, in dem er sagt, er sei nicht vor Ort gewesen, denn er habe bereits 30 Minuten nach der Tat an seinem 100km entfernten Laptop gesessen. Beweis sei eine zu diesem Zeitpunkt via g-mail versendete Mail.
Nun meine Frage: Ist es tatsächlich möglich, bei g-mail herauszulesen, VON WELCHEM ORT die mail gesendet wurde?

Wer von Ihnen kann mir Hinweise auf Fachliteratur o.ä. nennen, die ich bei Gericht als Gegenbeweis anführen könnte?

Herzlichen Dank für Ihre Hilfe

Viele Grüsse

Chefschwabe
Mitglied: AndreasHoster
19.04.2013 um 18:17 Uhr
Prinzipiell kann man sicherlich die IP rausbekommen, von der aus Web-Browser GMail angesteuert hat und der Provider könnte sagen zu welchem Anschluß die gehört, aber das ist kein Beweis.
Mit TeamViewer (Beispiel), hätte er auch seinen Laptop von einem anderen PC aus fernsteuern können und G-Mail kriegt sowas nicht mit.

Also kein Beweis.
Bitte warten ..
Mitglied: Dobby
19.04.2013, aktualisiert 20.04.2013
Hallo,

meiner Meinung nach kann man sich in einem Forum, egal wie gut es auch ist nur Denkanstöße oder
andere Meinungen einholen, aber am besten ist man mit einem Rechtsanwalt und einem guten Computer Forensiker beraten.

Ebenso wie dem "dezidierten Session logfile" vom Provider G-Mail wäre ja mal nett
zu haben, natürlich zusammen mit dem "dezidierten Session Logfile" der beiden Provider!

Sonst wird das nichts in meinen Augen.

- Man wählt sich mit seinem Laptop via VPN zu Hause ein
- Mein startet den PC zu Hause über eine Steckdosenleiste mit LAN Anschluss
- Man meldet sich am PC an und startet TeamViewer
- Dann steuert man den Rechner (PC zu Hause) und versendet eine Email.
- Dann fährt man den PC zu Hause wieder herunter
- Und siehe da man kann ja gar nicht schuldig sein.


Das ganze was ich weiter oben beschrieben habe kann aber auch rein theoretisch ganz anders oder in
ca. 250 verschiedenen Arten und Weisen abgelaufen sein und die muss man erst einmal beweisen können.
Anonyme Remailer könnten auch mit im Spiel gewesen sein und dann?

Dafür braucht man aber einen Computer Forensiker und die besagten Protokolldateien der Provider.
Und da Du das nicht hast..........

Gruß und trotzdem schönes WE
Dobby
Bitte warten ..
Mitglied: danielfr
19.04.2013 um 19:03 Uhr
Hallo auch,

es ist evtl. schon möglich, das nachzuweisen, wichtig wäre dazu eine Untersuchung des Gerätes durch einen IT-Forensiker. Ein Buch ist z.B.:
http://www.amazon.de/Computer-Forensik-Computerstraftaten-erkennen-ermi ...
Es wird wohl nicht reichen, einfach daraus zu zitieren... und vermutlich benötigt man dazu auch noch weitere Daten (Provider etc.).

Im Zweifel frag einen Anwalt.

Viele Grüße
Daniel
Bitte warten ..
Mitglied: format-c
19.04.2013, aktualisiert um 20:27 Uhr
Hallo Chefschwabe.

Es gibt eine gewisse Chance, falls a) die besagte e-Mail sichergestellt ist und b) der Typ diese e-Mail nicht über den Webbrowser, sondern mit Hilfe eines e-Mailprogramms (Outlook, Thunderbird, etc.) abgeschickt hat.

