Tag: email

brute force attacken auf z.b. mailserver sind ja echt nix ungewoehnliches. mit dieser mailadresse versucht sich schon seit stunden jemand zu authentifizieren:

ich haette schon ein problem damit, eine mailbox mit diesem namen anzulegen. sonderzeichen in mailadressen sind nicht soooo doll.

es heisst ja immer, dass spam nur versendet wird, weil irgendwer drauf anspringt/reinfaellt/wasauchimmer.

irgendwie will ich aber nicht glauben, dass da jemand drauf reinfaellt.

auf der einen seite eine unheimlich mager aussehende phishing mail:

und bei genauem hinschauen… paypal phishingkram gehostet auf der offiziellen tourismus seite von toronto… und getarnt (?) als wordpress plugin?

obs sowas echt schon als wordpress plugin gibt? oder isses nur getarnt…

nachdem ich diese geschichte der 16 mio geklauten emailadressen und zugehoerigen passwoertern das erste mal gehoert habe, dachte ich mir gleich: tolle idee. ALLE sollen mal ihre mailadresse beim BSI eingeben. das ist ne praechte “manual ddos attack” auf diesen webserver.

mit kollegen beim kaffee war das natuerlich auch gespraechsthema. wilde theorien kamen auf. z.b. anhand der top level domain kann man ja heute nicht mehr sagen, zu welchem “land” eine mailadresse gehoert. fuer entsprechende filtermechanismen waers doch ganz praktisch, wenn man die mailadressen der eigenen buerger kennt. damit laesst sich vermeiden, in aehnliche fallen zu tappen wie die nsa. “WIR filtern und deutschland anstaendig und lassen uns nichts vorwerfen!”

(woher wissen die beim bsi eigentlich, dass bei den 16 mio datensaetzen auch nur eine von einem deutschen buerger dabei ist?)

das ganze kann man natuerlich noch endlos weiter spinnen…

lustig fand ich dann auch eine email auf der postfix mailingliste, in der der einer bemerkt hat, dass der absendende mailserver der “bestaetigungsmails” vom bsi schon auf blacklists steht:

Jan 22 05:20:24 mail01 postfix/smtpd[21060]: NOQUEUE: reject: RCPT from mail.sicherheitstest.bsi.de[192.166.192.13]: 554 5.7.1 Service unavailable; Client host [192.166.192.13] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mx-ha.gmx.net (NiX Spam) as spamming at Wed, 22 Jan 2014 02:43:23 +0100. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=192.166.192.13; from= to= proto=ESMTP helo=

mittlerweile ist die ipadresse nicht mehr gelistet. bei genauerem hinschauen wird es immer komischer. denn das nixspam projekt arbeitet mit honeypots. das bsi schickt diese ueberpruefungsmails nur an adressen, die aktiv per opt-in eingetragen wurden. und wie kommt eine honeypot adresse in die liste der betroffenen beim bsi?

der bert hat auch schon getwittert:

in der mailqueue eines newletter-verschick-servers duempeln oft mails rum, weil leute sich vertippen. moeglicherweise absichtlich? vielleicht auch einfach nur dusseligkeit?

diese woche sind diese t-online empfaenger “uebrig” geblieben:

@t-oneline.de
@t-inline.de
@t-olnine.de
@t-onliene.de
@t-onlinde.de
@t-0nline.de
@t-onlinde.de
@t-onlime.de

ja wahnsinn.. wenn man bei gmx eine email verschickt, gibts nen knopf, die gleiche mail auch gleich per de-mail zu verschicken. dazu muesste man da aber auch erstmal eingerichetet und persoenlich verifiziert sein.

es gibt stand heute quasi keine empfaenger, denen man damit was schicken koennte. und das ist auch gut so. und das wird auch hoffentlich so bleiben. ausserdem wuerde das 39 cent kosten. warum sollte ich jemandem was fuer 39 cent schicken, wenn ich das vorher schon per normaler und echter email getan habe? gibt es jemanden, der nur per de-mail erreichbar ist? natuerlich koennten jetzt die trolle kommen und behaupten, dass das aber mit de-mail rechtssicher, bla, mit “zustellungsbestaetigung”, blabla ist… ich rege mich schon wieder auf ueber diesen unsinnigen bloedsinn de-mail.

