E-Mail-Spam: Wie werden Header ge-/verfälscht?

[Basinator]

Ich weiß durchaus, dass es möglich ist, die Header bei E-Mails zu verändern. Insbesondere beim Absender, dies wird aber oft durch den kompletten Header aufgedeckt.

Nun bekam ich aber folgende Email:

Guild Wars 2 Account Will Be Shut Down Inform

We are sorry to inform you that your login account []@gmx.net will be shut down or partially limited within 72 hours due to currency transactions or abnormal login. If you want to remove restrictions, please click the following link to validate:
https://account.guildwars2.com/login?

Please keep in mind that Guild Wars 2 is a global game with hundreds of thousands of players. This means that standards of behavior must be upheld. For your convenience, you can obtain more information about our rules at the address listed below.

https://www.guildwars2.com/en/legal/
Guild Wars 2 Account Support Team

(Die Links waren verfälscht, so dass in der Email die korrekte URL angezeigt wurde, per HTML href aber natürlich auf eine andere Website verweist wurde. Ich spiele übrigens auch kein GW2, niemals getan.)

Als Header wird mir im GMX-Center angezeigt:

Erweiterte E-Mail-Informationen
Return-Path: noreply@guildwars2.com
Received: from guildwars2.com ([124.219.73.165]) by mx-ha.gmx.net (mxgmx008) with ESMTP (Nemesis) id 0LfotO-1YG5cq36mQ-00pKAM for <[]@gmx.net>; Tue, 02 Dec 2014 04:34:31 +0100
Received: from fthr (unknown [197.15.101.115]) by guildwars2.com with SMTP id qQuVILxcaCs63aEe.1 for <[]@gmx.net>; Tue, 02 Dec 2014 11:32:29 +0800
Sender: noreply@guildwars2.com
Message-ID: <C426A0DDC58A98C77A62FC118111B31F@fthr>
From: "ArenaNet" <noreply@guildwars2.com>
To: <[]@gmx.net>
Subject: Guild Wars 2 Account Will Be Shut Down Inform
Date: Tue, 2 Dec 2014 11:32:17 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_NextPart_000_0547_01DB782D.1C819F00"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