Du musst in den Header der Mail reinschauen und dort den Abschnitt mit den Received:-Tags suchen. Dabei ist für dich der unterste von Interesse. Hier ist ein Besipiel wie sowas ausschauen kann (personenbezogene Daten habe ich maskiert).
01.
Received: from xxxxxx.yyyyyyyyy.zzzzzz.de ([aaaa:bbbb:cccc:dddd:eeee::ffff]) 
02.
        by mx.google.com with ESMTPS id jz9sm1389495bkb.1.2013.04.19.10.27.56 
03.
        (version=TLSv1 cipher=RC4-SHA bits=128/128); 
04.
        Fri, 19 Apr 2013 10:27:56 -0700 (PDT)
Erläuterung: hier ist bereits in der ersten Zeile an der Stelle xxxxxx sogar der Name meines Rechners zu sehen. yyyyyyyyy und zzzzzz ist die Domäne meines Arbeitgebers. Nachfolgend steht meine IP-Adresse; in diesem Fall eine IPv6, für gewöhnlich ist es aber eine IPv4 à la 123.123.123.123, die leichter zurückzuverfolgen ist. Dann folgt ein Zeitstempel. Dieser kann auch nützlich sein, denn die Uhrzeit am eigenen Rechner kann man ja selber einstellen wie man will, nicht aber die im Mailserver.

In diesem Fall sieht man, dass (sofern ich nicht direkt bei meinem Arbeitgeber wohne) ich diese Mail unmöglich von zu Hause abgeschickt haben konnte. Das wäre aber ein Idealfall für dich.

Jetzt die schlechte Nachricht: Falls der andere Typ die e-Mail über seinen Webbrowser erstellt hat, sieht es nicht gut für dich aus. Dann steht im Header nämlich sowas:
01.
Received: by 10.194.243.132 with HTTP; Fri, 5 Apr 2013 11:26:57 -0700 (PDT)
In diesem Fall ist 10.194.243.132 irgendeine interne IP-Adresse von Google. Adressen, die mit 10. beginnen, sind für private Netzwerke reserviert und somit ohne Weiteres nicht lokalisierbar. Da musst du oder die Polizei schon mit einem richterlichen Beschluss (oder sowas ähnlichem) bei Google antanzen und die Herausgabe der Logfiles verlangen. Wenn es, wie du sagst, ein Strafverfahren im Sinne des StGB ist, müsste es klappen. Bin aber kein Jurist und kann es daher nicht mir Sicherheit sagen.

Wenn sich aus dem e-Mail-Header aber ergibt, dass die Mail von zu Hause aus abgeschickt wurde, hast du noch weniger Chancen. Hier hilft nur eine Beschlagnahme des Rechners und dessen forensische Untersuchung (+ sehr viel Glück), um festzustellen ob die Mail nicht doch via VPN oder Fernsteuerungs-Software (siehe Beitrag von D.o.b.b.y) abgesendet wurde.

Falls du Glück hast und fündig wirst, ist es noch nicht sicher, ob das als Beweis anerkannt wird.

Und zum Schluss bliebe ja noch die Möglichkeit, dass er Typ die Wahrheit sagt. Da kann man dann wirklich nichts dagegen tun.


Ich wünsche dir viel Glück.


Gruß
format-c
Bitte warten ..
Mitglied: danielfr
20.04.2013 um 00:45 Uhr
Du musst in den Header der Mail reinschauen und dort den Abschnitt mit den Received:-Tags suchen. Dabei ist für dich der
unterste von Interesse. Hier ist ein Besipiel wie sowas ausschauen kann (personenbezogene Daten habe ich maskiert).
01.
> Received: from xxxxxx.yyyyyyyyy.zzzzzz.de ([aaaa:bbbb:cccc:dddd:eeee::ffff]) 
02.
>         by mx.google.com with ESMTPS id jz9sm1389495bkb.1.2013.04.19.10.27.56 
03.
>         (version=TLSv1 cipher=RC4-SHA bits=128/128); 
04.
>         Fri, 19 Apr 2013 10:27:56 -0700 (PDT) 
05.
> 
Erläuterung: hier ist bereits in der ersten Zeile an der Stelle xxxxxx sogar der Name meines Rechners zu sehen. yyyyyyyyy und
zzzzzz ist die Domäne meines Arbeitgebers. Nachfolgend steht meine IP-Adresse; in diesem Fall eine IPv6, für
gewöhnlich ist es aber eine IPv4 à la 123.123.123.123, die leichter zurückzuverfolgen ist. Dann folgt ein
Zeitstempel. Dieser kann auch nützlich sein, denn die Uhrzeit am eigenen Rechner kann man ja selber einstellen wie man will,
nicht aber die im Mailserver.
Den Header kann der Absender doch fälschen?

