Wieso wird aus einer MT-Benachrichtigungsmail zusätzlich noch eine SPAM-Mail?
Hallo Werkstatt!
Wieso wird aus einer MT-Benachrichtigungsmail zusätzlich noch eine SPAM-Mail?
Situation:
Ich habe einen Thread abonniert. Bei neuen Beiträgen erhalte ich eine Mail von MT. Und manchmal erhalte ich noch zusätzlich eine weitere Mail von dritter Seite, welche die komplette Benachrichtigungsmail von MT enthält. Mein Provider markiert diese als SPAM-Mail.
Ich habe testweise mein Mail-Adresse geändert, was jedoch nichts gebracht hat. Auch an diese für MT neue Mail-Adresse kommt neben dem Original eine Fälschung.
Ich habe von einem Mail-Paar die Rohdaten kopiert.
Aus der Original-Mail:
Return-Path: <return@werkstatt.motor-talk.de>
Received: from mail17-111.srv2.de ([193.169.180.111]) by ... for <"myinfo">; Sun, 14 Apr 2019 06:17:16 +0200
Aus der Fälschung:
Return-Path: <Benjamin.riwv@aol.de>
Received: from 036041.de ([45.169.108.51]) ...
Received: from [80.171.222.148] ([120.98.134.64]) ...
whois
"036041.de" = 45.169.108.51 = Brasilien, nserver: ...co.uk
"80.171.222.148" = HANSENET-ADSL, Telefonica Germany GmbH & Co. OHG ...
"120.98.134.64" = Asia Pacific Network Information Centre (APNIC) => TANET-NET, Ministry of Education Computer Center, 12F, ..., Taipei Taiwan 106
Wo und wie werden die Benachrichtigungsmails von MT abgegriffen?
Hat MT ein Leck?
VG myinfo
Edit: Ergänzung/Erklärung. Ich habe die hinterlegte Mail-Adresse durch meinen Usernamen ersetzt = <"myinfo">, da ich die Mail-Adresse nicht veröffentlichen wollte.
Beste Antwort im Thema
Mails sind halt wie Postkarten - jeder, der die Postkarte zwischen Absender und Empfänger in die Hände bekommt, kann sie lesen (und natürlich seine Schlüsse draus ziehen) ohne das der Empfänger das mitbekommt. Ein klassischer Man-in-the-Middle-Angriff. Aber das soll ja irgendwann dank MTA-STS Geschichte sein - so zumindest die Theorie.
Ich hatte letzte Woche bei einem Kunden (mal wieder) eine ziemlich fiese Emotet Attacke. Die Mail war wirklich gut und das perfide daran: der Kunde war aktuell tatsächlich in Korrespondenz mit diesem Kunden (besagte Mail war natürlich eine Fälschung). Mails sind leider immer noch (und immer mehr) das Haupteinfallstor für Schadsoftware. :-/
Gruß Tom
16 Antworten
Was genau stand in der besagten Mail denn drin?
Gruß Tom
Hallo @all!
Update / Feedback: MT ist aus der Nummer raus! 🙂
Hi Tom!
Nachdem Du Emotet ins Spiel gebracht hast, habe ich mich kurz darüber informiert.
BSI, Aktuelle Information zur Schadsoftware Emotet
"(...)
Emotet liest die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme aus. ..."
Na super, genau das ist der Fall. 😰😁
Knoppix 8.2 Live-DVD --> FF --> GMX --> SPAM-Mail --> Rohdaten: Nur die SPAM-Mail selbst wird angezeigt
Windows --> Mailprogramm --> Rohdaten: Die SPAM-Mail plus eine andere Mail aus dem Postfach wird angezeigt
Und da im Posteingang Mails von MT lagen, wurde eine davon genommen.
Ich habe alle Mails außer die SPAM-Mails platt gemacht und mir selbst eine Mail geschrieben: Hallo Virus! 😁
Und was soll ich sagen, die SPAM-Mails nahmen auch diese. 😰
Wahnsinn, oder?
Die SPAM-Mails wurden auf den Dosen nie angesehen oder auf sie übertragen.
Dennoch werde ich c't wimage anwerfen und wieder alles auf den aktuellen Stand bringen. 😉
Da ich gmx nur noch für MT, Newsletter und so Zeug nutze, habe ich vor Monaten dort alles platt gemacht. Adressbuch, alte Mails, usw. Wer mich kennt und eine gmx-Mail-Adresse von mir hat, soll sie schnellsten ins Nirvana jagen und mir eine PN zusenden. 😉
@all: DANKE für euren Input und die Hilfe!
VG myinfo