Frage zur Portscannen aus dem Internet

[Corrado]

Hallo, Leute,

ich habe einmal eine Frage. Und zwar, ist es möglich, dass man, wenn man die E-Mail Adresse eines Nutzers hat (z.B. durch Erhalt einer E-Mail von demjenigen), z.b. mit dem Programm "nmap" scannt, welche Ports an dieser IP Adresse geöffnet sind und somit auch feststellen oder mutmaßen kann, dass es sich evtl. um einen FTP (Port 21) oder um einen Apache Server (Port 8080) handelt ,wenn die standardisierten Ports genutzt werden? Geht das oder geht das nicht? Also ich möchte keine Anleitung, ich möchte nur wissen, ob das stimmt.

 

[gelöschter Benutzer]

Ja, das geht. Aber du hast einen Denkfehler drin, die wenigsten Nutzer haben ihren Mailserver (SMTP) auf dem selben Rechner laufen von dem aus sie ihre Mails schreiben. Zu 99% werden die Leute die Server ihrer Provider nutzen.

 

[alter_Bekannter]

Das hieße 1% tun das nicht, häng noch ein ,999 oder so dahinter.

 

[Corrado]

Vielen Dank!

@Finntastisch

Nein, es war nur ein Beispiel, um zu zeigen, was ich mit einem "Standard-Port" meine. Es könnte auch der Port 140 für eine IP-Kamera sein z.B. - das geht ja dann, oder?

 

[Kampfmelone]

Du bekommst die IP nicht raus. Darum gings hier.

Natürlich kannst du eine IP nach offenen Ports durchsuchen, das ist aber wahrscheinlich nicht deine Frage..

 

[Corrado]

Wieso sollte ich bei einer E-Mail im Header nicht die IP finden?? Habe es übrigens getestet - selbstverständlich ist dort die IP.

 

[BurnerR]

Die E-Mail wird ja von Server zu Server durchgereicht. Das eine Ende ist der Server von dem du die E-Mail abgeholt hast, das andere der Server, der die Nachricht losgeschickt hat. Das ist demnach nicht die IP Adresse des "Nutzers" wie du es schreibst.
Wenn der "Nutzer" seinen eigenen E-Mail Server verwendet ist das natürlich dann die IP des Servers von dem Nutzer, wie schon gesagt wäre das aber eher ungewöhnlich.

 

[Corrado]

Und warum steht dann im Header meine E-Mail Adresse in der empfangenen E-Mail, die ich auch sehe, wenn ich auf "myip.is" gehe?

Edit: wenn du dich direkt bei Gmx.de oder so einloggst, dann vielleicht nicht. Nutzt du aber Windows Live Mail oder ein anderen Client, wird es definitiv übertragen, genau so der PC-Name.

 

[evillive]

Wieso sollte ich bei einer E-Mail im Header nicht die IP finden?? Habe es übrigens getestet - selbstverständlich ist dort die IP.

selbstverständlich? Ja aber wem gehört die IP-Adresse?

Die E-Mail wird ja von Server zu Server durchgereicht. Das eine Ende ist der Server von dem du die E-Mail abgeholt hast, das andere der Server, der die Nachricht losgeschickt hat. .

ja von Server zu Server und jeder fügt eine Zeile "Received" hinzu in der man dann die IP-Adresse ablesen kann.

Also wenn man mit dem Browser eine Mail verschickt. Dann wird ja nicht ein E-Mail Protokoll verwendet, sondern HTTP / HTTPS dann steht die IP-Adresse des Absenders nicht drin. Wenn man Outlook/ Thunderbird oder so verwendet. Dann müsste beim abschicken die Zeile "Received" eingefügt werden. (Habs jetzt nicht getestet)

Also muss der TE schon selbst entscheiden, ob die IP-Adresse vom Absender oder vom Server ist. (Er müsste es eigentlich sehen, anstatt hier zu fragen )

 

[Corrado]

Ich sehe auch, was von Outlook ist und was von der Telekom^^ DAS war auch nicht meine Frage. Sondern ob man dann eben auch Portscanns durchführen kann. Scheinbar geht das und scheinabr wird die IP-Adresse, wie von dir korrekt beschrieben, übermittelt.