Jetzt die schlechte Nachricht: Falls der andere Typ die e-Mail über seinen Webbrowser erstellt hat, sieht es nicht gut
für dich aus. Dann steht im Header nämlich sowas:
01.
> Received: by 10.194.243.132 with HTTP; Fri, 5 Apr 2013 11:26:57 -0700 (PDT) 
02.
> 
In diesem Fall ist 10.194.243.132 irgendeine interne IP-Adresse von Google. Adressen, die mit 10. beginnen, sind für private
Netzwerke reserviert und somit ohne Weiteres nicht lokalisierbar. Da musst du oder die Polizei schon mit einem richterlichen
Beschluss (oder sowas ähnlichem) bei Google antanzen und die Herausgabe der Logfiles verlangen. Wenn es, wie du sagst, ein
Strafverfahren im Sinne des StGB ist, müsste es klappen. Bin aber kein Jurist und kann es daher nicht mir Sicherheit
sagen.

Wenn sich aus dem e-Mail-Header aber ergibt, dass die Mail von zu Hause aus abgeschickt wurde, hast du noch weniger Chancen. Hier
hilft nur eine Beschlagnahme des Rechners und dessen forensische Untersuchung (+ sehr viel Glück), um festzustellen ob die
Mail nicht doch via VPN oder Fernsteuerungs-Software (siehe Beitrag von D.o.b.b.y) abgesendet wurde.
Mit einer forensischen Untersuchung kann unter Umständen ebenfalls festgestellt werden wann und von wo die Mail in einem Browser verschickt wurde. Das habe ich vor kurzem in einer Demonstration gesehen und es ist gar nicht so unwahrscheinlich das es funktioniert.

Nochmals der Rat, frage einen Juristen und/oder einen IT Forensiker, alles weitere spekulieren macht meiner Meinung nach wenig Sinn. Die wissen v.a. was Gerichtsverwertbar und machbar ist.
Bitte warten ..
Mitglied: format-c
20.04.2013 um 02:08 Uhr
Zitat von danielfr:
Den Header kann der Absender doch fälschen?
Der Absender kann eben nicht den ganzen Header verändern, sondern nur bestimmte Teile davon, nämlich die Angaben zum Absender selbst. Es gibt auch Teile des Headers, die in den Header eingefügt werden, nachdem der Absender die Mail abgeschickt hat. Die Einträge mit Received werden in den Header auf dem Weg vom Absender zu Server und von Server zu Server eingetragen und zwar von den Servern selbst. Der Absender müsste demnach schon den Mailserver von Google hacken, um diese Einträge zu fälschen.

Es ist wie bei der Post: Du kannst zwar einen beliebigen Absender auf den Briefumschlag schreiben, aber du hast keinen Einfluss auf das Datum des Poststempels, außer du schickst den Brief rechtzeitig ab.

btw: Es ist nicht immer zwingend erforderlich, einen Beitrag im Ganzen zu zitieren. Man kann, wie Michelangelo, das Überflüssige auch wegmeißeln.


Gruß
format-c
Bitte warten ..
Mitglied: Chefschwabe
24.04.2013 um 12:26 Uhr
Hallo an alle,

ganz ganz herzlichen Dank für die ausführlichen Hinweise.
Dank der Hinweise von Format-c und danielfr konnte ich jetzt erreichen, dass der Laptop des Gegner von der Kripo gecheckt wird.
Ergebnis offen, aber auf den ersten blick scheint er tatsächlich via Outlook vom Arbeitsplatz gemailt zu haben
Gut für mich!

Danke nochmal und viele Grüsse

Chefschwabe
Bitte warten ..
Mitglied: format-c
24.04.2013 um 21:08 Uhr
Hi.
Danke für die Rückmeldung. Ich drück' dir weiterhin die Daumen.

Gruß
format-c
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Erkennung und -Abwehr
Google Mail: Whitelisting bekannter Email-Addressen einer Domain (2)

Frage von MephMan zum Thema Erkennung und -Abwehr ...

Exchange Server
Maximale Größe für empfangene Nachricht (5)

Frage von HeinrichM zum Thema Exchange Server ...

E-Mail
gelöst Plesk 17 - E-Mail zurückgestellt in Warteschlange (7)

Frage von ZeldaFreak zum Thema E-Mail ...

E-Mail
gelöst Mail Spam fremde IP (10)

Frage von BerndP zum Thema E-Mail ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...