Envelope-To: <[]@gmx.net>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:Bs4e4q1CMWI=:Bb53HKuFSiasJh6fUT7QB5sbu9 g2qeNUnZsMk0Na9Wvymv0el9Qqdbu0urA3bkNnUXiFRaDKBmz4/w0yJnlH5GLM2b2rzjiwtxn /XF+m5aHIFgfyOSIkdbdusJFaPOD+ugCuXANwxyYI8eMe3F3x1qGLfwtWEbShrgUmK7Tqvybx yXiCwMBVVgj4S32J/Z8TRxLvd9i6LIYA7etIf/NnkvFYJfcUNm5kcMq4fzeUQvvl6o3mM4hDD QAlwvyLPRwHtmZzBfKpJ0ZfAJ+TvRGgPHI7iAfDi0/N5naFzzZ0d4e8iHpAFOL9mDzSxwdbdw rQ+EZWIqYBzD9vxm/6xty4ODCIhbXaMPGGWkYREwX7wSLuoSngAOW9MHbHwNNiIbmStHhaOEQ z1HJs3n1FPrEhrUbSRu5Rduhkj8VJa0X9EByYYbBCzFv01SsiIerGtO0rVGhXIB8tYVbYXy1y WJsUri9ozj9rvJ1lpden8VLdaEoFTfeYrjXxal8LM9HeSa5IKu0z7Wu5uVQSYxBYTn7xQQswx V9ZFSfZQ9mb44id9FDdQ4wJv4pNmkTKNOZaThPhmFWrME3iP6UQYI0JHL+WDz9dbtVzv3vv98 cp/OsytQUioC4E4wfVT3trOFzLAo9wMaxMnqQkURSByKWNMBb962yyYCC8xfwXNh4ywMoetlf /N6An0cvWutAYVKup3c2ijFL3e8ty1KawGgzxG87kbN3/POa8hF2N0x9N/LsgM9zj5VVVz2Qi YFVoILlglB8z7h0XAUEg4xO5cc6/lm/6H3l9BXXg5Lt5/m03CcyMe452y+NJoeQvtCvYLIpgF wkFBuputMY5wrE4dcvmJKpfkikzXYJqGFOQGWd7sNZ6ZzLrFc+NPIE4Se0KdoBa9F/ws8mti6 CpFJlqJmyRii5xISRAO58+z8b9xtrjShlYH0Zbq/2/UUQKtAu9SyKRcN9byARI8i/DPJT4z8n FpDIPmnLo5MJI6dkuAhZm7lUm5zSWbJwNBr8LskNVpzruIh4fB3xMC7F+qE96RMTOHf1FmdIs SEkO5UMHW7EY4/aTG2LRF4Fs83AXLWyWSk1oPnRz0fFD81MN774vn3KzOv61MnuMwN52MwdMu zggAJFLBdSOzzUfb5LOceiHPzI0s1URrHzdTtmNVgq/b/Y+uUNw+NOIuxaxY/3Yp4iGVMC3Wn wmtNXEQ3QxS//Txkoaf0eKLQHvKM8zV348CY4hIQNYf6JweLrjIFRGjEKpl3Nk7980c1AVCoY +Mrql4SBEBuzwVk+02WXvMNpPwVOl6PbceTT+Q/bagHeC5OSisncr30etSr8OpL/cRIZe4mZe W3s1/m8H+iI6sfXqeoSdkxxKdoGEfHz3W4t+iMHeRaqr8GeunMQTxD68k8D0FICO0ETO7j7P3 UMg9ffRKSjyg8dkTdRNpb99MTgIzrMXOnwK0ZMzebrCH5bSg8Gzd6St83kbJGkxd77HIGTAlL As+nfQAV7/yW103ME3sHWg1J0EWDe1aSi1FwJVDFQLkhtNKW66ilAld/0z9sWTXkdrCO8LO65 dC7Zjau3I+cXszlXLbCst28PXjNmDZ8S/1/CU6b/1+KQJ36itkXo4yc39p0jks7Zu4F9HFETT aJbsvlicXw5QXBsUX2DTtRHdfUVYXzYp/rfaWpMfjiDErc6CTq5AVm8AHCu/wfoh2oNL+g4JG vFmoBuzALWKBZxobv113QhT4TY+y30jC8CMX+1vrm/ZImSLSH/l7HiuipsPLf66CW8=

