Last Updated on 11 Jahren by TmoWizard
Liebe Leserinnen und Leser,
Quelle: Wikipedia
wieder einmal geht es um das heiß geliebte Thema Spam im E-Mailordner. Ich habe da kürzlich nämlich eine E-Mail bekommen, die mich doch sehr verwundert, aber auch köstlich amüsiert hat. Ich kann es mir also nicht nehmen lassen, daß ich diese wie bei mir üblich „etwas“ zerlege und analysiere. Da diese Mail schon sehr merkwürdig ist komme ich logischer Weise auch nicht daran vorbei, daß ich euch daran teilnehmen lasse. Viel Spaß! :mrgreen:
Ihre E-Mail wird bald ablaufen.
Wie schon öfter erwähnt lasse ich mir meine Mails ja als normalen Text anzeigen, was übrigens aus Sicherheitsgründen eigentlich jeder machen sollte. Da bekam ich also letztens eine E-Mail, die mir folgenden wirklich sehr seltsamen Text zeigte:
Sehr geehrter Nutzer,
Ihre E-Mail wird bald ablaufen.
Um eine Unterbrechung zu vermeiden, bitte klicken Sie auf den unten stehenden Link und aktualisieren Sie Ihre E-Mail
Klicken Sie hier, um ein Upgrade
GMX
Öhm… Hä? 8-O Keine persönliche Anrede, kein Link zu GMX, überhaupt gar kein Link und der Text bricht auch mitten im Satz ab! Das hier was oberfaul ist dürfte wirklich jeder bemerken, der wie ich schon seit vielen Jahren bei GMX ein Mailkonto hat und auch regelmäßig deren Werbung und Warnmeldungen bekommt.
Da hier also was nicht in Ordnung ist konnte das nur bedeuten, daß diese E-Mail im HTML-Format geschrieben wurde. Was allerdings seltsam daran ist, daß der Absender angeblich „services@gmx“ sein soll. Damit war eindeutig klar, daß mit dieser Mail etwas ganz und gar nicht in Ordnung sein konnte. Vor allem fällt auf, daß ganz unten der übliche Link zum Impressum von GMX fehlt:
***********************************************************
Impressum: http://portal.gmx.net/de/impressum/(Link deaktiviert von mir deaktiviert, den braucht wirklich niemand!)
Der Mail-Header:
Wie schon öfter der Fall blieb mal wieder nur der Blick in den Quelltext übrig, der allerdings so allerhand zu Tage brachte. Wegen der Absender-Adresse schauen wir uns also mal als erstes einen Teil des Header an, da das ja so gar nicht richtig sein kann:
Received: from 40-93-162-69.static.reverse.xznetworks.com (unknown [69.162.93.40])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
(Authenticated sender: dpapiga@globalnet.hr)
by smtp.xnet.hr (XnetMailOut) with ESMTPSA id 3b5Cy15dp7z4Ft6;
Wed, 8 May 2013 12:06:17 +0200 (CEST)
Message-ID: <D3C875A19A6E45C1888BB7561780BD25@WIN-JPHF080Q82G>
From: „GMX“ <services@gmx.de>
Interessant sind hier vor allem die unbekannte IP und natürlich der richtige Absender, die ich aus diesem Grund beide fett markiert habe! Ein kurzer Blick hat genügt, die IP ist in Auckland (Neuseeland) registriert. Die E-Mail selbst kommt jedoch aus Kroatien (*.hr), was mit Neuseeland irgendwie herzlich wenig zu tun hat! Das sieht also irgendwie nicht wirklich nach GMX aus, oder was meint ihr dazu? ;-)
Die E-Mail als HTML-Quelltext:
Da der Header schon so seltsam daher kommt kann man sich natürlich auch beim Rest auf einiges gefasst machen, was sich wie erwartet auch tatsächlich bewahrheitet. Wollen wir den Quelltext also mal Stückweise unter die Lupe nehmen, um etwas Licht hinter die Sache zu bringen:
<!DOCTYPE HTML PUBLIC „-//W3C//DTD HTML 4.0 Transitional//EN“>
<HTML><HEAD>
<META content=3D“text/html; charset=3Dutf-8″ http-equiv=3DContent-Type>
<META name=3DGENERATOR content=3D“MSHTML 8.00.6001.18854„>
<STYLE></STYLE>
</HEAD>
