Mailserver Chiper prüfen

Wenn man wissen will, welcher Cipher bei seinem Mailserver zum Einsatz kommt,
kann man über openssl den SSL-Bericht erstellen lassen:

openssl s_client -port 25 -host 127.0.0.1 -starttls smtp

Das Ergebnis könnte dann u.a. so aussehen:


SSL handshake has read 5832 bytes and written 602 bytes

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : DHE-RSA-AES256-GCM-SHA384
Session-ID: 5A9E7EE1836BDA1B5AF948EAC253EAE24ACD72FB8C3AAAFA1D05AFB87138ABB7
….

Der Cipher ist leicht zu erkennen. Bei der Beurteilung ob er sicher ist, müssen Sie nun Google fragen.

otto.de – Ihre Bestellung vom 20.01.2014

Ich bin seit vorgestern OTTO Kunde und ich bin dermaßen zufrieden, daß ich komplett vergessen habe, was ich da eigentlich gekauft habe. So, oder so ähnlich hatten sich die russischen Angreifer das wohl auch gedacht und mir prompt eine tolle Rechnung im allseits beliebten ZIP Format geschickt. Das dies bei OTTO nicht üblich ist, und natürlich nur den Virus verschleiern soll, der da angehängt ist im Archiv, beweist alleine schon der Satz „heute erhalten Sie Ihre Rechnung im Zip-Format“ , den man ja nicht schreiben müßte, wenns nicht was besonderes wäre.

Clever wie die Angreifer sind, schicken Sie den Inhalt in UTF-8 Kodierung, sagen der Email aber, sie wäre ISO-8859-15 aka windows-1251, was zum lustigen Umstand führt, daß die Email nur Schrottzeichen anzeigt, statt Umlauten. Wofür „=EF=BB=BF“ steht, konnten wir auf die schnelle nicht klären.

------=_NextPart_000_0075_01C4DE7E.C46E4B31
Content-Type: text/plain;
        charset="windows-1251"
Content-Transfer-Encoding: quoted-printable

=EF=BB=BF
Sehr geehrte Kundin!

heute erhalten Sie Ihre Rechnung im Zip-Format. Vielen Dank f=C3=BCr Ihre B=
estellung im OTTO.

Herzliche Gr=C3=BC=C3=9Fe,
Ihr OTTO-Online-Team

Sie sind mit folgender E-Mail-Adresse registriert: xxxx@xxxxxxxxxxxxxx

Auf in die Mülltonne, wo es hingehört.

U.N.O. Kreditkarten

Auch der besten Antispamlösung Ihres Providers kann mal eine Spam oder Phisingmail durch die Lappen gehen. Eine solche hat mich heute erreicht und mir mal wieder die Gelegenheit geben, auf die Schwächen solcher Phisingemails hinzuweisen.

Der Text:

UNITED NATIONS.
United Nations House, 617/618.
Diplomatic Zone,
Central Area District,
Federal Capital Territory,
Abuja, Nigeria.
Email: atmunit1001@yahoo.co.jp

RE: APPROVED COMPENSATION PAYMENT AWARD OF US$2.3M

We found your email in our list and that is why we are contacting you, this has 
been agreed upon and have been signed. Therefore, we are happy to inform 
you that an arrangement has perfectly been concluded to effect your payment 
as soon as possible in our bid to be transparent.

However, it is our pleasure to inform you that your ATM Card Number; 
7876 3100 0300 1420 has been approved and upgraded in your favour. 
Meanwhile, your Secret Pin Number will be available as soon as you confirm 
to us the receipt of your ATM CARD.

The ATM Card Value is $2,300,000.00 USD only (Two Million Three Hundred 
Thousand United States Dollars). You are advised that a maximum withdrawal 
value of US$5,000.00 (Five Thousand Dollars) is permitted daily.

Please contact Mr. Lancelot Ego, Email: atmunit1001@yahoo.co.jp With the 
following information to facilitate your claims.

Das Offensichtliche:

Die UNO verschickt natürlich keine Kreditkarteninformationen mit 2.3 Millionen USD drauf an jemanden, der dann noch seine Daten angeben soll.

Nehmen wir an, es wäre tatsächlich so und Sie müßten die Fälschung erkennen. In dem Fall müßten Sie nicht mal in den EMailheader schauen, denn im Text steht Nigeria als Standort des Sender und die Emailadresse sagt Japan. Mehr muß man eigentlich nicht sagen.

Der Emailheader:

Received: from wombat.uoeh-u.ac.jp ([160.198.6.18]) by mx-ha.web.de (mxweb005)
 with ESMTP (Nemesis) id 0LqBLU-1VOYy01CMK-00dnF7 for ;
 Sat, 11 Jan 2014 16:26:43 +0100
Received: from User (static-71-122-185-194.tampfl.fios.verizon.net [71.122.185.194])
	by wombat.uoeh-u.ac.jp (Postfix) with ESMTPA id 99432644AB;
	Sat, 11 Jan 2014 20:34:19 +0900 (JST)
Reply-To: <atmunit1001@yahoo.co.jp>
From: "U.N.O."<kuroda-k@med.uoeh-u.ac.jp>
Date: Sat, 11 Jan 2014 06:33:26 -0500

Der angebliche Absender „kuroda-k@med.uoeh-u.ac.jp“ stimmt nicht mit der Rücksendeadresse „atmunit1001@yahoo.co.jp“ überein.

Die angehängte Datei „U.N.O.pdf“ ist natürlich präpariert und wird alle bekannten Schwachstelle eines PDF Anzeigeprogramms ausnutzen um die Kontrolle über den Rechner zu erlangen.

Wie in all diesen Fällen, löschen Sie die Email einfach.