Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Aus aktuellem Anlass: Gefälschte eMail-Adressen


Der Mailserver von D.I.E. steht im Büro in München - ich warte das Ding. Darum bekam ich auch heute einen Anruf aus Oberhausen: Ein Kunde hätte offenbar einen Virus und würde momentan alle paar Minuten eine etwa 1 MB grosse Datei an eine Adresse @die.de in Oberhausen versenden. Ob ich da nicht was machen könnte. Klar konnte ich - das ganze war schnell abgestellt.

Dabei fiel mir folgendes auf: Die Mail wurde nicht nur alle paar Minuten an eine Adresse bei uns, sondern bei der Gelegenheit noch gleich an ein paar hundert andere Empfänger versendet. Ich kann mir nicht vorstellen das diese sich freuen werden, wenn die morgen ein paar hundert MB an eMails im Postfach haben - denn die Mail enthielt ein etwa 1 MB grosses Attachment.

Noch interessanter: Das Ding wurde gar nicht von unserem Kunden versendete - sondern vom Rechner einer dritten Firma; nur der Absender war gefälscht sodass es so aussah, als wäre der Absender unser Kunde.

Ich kann mir sehr gut vorstellen das viele Leser bei meinen vorherigen Blog-Einträgen zum Thema gedacht haben 'Schön und gut - betrifft mich aber nicht, wer sollte schon ausgerechnet _meine_ eMail-Adresse verwenden...?' Alle Leser die das gedacht haben - jetzt bitte kurz die Hand heben... :-)  - Danke.

Nun - wie soll ich sagen: Auch Ingenieur-Büros werden eben als falscher Absender verwendet - man kann noch so fest dran glauben, das es einen nicht erwischen wird: Es wird einen trotzdem erwischen.

Daher hier nochmals die Bitte zu Ihrem eigenen Schutz: Kümmern Sie sich drum, das Ihr Mailserver SPF unterstützt um so etwas für sich zu vermeinden.

Hintergrund:

Wieso eMail-Adressen so leicht zu fälschen sind
Wie man sich vor eMail Adress-Fälschern schützt


Nochmal: eMails mit Viren und Dialern - Absender gefälscht


Ich hatte vor kurzen schonmal darauf hingewiesen, hatte aber heute wieder einen Fall bei dem ich darauf angesprochen wurde - darum hier nochmal...

Momentan kursieren wieder verstärkt Viren die versuchen sich per eMails weiterzuverteilen und die einen (gefälschten) Absender von die.de verwenden.

Der (gefälschte) Absender dieser Mails lautet 'Info@die.de'. (Das ist ein Account unter dem wir keine eMails versenden.) Die Betreff-Zeile lautet: 'Info von DIE'.

Der Inhalt der Mail lautet:

Diese Information ist geschützt durch ein Passwort!
Da Sie uns Ihre Persönlichen Daten zugesandt haben, ist das Passwort Ihr Geburts- Datum.

Viel Vergnügen mit unserem Angebot!
****
Im I-Net unter:
https://www.die.de

Die in der Mail angegebene Url zeigt auch tatsächlich auf unsere Webseite. Darüber hinaus enthält die eMail ein Attachment - darin befindet sich der eigentliche Virus.

Natürlich stammen diese eMails NICHT von uns - und natürlich stammen Sie auch nicht von einem unserer Server.

Sie können sich vor Personen die Absende-Adressen fälschen (das ist relativ einfach, wie ich hier beschrieben habe) indem Sie einen ISP verwenden der SPF unterstützt. Was SPF ist habe ich schon an verschiedenen Stellen im Blog beschrieben. Wenn Ihr ISP SPF nicht unterstützt -drängen Sie darauf das dies geschieht, oder suchen Sie sich schnellstmöglich einen anderen ISP. Wenn Sie selbst einen Mailserver betreiben: Bitte implementieren Sie SPF so schnell wie möglich - damit ist allen beteiligten weitergeholfen.


eMail-Absender: Keine Spams und Viren von D.I.E.


Weil hier momentan seit einigen Tagen mal wieder hunderte von zurücklaufenden Mails eingehen möchte ich nochmals wieder darauf hinweisen: D.I.E. versendet KEINE Viren und wir versenden auch keine Spam-Mails.

Mails mit Absendern wie 'tw@die.de' oder 'info@die.de' werden von Dritten versendet die dazu Absenderadressen fälschen. Wenn Sie solche Mails erhalten - und annehmen - dann schützen Sie sich schlechter als Sie das könnten. In der Praxis könnten Sie die Absender nämlich verifizieren, da wir zu diesem Zweck SPF-Records veröffentlichen.

Mehr dazu an verschiedenen Stellen hier im Blog.


Hotmail publiziert SPF Records


Ich habe bereits hier, hier, hier und hier auf das SPF hingewiesen - und natürlich auf die Tatsache das der D.I.E. Mailserver SPF unterstützt, und wir logischerweise auch SPF Einträge publizieren.