3DGENERATOR und MSHTML deuten schon einmal darauf hin, daß die Mail mit Windows für Windows erstellt wurde. Aber keine Angst, der Text wird gleich mal ganz übelster Pfusch, wie ich ihn noch nie erlebt habe! Schauen wir uns mal den fürchterlichen Rest an, also den sogenannten „Body„:
<BODY bgColor=3D#ffffff>
<DIV align=3Dleft><FONT size=3D2 face=3DArial>
<P><FONT face=3DVerdana><B></B></FONT></P></DIV>
<DIV><FONT face=3DVerdana><B></B></FONT></DIV>
<DIV><FONT face=3DVerdana><B>
<DIV id=3Dgt-res-content>
<DIV dir=3Dltr><SPAN id=3Dresult_box lang=3Dde><SPAN></SPAN></SPAN> </DIV>
<DIV dir=3Dltr><SPAN lang=3Dde><SPAN></SPAN></SPAN> </DIV>
<DIV dir=3Dltr><SPAN lang=3Dde><SPAN>Sehr geehrter Nutzer,</SPAN><BR><BR><SPAN>Ihre E-Mail</SPAN> <SPAN>wird bald ablaufen.</SPAN><BR><BR><SPAN>Um eine Unterbrechung</SPAN> <SPAN>zu vermeiden, bitte</SPAN> <SPAN>klicken Sie auf den</SPAN> <SPAN>unten stehenden Link und</SPAN> <SPAN>aktualisieren Sie Ihre</SPAN> <SPAN“hps atn“>E-Mail</SPAN></SPAN></DIV></DIV>
<DIV style=3D“DISPLAY: none“ id=3Dspell-place-holder></DIV></B></FONT><B><BR><A href=3D“http://www.best-homegymequipment.com/wp-includes/images/service.gmx.net.htm“
target=3D_blank><FONT size=3D2>Klicken Sie hier, um ein Upgrade</FONT></A></B></DIV>
<DIV style=3D“WIDOWS: 2; TEXT-TRANSFORM: none; BACKGROUND-COLOR: rgb(255,255,255); TEXT-INDENT: 0px; FONT: medium ‚Segoe UI‘, Helvetica, Arial, sans-serif; WHITE-SPACE: normal; ORPHANS: 2; LETTER-SPACING: normal; COLOR: rgb(0,0,0); WORD-SPACING: 0px“ align=3Djustify><FONT color=3D#888888 size=3D2><B></B></FONT></DIV>
<DIV style=3D“WIDOWS: 2; TEXT-TRANSFORM: none; BACKGROUND-COLOR: rgb(255,255,255); TEXT-INDENT: 0px; FONT: medium ‚Segoe UI‘, Helvetica, Arial, sans-serif; WHITE-SPACE: normal; ORPHANS: 2; LETTER-SPACING: normal; COLOR: rgb(0,0,0); WORD-SPACING: 0px“ align=3Djustify><B>
<DIV><FONT size=3D2></FONT> </DIV>
<DIV><FONT size=3D2>GMX</FONT></DIV>
<DIV></DIV>
<DIV>
<DIV id=3Dfooter-menu>
<DIV id=3Dcopyright><FONT
size=3D2><STRONG></STRONG></FONT> </DIV></DIV></DIV></B></DIV></FONT></BODY></HTML>
Den entsprechenden Link und den eigentlichen Text habe ich wieder fett markiert. Man sieht hier, daß da nach dem Wort Upgrade tatsächlich weiter unten nur noch ganz einfach GMX als Text steht. Daß der Link natürlich nicht zu GMX führt ist auch klar ersichtlich, mich hätte das auch ziemlich gewundert! ;-)
Man beachte einmal, was da für ein Aufwand für das bißchen Text betrieben wurde! Da ist für mich eindeutig zu erkennen, daß diese Mail mit einem ziemlich miesen Programm erstellt wurde. Sauberes HTML sieht anders aus, das kann ich ja noch besser, sonst wäre meine eigentliche Website garantiert nicht HTML5 und CSS3 validiert!
Auch ist mir bekannt, daß bestimmte Befehle gar nicht mit jedem Mailclient funktionieren. Diese werden entsprechend ignoriert, z. B. das ganze 3D-Gedöns. Kann Outlook das? SeaMonkey und wahrscheinlich auch Thunderbird wollen davon jedenfalls nichts wissen, bei der Anzeige als reiner Text ist das eh sinnfrei. Einzig ScriptKiddys mit IncrediMail freuen sich ganz sicher über das Geflimmer und Gebimmel, das man mit HTML, Flash, Java und JavaScript so anstellen kann.
Übrigens habe ich den obigen Link inzwischen getestet: Die Site war wohl gekapert und die Leute haben das bemerkt, da ist nämlich momentan eine große Baustelle! Ich möchte aber nicht wissen, wie viele Leute auf die Mail herein gefallen sind. Schließlich klicken manche ja auf alles, was bei drei nicht verschwunden ist.
