Domain-Missbrauch

< Komm ich ins Blog? | Tabelle gecrashed... >

Donnerstag, 24. Mai 2007

Okay, das ist im Prinzip nichts neues, dass Spamer gerne Domains anderer Internetnutzer stehlen und quasi unter deren Namen versenden. Ebenfalls nix neues ist, dass viel zu wenig Mailserver da draußen auf Techniken wie SPF oder ähnliches setzen.

Was mir allerdings neu war ist die Herkunft des Spams.

So bekam ich eben eine besorgte Mail eines Kunden, dessen Domain gerade für Spam missbraucht wird, wo er mir ganz viele dieser Mails anhängte (bevor jemand fragt: Die hat er als Bounce zurück bekommen ). Ich habe mir richtig viel Zeit genommen dem Kunden die Problematik darzustellen und habe auch ein paar Header dieser Mails analysiert.

Kurz angemerkt: Wichtig hierbei ist mittlerweile auch immer jeden Received-Eintrag mit seinem vorgänger zu vergleichen, denn Spamer fälschen die Mittlerweile auch gerne

Was mich dabei stutzig machte: Alle diese Spams (und noch ein paar) mehr wurden ohne Zweifel aus verschiedenen IP-Netzen der US Army verschickt... Eigentlich hätte ich bei denen erwartet, dass die relativ "save" sind - oder gar eine neue Angriffstaktik? :hmm:

Geschrieben von Bernd Holzmüller in Technik um 17:24 | Kommentare (7) | Trackbacks (0)

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Hmm, wenn ich mir das so durchlese, dann kommt mir der Vardacht, das der betreffende Kunde heute wegen eben dieses Problems bei mir angerufen hat. Und ich vermute mal ebenso, das meine Antwort in etwa Deiner entsprach...

#1 Schrottie (Homepage) am 24.05.2007 18:14 (Antwort)

Hi Bernd!

Genau deswegen wollte ich dich heute auch anschreiben.

Ich kann mich vor den "Ihre Mail konnte nicht zugestellt werden" Meldungen nicht mehr retten.

Da benutzt einer meine Domainnamen. *schnif*

#2 Lucky (Homepage) am 24.05.2007 21:27 (Antwort)

Okay, mein Verdacht war also falsch...

#3 Schrottie (Homepage) am 24.05.2007 21:31 (Antwort)

Ich bekomme auch seit ca. 2 Tagen regelmäßig Bounces. Der vorgegebene Absender sieht nach [zufällig generiert]@domain aus, einmal war es auch billing.

#4 Philipp am 24.05.2007 22:14 (Antwort)

Ich bekomm auch seit 2 Tagen Bounces ... nicht gerade wenig ... [irgendein_quatsch]@domain.tld ...

#4.1 Hobby (Homepage) am 24.05.2007 22:26 (Antwort)

Der Versand mit gefälschten, aber existenten Absendern ist ja ein alter Hut, und die Fälschung von Received:-Headern ist auch nicht gerade neu (und war es auch anno 1998, zum Zeitpunkt der Erstellung der Header-FAQ, nicht mehr

#5 -thh am 25.05.2007 16:06 (Antwort)

Bestätige das Ganze. Zuerst dachte ich, die kämen wirklich von mir und einer hätte da was gehackt, aber das ist im Moment so eine Welle.

#6 Peter W. (Homepage) am 25.05.2007 20:03 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: BBCode-Formatierung erlaubt
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen