Thursday, November 24. 2011
Falsche Mailabsender und Spam
Du denkst, Du hast eine Spam-Mail von mir bekommen? Du willst wissen, warum Du sowas (vermeintlich) von mir bekommen hast?
Gegenfrage:
Schonmal einen Brief ohne Absender verschickt? Oder einfach einen falschen Absender raufgeschrieben oder so einen Brief bekommen? Ob ja oder nein, das ist wirklich simpel. Denn niemand steht ja am Briefkasten und überprüft, ob Deine Angabe stimmt.
So ist es auch in der digitalen Welt der E-Mail. Nur weil da jemand als Absender drinsteht, muß der noch lange nicht der Absender sein. Das gilt ganz besonders für Spam-Mails.
Warum schreibe ich das ganze? Aus mal wieder aktuellem Anlaß.
Momentan häufen sich bei mir mal wieder Mails mit Fehlermeldungen, wie diese hier:
From: Mail Delivery System <Mailer-Daemon@vipmail17.bizhosting.ru>
To: behoovep46@stephan.manske-net.de
Subject: Mail delivery failed: returning message to sender
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
------ This is a copy of the message’s headers. ------
Return-path: <behoovep46@stephan.manske-net.de>
Received: from [189.83.108.222]
by vipmail17.bizhosting.ru with esmtp (Exim 4.63)
(envelope-from <behoovep46@stephan.manske-net.de>)
id 1RSr5C-000H8V-JZ
for XXXmccarvill@kgpa.ru; Tue, 22 Nov 2011 18:12:29 +0400
From: “hewe enrique” <behoovep46@stephan.manske-net.de>
To: “hendrik harbin” <XXXmccarvill@kgpa.ru>
Subject: =?koi8-r?B?wNLJxMnexdPLwdEg0M/Nz93Y?=
Date: 22 Nov 2011 10:37:17 -0300
Message-ID: <001d01cca920$044c7c69$c490c39a$@stephan.manske-net.de>
MIME-Version: 1.0
Content-Type: text/plain;
charset=“koi8-r”
Content-Transfer-Encoding: 8bit
X-Mailer: Microsoft Office Outlook 12.0
und ich habe sogar eine Beschwerdemail erhalten, inklusiver Drohung mit Öffentlichkeit und Anwalt. 
Nur, ich habe diese Mail nie verschickt. Und die Absenderadresse auch noch nie benutzt. Das ist Spam, Spam von Dritten unter Mißbrauch meiner Maildomain stephan.manske-net.de. Denn das ist einfach. Die Spamsoftware irgendwo da draußen baut sich ihre Absender zusammen, wie es ihr gefällt. Sie nimmt zB meine Adresse im Impressum blog-redaktion@stephan.manske-net.de, schneidet vorne blog-redaktion ab und setzt irgendwas hin, hier behoovep46. Dann noch einen ausgewürftelten Namen und ab geht die Mail.
Klar, rein theoretisch könnten diese Mails sogar von mir kommen. Also von einer Schadsoftware auf meinem Rechner, die ohne mein Wissen so einen Müll in die Welt bläst. Aber ein Blick in die Kopfzeilen, den Header, der Mails zeigen: Nein, das kommt woanders her:
------ This is a copy of the message’s headers. ------
Return-path: <behoovep46@stephan.manske-net.de>
Received: from [189.83.108.222]
by vipmail17.bizhosting.ru with esmtp (Exim 4.63)
(envelope-from <behoovep46@stephan.manske-net.de>)
id 1RSr5C-000H8V-JZ
for XXXmccarvill@kgpa.ru; Tue, 22 Nov 2011 18:12:29 +0400
From: “hewe enrique” <behoovep46@stephan.manske-net.de>
To: “hendrik harbin” <XXXmccarvill@kgpa.ru>
Subject: =?koi8-r?B?wNLJxMnexdPLwdEg0M/Nz93Y?=
Date: 22 Nov 2011 10:37:17 -0300
Message-ID: <001d01cca920$044c7c69$c490c39a$@stephan.manske-net.de>
MIME-Version: 1.0
Content-Type: text/plain;
charset=“koi8-r”
Content-Transfer-Encoding: 8bit
X-Mailer: Microsoft Office Outlook 12.0
Fangen wir mal damit an, auf meinem Rechner läuft kein Microsoft Office Outlook 12.0. OK, das wird jetzt vielleicht nicht jeden überzeugen.
Entscheidend ist das hier:
Received: from [189.83.108.222]
by vipmail17.bizhosting.ru with esmtp (Exim 4.63)
(envelope-from <behoovep46@stephan.manske-net.de>)
id 1RSr5C-000H8V-JZ
for XXXmccarvill@kgpa.ru; Tue, 22 Nov 2011 18:12:29 +0400
Hier verewigt sich jeder Server, über den die Mail gegangen ist. Und hier kann man lesen, daß der Server vipmail17.bizhosting.ru von einem Rechner mit der IP 189.83.108.222 die Mail empfangen hat. Und dieser Rechner steht in Brasilien. Mein Rechner steht garantiert nicht in Brasilien.
Mehr Infos, wie man Mail-Header liest, findest Du in in der FAQ E-Mail-Header lesen und verstehen.
PS: Ach ja, falls sich jetzt jemand fragt, wieso ich eigentlich diese Mail habe, wenn ich doch nichts damit zu tun habe? Ganz einfach: Diese Spam-Programme würfeln sich nicht nur den Absender zusammen, sie schicken ihre Spams auch völlig wahllos an existierende, veraltete oder völlig willkürlich gebastelte Empfänger-Adressen. Eine Vielzahl dieser Adressen existiert also garnicht. Die Mailserver, die damit dann belästigt werden, die gucken nur stur auf den Absender - also hier eine Adresse von mir - und mailen mir eine Fehlermeldung zurück. Ich bekommen diese Mails also quasi als Rückläufer.
PS2: Erfolgversprechender könnte es sein, sich bei oder über Adressen zu beschweren, die in der Mail genannt werden. Denn meist wollen die Spamer ja irgendwie, daß man zu ihnen Kontakt aufnimmt, um die beworbene Ware zu kaufen.
In diesem Fall wurde eine Adresse de@netca-gruppe.com genannt, und hier könnte eine Beschwerde möglicherweise sogar schon geholfen haben:
This account has been suspended.
Either the domain has been overused, or the reseller ran out of resources.
PS3: Es gibt Mechnismen, die in gewissem Maßen gegen dieses Problem helfen sollen. Mehr dazu und auch zu den Problemen dieser Abhilfen in der Wikipedia: Sender Policy Framework, Sender ID, DomainKeys
Stephan •
Cyberworld •
13:07
• 
Trackbacks (0)
• 
Add Comment
< Mitzeichnen! | TV-Tip: Super Bowl XLVI live in Sat.1 2012 >
Trackbacks
[...]
:D
