Last Updated on 12 Jahren by TmoWizard

Liebe Leserinnen und Leser,

 

 

wieder einmal geht es um das heiß geliebte Thema Spam im E-Mailordner. Ich habe da kürzlich nämlich eine E-Mail bekommen, die mich doch sehr verwundert, aber auch köstlich amüsiert hat. Ich kann es mir also nicht nehmen lassen, daß ich diese wie bei mir üblich „etwas“ zerlege und analysiere. Da diese Mail schon sehr merkwürdig ist komme ich logischer Weise auch nicht daran vorbei, daß ich euch daran teilnehmen lasse. Viel Spaß! :mrgreen:

 

 

Ihre E-Mail wird bald ablaufen.

 

Wie schon öfter erwähnt lasse ich mir meine Mails ja als normalen Text anzeigen, was übrigens aus Sicherheitsgründen eigentlich jeder machen sollte. Da bekam ich also letztens eine E-Mail, die mir folgenden wirklich sehr seltsamen Text zeigte:

Sehr geehrter Nutzer,

Ihre E-Mail wird bald ablaufen.

Um eine Unterbrechung zu vermeiden, bitte klicken Sie auf den unten stehenden Link und aktualisieren Sie Ihre E-Mail

Klicken Sie hier, um ein Upgrade

GMX

Öhm… Hä? 8-O  Keine persönliche Anrede, kein Link zu GMX, überhaupt gar kein Link und der Text bricht auch mitten im Satz ab! Das hier was oberfaul ist dürfte wirklich jeder bemerken, der wie ich schon seit vielen Jahren bei GMX ein Mailkonto hat und auch regelmäßig deren Werbung und Warnmeldungen bekommt.

Da hier also was nicht in Ordnung ist konnte das nur bedeuten, daß diese E-Mail im HTML-Format geschrieben wurde. Was allerdings seltsam daran ist, daß der Absender angeblich „services@gmx“ sein soll. Damit war eindeutig klar, daß mit dieser Mail etwas ganz und gar nicht in Ordnung sein konnte. Vor allem fällt auf, daß ganz unten der übliche Link zum Impressum von GMX fehlt:

***********************************************************
Impressum: http://portal.gmx.net/de/impressum/

(Link deaktiviert von mir deaktiviert, den braucht wirklich niemand!)

 

Der Mail-Header:

Wie schon öfter der Fall blieb mal wieder nur der Blick in den Quelltext übrig, der allerdings so allerhand zu Tage brachte. Wegen der Absender-Adresse schauen wir uns also mal als erstes einen Teil des Header an, da das ja so gar nicht richtig sein kann:

Received: from 40-93-162-69.static.reverse.xznetworks.com (unknown [69.162.93.40])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
(Authenticated sender: dpapiga@globalnet.hr)
by smtp.xnet.hr (XnetMailOut) with ESMTPSA id 3b5Cy15dp7z4Ft6;
Wed, 8 May 2013 12:06:17 +0200 (CEST)
Message-ID: <D3C875A19A6E45C1888BB7561780BD25@WIN-JPHF080Q82G>
From: „GMX“ <services@gmx.de>

Interessant sind hier vor allem die unbekannte IP und natürlich der richtige Absender, die ich aus diesem Grund beide fett markiert habe! Ein kurzer Blick hat genügt, die IP ist in Auckland (Neuseeland) registriert. Die E-Mail selbst kommt jedoch aus Kroatien (*.hr), was mit Neuseeland irgendwie herzlich wenig zu tun hat! Das sieht also irgendwie nicht wirklich nach GMX aus, oder was meint ihr dazu? ;-)

 

Die E-Mail als HTML-Quelltext:

Da der Header schon so seltsam daher kommt kann man sich natürlich auch beim Rest auf einiges gefasst machen, was sich wie erwartet auch tatsächlich bewahrheitet. Wollen wir den Quelltext also mal Stückweise unter die Lupe nehmen, um etwas Licht hinter die Sache zu bringen:

<!DOCTYPE HTML PUBLIC „-//W3C//DTD HTML 4.0 Transitional//EN“>
<HTML><HEAD>
<META content=3D“text/html; charset=3Dutf-8″ http-equiv=3DContent-Type>
<META name=3DGENERATOR content=3D“MSHTML 8.00.6001.18854„>
<STYLE></STYLE>
</HEAD>

3DGENERATOR und MSHTML deuten schon einmal darauf hin, daß die Mail mit Windows für Windows erstellt wurde. Aber keine Angst, der Text wird gleich mal ganz übelster Pfusch, wie ich ihn noch nie erlebt habe! Schauen wir uns mal den fürchterlichen Rest an, also den sogenannten „Body„:

<BODY bgColor=3D#ffffff>
<DIV align=3Dleft><FONT size=3D2 face=3DArial>
<P><FONT face=3DVerdana><B></B></FONT></P></DIV>
<DIV><FONT face=3DVerdana><B></B></FONT></DIV>
<DIV><FONT face=3DVerdana><B>
<DIV id=3Dgt-res-content>
<DIV dir=3Dltr><SPAN id=3Dresult_box lang=3Dde><SPAN></SPAN></SPAN>&nbsp;</DIV>
<DIV dir=3Dltr><SPAN lang=3Dde><SPAN></SPAN></SPAN>&nbsp;</DIV>
<DIV dir=3Dltr><SPAN lang=3Dde><SPAN>Sehr geehrter Nutzer,</SPAN><BR><BR><SPAN>Ihre E-Mail</SPAN> <SPAN>wird bald ablaufen.</SPAN><BR><BR><SPAN>Um eine Unterbrechung</SPAN> <SPAN>zu vermeiden, bitte</SPAN> <SPAN>klicken Sie auf den</SPAN> <SPAN>unten stehenden Link und</SPAN> <SPAN>aktualisieren Sie Ihre</SPAN> <SPAN“hps atn“>E-Mail</SPAN></SPAN></DIV></DIV>
<DIV style=3D“DISPLAY: none“ id=3Dspell-place-holder></DIV></B></FONT><B><BR><A href=3D“http://www.best-homegymequipment.com/wp-includes/images/service.gmx.net.htm“
target=3D_blank><FONT size=3D2>Klicken Sie hier, um ein Upgrade</FONT></A></B></DIV>
<DIV style=3D“WIDOWS: 2; TEXT-TRANSFORM: none; BACKGROUND-COLOR: rgb(255,255,255); TEXT-INDENT: 0px; FONT: medium ‚Segoe UI‘, Helvetica, Arial, sans-serif; WHITE-SPACE: normal; ORPHANS: 2; LETTER-SPACING: normal; COLOR: rgb(0,0,0); WORD-SPACING: 0px“ align=3Djustify><FONT color=3D#888888 size=3D2><B></B></FONT></DIV>
<DIV style=3D“WIDOWS: 2; TEXT-TRANSFORM: none; BACKGROUND-COLOR: rgb(255,255,255); TEXT-INDENT: 0px; FONT: medium ‚Segoe UI‘, Helvetica, Arial, sans-serif; WHITE-SPACE: normal; ORPHANS: 2; LETTER-SPACING: normal; COLOR: rgb(0,0,0); WORD-SPACING: 0px“ align=3Djustify><B>
<DIV><FONT size=3D2></FONT>&nbsp;</DIV>
<DIV><FONT size=3D2>GMX</FONT></DIV>
<DIV></DIV>
<DIV>
<DIV id=3Dfooter-menu>
<DIV id=3Dcopyright><FONT
size=3D2><STRONG></STRONG></FONT>&nbsp;</DIV></DIV></DIV></B></DIV></FONT></BODY></HTML> 

Den entsprechenden Link und den eigentlichen Text habe ich wieder fett markiert. Man sieht hier, daß da nach dem Wort Upgrade tatsächlich weiter unten nur noch ganz einfach GMX als Text steht. Daß der Link natürlich nicht zu GMX führt ist auch klar ersichtlich, mich hätte das auch ziemlich gewundert! ;-)

Man beachte einmal, was da für ein Aufwand für das bißchen Text betrieben wurde! Da ist für mich eindeutig zu erkennen, daß diese Mail mit einem ziemlich miesen Programm erstellt wurde. Sauberes HTML sieht anders aus, das kann ich ja noch besser, sonst wäre meine eigentliche Website garantiert nicht HTML5 und CSS3 validiert!

Auch ist mir bekannt, daß bestimmte Befehle gar nicht mit jedem Mailclient funktionieren. Diese werden entsprechend ignoriert, z. B. das ganze 3D-Gedöns. Kann Outlook das? SeaMonkey und wahrscheinlich auch Thunderbird wollen davon jedenfalls nichts wissen, bei der Anzeige als reiner Text ist das eh sinnfrei. Einzig ScriptKiddys mit IncrediMail freuen sich ganz sicher über das Geflimmer und Gebimmel, das man mit HTML, Flash, Java und JavaScript so anstellen kann.

Übrigens habe ich den obigen Link inzwischen getestet: Die Site war wohl gekapert und die Leute haben das bemerkt, da ist nämlich momentan eine große Baustelle! Ich möchte aber nicht wissen, wie viele Leute auf die Mail herein gefallen sind. Schließlich klicken manche ja auf alles, was bei drei nicht verschwunden ist.

 

Mein Fazit:

Wieder einmal wurde klar der Vorteil gezeigt, wenn man sich seine E-Mails als reinen Text anzeigen läßt. HTML und Plugins wie Java oder Flash haben in einer Mail ebenso wenig verloren wie JavaScript, es kann zu damit einfach zu viel Unfug betrieben und großer Schaden angerichtet werden!

Hier wird auch der Vorteil eines Mail-Client wie SeaMonkey, Thunderbird oder ähnlichem sichtbar, vor allem wenn man wie ich mehrere Mail-Konten besitzt. Diese Mail war nämlich nicht an meine Mail-Adresse aus dem Impressum gerichtet, sondern logischer Weise an die bei GMX. Mit dem Webmailer müßte ich da eigentlich dauernd sämtliche Postfächer einzeln prüfen und es haben auch die wenigsten Mail-Provider die Möglichkeit, die Mail als reinen Text darzustellen!

Es gibt natürlich schon die Möglichkeit, daß man seine ganzen Mails auf ein bestimmtes Konto weiter leitet. Das habe ich sogar gemacht, allerdings speichere ich meine Mails aus verschiedenen Gründen bei mir auf der Festplatte, der Posteingang ist also immer leer.

Und komme mir keiner mit Festplatte defekt oder so, mein letztes Backup ist gerade mal eine Woche alt und das nächste wird morgen gemacht. Bei der Menge an Mails ist das auch besser, mein Postfach wäre sonst schon längst voll, ~369 MB ist nicht gerade wenig!

Ein weiterer Vorteil bei meiner Vorgehensweise ist, daß ich die Mails direkt auf Spam und Viren prüfen kann. Versuche doch mal jemand, bei seinem Anbieter eine angeblich virenverseuchte Mail wieder zu bekommen, ich wünsche viel Spaß dabei! Es gingen seit meiner Umstellung auch keine Registrierungsmails mehr verloren, was mir bei jedem Anbieter schon passiert ist.

 

Viele spam- und virenfreie Grüße nun aus TmoWizard’s Castle zu Augsburg

Carpe Noctem!

Mike, TmoWizard

#Spam: Die abgelaufene E-Mail von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.