Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Merkwürdiges Spam Problem

Mitglied: Sparlampe

Sparlampe (Level 1) - Jetzt verbinden

04.12.2014, aktualisiert 17:38 Uhr, 1253 Aufrufe, 12 Kommentare

Hi,

gestern erreichte uns direkt von mehreren unserer Kunden der Hinweis, dass sie Spam-Mails von erhalten würden.

From: "MITARBEITERA@example.com" <susan@***.co.uk>
To: "Max Firma Muster" <max.muster@example.com>
Subject: Nr. 7596900, 03. December 2014 / 07:22:55
Date: Wed, 3 Dec 2014 08:26:12 +0100

Die E-Mail enthält einen Link zu einem infiltrierten ZIP-File (anscheinend kompromittiertes Wordpress). Der Text der E-Mail variiert. Der „Absender“ nicht. (Virus Total)

Den PC vom Kollegen habe ich direkt vom Netz genommen und zur Analyse in der VM gestartet. Ich hatte angenommen, dass die Kontakte aus Outlooks Autosuggestion stammen könnten da die Begrüßung die gleiche wie der Text aus dem From-Header ist (z.B. Guten Tag Max Firma Muster), aber die Adressen existierten nicht im Autosuggestions-File. Auch nicht als gespeicherte Adressen oder Kontakte. Auch hat der Mitarbeiter für gewöhnlich keinen Kontakt zu diesen Kunden.

Abwegig finde ich, dass MitarbeiterA selbst eine seiner Spam E-Mails bekommen hat.

Offensichtlich ist, dass die E-Mails nicht von unserem Mail-Server rausgegangen sind sondern jedes mal von einem anderen open relay. Unser E-Mail Server ist inkl. im Shared-Hosting bei einem namhaften deutschen Provider (Keine Groupware o.ä.).

Der Check mit diversen Live-Scannern brachte keinen Erfolg.

Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen könnte?

Mitglied: AnkhMorpork
04.12.2014, aktualisiert um 17:38 Uhr
Hi,

auf jeden Fall mal die Mailheader genau unter die Lupe nehmen. Vielleicht finden sich da verwertbare Informationen.

Gruß

ankh
Bitte warten ..
Mitglied: Lochkartenstanzer
04.12.2014, aktualisiert um 17:38 Uhr
Zitat von Sparlampe:

Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen
könnte?

Wenn du die Header geprüft hast und festgesteltl hast, daß dier mails von offenenen relays gesendet wurden, kannst Du erstmal nicht viel dagegen unetrnehmen.

Offensichtlich hat es aber ein datenleck gegeben, wo de Adresseliste "geklaut" wurde. Da bliebe erstmal zu klären, wo das Leck genauer ist.

ob Du bei einem namhaften Provider hostest oder nciht, shützt Dich nciht davor, "gehackt" zu werden. Insbesodnere die großen provider sind bevorzugte Angriffsziele, eben weil es da besodners viel zu holen gibt. es kann als durchaus sein, daß bei denen irgendwo eien Laus im Pelz sitzt.

lks

PS: Seid Ihr oder ein Kunde ein Unternehmen, das wirtschaftlich für die USA, Russlan, China, etc. interessant sein könnte? dann könnte es genausogut ein Wirtschaftsspionageangriff sein, der als "SPAM" getarnt ist.
Bitte warten ..
Mitglied: Sparlampe
04.12.2014, aktualisiert um 16:11 Uhr
Hi ihr beiden,

ihr seid hier aber flott!

Die E-Mail-Header sind total nichtssagend und waren leider mein einzige Anhaltspunkt.

Zitat von Lochkartenstanzer:
Offensichtlich hat es aber ein datenleck gegeben, wo de Adresseliste "geklaut" wurde. Da bliebe erstmal zu klären,
wo das Leck genauer ist.

Das merkwürdige ist: Wir führen keine zentralen Adressbestände. Der Support weiß natürlich von nichts und sollte es ein Leck bei ihm sein würde wahrscheinlich der Versand direkt erfolgen und nicht über wechselnde Relays.

Da die Verbindungen sind bei allen MUAs SSL-Verschlüsselt.

Anubis ist leider down so, dass ich die EXE nicht analysieren lassen kann.

Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich nicht gerade „amused“ darüber.
Bitte warten ..
Mitglied: Lochkartenstanzer
04.12.2014, aktualisiert um 17:38 Uhr
Zitat von Sparlampe:

Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich
nicht gerade „amused“ darüber.

