Wie ist das möglich, dass ich Spams bekomme die meine eigene eMail Adresse tragen? Können die Viagra Zombies die Absender ändern?
Druckbare Version
Wie ist das möglich, dass ich Spams bekomme die meine eigene eMail Adresse tragen? Können die Viagra Zombies die Absender ändern?
Ja, können sie.Zitat:
Zitat von Rheingold
Der Grund dafür liegt in dem sehr alten Übertragungsstandard, auf dem E-Mail basiert. Die Grundlagen dafür wurden in den frühen 1970er Jahren gelegt, als das, was man heute als Internet bezeichnet, ein Computernetzwerk zwischen wenigen Universitäten und anderen Forschungseinrichtungen war, hauptsächlich in den USA. Damals waren Computer noch riesige und teure Maschinen, die sich nur große Einrichtungen leisten konnten. Um diese Kapazitäten besser auszulasten, wurde das ARPANet eingerichtet, der Keim des heutigen Internet.
Einige Programmierer kamen nun auf die Idee, dies bestehende Netz auch für Textnachrichten zu nutzen. Als sie dann die E-Mail-Übertragungsstandards aus der Taufe hoben, haben sie über den Missbrauch, den wir heute beobachten, überhaupt nicht nachgedacht. Wie sollten sie auch, das "Internet" war ein kleines Netz, bei dem sich alle kannten.
Nun hat sich dieses sehr alte Protokoll bis heute erhalten, und darin ist nicht vorgesehen, dass der Versender einer Mail irgendwie verifiziert wird. Zu Zeiten der Einführung des Protokolls war das sogar in gewisser Form beabsichtigt, denn Mails wurden oft nicht über den Server ins "Internet" abgeschickt, auf dem die Mail auch tatsächlich geschrieben wurde. Es darf also laut Übertragungsstandard jede beliebige Absenderadresse angegeben werden.
Spammer nutzen das, um ihre Spuren zu verwischen. Empfänger 2 erhält eine Mail, die vermeintlich von Empfänger 1 stammt. Empfänger 3 erhält dann eine Mail mit der Mailadresse von Empfänger 2 als Absender usw. Was dabei rauskommt, siehst Du ja gerade.
Mailprovider wissen das, weswegen Spamfilter eigentlich überhaupt nicht auf die Absenderadresse achten. Ausgewertet wird vielmehr der sog., in dem auch Informationen stehen, die man nicht fälschen kann (zumindest nicht so leicht). Falls Du mehr wissen willst, kannst Du Dich im Antispam-Wiki schlau lesen. Folge einfach dem eben genannten Link und klicke Dich von dort aus ggf. weiter. EMailHeader
Schönen Gruß
Mittwoch
Es ist möglich, aber nicht besonders schlau. Filtere auf deine eigene E-Mail-Adresse und du bist die Spammer los.Zitat:
Zitat von Rheingold
Wenn du mal eine Test-Mail an dich selber schickst, müsstest du halt im Spamfilter nachschauen...
Wuschel
Anmerkung: Viele Mailserver akzeptieren keine Mails, wenn der Benutzer - für den sie zuständig sind - sich nicht authentifiziert. Ist leider aber noch immer kein Standard...
Hallo,
die Emailadresse unserer Firma wird für Arzneimittel- und auch unlautere Angebote missbraucht. Zu uns kommen täglich die Rückläufer, mehr als 150...was können wir tun?
Danke im Voraus für eure Hilfe!
Wenn tatsächlich nur eure Adresse missbraucht wurde und nicht eure Infrastruktur (Mailserver) bzw. eure Zugangsdaten bei einem Mailprovider, dann könnt ihr es im Wesentlichen nur aussitzen, nach ein paar Tagen sollte es vorbei sein. Ansonsten müsst ihr natürlich schon das Loch stopfen.
Die meisten Rückläufer werden automatisch generierte Bounces sein, die ihr je nach eurem Mailsystem mit einfachen Mitteln erkennen und wegwerfen könnt.
Ob ihr die wenigen erbosten Mails von Leuten beantworten wollt, die noch nichts von Adressfälschung bei Mail gehört haben, ist Geschmackssache. Ich würde so was in so einer Situation vermutlich machen, aber ich bin auch manchmal zu gutherzig :-)
hoppala
...an euch beide...leider geht das schon seit Wochen so....:(
Pillenspammer sind Drecksäcke (meistens russische). Und wann die damit aufhören, Eure Adresse als Absender in den Header zu fälschen, das kann leider niemand voraussagen und auch niemand beeinflussen.
