Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Merkwürdiges Spam Problem

Frage Sicherheit

Mitglied: Sparlampe

Sparlampe (Level 1) - Jetzt verbinden

04.12.2014, aktualisiert 17:38 Uhr, 1242 Aufrufe, 12 Kommentare

Hi,

gestern erreichte uns direkt von mehreren unserer Kunden der Hinweis, dass sie Spam-Mails von erhalten würden.

From: "MITARBEITERA@example.com" <susan@***.co.uk>
To: "Max Firma Muster" <max.muster@example.com>
Subject: Nr. 7596900, 03. December 2014 / 07:22:55
Date: Wed, 3 Dec 2014 08:26:12 +0100

Die E-Mail enthält einen Link zu einem infiltrierten ZIP-File (anscheinend kompromittiertes Wordpress). Der Text der E-Mail variiert. Der „Absender“ nicht. (Virus Total)

Den PC vom Kollegen habe ich direkt vom Netz genommen und zur Analyse in der VM gestartet. Ich hatte angenommen, dass die Kontakte aus Outlooks Autosuggestion stammen könnten da die Begrüßung die gleiche wie der Text aus dem From-Header ist (z.B. Guten Tag Max Firma Muster), aber die Adressen existierten nicht im Autosuggestions-File. Auch nicht als gespeicherte Adressen oder Kontakte. Auch hat der Mitarbeiter für gewöhnlich keinen Kontakt zu diesen Kunden.

Abwegig finde ich, dass MitarbeiterA selbst eine seiner Spam E-Mails bekommen hat.

Offensichtlich ist, dass die E-Mails nicht von unserem Mail-Server rausgegangen sind sondern jedes mal von einem anderen open relay. Unser E-Mail Server ist inkl. im Shared-Hosting bei einem namhaften deutschen Provider (Keine Groupware o.ä.).

Der Check mit diversen Live-Scannern brachte keinen Erfolg.

Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen könnte?

Mitglied: AnkhMorpork
04.12.2014, aktualisiert um 17:38 Uhr
Hi,

auf jeden Fall mal die Mailheader genau unter die Lupe nehmen. Vielleicht finden sich da verwertbare Informationen.

Gruß

ankh
Bitte warten ..
Mitglied: Lochkartenstanzer
04.12.2014, aktualisiert um 17:38 Uhr
Zitat von Sparlampe:

Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen
könnte?

Wenn du die Header geprüft hast und festgesteltl hast, daß dier mails von offenenen relays gesendet wurden, kannst Du erstmal nicht viel dagegen unetrnehmen.

Offensichtlich hat es aber ein datenleck gegeben, wo de Adresseliste "geklaut" wurde. Da bliebe erstmal zu klären, wo das Leck genauer ist.

ob Du bei einem namhaften Provider hostest oder nciht, shützt Dich nciht davor, "gehackt" zu werden. Insbesodnere die großen provider sind bevorzugte Angriffsziele, eben weil es da besodners viel zu holen gibt. es kann als durchaus sein, daß bei denen irgendwo eien Laus im Pelz sitzt.

lks

PS: Seid Ihr oder ein Kunde ein Unternehmen, das wirtschaftlich für die USA, Russlan, China, etc. interessant sein könnte? dann könnte es genausogut ein Wirtschaftsspionageangriff sein, der als "SPAM" getarnt ist.
Bitte warten ..
Mitglied: Sparlampe
04.12.2014, aktualisiert um 16:11 Uhr
Hi ihr beiden,

ihr seid hier aber flott!

Die E-Mail-Header sind total nichtssagend und waren leider mein einzige Anhaltspunkt.

Zitat von Lochkartenstanzer:
Offensichtlich hat es aber ein datenleck gegeben, wo de Adresseliste "geklaut" wurde. Da bliebe erstmal zu klären,
wo das Leck genauer ist.

Das merkwürdige ist: Wir führen keine zentralen Adressbestände. Der Support weiß natürlich von nichts und sollte es ein Leck bei ihm sein würde wahrscheinlich der Versand direkt erfolgen und nicht über wechselnde Relays.

Da die Verbindungen sind bei allen MUAs SSL-Verschlüsselt.

Anubis ist leider down so, dass ich die EXE nicht analysieren lassen kann.

Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich nicht gerade „amused“ darüber.
Bitte warten ..
Mitglied: Lochkartenstanzer
04.12.2014, aktualisiert um 17:38 Uhr
Zitat von Sparlampe:

Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich
nicht gerade „amused“ darüber.

Du kannst ihnen aber anhand der Header erklären, daß Ihr nicht dafür verantwortlich wart. Am besten imerm das beispiel eines normalen briefes mit gefälschtem Absender nehmen, der in irgendein Postzustellzentrum eingeworfen wurde. Wenn die nicht total doof sind beruhgt das erstmal die gemüter.

lks
Bitte warten ..
Mitglied: Chonta
04.12.2014 um 18:00 Uhr
Hallo,

die Mailadresse Eures Mitarbeiters kann beim Spamer durch irgendeinen Kunden den Euer mitarbeiter mal angeschrieben hat abgekommen sein.
Für Spameinstufung:
"MITARBEITERA@example.com" <susan@*.co.uk>
Ist susan@
*.co.uk die Absendeadresse und ***.co.uk der Server.
MITARBEITERA@example.com ISt ein Feld das auch fuvhw9fvgwgf97wg hätte heißen können und hat nichts mit dem eigentlichen Absender zutun.
Aber es wird von vielen Mailprogrammen als der Name/Person des Absenders Interpretiert und darauf spekulieren die Spamer.