Du kannst ihnen aber anhand der Header erklären, daß Ihr nicht dafür verantwortlich wart. Am besten imerm das beispiel eines normalen briefes mit gefälschtem Absender nehmen, der in irgendein Postzustellzentrum eingeworfen wurde. Wenn die nicht total doof sind beruhgt das erstmal die gemüter.

lks
Bitte warten ..
Mitglied: Chonta
04.12.2014 um 18:00 Uhr
Hallo,

die Mailadresse Eures Mitarbeiters kann beim Spamer durch irgendeinen Kunden den Euer mitarbeiter mal angeschrieben hat abgekommen sein.
Für Spameinstufung:
"MITARBEITERA@example.com" <susan@*.co.uk>
Ist susan@
*.co.uk die Absendeadresse und ***.co.uk der Server.
MITARBEITERA@example.com ISt ein Feld das auch fuvhw9fvgwgf97wg hätte heißen können und hat nichts mit dem eigentlichen Absender zutun.
Aber es wird von vielen Mailprogrammen als der Name/Person des Absenders Interpretiert und darauf spekulieren die Spamer.

Gruß

Chonta
Bitte warten ..
Mitglied: AnkhMorpork
05.12.2014 um 07:53 Uhr
Hier mal ein Beispiel, wie ich eine E-Mail mit beliebigen Absender-Daten erstellen kann (Powershell):

01.
Function SendEMail ([String]$To = "Name@Firma.de", [String]$Subj = "Test") 
02.
03.
$PSEmailServer = "mail.Firma.de" 
04.
$From = "anywho@anywhere.de" 
05.
$Body = "Test für Send-MailMessage ..." 
06.
$Cred = "Sender" 
07.
 
08.
Send-MailMessage -to $To -from $From -Subject $Subj -body $Body -Credential $Cred -encoding ([System.Text.Encoding]::UTF8)
Ich habe es probiert, und es lüpp!
Bitte warten ..
Mitglied: 16568
05.12.2014 um 10:54 Uhr
Zitat von AnkhMorpork:
Ich habe es probiert, und es lüpp!

Wetten, daß Dein Beispiel SO nicht lüppt?


Lonesome Walker
Bitte warten ..
Mitglied: AnkhMorpork
05.12.2014 um 11:04 Uhr
Zitat von 16568:

> Zitat von AnkhMorpork:
> Ich habe es probiert, und es lüpp!

Wetten, daß Dein Beispiel SO nicht lüppt?


Lonesome Walker

Wenn ich in die Platzhalter gültige Einträge schreibe schon.
Bitte warten ..
Mitglied: Sparlampe
05.12.2014 um 13:49 Uhr
Hi,

wie einfach es ist ist mir bewusst (selbst schon dutzende male einen Mailstack aufgesetzt). Aber wie die Adressen abhanden gekommen sind in diesem großen Ausmaß das ist mir ein Rätsel.
Bitte warten ..
Mitglied: Chonta
05.12.2014 um 13:59 Uhr
Wurde mit jedem Eurer Mitarbeiter als Absender eine Spammail versendet?

Wie können Mailadressen "abhanden" kommen?
Einem der ne Mail von euch bekommen hat ist das Adressbuch geklaut worden.
Mailadressen auf Euerer Webseite /Facebook angegeben.
Newsletter usv.

Gruß

Chonta
Bitte warten ..
Mitglied: 16568
06.12.2014 um 15:19 Uhr
Zitat von AnkhMorpork:
Wenn ich in die Platzhalter gültige Einträge schreibe schon.

Klammer...?


Lonesome Walker
Bitte warten ..
Mitglied: AnkhMorpork
06.12.2014 um 15:47 Uhr
Zitat von 16568:

> Zitat von AnkhMorpork:
> Wenn ich in die Platzhalter gültige Einträge schreibe schon.

Klammer...?


Lonesome Walker

Tja, erwischt! Schönen Gruß vom Copy & Paste ...

Aber davon ab: Ich wollte nur zeigen, mit welch wenig Aufwand eine Spam-Schleuder arbeitet. Fürs Versenden hole man sich eine Trash-EMail Adresse, als Absender kann ich eintragen, was ich will, und das wars.

Schönes Rest-WE

ankh
Bitte warten ..
Ähnliche Inhalte
Bibliotheken & Toolkits

Merkwürdiges Problem bei pdf-Einbindung

Frage von bannyboyBibliotheken & Toolkits1 Kommentar

Hallo, zusammen! Ich erstelle mir gerade eine Vorlage für meine Abschlussarbeit und bin dabei auf ein Problem gestoßen, das ...

E-Mail

Problem mit Spam-Mail

Frage von huberdE-Mail6 Kommentare

Hallo zusammen, wir bekommen immer wieder Mails die auf den ersten Blick aussehen, als ob diese von uns intern ...

Outlook & Mail

Outlook 2016 Spam Problem

gelöst Frage von angler2001Outlook & Mail6 Kommentare

Hallo, ich benutze Outlook 2016 und habe folgendes Problem. Die Einstellungen für die Spam Mails scheinen nicht mehr zu ...

Outlook & Mail

Outlook 2010 Spam-Problem

gelöst Frage von InFactOutlook & Mail2 Kommentare

Hallo an alle, ich habe per Exchange mehrere Email-Konten mit einem Outlook (2010) Profil verknüpft. Letztens wurden nun SPAM ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 6 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 9 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 9 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server
Route-Befehl Unterstützung (unter CMD)
Frage von FKRR56Server12 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...