Spamversand

Dies könnte der Wortlaut der E-Mail sein:? Im Gegensatz zur Meldung "Neue Flut von gefälschten Online-Rechnungen der Deutschen Telekom kommt die E-Mail nicht mit einem Dateianhang, sondern der Anwender wird über einen getarnten Malware-Link zum Viren-Download geleitet. Auffallend ist, dass der Schriftzug fast fehlerlos ist, aber in den ganzen 3 verschiedenen Rechnungssätzen erwähnt wird:

Hallo, mit dieser E-Mail bekommen Sie Ihre derzeitige Abrechnung. Ihre Rechnungsdetails können Sie hier einsehen: Downloadmeldung, Rechnungsrückstand 5967756321313139816676 Telekom Deutschland GmHier wurde diese E-Mail generiert. Weitere Infos zur Einführung des Single Euro Payments Area (SEPA) hier. Besonders für Sie: Wenn Sie in Zukunft über neue Angebote und Preise informiert werden wollen, registrieren Sie sich für unseren kostenfreien Informationsdienst.

Unter dem Link "Download Benachrichtigung, ausstehende Rechnungen (ZAHL) Telekom Deutschland GmH vom 13.01. 2014" landen Sie auf der Domain: http://mot{...}. Zur Zeit dieses Blogeintrags werden sowohl die Domains als auch die Dateien von einer sehr kleinen Zahl von Antivirenprogrammen entdeckt. Haben Sie diese E-Mail von Ihrem Anbieter bekommen, sollten Sie rasch handeln:

Die 1&1-Käufer, deren E-Mail-Konten im Rahmen eines Missbrauches blockiert wurden, können weitere Infos in der 1&1-Hilfe finden:

Falls Ihre Domain für Spam mißbraucht wird und was Sie dagegen tun können

Warum ist unsere Domain in der Adresse des Absenders? Eine E-Mail kann genauso einfach gefälscht werden wie der Versender auf einem herkömmlichen Schreiben. Die Domains seriöser Firmen haben in der regel einen guten Ruf, weshalb Spammer sie hin und wieder als Versender verwenden, in der Erwartung, dass es leichter wird, durch Spam-Filter zu gelangen oder dass der Versender so ernst erscheint, dass die infizierten Attachments sich öffnen.

Falls die Spammails wirklich nicht von Ihrem eigenen Mail-Server kommen, gibt es nichts, was Sie tun können, um den Mailversand zu unterdrücken. Sie können den anderen Empfängern nur bei der Unterscheidung zwischen den eigentlichen Emails mit diesem Versender und den Fakes behilflich sein. Vorher: Stellen Sie sicher, dass Sie nicht selbst versenden! Das SPF (Sender Policy Framework) ist im Prinzip nichts anderes als ein DNS-Eintrag für Ihre eigene Domain, in dem gespeichert ist, von dem aus E-Mail-Server rechtmäßig verschickt werden.

Empfängt ein Mail-Server nun eine E-Mail von IP 198.51.100. 25 und der Sender "hallmackenreuther@firma. tld", überprüft er den TXT-Eintrag unter "firma. tld" auf einen SPF-Eintrag und bewertet ihn.

Unsere IP ist in diesem Falle ausdrücklich berechtigt, Mails zu verschicken, so dass sie das grüne Signal gibt und die Mail passieren kann. Wenn der Spammer-Server 203.0.113. 123 anklopft und auch eine E-Mail von "hallmackenreuther@firma. tld" verschicken will, wird der DNS-Eintrag erneut abgefragt und überprüft:

• Wurde dieser Datenserver in den MX-Einträgen der Domäne aufgelistet? Nein, denn SPF hat nicht vor, dass jemand seine E-Mails von einem Provider an einen anderen umleitet! Nun sendet er eine E-Mail an "lindemann@herrenboutique.tld" über den firmeneigenen Postserver (198.51.100. 25). Lindemann ist aber im Islandurlaub und läßt seine E-Mails an seine Tochtergesellschaft "tochter@t-offline.de" umleiten.

Nun kommt der Postserver von "herrenboutique. tld" (192.0.2. 2) und will eine E-Mail von "hallmackenreuther@firma. tld" an "daughter@t-offline. de" schicken. Also bekommt der T-Offline Datenserver den SPF-Eintrag von "domain.tld" und verarbeitet ihn: Nein. - Erscheint der Datenserver 192.0.2. 2 in einem MX-Eintrag von "firma. tld"?

Auf diese Weise können Sie eine weiße Liste führen, um mit Ihren richtigen Emails besser durch die Spam-Filter zu kommen, aber SPF ist unglücklicherweise keine wirklich dauerhafte Problemlösung. Gemeinsam mit DKIM, dem "DomainKeys Identified Mail", ist dies eine stabile Möglichkeit, reale von falschen Nachrichten zu trennen - allerdings erfordert die Einrichtung dieser Technologie je nach Mailserver und Kenntnisstand einen unterschiedlichen Zeitaufwand.

Das bedeutet, dass jede E-Mail, die Hr. Halmackenreuther über den realen Firmenmailserver versendet, zusätzlich unsichtbar weitere Informationen enthält, mit denen die Authentizität und Unversehrtheit der E-Mail-Header (z.B. Sender, Adressat, Datum, Betreff, etc.) nachgewiesen werden kann. Aus den Kopfdaten berechnet der Mail-Server eine kryptografische Unterschrift für die Domäne "company. tld", die nur von der Person erzeugt werden kann, die den Geheimschlüssel hat (der auf dem firmeneigenen Mail-Server abgelegt ist).

Mit der kryptografischen Unterschrift im E-Mail-Header und dem TXT-Eintrag in der DNS-Zone können andere Mail-Server, an die E-Mails gesendet werden, überprüfen, ob der eigentliche Mail-Server "company.tld" diese Unterschrift tatsächlich generiert hat und ob sie in der Zwischenzeit (ohne Erlaubnis) geändert wurde. Bei korrekter Unterschrift wird die E-Mail akzeptiert, bei Defekt oder Defekt überprüft der Empfänger-Server, ob in der DNS-Zone von "company. tld" ein DMARC-Eintrag vorhanden ist.

Dieser DMARC-Eintrag enthält, was geschehen soll, wenn die Unterschrift nicht überprüft werden kann - z.B. ob die Nachricht noch in Ordnung ist oder nicht. Dies ist viel komplexer als die SPF-Lösung, aber es spielt keine Rolle, von welchen IP-Adressen die E-Mails gesendet werden, so lange die Kopfzeilen erhalten sind.

Der Spam-Versender kann nicht die bestehende Unterschrift einer gesendeten, realen E-Mail für seine eigenen Bedürfnisse nutzen - denn er kann den Adressaten oder Betreff nicht ändern, ohne dass die DKIM-Unterschrift bricht und unwirksam wird. Der Implementierungsaufwand variiert je nach Mailserver. Außerdem sind grundlegende Kenntnisse über E-Mail, DNS und kryptographische Unterschriften erforderlich.