Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Nochmal: eMails mit Viren und Dialern - Absender gefälscht


Ich hatte vor kurzen schonmal darauf hingewiesen, hatte aber heute wieder einen Fall bei dem ich darauf angesprochen wurde - darum hier nochmal...

Momentan kursieren wieder verstärkt Viren die versuchen sich per eMails weiterzuverteilen und die einen (gefälschten) Absender von die.de verwenden.

Der (gefälschte) Absender dieser Mails lautet 'Info@die.de'. (Das ist ein Account unter dem wir keine eMails versenden.) Die Betreff-Zeile lautet: 'Info von DIE'.

Der Inhalt der Mail lautet:

Diese Information ist geschützt durch ein Passwort!
Da Sie uns Ihre Persönlichen Daten zugesandt haben, ist das Passwort Ihr Geburts- Datum.

Viel Vergnügen mit unserem Angebot!
****
Im I-Net unter:
https://www.die.de

Die in der Mail angegebene Url zeigt auch tatsächlich auf unsere Webseite. Darüber hinaus enthält die eMail ein Attachment - darin befindet sich der eigentliche Virus.

Natürlich stammen diese eMails NICHT von uns - und natürlich stammen Sie auch nicht von einem unserer Server.

Sie können sich vor Personen die Absende-Adressen fälschen (das ist relativ einfach, wie ich hier beschrieben habe) indem Sie einen ISP verwenden der SPF unterstützt. Was SPF ist habe ich schon an verschiedenen Stellen im Blog beschrieben. Wenn Ihr ISP SPF nicht unterstützt -drängen Sie darauf das dies geschieht, oder suchen Sie sich schnellstmöglich einen anderen ISP. Wenn Sie selbst einen Mailserver betreiben: Bitte implementieren Sie SPF so schnell wie möglich - damit ist allen beteiligten weitergeholfen.


eMail-Absender: Keine Spams und Viren von D.I.E.


Weil hier momentan seit einigen Tagen mal wieder hunderte von zurücklaufenden Mails eingehen möchte ich nochmals wieder darauf hinweisen: D.I.E. versendet KEINE Viren und wir versenden auch keine Spam-Mails.

Mails mit Absendern wie 'tw@die.de' oder 'info@die.de' werden von Dritten versendet die dazu Absenderadressen fälschen. Wenn Sie solche Mails erhalten - und annehmen - dann schützen Sie sich schlechter als Sie das könnten. In der Praxis könnten Sie die Absender nämlich verifizieren, da wir zu diesem Zweck SPF-Records veröffentlichen.

Mehr dazu an verschiedenen Stellen hier im Blog.


Hotmail publiziert SPF Records


Ich habe bereits hier, hier, hier und hier auf das SPF hingewiesen - und natürlich auf die Tatsache das der D.I.E. Mailserver SPF unterstützt, und wir logischerweise auch SPF Einträge publizieren.

In den letzten paar Monaten hat sich eine ganze Menge getan - die Verbreitung von SPF nimmt immer stärker zu. Sehr positiv empfinde ich dabei die Tatsache das Hotmail (Microsofts FreeMail-Provider) seit Anfang des Monats auch dazu übergegangen ist SPF Einträge zu publizieren. Resultat: Bei uns kommen Spams mit gefälschten Hotmail-Adressen nicht mehr durch. Ebensowenig bei allen anderen Mailservern die SPF unterstützen.

Angesichts der Tatsache das Microsoft eigentlich eine eigene Technik (die sich allerdings nicht sonderlich stark von SPF unterscheidet) favorisiert ist die Verbreitung von SPF-Records durch Hotmail ein wirklich gutes Zeichen.


Die Nigeria-Connection spricht jetzt auch deutsch ...