Wenn es zuviele sind: filtern.
Hallo
wir bekommen seit ca. 2 Wochen vermehrt Rückmails "Unzustellbar...... Mailer daemon....."
obwohl wir gar nichts verschickt haben.
Kann man da was dagegen tun????
-------- Original-Nachricht --------
header:01: From: - Tue Jul 03 xx:xx:xx 201202: X-Account-Key: account303: X-UIDL: [UID filtered]04: X-Mozilla-Status: 000105: X-Mozilla-Status2: 0000000006: X-Mozilla-Keys:07: Return-Path: <>08: Received: from out01.muc1.mx.trendmicro.eu (out01.muc1.mx.trendmicro.eu09: [150.70.236.112]) by mail.bghosting01.de with SMTP; Tue, 3 Jul 2012 xx:xx:xx +020010: Received: by out01.muc1.mx.trendmicro.eu (Postfix) ID: [ID filtered]11: Date: Tue, 3 Jul 2012 xx:xx:xx +0000 (UTC)12: From: MAILER-DAEMON [at] out01.muc1.mx.trendmicro.eu (Mail Delivery System)13: Subject: Undelivered Mail Returned to Sender14: To: poor [at] spamvictim.tld15: Auto-Submitted: auto-replied16: MIME-Version: 1.017: Content-Type: multipart/report; report-type=delivery-status;18: boundary="B4131980465.1341329069/out01.muc1.mx.trendmicro.eu"19: Message-ID: [ID filtered]20: X-SmarterMail-Spam: HostKarma - Whitelist, ISpamAssassin 0 [raw: 0], DK_None,21: DKIM_None22: X-SmarterMail-TotalSpamWeight: -423: X-AntiVirus: checked (incoming) by Avira MailGuard (Version: 12.3.1.15;24: AVE:8.2.10.102; VDF:7.11.34.248
Zitat:
This is the mail system at host out01.muc1.mx.trendmicro.eu.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<>: host mail2.rotim.com[213.207.72.103]
said: 550 5.1.1 User unknown (in reply to RCPT TO command)
wegfiltern
das hat jemand Eure Adresse im Mail Header gefälscht
das hört erfahrungsgemäss nach ein paar Tagen wieder auf
Siehe auch unseren Wiki-Artikel: Meine Emailadresse wurde als Absender missbraucht
Der Fachbegriff für solche Art Mails ist Backscatter. Bei vielen Mailprogrammen und nahezu allen Mailservern findet man in den Hilfeseiten oder zugehörigen Foren unter diesem Fachbegriff brauchbare Tipps, wie man diese Mails schnell und automatisch entsorgt.
Wir bekommen nach wie vor sehr viele solcher Rückmails, da veruscht wird mit allen möglichen Fantasie Email Namen und unserer Web Adressen, wohl Mails verschickt werden....
wie zb.:
-------- Original-Nachricht --------
From: - Thu Jul 26 00:44:07 2012
X-Account-Key: account3
X-UIDL: sm_000122AF_b4d7704d32bd40648756ebe2d31d897e
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <>
Received: from email.besttrans.com (mail.besttrans.com [65.202.22.11]) by mail.bghosting01.de with SMTP; Thu, 26 Jul 2012 00:27:21 +0200
MIME-Version: 1.0
From: <>
To: <59239A5@***********.de>
Date: Wed, 25 Jul 2012 18:27:06 -0400
Content-Type: multipart/report; report-type=delivery-status; boundary="6948fe8f-f320-4d79-8d27-1b2486cb2b01"
Content-Language: en-US
Message-ID: <>
In-Reply-To: <20120725012612.C5427E5F9B9E8C0062CB@TOSHIBA-PC>
References: <20120725012612.C5427E5F9B9E8C0062CB@TOSHIBA-PC>
Subject: SPAM-LOW: Undeliverable: Re:
X-SmarterMail-Spam: Bayesian Filtering, ISpamAssassin 2 [raw: 1], DK_None, DKIM_None, SURBL:2
X-SmarterMail-TotalSpamWeight: 14
X-AntiVirus: checked (incoming) by Avira MailGuard (Version: 12.3.1.15; AVE:8.2.10.118; VDF:7.11.37.154
Delivery has failed to these recipients or groups:
The e-mail address you entered couldn't be found. Please check the recipient's e-mail address and try to resend the message. If the problem continues, please contact your helpdesk.