 

[accC]

Ja, das geht. Wenn du eine Email sendest, dann wird im Header der Email übertragen, von welcher IP-Adresse, über welche Server die Email zum Empfänger gekommen ist:

Peter (1.2.3.4) sendet über einen Server (5.6.7.8) eine Email an Klaus. Die Email wird von Klaus Server (9.10.11.12) angenommen und Klaus ruft diese Email ab. Dann steht diese Information eben auch im Header der Email, nicht in Prosa, aber sie steht drin und natürlich kann sie daher auch ausgelesen werden.

Da die IPs des Absenders einer Mail gewöhnlich dynamisch sind - es handelt sich ja um Privathaushalte -, hat der Empfänger wohl kaum eine Chance die IP-Adresse erfolgreich zu scannen. Handelt es sich im Gegensatz dazu um eine statische IP oder reagiert der Empfänger schnell genug, dann kann er natürlich die private IP scannen. Auch kann er gewisse Aufrufe machen, etwa an Port 21 / 80 / 8080 klopfen. Je nach Antwort, könnte man dann mutmaßen, ob hinter diesen Ports Server horchen.
Allerdings kannst du nicht zwangsweise davon ausgehen, dass das dann auch korrekt ist. Schließlich sitzen zwischen dem Internet und privaten PCs häufig Firewalls, die es nicht zulassen, dass von außerhalb Portknocks durchgehen.. Antwortet allerdings auf dem entsprechenden Port ein Server mit einer entsprechenden Kennung, dann kann man ggf. feststellen, ob da ein FTP, Webserver o.ä. läuft.

Erst recht geht das natürlich für den Mail-Server, der verwendet wurde. Der ist natürlich transparent und als Mailserver in der Regel mit einer statischen IP-Adresse angebunden, denn die sind defacto Zwang, wenn man Emails versenden möchte.


Hier noch mal zu den Email-Headern:

In den originalen Emailheadern, werden gewöhnlich alle Beteiligten am Versand einer Email aufgeführt. Genauer gesagt dann, wenn nicht irgendein Server bewusst Einträge löscht und/oder manipuliert und in umgekehrter Reihenfolge. Hier mal ein korrekter Eintrag:

[src=txt]Received: from [5.42.13.37] ([5.42.13.37]) by mx.acccs-spamserver.de (mxeue001) with ESMTPS (Nemesis) id epische-id-sdhfas for <kontakt@acccs-spamserver.de>; Thu, 21 Aug 2014 10:10:10 +0200
Received: from mx-out.facebook.com ([127.0.0.26]) by mx.acccs-spamserver.de (mxeue001) with ESMTPS (Nemesis) id epische-id-wasdf for <facebookspam@acccs-spamserver.de>; Thu, 21 Aug 2014 10:10:10 +0200
Received: from facebook.com (tolle/zeichenfolge/asdui 127.0.0.12) by facebook.com with Thrift id tolle-id-asdui; Thu, 21 Aug 2014 10:10:10 -0700[/src]