... oder zumindest sowas ähnliches. :-)  Wem Nigeria-Connection nichts sagt: Hier ein paar Hintergründe

Und so sah sie aus, die Mail die (vor)gestern bei mir eingetrudelt ist:

Hallo,

Mein Name ist Herr Dave Williams und ich bin ein Unternehmens- berater, der
in England, Großbritannien lebt. Ein Klient von mir aus einem afrikanischen
Land setzte sich mit mir, mit einem Geschaft Vorschag. Ich soll Kontakt mit
Ihnen herstellen und ihr Angebot festsetzen,wenn Ihr Interesse echt ist, da
werde Ihre Kontodetails befragt, auf denen die Summe von $15,600.000.00 USD
(fünfzehn Millionen sechshundert thousaud US dollars) übertragen wird. Mein
Klientin ist die einzige Tochter von ein ehemalig afrikanischen Minister der
in eine Krankenhaus in Deutschland sterbe. Jetzt ist das ganze Kapital für
sie verlassen worden, weil sie das einzige Kind ist und das Kapital ist
jetzt in einer Sicherheits- gesellschaft. Mein Klientin will das Kapital nur
in einem deutschen Person-Bankkonto (Private oder Gesellschaft) übertragt
wird, wegen ihres Glaubens an deutsche Leute und persönliche Gründe. Lassen
Sie mich deutlich hier feststellen, dass das Bankkonto, das Sie versorgen
werden, das Sie braucht kein Kapital darin und das Bankkonto soll nur aktiv
sein und im Stande sein muss, diese Art des Kapitals zu erhalten. Wir haben
entschieden, dass für Ihre Hilfe Sie 20 % nach der Über- tragung behalten
können, und mein Klient erwartet, Sie diese Sache mit der höchsten
Geheimhaltung und Vertraulichkeit behandeln. So, wenn ich von Ihnen
innerhalb von drei Tagen nicht höre, werde ich annehmen, dass Sie sich nicht
interessieren, und ich werde um einen neuen Partner dringend bitten, aber
wenn Sie sich interessieren, e-Mail mir Bescheid. E-Mail uns Ihr Telefon und
Fax nummern, so wir mit Ihnen kommunizieren können. Wir werden Ihnen besser
erklären, nach wie Ihrer Telefonnummer bekommen.

Mit freundlichen Grüßen

Herrn Dave Williams.


PortQuery und Nmap


Es war heute mal wieder an der Zeit einen unserer Server upzudaten und danach schaue ich aus Routine auf die am Server geöffneten Ports. Das Tool der Wahl ist dabei natürlich nmap von dem es auch eine ganz passable Windows-Version gibt. (Normalerweise verwende ich aber lieber die Unix-Variante ...)

Ich halte aber auch immer nach 'neuen' Tools Ausschau und habe dabei heute zufällig einen Portscanner von Microsoft gefunden: PortQuery. Das Programm ist gar nicht mehr so neu, aber ich kannte es bisher nicht. Man kann damit nicht nur entfernte Rechner untersuchen, sondern auch den eigenen - und zwar deutlich besser als das mit den normalen Windows-Bordmitteln möglich ist. PortQuery gibts kostenlos bei Microsoft.

Wer sich mit der Kommandozeilenvariante des Programms nicht so recht wohlfühlt, für den gibt es dazu sogar eine (allerdings simple) graphische Oberfläche.

Es macht mit Sicherheit Sinn, den eigenen Rechner mal damit zu untersuchen: Es findet sich mit Sicherheit noch irgendwo ein horchender Dienst, den man eigentlich fürs Internet nicht freigeben wollte.


Sicherheitsproblem melden? Achtung bei der Mail-Adresse..


Wenn man mein ein Sicherheitsproblem in einem Microsoft-Produkt gefunden zu haben, dann kann man das melden: Dafür gibt es einen eMail-Alias, und der wird auch tatsächlich betreut.

Man muss aber aufpassen das man die richtige Mail-Adresse verwendet. Die richtige Adresse zum Melden von Sicherheitsproblemen ist secure@microsoft.com.

Die falsche Adresse ist 'security@microsoft.com' - das ist die Mail-Adresse von den Leuten in den schwarzen Uniformen die auf dem Firmengelände 'aufpassend' herumlaufen....

Dank an Dana Epp.


