Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Merkwürdiges Spam Problem

Frage Sicherheit

Mitglied: Sparlampe

Sparlampe (Level 1) - Jetzt verbinden

04.12.2014, aktualisiert 17:38 Uhr, 1206 Aufrufe, 12 Kommentare

Hi,

gestern erreichte uns direkt von mehreren unserer Kunden der Hinweis, dass sie Spam-Mails von erhalten würden.

From: "MITARBEITERA@example.com" <susan@***.co.uk>
To: "Max Firma Muster" <max.muster@example.com>
Subject: Nr. 7596900, 03. December 2014 / 07:22:55
Date: Wed, 3 Dec 2014 08:26:12 +0100

Die E-Mail enthält einen Link zu einem infiltrierten ZIP-File (anscheinend kompromittiertes Wordpress). Der Text der E-Mail variiert. Der „Absender“ nicht. (Virus Total)

Den PC vom Kollegen habe ich direkt vom Netz genommen und zur Analyse in der VM gestartet. Ich hatte angenommen, dass die Kontakte aus Outlooks Autosuggestion stammen könnten da die Begrüßung die gleiche wie der Text aus dem From-Header ist (z.B. Guten Tag Max Firma Muster), aber die Adressen existierten nicht im Autosuggestions-File. Auch nicht als gespeicherte Adressen oder Kontakte. Auch hat der Mitarbeiter für gewöhnlich keinen Kontakt zu diesen Kunden.

Abwegig finde ich, dass MitarbeiterA selbst eine seiner Spam E-Mails bekommen hat.

Offensichtlich ist, dass die E-Mails nicht von unserem Mail-Server rausgegangen sind sondern jedes mal von einem anderen open relay. Unser E-Mail Server ist inkl. im Shared-Hosting bei einem namhaften deutschen Provider (Keine Groupware o.ä.).

Der Check mit diversen Live-Scannern brachte keinen Erfolg.

Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen könnte?

Mitglied: AnkhMorpork
04.12.2014, aktualisiert um 17:38 Uhr
Hi,

auf jeden Fall mal die Mailheader genau unter die Lupe nehmen. Vielleicht finden sich da verwertbare Informationen.

Gruß

ankh
Bitte warten ..
Mitglied: Lochkartenstanzer
04.12.2014, aktualisiert um 17:38 Uhr
Zitat von Sparlampe:

Ich möchte nicht auf einen dummen Zufall hoffen. Vielleicht kann mir jemand von euch einen Tipp geben wo ich noch ansetzen
könnte?

Wenn du die Header geprüft hast und festgesteltl hast, daß dier mails von offenenen relays gesendet wurden, kannst Du erstmal nicht viel dagegen unetrnehmen.

Offensichtlich hat es aber ein datenleck gegeben, wo de Adresseliste "geklaut" wurde. Da bliebe erstmal zu klären, wo das Leck genauer ist.

ob Du bei einem namhaften Provider hostest oder nciht, shützt Dich nciht davor, "gehackt" zu werden. Insbesodnere die großen provider sind bevorzugte Angriffsziele, eben weil es da besodners viel zu holen gibt. es kann als durchaus sein, daß bei denen irgendwo eien Laus im Pelz sitzt.

lks

PS: Seid Ihr oder ein Kunde ein Unternehmen, das wirtschaftlich für die USA, Russlan, China, etc. interessant sein könnte? dann könnte es genausogut ein Wirtschaftsspionageangriff sein, der als "SPAM" getarnt ist.
Bitte warten ..
Mitglied: Sparlampe
04.12.2014, aktualisiert um 16:11 Uhr
Hi ihr beiden,

ihr seid hier aber flott!

Die E-Mail-Header sind total nichtssagend und waren leider mein einzige Anhaltspunkt.

Zitat von Lochkartenstanzer:
Offensichtlich hat es aber ein datenleck gegeben, wo de Adresseliste "geklaut" wurde. Da bliebe erstmal zu klären,
wo das Leck genauer ist.

Das merkwürdige ist: Wir führen keine zentralen Adressbestände. Der Support weiß natürlich von nichts und sollte es ein Leck bei ihm sein würde wahrscheinlich der Versand direkt erfolgen und nicht über wechselnde Relays.

Da die Verbindungen sind bei allen MUAs SSL-Verschlüsselt.

Anubis ist leider down so, dass ich die EXE nicht analysieren lassen kann.

Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich nicht gerade „amused“ darüber.
Bitte warten ..
Mitglied: Lochkartenstanzer
04.12.2014, aktualisiert um 17:38 Uhr
Zitat von Sparlampe:

Ich weiß leider überhaupt nicht wie ich mich in der Situation weiter verhalten soll. Unsere Kunden sind natürlich
nicht gerade „amused“ darüber.