In den letzten paar Monaten hat sich eine ganze Menge getan - die Verbreitung von SPF nimmt immer stärker zu. Sehr positiv empfinde ich dabei die Tatsache das Hotmail (Microsofts FreeMail-Provider) seit Anfang des Monats auch dazu übergegangen ist SPF Einträge zu publizieren. Resultat: Bei uns kommen Spams mit gefälschten Hotmail-Adressen nicht mehr durch. Ebensowenig bei allen anderen Mailservern die SPF unterstützen.

Angesichts der Tatsache das Microsoft eigentlich eine eigene Technik (die sich allerdings nicht sonderlich stark von SPF unterscheidet) favorisiert ist die Verbreitung von SPF-Records durch Hotmail ein wirklich gutes Zeichen.


Die Nigeria-Connection spricht jetzt auch deutsch ...


... oder zumindest sowas ähnliches. :-)  Wem Nigeria-Connection nichts sagt: Hier ein paar Hintergründe

Und so sah sie aus, die Mail die (vor)gestern bei mir eingetrudelt ist:

Hallo,

Mein Name ist Herr Dave Williams und ich bin ein Unternehmens- berater, der
in England, Großbritannien lebt. Ein Klient von mir aus einem afrikanischen
Land setzte sich mit mir, mit einem Geschaft Vorschag. Ich soll Kontakt mit
Ihnen herstellen und ihr Angebot festsetzen,wenn Ihr Interesse echt ist, da
werde Ihre Kontodetails befragt, auf denen die Summe von $15,600.000.00 USD
(fünfzehn Millionen sechshundert thousaud US dollars) übertragen wird. Mein
Klientin ist die einzige Tochter von ein ehemalig afrikanischen Minister der
in eine Krankenhaus in Deutschland sterbe. Jetzt ist das ganze Kapital für
sie verlassen worden, weil sie das einzige Kind ist und das Kapital ist
jetzt in einer Sicherheits- gesellschaft. Mein Klientin will das Kapital nur
in einem deutschen Person-Bankkonto (Private oder Gesellschaft) übertragt
wird, wegen ihres Glaubens an deutsche Leute und persönliche Gründe. Lassen
Sie mich deutlich hier feststellen, dass das Bankkonto, das Sie versorgen
werden, das Sie braucht kein Kapital darin und das Bankkonto soll nur aktiv
sein und im Stande sein muss, diese Art des Kapitals zu erhalten. Wir haben
entschieden, dass für Ihre Hilfe Sie 20 % nach der Über- tragung behalten
können, und mein Klient erwartet, Sie diese Sache mit der höchsten
Geheimhaltung und Vertraulichkeit behandeln. So, wenn ich von Ihnen
innerhalb von drei Tagen nicht höre, werde ich annehmen, dass Sie sich nicht
interessieren, und ich werde um einen neuen Partner dringend bitten, aber
wenn Sie sich interessieren, e-Mail mir Bescheid. E-Mail uns Ihr Telefon und
Fax nummern, so wir mit Ihnen kommunizieren können. Wir werden Ihnen besser
erklären, nach wie Ihrer Telefonnummer bekommen.

Mit freundlichen Grüßen

Herrn Dave Williams.


PortQuery und Nmap


Es war heute mal wieder an der Zeit einen unserer Server upzudaten und danach schaue ich aus Routine auf die am Server geöffneten Ports. Das Tool der Wahl ist dabei natürlich nmap von dem es auch eine ganz passable Windows-Version gibt. (Normalerweise verwende ich aber lieber die Unix-Variante ...)

Ich halte aber auch immer nach 'neuen' Tools Ausschau und habe dabei heute zufällig einen Portscanner von Microsoft gefunden: PortQuery. Das Programm ist gar nicht mehr so neu, aber ich kannte es bisher nicht. Man kann damit nicht nur entfernte Rechner untersuchen, sondern auch den eigenen - und zwar deutlich besser als das mit den normalen Windows-Bordmitteln möglich ist. PortQuery gibts kostenlos bei Microsoft.

Wer sich mit der Kommandozeilenvariante des Programms nicht so recht wohlfühlt, für den gibt es dazu sogar eine (allerdings simple) graphische Oberfläche.

Es macht mit Sicherheit Sinn, den eigenen Rechner mal damit zu untersuchen: Es findet sich mit Sicherheit noch irgendwo ein horchender Dienst, den man eigentlich fürs Internet nicht freigeben wollte.


Sicherheitsproblem melden? Achtung bei der Mail-Adresse..


Wenn man mein ein Sicherheitsproblem in einem Microsoft-Produkt gefunden zu haben, dann kann man das melden: Dafür gibt es einen eMail-Alias, und der wird auch tatsächlich betreut.

Man muss aber aufpassen das man die richtige Mail-Adresse verwendet. Die richtige Adresse zum Melden von Sicherheitsproblemen ist secure@microsoft.com.

Die falsche Adresse ist 'security@microsoft.com' - das ist die Mail-Adresse von den Leuten in den schwarzen Uniformen die auf dem Firmengelände 'aufpassend' herumlaufen....

Dank an Dana Epp.