Gruß

Chonta
Bitte warten ..
Mitglied: AnkhMorpork
05.12.2014 um 07:53 Uhr
Hier mal ein Beispiel, wie ich eine E-Mail mit beliebigen Absender-Daten erstellen kann (Powershell):

01.
Function SendEMail ([String]$To = "Name@Firma.de", [String]$Subj = "Test") 
02.
03.
$PSEmailServer = "mail.Firma.de" 
04.
$From = "anywho@anywhere.de" 
05.
$Body = "Test für Send-MailMessage ..." 
06.
$Cred = "Sender" 
07.
 
08.
Send-MailMessage -to $To -from $From -Subject $Subj -body $Body -Credential $Cred -encoding ([System.Text.Encoding]::UTF8)
Ich habe es probiert, und es lüpp!
Bitte warten ..
Mitglied: 16568
05.12.2014 um 10:54 Uhr
Zitat von AnkhMorpork:
Ich habe es probiert, und es lüpp!

Wetten, daß Dein Beispiel SO nicht lüppt?


Lonesome Walker
Bitte warten ..
Mitglied: AnkhMorpork
05.12.2014 um 11:04 Uhr
Zitat von 16568:

> Zitat von AnkhMorpork:
> Ich habe es probiert, und es lüpp!

Wetten, daß Dein Beispiel SO nicht lüppt?


Lonesome Walker

Wenn ich in die Platzhalter gültige Einträge schreibe schon.
Bitte warten ..
Mitglied: Sparlampe
05.12.2014 um 13:49 Uhr
Hi,

wie einfach es ist ist mir bewusst (selbst schon dutzende male einen Mailstack aufgesetzt). Aber wie die Adressen abhanden gekommen sind in diesem großen Ausmaß das ist mir ein Rätsel.
Bitte warten ..
Mitglied: Chonta
05.12.2014 um 13:59 Uhr
Wurde mit jedem Eurer Mitarbeiter als Absender eine Spammail versendet?

Wie können Mailadressen "abhanden" kommen?
Einem der ne Mail von euch bekommen hat ist das Adressbuch geklaut worden.
Mailadressen auf Euerer Webseite /Facebook angegeben.
Newsletter usv.

Gruß

Chonta
Bitte warten ..
Mitglied: 16568
06.12.2014 um 15:19 Uhr
Zitat von AnkhMorpork:
Wenn ich in die Platzhalter gültige Einträge schreibe schon.

Klammer...?


Lonesome Walker
Bitte warten ..
Mitglied: AnkhMorpork
06.12.2014 um 15:47 Uhr
Zitat von 16568:

> Zitat von AnkhMorpork:
> Wenn ich in die Platzhalter gültige Einträge schreibe schon.

Klammer...?


Lonesome Walker

Tja, erwischt! Schönen Gruß vom Copy & Paste ...

Aber davon ab: Ich wollte nur zeigen, mit welch wenig Aufwand eine Spam-Schleuder arbeitet. Fürs Versenden hole man sich eine Trash-EMail Adresse, als Absender kann ich eintragen, was ich will, und das wars.

Schönes Rest-WE

ankh
Bitte warten ..
Ähnliche Inhalte
Bibliotheken & Toolkits
Merkwürdiges Problem bei pdf-Einbindung
Frage von bannyboyBibliotheken & Toolkits1 Kommentar

Hallo, zusammen! Ich erstelle mir gerade eine Vorlage für meine Abschlussarbeit und bin dabei auf ein Problem gestoßen, das ...

E-Mail
Problem mit Spam-Mail
Frage von huberdE-Mail6 Kommentare

Hallo zusammen, wir bekommen immer wieder Mails die auf den ersten Blick aussehen, als ob diese von uns intern ...

Outlook & Mail
Outlook 2016 Spam Problem
gelöst Frage von angler2001Outlook & Mail6 Kommentare

Hallo, ich benutze Outlook 2016 und habe folgendes Problem. Die Einstellungen für die Spam Mails scheinen nicht mehr zu ...

Outlook & Mail
Outlook 2010 Spam-Problem
gelöst Frage von InFactOutlook & Mail2 Kommentare

Hallo an alle, ich habe per Exchange mehrere Email-Konten mit einem Outlook (2010) Profil verknüpft. Letztens wurden nun SPAM ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 10 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 15 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 15 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
SMBv1 deaktivieren führte zur Katastrophe, keine Domänenanmeldung mehr
Frage von Freak-On-SiliconWindows Server14 Kommentare

Servus; Habe Mist gebaut. Umgebung: Server 2012R2 Domäne 2x DC ~10 Memberserver (2012R2 und 2008R2) ~100 Windows 8 Clients ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Grafikkarten & Monitore
2x 4K Monitore an einer GraKa betreiben
gelöst Frage von JollyJumper83Grafikkarten & Monitore10 Kommentare

Hallo liebe IT-Gemeinde, ich bin auf der Suche nach einer kostengünstigen GraKa für meinen Präsentations-PC. Wir möchten in unserem ...