Diagnostic information for administrators:
Generating server: besttrans.com
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##
Original message headers:
Received: from psmtp.com (64.18.1.135) by Exchange.besttrans.com (10.0.0.3)
with Microsoft SMTP Server id 14.1.355.2; Wed, 25 Jul 2012 18:27:05 -0400
Received: from source ([188.53.23.30]) by exprod6mx235.postini.com
([64.18.5.10]) with SMTP; Wed, 25 Jul 2012 15:27:02 PDT
To: <>
Subject: Re:
From: Order <59239A5@*********.de>
Date: Wed, 25 Jul 2012 01:26:12 +0300
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: IPS PHP Mailer
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-ID: <20120725012612.C5427E5F9B9E8C0062CB@TOSHIBA-PC>
X-pstn-levels: (S: 0.00614/90.65216 CV:99.9000 FC:95.5390 LC:95.5390 R:95.9108 P:95.9108 M:97.0282 C:98.6951 )
X-pstn-dkim: 0 skipped:not-enabled
X-pstn-status: off
Return-Path: 59239A5@*********.de
oder:
-------- Original-Nachricht --------
From: - Thu Jul 26 00:44:07 2012
X-Account-Key: account3
X-UIDL: sm_000122AC_b4d7704d32bd40648756ebe2d31d897e
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <>
Received: from mail-pb0-f67.google.com (mail-pb0-f67.google.com [209.85.160.67]) by mail.bghosting01.de with SMTP; Wed, 25 Jul 2012 23:14:31 +0200
Received: by pbbrr13 with SMTP id rr13so1388948pbb.2 for <JoesphC29422@**********.de>; Wed, 25 Jul 2012 14:14:28 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=googlemail.com; s=20120113; h=mime-version:from:to:subject:message-id:date:content-type; bh=EuG1+G8vfOaPnaQxCk2W3motHQOTTpWFTy1VFDhNsLk=; b=iMuvxRdiZOkskAD5IQgAOhaZ66yYC6qxAuzCqbWxlJ991i30lzXkeFEGTiLf32b5ay Guy32Oo7oevfA8KsBYXJFlPPP7GBfNqyXPwKGG7d2/+FQExKMadi5JOOiT5j8JDiXW/W rFMokJrUGkMxb7FjCkklPA5mB2oAEfVtawIzG9sB/b7EUYpUZ7KAYaDZ4lUoCnDv5f+s Pt/9BuKzyK+PMMocjOuFzk16vAbN4rS0HsbWO/ox9WJFoZ9T5DymI/z5lwz4GfP39i4H 9jCSWpKjt9AO0kgXC4uM6s8Gu9d9v853WRjrw6baPwe+oirb/UeOWzUDn1AIpkAkVPv5 LqLg==
Received: by 10.68.231.39 with SMTP id td7mr56680156pbc.3.1343250868110; Wed, 25 Jul 2012 14:14:28 -0700 (PDT)
MIME-Version: 1.0
Return-Path: <>
Received: by 10.68.231.39 with SMTP id td7mr66886326pbc.3; Wed, 25 Jul 2012 14:14:28 -0700 (PDT)
From: Mail Delivery Subsystem <>
To: JoesphC29422@**********.de
Subject: Delivery Status Notification (Delay)
Message-ID: <>
Date: Wed, 25 Jul 2012 21:14:28 +0000
Content-Type: text/plain; charset=ISO-8859-1
X-SmarterMail-Spam: ISpamAssassin 0 [raw: 0], DK_None, DKIM_Pass
X-SmarterMail-TotalSpamWeight: -2
X-AntiVirus: checked (incoming) by Avira MailGuard (Version: 12.3.1.15; AVE:8.2.10.118; VDF:7.11.37.154
This is an automatically generated Delivery Status Notification
THIS IS A WARNING MESSAGE ONLY.
YOU DO NOT NEED TO RESEND YOUR MESSAGE.