Windows XP SP2 auf deutsch


Hier ist die offizielle deutsche Seite zum Windows XP Service Pack2. Da gibts das Download einen Link zum 'neuen' Windows-Update und Texte und Dokumentationen rund um das Programm. Der Fokus der Seite liegt zwar auf Entwickler, aber auch sonst jedermann kann da natürlich das deutsche SP2 erhalten.


Windows XP SP2: Änderungen bei Work&Cash


Ab Montag dem 16. August beginnt Microsoft damit das Service Pack 2 für Windows XP auch an 'Normale' Anwender auszuliefern. Wenn Sie die Funktion fürs automatische Update von Windows verwenden, dann wird ihr Windows im Laufe der nächsten Tage automatisch aufs SP2 umgestellt.

Das SP2 ist im wesentlichen ein Sicherheitsupdate. Warum Sie das SP2 auf jeden Fall einsetzen sollten habe ich bereits hier geschrieben.

Auswirkungen des SP2 auf unsere Statikprogramme

Wir haben in den letzten Monate sowohl am öffentlichen wie auch am nichtöffentlichen Betatest des SP2 teilgenommen und konnten in dessen Verlauf keinerlei Auswirkungen des SP2 auf unsere Programme feststellen.

Sie müssen nach der Installation des SP2 allerdings einmalig tätig werden um die Statiksoftware normal weiter nutzen zu können - und zwar dann, wenn Sie unsere Programme im Rahmen eines Work&Cash Vertrages nutzen.

Der Grund dafür ist der, das das SP2 mit einer eingebauten und von Haus aus eingeschalteten Firewall ausgestattet ist. Das ist eine gute Sache, und Sie sollten diese Firewall auf jeden Fall nutzen - zumindest dann, wenn Sie über keine andere aktuelle Firewall verfügen.

Diese Firewall blockiert Netzwerkverbindungen: Wenn auf Ihrem System ein Programm läuft das solche Verbindungen annimmt - wenn es also als Server fungiert - dann wird dies von der ins SP2 eingebauten Firewall zunächst unterbunden. Startet ein solches Programm, dann zeigt die Firewall eine Meldung an um darauf hinzuweisen, das ein Server-Programm entdeckt wurde.

Der 'TimeWise' Server der zu Ihrer Work&Cash Lizenz gehört ist ein solches Programm. Beim TimeWise Server handelt es sich um die Software die Ihre Zeiteinheiten verwaltet, und von der die einzelnen Programme Zeitblöcke fürs arbeiten abholen können. Der TimeWise Server läuft lokal auf Ihrer Workstation (oder einer in Ihrem LAN). Ob der TimeWise Server läuft oder nicht, können Sie an einem kleinen roten 'D' in der Taskleiste neben der Uhr erkennen.

Wenn der TimeWise Server nach der Installation des SP2 zum ersten Mal gestartet wird, dann erhalten Sie die folgende Meldung der Windows Firewall:

Damit Ihre Statikprogramme mit dem Server kommunizieren können müssen Sie diese Kommunikation freigeben. Das tun Sie, indem Sie auf diesem Dialog den Button 'Nicht mehr blocken' drücken. Danach startet der TimeServer und damit auch die Statikprogramme ohne Probleme.

Wenn Sie dann über die Systemsteuerung in die Einstellungen der Windows-Firewall gehen, dann finden Sie dort folgenden Dialog vor:

Der TimeWise-Server ist in dieser Abbildung das Programm ganz unten in der Liste der Programme. (XTimeWise Server-Part for local and LAN setups). Das Häkchen neben dem Programm besagt, das für dieses Programm die Blockierung durch die Firewall aufgehoben ist.

Die Blockierung wird dabei von Haus aus völlig aufgehoben - das ist aber deutlich freier als notwendig: Der TimeServer muss nämlich nur vom eigenen Rechner oder von Rechnern in Ihrem LAN (Subnetz) erreichbar sein. Das können Sie mit dem Button 'Bearbeiten' einstellen: Wenn Sie hir die Option für 'Subnetze' wählen, dann ist ihr TimeWise Server nur noch aus dem eigenen LAN erreichbar - genau so sollte das auch sein.