Hier wurde eine Email von facebook.com (direkt von einem der FB-Server) an mich gesendet. An der ersten Position sitzt in diesem konkreten Fall kein Privathaushalt sondern ein Web-/Anwendungsserver von Facebook, das kann man daran ablesen, dass im untersten Eintrag from facebook.com als Absender eingetragen ist. Bei privaten Internetanschlüssen sind gewöhnlich entweder nur IPs oder Providerdomains, wie dynamic-12-0-0-127.kunden.tonline.de eingetragen. In diesem Fall ist hier facebook.com eingetragen und wir wissen alle, dass die Erinnerungs-/Benachrichtigungsmails von facebook automatisiert gesendet werden.
Im ersten Schritt wird von der Anwendung facebook ("facebook.com") die Email an facebooks Mailserver übertragen. Sehen kann man hier, dass der originale Absender gleich eine Domain ausweist "facebook.com". Ebenfalls könnte man hier die IP-Adresse des Absendenden ermitteln, in diesem fiktiven Beispiel ist das die 127.0.0.12. Diese Information findet man im untersten Received-Eintrag.
Im nächsten Eintrag, dem in der Mitte, sieht man dann, dass der Mailserver von facebook, seine IP ist 127.0.0.26, jetzt unter der Domain mx-out.facebook.com die Email an einen anderen Server übertragen hat, nämlich meinen Mailserver: mx.acccs-spamserver.de. Außerdem sieht man in dieser Zeile auch, an welche Emailadresse, nämlich facebookspam@acccs-spamserver.de, die Email eigentlich gesendet werden soll.
Der dritte Eintrag, also der oberste kommt durch eine einfache Weiterleitung zu Stande. Mein Mailserver mit der fiktiven IP 5.42.13.37 erkennt, dass die Adresse, an die die Mail übergeben wurde nur als Dummy ("Weiterleitung") für eine andere Adresse steht und leitet die Mail entsprechend an das neue Postfach weiter. - Das ist allerdings bei den meisten Anwendern nicht der Fall. In meinem Fall leite ich von facebookspam@acccs-spamserver.de an kontakt@acccs-spamserver.de weiter. (fiktiv)


Edit:
Allgemeines Beispiel
Verbesserungen
Fiktive IDs, IP-Adressen, Emailadressen und Domains eingefügt
Entfernen von automatischen Text-Formatierungen

 

[evillive]

ja du kannst einen Portscann machen. Ob der was bringt, ist halt eine andere Frage.

Wie accC schon gesagt hat ändern sich die IP-Adressen. Dann werden die meisten wohl hinter einem Router mit NAT hängen. Dadurch wird halt verhindert, dass von außen eine Verbindung nach innen aufgebaut werden kann. Weil in der NAT-Tabelle keine Zuordnung (Deine IP-Adresse - innere IP-Adresse) vorhanden ist.

 

[Corrado]

Ja, und ich habe nicht gesagt, dass es sich nicht um eine statische handelt und auch nicht, dass ich nach mehr als 24 Stunden soetwas testen würde - also kann die IP-Adresse abgegriffen werden.

 

[accC]

Ich habe meinen Beitrag noch mal überarbeitet, damit er einfacher zu verstehen und mit weniger hypothetischem Kram gefüllt ist.

Kurze Antwort auf deine Frage: Ja, es ist möglich, aber es setzt viele "wenn und aber"-Einschränkungen voraus.

Edit: Wenn ich beispielsweise eine Email versende, dann zeigt mein Server prinzipiell an, sie würde direkt von ihm stammen, bzw. um genauer zu sein, wird die localhost-IP eingetragen. Bei vielen Providern, ist das auch der Fall, nämlich dann, wenn du deren Weboberfläche zum Emailversand verwendest.

 

[bevoller]

Ich habe meinen Beitrag noch mal überarbeitet, damit er einfacher zu verstehen und mit weniger hypothetischem Kram gefüllt ist.

Wenn du ohnehin schon mit fiktiven Mail-Adressen arbeitest, solltest du den Header mit den jeweiligen Weiterleitungen vielleicht auch so gestalten.
Damit lassen sich die einzelnen Schritte noch besser nachvollziehen als mit Sternchen.

 

[Corrado]

Vielen Dank an alle!

@accC

Sehr ausführlich, danke!

 

[accC]

Wenn du ohnehin schon mit fiktiven Mail-Adressen arbeitest, solltest du den Header mit den jeweiligen Weiterleitungen vielleicht auch so gestalten.
Damit lassen sich die einzelnen Schritte noch besser nachvollziehen als mit Sternchen.

Done. Ich hoffe, den Server gibt es nicht tatsächlich..
Anregungen und Vorschläge gerne..

 

[m6ld8ywqya]

Das hättest du doch prüfen können. Abgesehen davon verwendet man dafür weder fremde, noch nicht existierenden Domainnamen. Dafür gibts spezielle Domainnamen nach RFC 2606.

 

[accC]

Ich glaube niemand wird eine Domain *-spamserver.de registrieren.