Du kannst ihnen aber anhand der Header erklären, daß Ihr nicht dafür verantwortlich wart. Am besten imerm das beispiel eines normalen briefes mit gefälschtem Absender nehmen, der in irgendein Postzustellzentrum eingeworfen wurde. Wenn die nicht total doof sind beruhgt das erstmal die gemüter.

lks
Bitte warten ..
Mitglied: Chonta
04.12.2014 um 18:00 Uhr
Hallo,

die Mailadresse Eures Mitarbeiters kann beim Spamer durch irgendeinen Kunden den Euer mitarbeiter mal angeschrieben hat abgekommen sein.
Für Spameinstufung:
"MITARBEITERA@example.com" <susan@*.co.uk>
Ist susan@
*.co.uk die Absendeadresse und ***.co.uk der Server.
MITARBEITERA@example.com ISt ein Feld das auch fuvhw9fvgwgf97wg hätte heißen können und hat nichts mit dem eigentlichen Absender zutun.
Aber es wird von vielen Mailprogrammen als der Name/Person des Absenders Interpretiert und darauf spekulieren die Spamer.

Gruß

Chonta
Bitte warten ..
Mitglied: AnkhMorpork
05.12.2014 um 07:53 Uhr
Hier mal ein Beispiel, wie ich eine E-Mail mit beliebigen Absender-Daten erstellen kann (Powershell):

01.
Function SendEMail ([String]$To = "Name@Firma.de", [String]$Subj = "Test") 
02.
03.
$PSEmailServer = "mail.Firma.de" 
04.
$From = "anywho@anywhere.de" 
05.
$Body = "Test für Send-MailMessage ..." 
06.
$Cred = "Sender" 
07.
 
08.
Send-MailMessage -to $To -from $From -Subject $Subj -body $Body -Credential $Cred -encoding ([System.Text.Encoding]::UTF8)
Ich habe es probiert, und es lüpp!
Bitte warten ..
Mitglied: 16568
05.12.2014 um 10:54 Uhr
Zitat von AnkhMorpork:
Ich habe es probiert, und es lüpp!

Wetten, daß Dein Beispiel SO nicht lüppt?


Lonesome Walker
Bitte warten ..
Mitglied: AnkhMorpork
05.12.2014 um 11:04 Uhr
Zitat von 16568:

> Zitat von AnkhMorpork:
> Ich habe es probiert, und es lüpp!

Wetten, daß Dein Beispiel SO nicht lüppt?


Lonesome Walker

Wenn ich in die Platzhalter gültige Einträge schreibe schon.
Bitte warten ..
Mitglied: Sparlampe
05.12.2014 um 13:49 Uhr
Hi,

wie einfach es ist ist mir bewusst (selbst schon dutzende male einen Mailstack aufgesetzt). Aber wie die Adressen abhanden gekommen sind in diesem großen Ausmaß das ist mir ein Rätsel.
Bitte warten ..
Mitglied: Chonta
05.12.2014 um 13:59 Uhr
Wurde mit jedem Eurer Mitarbeiter als Absender eine Spammail versendet?

Wie können Mailadressen "abhanden" kommen?
Einem der ne Mail von euch bekommen hat ist das Adressbuch geklaut worden.
Mailadressen auf Euerer Webseite /Facebook angegeben.
Newsletter usv.

Gruß

Chonta
Bitte warten ..
Mitglied: 16568
06.12.2014 um 15:19 Uhr
Zitat von AnkhMorpork:
Wenn ich in die Platzhalter gültige Einträge schreibe schon.

Klammer...?


Lonesome Walker
Bitte warten ..
Mitglied: AnkhMorpork
06.12.2014 um 15:47 Uhr
Zitat von 16568:

> Zitat von AnkhMorpork:
> Wenn ich in die Platzhalter gültige Einträge schreibe schon.

Klammer...?


Lonesome Walker

Tja, erwischt! Schönen Gruß vom Copy & Paste ...

Aber davon ab: Ich wollte nur zeigen, mit welch wenig Aufwand eine Spam-Schleuder arbeitet. Fürs Versenden hole man sich eine Trash-EMail Adresse, als Absender kann ich eintragen, was ich will, und das wars.

Schönes Rest-WE

ankh
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...

Windows Netzwerk
gelöst Problem mit PSexec64 von Sysinternals (8)

Frage von MaxMoritz6 zum Thema Windows Netzwerk ...

Windows Server
gelöst Problem nach DC-Installation unter Server 2012 R2 (9)

Frage von manuel1985 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Peripheriegeräte
gelöst USB Festplatte verliert Laufwerksbuchstabe (9)

Frage von cese4321 zum Thema Peripheriegeräte ...