Delivery to the following recipient has been delayed:
Message will be retried for 2 more day(s)
----- Original message -----
Received: by 10.68.231.39 with SMTP id td7mr47377573pbc.3.1343159602738;
Tue, 24 Jul 2012 12:53:22 -0700 (PDT)
Return-Path: <JoesphC29422@**********.de>
Received: from 78.179.132.79.dynamic.ttnet.com.tr ([78.179.132.79])
by mx.google.com with ESMTP id tv8si30011336pbc.212.2012.07.24.12.53.18;
Tue, 24 Jul 2012 12:53:22 -0700 (PDT)
Received-SPF: neutral (google.com: 78.179.132.79 is neither permitted nor denied by best guess record for domain of JoesphC29422@*********.de) client-ip=78.179.132.79;
Authentication-Results: mx.google.com; spf=neutral (google.com: 78.179.132.79 is neither permitted nor denied by best guess record for domain of JoesphC29422@*********.de) smtp.mail=JoesphC29422@********.de
To: "jyueq4522" <>
Subject: Dear jyueq4522
From: "Velma" <JoesphC29422@**********.de>
Date: Tue, 24 Jul 2012 22:53:19 +0300
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: IPS PHP Mailer
MIME-Version: 1.0
Content-type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-ID: <20120724225319.3F2CF950F1A4EB0D1971@SONY-BILGISAYAR>
----- End of message -----
Mailspammer haben wenig Skrupel, existierende Mailadressen als vermeintliche Absender zu verwenden. Häufig wird sogar eine Schleife programmiert in der Art
- die erste Spammail trägt den Absender Mailadresse A und geht an Mailadresse B,
- die zweite Spammail hat dann Mailadresse B als Absender und geht an Mailadresse C
- die dritte Spammail trägt den Absender C und geht an Adresse D, usw. usw.
Warum Spammer das immer noch machen, obwohl gemeinhin bekannt sein dürfte, dass man auf diese Weise Spamfilter nicht (mehr) austricksen kann, ist fraglich. Das ansonsten in Frage kommende Argument Social Engineering halte ich für nicht plausibel, denn bislang ist mir noch keine Spammail untergekommen, die so personalisiert war, dass ich sie mit einer Mail eines Freundes, Bekannten, Kollegen... hätte verwechseln können; ich nehme an, dass der Programmieraufwand für solche Spammails auch nicht gerade niedrig ist.
Kehrseite dieser Spammerpraxis sind dann die Fehlermeldungen, von denen Du berichtest. Wie bereits bemerkt, nennt man so etwas Backscatter.
Ein einfacher Wortfilter, der alle Mails mit den Textfragmenten "[d|D]elivery" und "failed" schon beim Abrufen nach \dev\null verschiebt, schafft bei Backscatter gute und verlässliche Abhilfe. Versuche, dem anders bei zu kommen, sind nur frustrierend, denn in der Regel erreicht man die für den Backscatter verantwortlichen Mailserverbetreiber nicht, oder wenn, dann weigert er sich, das Problem zu sehen. Zum Teil ist Backscatter sogar von einigen Mailserverbetreibern bewusst toleriert, weil man auf andere Fehlermails angewiesen ist.
Schönen Gruß
Mittwoch
Dieses Problem wird anscheinend seit geraumer Zeit wieder gerne benutzt. Dabei geht es nichtmal um den Mißbrauch der eigenen eMail-Adresse, sondern es werden auch andere eMail-Adressen für diese Spam-Zwecke mißbraucht. Ich bekam heute sechs eMails selben Inhaltes von verschiedenen eMail-Adressen, darunter auch von meiner eigenen. Sie kamen nicht bis zum eMail-Client durch, da ich meine eMail bereits beim Provider ins Spam-Filter steckte. Abends schaue ich mal direkt beim Provider nach, was so alles für ein Müll eingetroffen ist.
Was an der Sache ärgerlich ist:
Es werden auf diese Weise auch mal Leute belästigt, mit denen ich bekannt bin. Dann muß man sich ständig erklären, daß man nicht der Absender war.
Nix für ungut: Spam ist ein derartiges Grundproblem des Internet, dass es schon fast fahrlässig ist, sich als Internetnutzer nicht irgendwann, am besten ziemlich zum Anfang der Internetnutzung, mit den Grundzügen des Phänomens Spam auseinander zu setzen. Ich erkläre da nichts mehr, sondern verweise auf Wikipedia oder den thematisch etwas enger geschnittenen Artikel im Antispam-Wiki, siehe Beitrag von mareike26. Wer mir danach immer noch blöd kommt, hat meine Bekanntschaft nicht länger verdient.Zitat:
Zitat von Dogbert
Mal anders gefragt: Erklärst Du jedem, der Dir vorhält, Du hast ihm die Vorfahrt genommen, nur weil derjenige, der es tatsächlich war, ein Auto fährt, das auf den ersten Blick wie Deines aussah, dass Du nicht beteiligt warst?