hehehe… ich hab mich ja schon des oefteren beklagt wegen des zeichsatz encodings, utf8 und dem ganzen gelumpe. aber ich weiss garnicht, warum ich mich da immer so aufgeregt habe. die chinesen habens doch noch viel schwerer.

hab mal wieder eine chinesische spam-mail bekommen. das ist die anzeige in thunderbird:

und das in einer komischen webapplikation:

da haben wir es doch noch einfacher mit unseren paar umlauten 😉

solche spam mails sind ja erstmal nichts ungewoehnliches:

interessant finde ich, woher der spam kommt… siehe header:

Received: from xxxxx.xxxxxxxxxxxx.hounslow.gov.uk
([fe80::xxxx:xxxx:xxxx:xxxx]) by xxxxxxxx.centre.hounslow.gov.uk ([::1])
with mapi; Mon, 21 Oct 2013 14:53:26 +0100

immer dieser spam von der regierung… tsstss

jemand hat an die postfix mailingliste geschrieben, dass er eine signierte mail ans finanzamt geschrieben hat. daraufhin kam diese antwort:

———————
Bitte beachten Sie nachfolgend aufgelistete Hinweise zur Zustellung
Ihrer E-Mail:

* Der Dateianhang “smime.p7s” vom Typ application/pkcs7-signature wurde aus der E-Mail aus Sicherheitsgründen entfernt.

Sie können Ihre E-Mail auch an die Poststelle des Finanzamts übermitteln:
* FA Bayreuth<poststelle@fa-bt.bayern.de>,
Die E-Mail wird dann an die zuständige Stelle weitergeleitet.
———————-

also wollen die keine signierten mails haben… eine huerde, um de-mail zu pushen? 😉

also mal ganz ehrlich… da hat sich microsoft viel muehe gegeben, die email wie spam aussehen zu lassen. die spammer und phisher kriegen es mittlerweile besser hin, dass ihr spam wie eine echte mail aussieht.

ja, die email ist “echt”. ich habe tatsaechlich was bei denen bestellt. mal so kurz zusammen gefasst, was mir an der mail suspekt erscheint und/oder microsoft besser machen kann:

1. der absender ist nicht microsoft, sondern bertelsmann
2. der absendende mailserver (im header ..servicemail24.de) gehoert der arvato systems GmbH. fuer laien kein zusammenhang zu microsoft oder bertelsmann erkennbar
3. die anrede fehlt
4. keinerlei referenznummer (nur ihr “juengster” kauf)
5. “bitte keine antwort”. das kann man im jahre 2013 anders loesen
6. kontaktieren sie bitte “irgendwen”, den sie sich auf irgendeiner webseite aussuchen koennen
7. was bitte ist mpn? (ja, “microsoft partner network”. aber warum kann man das nicht hinschreiben?)
8. die rechnung kam erst viele tage nach der bestellung
9. mit freundlichen gruessen, “microsoft”. wieso so unpersoenlich? und der absender ist doch bertelsmann…
10. keine signatur (ist das nicht sogar pflicht bei geschaeftlichen mails?)
11. es ist ein anhang an der mail, den man sich garnicht traut zu oeffnen bei dieser komischen email. wird ja immer gepredigt.. “bloss nicht die anhaenge oeffnen, wenn die die email suspekt vorkommt”

wenn ich mal genauer drueber nachdenke, finde ich bestimmt noch ein paar sachen 😉
schlimm, dass microsoft und bertelsmann das heutzutage nicht besser koennen. leistet euch doch mal nen praktikanten, der das ordentlich fuer euch macht. oder gilt im gegensatz zu spam und phishing mails bei echten mails mittlerweile das motto “die sieht so stuemperhaft aus, die muss echt sein”?