(Eigene Adresse aus Info entfernt)

Wie als kann sich ein Spammer als korrekter Absender ausgeben, wenn scheinbar sogar die Absender-Email unscheinbar ist?

 

[Seby007]

Stichwort: Email-SMTP Protokoll/-Server und unicode (Verwendung von gleich aussehenden Zeichen, aber mit einem ganz anderen internen Tastencode)

 

[Basinator]

unicode (Verwendung von gleich aussehenden Zeichen, aber mit einem ganz anderen internen Tastencode)

Wie würde dies eine andere Absender-Domain erklären?

 

[Arzaiel]

Wie kann man bei einem normalen Brief sich als ein anderer Absender ausgeben? Indem man einfach einen anderen Absender raufschreibt. Genau so funktioniert das bei SPAM Mails eben auch.

 

[KainerM]

http://www.guildwars2.com.ipaddress.com/
www. Guildwars2. com | Guildwars2 IP Lookup (IP: 64.25.47.16)

http://124.219.73.165.ipaddress.com/

When pulling the information for 124.219.73.165, we found that the organization tied to this IP is Asia Pacific On-line Services Inc..

Der Absender hat einfach einen falschen Namen draufgeschrieben. Die IP zeigt dass der Server nix mit guildwars2.com zu tun hat...

mfg

 

[Coolinger]

Also die Felder Sender, Return-Path und From kann man setzen wie man will, vorausgesetzt man hat einen eigenen "Mail Server", also einfach ein Programm das Mails absendet. Auch das hier kann man einfach in die Mailheader reinschreiben

Received: from guildwars2.com ([124.219.73.165]) by mx-ha.gmx.net (mxgmx008) with ESMTP (Nemesis) id 0LfotO-1YG5cq36mQ-00pKAM for <[]@gmx.net>; Tue, 02 Dec 2014 04:34:31 +0100
Received: from fthr (unknown [197.15.101.115]) by guildwars2.com with SMTP id qQuVILxcaCs63aEe.1 for <[]@gmx.net>; Tue, 02 Dec 2014 11:32:29 +0800

Hier hat guildwars2.com nämlich eine falsche IP.

Kommandozeile unter Linux für eine Mail mit diesen Headern:

echo test | mail -a "Return-Path: noreply@guildwars2.com" -a 'Sender: noreply@guildwars2.com' -a 'From: "ArenaNet" <noreply@guildwars2.com>' -a "Received: from fthr (unknown [197.15.101.115]) by guildwars2.com with SMTP id qQuVILxcaCs63aEe.1 for <[]@gmx.net>; Tue, 02 Dec 2014 11:32:29 +0800" coolinger@computerbase.de

Mehr Aufwand ist es nicht...

 

[Basinator]

"Return-Path: admin@computerbase.de: Datei oder Verzeichnis nicht gefunden"

:x
Oder muss ich noch irgendetwas nachinstallieren?

ladmin@ladmin:~$ echo "test, du hast mich ja provoziert /Basnap" | mail -a "Return-Path: noreply@vayne.com" -a 'Sender: noreply@faked2.com' -a 'From: "Computerbase Admins" <admin@computerbase.de>' -a "Received: from fthr (unknown [197.15.101.115]) by computerbase.de with SMTP id qQuVILxcaCs63aEe.1 for <[]@gmx.net>; Tue, 02 Dec 2014 11:32:29 +0800" coolinger@computerbase.de
Return-Path: noreply@vayne.com: Datei oder Verzeichnis nicht gefunden
ladmin@ladmin:~$ echo "test, du hast mich ja provoziert /Basnap" | mail -a "Return-Path: admin@computerbase.de" -a 'Sender: noreply@faked2.com' -a 'From: "Computerbase Admins" <admin@computerbase.de>' -a "Received: from fthr (unknown [197.15.101.115]) by computerbase.de with SMTP id qQuVILxcaCs63aEe.1 for <[]@gmx.net>; Tue, 02 Dec 2014 11:32:29 +0800" coolinger@computerbase.de
Return-Path: admin@computerbase.de: Datei oder Verzeichnis nicht gefunden

 

[Coolinger]

coolinger@computerbase.de ist nicht meine email Adresse
Wäre aber mal ein VV, jeder Computerbasler kriegt ne Mail Addy

Und du musst das richtige "mail" Programm nutzen

(Ubuntu) Das vom Paket mailutils kanns, das vom Paket heirloom-mailx kanns nicht, bzw. da bedeuted der -a Schalter was anderes...
man mail

 

[Basinator]

VV? Was ist das denn jetzt wieder für ein Meme? Hatte aber schon befürchtet, du hattest die CB-Admins mit Luststunden bestochen.

Habe das Teil jetzt nachinstalliert, aber selbe Fehlermeldung :<

 

[Sithys]

Also möchtest Du jetzt selber Mails mit gefälschtem Header versenden oder warum so eine detaillierte Beschreibung?

 

[Coolinger]

VV -> Verbesserungsvorschlag

Und wenn du (unter ubuntu) mailutils nachinstallierst, ersetzt es nicht automatisch deine /usr/bin/mail Alternative. Das könnte sonst Nebenwirkungen haben da die beiden Tools keineswegs Kommandozeilen-kompatible sind.
Führe es direkt aus mit /usr/bin/mail.mailutils

 

[Basinator]

VV -> Verbesserungsvorschlag

Ich komme mit diesen ganzen neuen Memes nicht mehr klar!