Mein Fazit:
Wieder einmal wurde klar der Vorteil gezeigt, wenn man sich seine E-Mails als reinen Text anzeigen läßt. HTML und Plugins wie Java oder Flash haben in einer Mail ebenso wenig verloren wie JavaScript, es kann zu damit einfach zu viel Unfug betrieben und großer Schaden angerichtet werden!
Hier wird auch der Vorteil eines Mail-Client wie SeaMonkey, Thunderbird oder ähnlichem sichtbar, vor allem wenn man wie ich mehrere Mail-Konten besitzt. Diese Mail war nämlich nicht an meine Mail-Adresse aus dem Impressum gerichtet, sondern logischer Weise an die bei GMX. Mit dem Webmailer müßte ich da eigentlich dauernd sämtliche Postfächer einzeln prüfen und es haben auch die wenigsten Mail-Provider die Möglichkeit, die Mail als reinen Text darzustellen!
Es gibt natürlich schon die Möglichkeit, daß man seine ganzen Mails auf ein bestimmtes Konto weiter leitet. Das habe ich sogar gemacht, allerdings speichere ich meine Mails aus verschiedenen Gründen bei mir auf der Festplatte, der Posteingang ist also immer leer.
Und komme mir keiner mit Festplatte defekt oder so, mein letztes Backup ist gerade mal eine Woche alt und das nächste wird morgen gemacht. Bei der Menge an Mails ist das auch besser, mein Postfach wäre sonst schon längst voll, ~369 MB ist nicht gerade wenig!
Ein weiterer Vorteil bei meiner Vorgehensweise ist, daß ich die Mails direkt auf Spam und Viren prüfen kann. Versuche doch mal jemand, bei seinem Anbieter eine angeblich virenverseuchte Mail wieder zu bekommen, ich wünsche viel Spaß dabei! Es gingen seit meiner Umstellung auch keine Registrierungsmails mehr verloren, was mir bei jedem Anbieter schon passiert ist. 
Viele spam- und virenfreie Grüße nun aus TmoWizard’s Castle zu Augsburg
Mike, TmoWizard 
#Spam: Die abgelaufene E-Mail von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.
Bei dem HTML-Code stehen mir die Nackenhaare zu Berge. Seit wann schreibt man HTML-Tags noch groß? Die wurden in den 90ern immer groß geschrieben als es das World Wide Web noch nicht allzu lange gab. Heute schreibt keiner mehr der Ahnung hat HTML-Tags groß. Ist zwar nicht unbedingt falsch aber unschön.
Naja, grade mal den schönen Link aufgerufen und da kommt Firefox zumindest bei mir mit ner roten Meldung in der steht, dass die Website als betrügerische Website gemeldet wurde. Wenn die Seite wirklich nur gehackt worden ist dann ist das natürlich schade für den Betreiber. Anders herum hätte er sie aber gegen so was absichern sollen. Wahrscheinlich keine WordPress-Updates installiert oder so.
Naja, kaum klicke ich die Meldung von Firefox weg springt auch Kaspersky an und zeigt mir ne rote Meldung, dass es nen Phishing-Link ist. Da wurde dann mit Sicherheit versucht, dass der GMX-Nutzer seine GMX-Daten dort eingibt.
Und wenn ich auch das weg klicke kommt tatsächlich die Baustelle. Die werden wohl jetzt sorgfältig ihre Files auf dem Server checken…
Hi BlackY,
sorry für die späte Antwort. Ich habe leider derzeit viel am Hut und gesundheitlich geht es mir auch nicht wirklich gut!
Nicht nur dir, mir ebenfalls! Deswegen habe ich ja auch geschrieben, daß dieser mal von der ganz übelsten Sorte ist. ;-)
Stimmt, das ist eigentlich schon Jahre her. Normaler Weise schreibt man diese Tags klein, heutzutage macht man das jedenfalls nicht mehr.
Das denke ich mir auch, meistens steckt man ja doch eine Menge Zeit in seine Site.
Gut möglich. Da ich die original allerdings nicht kenne weiß ich auch nicht, was das eigentlich war. Übrigens ist die Site immer noch nicht wieder on, da scheint es größere Probleme zu geben! Vielleicht ist tatsächlich der Server selbst betroffen, dann wäre das natürlich ganz schlecht für den Betreiber.
Das ist mit sehr großer Wahrscheinlichkeit anzunehmen, aber die Gefahr ist ja derzeit wohl gebannt.
Hoch interessant! Da sieht man wieder einmal, daß man nicht ohne Virenscanner in’s Netz gehen sollte.