Schönen Gruß
Mittwoch
@Mittwoch
Wie soll ich denn meinen Eltern oder weniger internet-bewanderten Bekanntenkreis erklären, daß der Mist nicht von mir stammt? Viele kennen sich damit nicht so gut aus. Ich werde mich dann mal der Hinweisen von mareike26 bedienen. Vielleicht hilft es ja.
Für die meisten, Mittwoch, ist es unvorstellbar, von mir eine eMail zu erhalten, die ich gar nicht verfaßt habe.
Dass jemand von der Möglichkeit noch nicht weiß, sei jedem zugestanden. Ich verweise ja auch erst einmal höflich, aber bestimmt auf die genannten Quellen. Zusammen mit dem Angebot, bei Verständnisschwierigkeiten zu helfen. Bei sehr begriffstutzigen Menschen reicht es in der Regel, das Mailprogramm zu öffnen, dort den Standardaccount auf auf den Namen Angela Merkel und die Mailadresse angela.merkel@bundeskanzleramt.de abzuändern und dann eine Mail an eine meiner Adressen zu schicken, von der ich dann die Mail danach per Webmailer abhole, zusammen mit der Frage, ob diese Mail nun tatsächlich von Angela Merkel kam. Das wirkt in der Regel sehr nachhaltig.Zitat:
Zitat von Dogbert
Schönen Gruß
Mittwoch
Ist ja alles richtig, Mittwoch. Ich denke, es wirkt besser, den Leuten das mal direkt vor ihrer Nase vorzuführen. Mir fehlt allerdings wohl ein bißchen die erforderliche kriminelle Energie für sowas. Ich werde mich jetzt so verständigen, daß ich ein vereinbartes Code-Wort unter meine eMails hänge. Die meisten kennen ja meine Schreib- und Ausdrucksweise, aber Irritationen bleiben halt nicht immer aus.
Man nimmt ein Beispiel, das zur Erfahrung des Gesprächspartners passt und das sich leidlich auf die Nachbildung im Internet übertragen lässt. Also Senderadressen bei der Briefpost. Z. B. könntest Du einen Briefumschlag nehmen, auf den Du auf die Vorderseite die Adresse desjenigen schreibst, dem Du die Fälschung erklären willst, und auf die Rückseite: "Abs.: Angela Merkel, Bundeskanzleramt, Willy-Brandt-Str. 1. 10557 Berlin". Wenn Du willst, steckst du noch einen Teil der Werbung hinein, die in der Woche in Deinem Briefkasten gelandet ist. Dann frage, ob Dein Gegenüber glaubt, dieser Brief würde, wenn eine Briefmarke darauf klebt, von der Post nicht zugestellt, weil der Absender ja gefälscht ist bzw. Frau Merkel sich wohl nicht für den örtlichen Supermarkt ins Zeug legen würde.Zitat:
Zitat von Dogbert
M. Boettcher
Zitat:
Akute Gefahr geht von einer Schädlingswelle aus, die per E-Mail anrollt. Durch eine clevere Wahl der Absender könnten auch versierte Anwender verleitet werden, dem darin enthaltenen Link zu folgen. Er führt zu bislang weitgehend unerkannter Malware.
Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen von Mitarbeitern desselben Unternehmens vor. Neben E-Mails mit eher nichtssagendem Betreff wie "Scan 28923323236" beinhalten einige Betreffzeilen zusätzlich den Namen des Empfängers – etwa in der Form "WG: gescanntes Dokument 14517127599 [Empfänger]".
Ist ja erst 3 Jahre als Standard definiert und vorher schon seit 10 Jahren in Gebrauch.... Ich fasse es nicht, dass in manchen Unternehmen solche Dinge nicht sauber konfiguriert sind.
Leider ist SPF nicht ganz unproblematisch. Ein Protokoll mit gleicher Zielsetzung, das aber auch bei Weiterleitungen funktioniert, ist DKIM - also wenn man schon so etwas einsetzen will, sollte man das nehmen und nicht das broken-by-design SPF :-)
hoppala
Also schon mal mindestens zwei Protokolle die nicht von den Standard-Mailclients ausgewertet werden? Standards, Normen, es interessiert dann doch wieder nur eine Minderheit...
SPF und DKIM sollte auch schon vom empfangenden Mailserver ausgewertet werden. Dann braucht sich der Client nicht mehr um den Rotz kümmern.Zitat:
Zitat von gerste
Du hast natürlich völlig recht... Irgendwie fiel mir aber (mal wieder) nur SPF ein. Pikanterweise hab ich hier lokal sogar laufen :DZitat:
Zitat von hoppala