Donnerstag, 7. September 2006, 10:09
Von und An
Gestern erreichte uns ein Auskunftsersuchen einer Ermittlungsbehörde, es ging um eine drohenede E-Mail, die aus unserem IP-Netzbereich abgesandt worden sei. Dies hätte seinen normalen Lauf genommen.
Interessanterweise hatte mir eine Kollegin kurz vorher einen größeren Artikel in einer Tageszeitung gezeigt, worin eine bei uns im Rechenzentrum gehostete Domain angegeben war. Interessanterweise war dies genau die Domain desjenigen, der bedroht wurde.
Zusammengefasst: Absender und Empfänger zufälligerweise beide bei uns im Rechenzentrum?
Unwahrscheinlich. Also habe ich nachgehakt und mir die Mailheader von der Kripo schicken lassen. Und siehe da: Die IP war nicht der Absender, sondern der Empfänger der E-Mail. Nämlich die IP eines Rootserver-Kunden, der die Webseite hostet. Ich habe dem wirklich netten Herrn aber kurz erklärt, wie die E-Mail zustande kam, denn eine E-Mail hat ja nicht nur Received-Header. Letztendlich hat sich ergeben, dass die E-Mail über das auf der Webseite vorhandene Kontaktformular abgesetzt wurde Nun wird eifrig weiter geforscht, beim Serverbetreiber und dessen Apache-Logfiles.
Interessanterweise hatte mir eine Kollegin kurz vorher einen größeren Artikel in einer Tageszeitung gezeigt, worin eine bei uns im Rechenzentrum gehostete Domain angegeben war. Interessanterweise war dies genau die Domain desjenigen, der bedroht wurde.
Zusammengefasst: Absender und Empfänger zufälligerweise beide bei uns im Rechenzentrum?
Unwahrscheinlich. Also habe ich nachgehakt und mir die Mailheader von der Kripo schicken lassen. Und siehe da: Die IP war nicht der Absender, sondern der Empfänger der E-Mail. Nämlich die IP eines Rootserver-Kunden, der die Webseite hostet. Ich habe dem wirklich netten Herrn aber kurz erklärt, wie die E-Mail zustande kam, denn eine E-Mail hat ja nicht nur Received-Header. Letztendlich hat sich ergeben, dass die E-Mail über das auf der Webseite vorhandene Kontaktformular abgesetzt wurde Nun wird eifrig weiter geforscht, beim Serverbetreiber und dessen Apache-Logfiles.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
SvenW
Ein halbes Jahr später kam der Schrieb vom Staatsanwalt, das Verfahren sei eingestellt...
Traurig, aber wahr.
Felix
ambi
Die Polizei selbst hat da öfter mal weniger den Durchblick was bestimmte Adressen bedeuten. Was die noch hinbekommen ist ne Abfrage bei ripe, dann hörts aber auch schon auf
www.dnsstuff.com ist Staatsanwalts Liebling
Alphager
Marco
Manuel Schmitt (manitu)
Jason