Hier sieht man dann übrigens auch den Vorteil, wenn man wie du sein eigenes Blogsystem hat. Da gibt es keine bekannten Angriffsmöglichkeiten, das merke ich auch bei meiner normalen Website und dem von mir weiterentwickeltem Gästebuch dort! ;-)
Ich habe mir schon öfter überlegt, ob ich nicht aus dem Grundgerüst des Gästebuches ein eigenes Blogsystem aufbaue. Eine Überlegung ist es ja mal wert, nur mit der Umsetzung hapert es irgendwie bei mir!
Eine gute Nachtruhe wünsche ich dir nun.
Viele Grüße nun aus TmoWizard’s Castle
Mike, TmoWizard
Hmm, hab mich schon gefragt warum du noch nicht geantwortet hast. Dann gute Besserung Dir. :-)
Jo, das heißt aber nicht, dass ein AV dich vor allem schützt. Wie schon im CwCity-Forum schon des öfteren gesagt: Hätte ich Win 7 Professionel dann hätte ich mir schon das Software Whitelisting angeguckt und Kaspersky runtergehauen. :D
Ja, bei mir wird manchmal versucht die WP-Login-Seite zu finden obwohl ich ja kein WP habe. Aber irgendwelche Bots versuchen immer /wp-login.php oder wp-admin.php abzurufen. Scheitern dann aber am 404-Error. :P
Liebe Grüße
Nina
Hallo Nina,
Willkommen auf meinem Castle!
Der alleine schützt dich aber auch nicht vor solchen Mails, da gehört schon etwas mehr dazu! Z. B. wie bei BlackY ein vernünftiger Virenscanner und natürlich sollte immer das komplette System inklusive aller Programme auf dem neuesten Stand sein.
Nächtliche Grüße nun aus TmoWizard’s Castle zu Augsburg
Mike, TmoWizard
PS: in der nächsten Woche kommt vermutlich der Blog :) Soll ich dir den Link mal zusenden ? :)
Hallo Poli,
schön, daß Du auch mal wieder hier vorbei schaust!
Aua, die Dinger bekomme ich auch immer wieder! ;-) Allerdings bemerke ich gerade, daß seit ein paar Wochen der Spam bei den Mail ziemlich abgenommen hat. Dafür bekomme ich nun hier im Blog jetzt weit über 200 Spam-Kommentare am Tag!
Oh fein, das finde ich super von euch! Schreib ihn einfach als Kommentar, auch wenn ich ihn eventuell dann aus dem Spamordner „phishen“ muß. Auf jeden Fall wünsche ich euch viel Glück und Spaß mit dem Blog!
Viele Grüße nun nach Dortmund
Mike, TmoWizard
Hallo Henry,
willkommen in der Welt der Blogger!
Garantiert, die geben gewiß nicht auf!
Stimmt leider, das denke ich mir auch immer wieder. Da steckt ja inzwischen ein richtiger Industriezweig dahinter, der zum Teil richtig gut Geld verdient! Man bedenke nur die ganzen Botnetze, die zum Teil extra nur dafür aufgebaut werden. :-(
Viele Grüße nun nach Philippsburg, laß dich nicht von dem AKW bei euch einschüchtern und viel Spaß und Glück mit deinem Blog, der scheint ja erst ein paar Tage alt zu sein! Den Feed hab ich abonniert und hoffe, daß Du so schnell nicht aufgibst. Aller Anfang ist schwer, gerade bei uns Bloggern.
PS.: Ich habe zu einem deiner Artikel einen Kommentar geschrieben, bitte mach weiter so!
Mike, TmoWizard
bezüglich Spam kann ich berichten, dass mein Blog noch nicht mal 4 Wochen online ist. Bis heute hatte ich 26 normale Kommentare und bereits 40 SPAM Kommentare. Sonderbarerweise bekomme ich in meinem Blog mehr Spam, als in meinem eMail account.
Vielen Dank für Deine Hinweise. Ich werde die heute abend umsetzen.
Gruss
Henry
Hallo Henry,
Das habe ich bemerkt, ich finde neue Blogs immer klasse.
Ziemlich wenig, 40 Spam ist nicht gerade viel. Ich habe alleine heute bereits über 90 Stück hier gehabt, am Tag sind hier über 200 Spam-Kommentare inzwischen leider normal. :-(
Jo, hier auch. An manchen Tagen habe ich sogar keine einzige Spammail.
Grüße nun aus Augsburg
Mike, TmoWizard
Das Programm müsste aufjedenfall kostenlos und vorallem veraltet sein ^^
Ich bin nicht der supper Programierer oder so aber das kann ich tausend ma besser!
Ach und meintest du nich keine Anrede und so? da steht doch in dem Code was von ner Anrede
[Edit by TmoWizard: Link wegen unerlaubter Werbung gelöscht!]