@Sythis: Rein aus Interesse/Neugier, obgleich natürlich nachvollziehbar sei, dass jemand da skeptisch ist.

 

[Daaron]

Ein Meme ist auch nicht das, was du denkst. Memes sind sich virulent innerhalb einer sozialen Gruppe (Schulklasse, Dorf, Social Network) verbreitende Informationen, vor allem humoristischer Natur. Man könnte sie mit Tratsch vergleichen.

 

[st0rax]

Ich weiß nicht ob man damit das selbe erreicht, habe mich mit der Thematik nie sonderlich beschäftigt, aber:

Ich habe vor einiger Zeit einen Exchange Server zu Testzwecken eingerichtet und zum versenden der Mails einen Arcor freemail account verwendet.
Dabei konnte ich beliebige Absenderadressen verwenden, das hat weder den Server noch den Mailprovider sonderlich gestört.
So konnte man dann auch Mails als "merkel@deutschland.de" verschicken...

 

[Basinator]

Ein Meme ist auch nicht das, was du denkst. Memes sind sich virulent innerhalb einer sozialen Gruppe (Schulklasse, Dorf, Social Network) verbreitende Informationen, vor allem humoristischer Natur. Man könnte sie mit Tratsch vergleichen.

^Das war von mir schon fast ein Meme zu glauben, dass VV ein Meme war.

So konnte man dann auch Mails als "merkel@deutschland.de" verschicken...

Wir sollten Kriegserklärungen an Russland verschicken.

Immerhin würden unsere Politiker dann aufmerksam auf solche Sicherheitsrisiken!

ladmin@ladmin:~$ sudo mail.mailutils []@gmx.net -H
Cc:
Subject:


cannot send message: Process exited with a non-zero status

Warum will das nicht.

Im Kontext:
http://ubuntuforums.org/showthread.php?t=2100930

 

[Daaron]

Willste die Kriegserklärung dann mit dem Google Übersetzer verfassen? Das wäre sicher witzig. Am Ende schickt dir der Kreml dann ne Bestellbestätigung über 50.000 Liter Borschtsch...

 

[Basinator]

Kreml dann ne Bestellbestätigung über 50.000 Liter Borschtsch...

Mindestens.

Wäre eigentlich mal eine Idee.....BRB!

 

[Basinator]

Idee, was muss ich noch genau tun, damit dies funktioniert?

 

[JanKrohn]

Mehr Aufwand ist es nicht...

Naja, ein wenig mehr Aufwand ist es schon. Sonst koennten ja von einer Domain nur E-Mails von ein und der slben IP-Adresse legitim gesendet werden.

Die erlaubten IP-Adressen werden ueber Protokolle wie SPF oder DomainKeys definiert.

Nur dass in den SPF-Eintraegen zu guildwars2.com anscheinend nur kompletter Schmarren drinsteht (vermutlich weil der echte Betreiber diese Domain gar nicht zum Verschicken von Mails nutzt).

GMX hat es anscheinend noch nicht gerafft, dass man E-Mails von einer Domain, die keine gueltigen SPF-Eintraege hat, am besten gleich als Spam einsortiert.

Meiner Ansicht nach kann man fuer die Sache also sowohl dem Betreiber eine klatschen (weil er die SPF-Eintraege vernachlaessigt), als auch GMX aus besagten Gruenden.

 

[Coolinger]

SPF liest sich auf dem Papier zwar recht schön, aber anhand der Menge der Umsetzung ist es, nach meinem letzten Stand, noch als exotisch anzusehen. Meine Domains z.B. haben alle einen SPF Eintrag, aber wenn sich ein Spammer mal wieder eine meiner Domains als Absender aussucht (mit zufall@domainname) erhalte ich alle möglichen Delivery Notifications (da ich catch-all nutze), dass die Ziel-Mailbox nicht existiert. Eigentlich sollte da stehen dass die Mail wegen SPF nicht angenommen wurde. Oder gar keine Antwort schicken, falls ein SPF Test negativ ausfällt.