Tag Archives: web.de

Hallo Web.de, bitte Hirn einschalten!

Posted on by

Liebes Web.de Entwickler-Team,

einfache Logik ist nicht eurer Ding, oder?

Wenn Ihr eine Email bekommt, die eine FROM: und TO: Mailadresse hat, die gleich ist UND KEIN SMTP-AUTH im Spiel ist, dann nennt man das SPAM!

From: <name@web.de>
To: <name@web.de>
Subject: Sie haben eine offene Rechnung. Bitte begleichen Sie Ihre Schulden so schnell wie m=?UTF-8?B?w7ZnbGljaA==?=

Und was macht man mit Spam? Man nimmt sie nicht an. Ihr dagegen, sendet die Delivery Message über die Nichtzustellung der Spam einfach an das Opfer! Wie blöde ist das denn bitteschön?

From: "WEB.DE Mailer Daemon" <mailer-daemon@web.de>
Subject:  Mail delivery failed: returning message to sender
To: <name@web.de>

Wie kann das nur sein, daß die Spam angenommen, aber auch abgelehnt wurde?

Naja, weil zwei Mailserver daran beteiligt waren: a) der web.de Mailserver und b) unser Mailserver, dem das Postfach weitergeleitet wird.

Unserer war es auch, der die Spam abgelehnt hat, denn Web.de hat sie nicht als Spam erkannt 😀

Dabei war das ganz leicht, weil es ein massiver Spamausbruch war:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error.

The following address failed:

    meinwebdepostfach@meinedomain.de:
        SMTP error from remote server for RCPT TO command, host: resellerdesktop.de (83.246.67.243) reason: 550-rejected because 82.165.159.4 is in a black list at zen.spamhaus.org
550 Listed by SBL, see https://check.spamhaus.org/sbl/query/SBL594406

Sonst hätte Spamhaus die IP nicht auf der Liste.

Ich fasse mal zusammen:

Der alte Trick mit Absender=Empfänger geht bei Web.de einfach so durch, obwohl das leicht als Betrug erkennbar ist, weil macht man normalerweise nicht und wenn man das machen würde, dann müßte man sich zum Senden authentifizieren ( SMTP-AUTH ), was aber eine ext. eingelieferte Email von einem Spammer nicht macht. Hmmm… was ist dann das Kriterium…?… ach ja richtig: fehlendes SMTP-AUTH!!!!

Noch einmal ganz leicht:

SMPT-AUTH + mein web.de Absender =  GUT
kein SMPT-AUTH + mein web.de Absender =  SCHLECHT!!!!!!!!!!!!!!!!!!!!!!

Und jetzt ab ins Körbchen mit Euch, Ihr Web.de-Schafe! 😀

Eine komplett wirre Spam

Posted on by

Es ist mal wieder Zeit eine Spam zu sezieren 😀 Gleich zur Klarstellung: Kein Aprilscherz. Eine so wirre Spam, bei der gar nichts paßt, ist schon selten geworden.

„(Email@dresse) – BITTE ANTWORTEN!“

Dem Aufruf werden wir natürlich nicht Folge leisten und schauen uns gleich mal alles ganz genau an. So sieht das aus, wenn diese komische Spam vorbeikommt:

Mans ieht den vermeindlichen Inhalt einer SpamEmailLinks unten in der Ecke sieht man den Link von dem „Click Here“:

https:/###/navigator.gmx.net@goto.pt/rQXtut#
(leicht verfälscht, damit keiner draufklickt)

Das „@“ in einer Internetadresse hat eine Sonderstellung, es gibt einen Benutzernamen für die BASIC-Auth per HT-Accessabfrage im Webserver an, hat aber sonst keine Wirkung. Das bedeutet, gibt man das an, ohne das eine Abfrage vom Server gemacht wird, hat es absolut keine Wirkung. In unserem Spamkontext aber, dient der Zusatz dazu, den Eindruck zuerwecken, daß man bei GMX.NET rauskäme, würde man dort klicken. Tatsächlich geht es aber zu „goto.pt“, was wohl ein URL-Verkürzer- oder Redirectservice ist. Ein typische Scammermasche eben.

Die aufwendige Täuschung, daß es sich um eine Facebookemail handelt, erkennt man an den Email-Headern:

X-Mailer: ZuckMail [version 1.00]
From: „Web.de“ <notification@facebookmail.com>
Reply-to: noreply <noreply@facebookmail.com>
Errors-To: notification@facebookmail.com
X-Facebook-Notify: page_invite:page_invite_reminder; mailid=5a1ecca8ff1632G5aXXXXXXXXXXXXXXXX
List-Unsubscribe: <https://www.facebook.com/o.php?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX;>

Bei „ZuckMail“ kommt ich mir ein Grinsen nicht verkneifen 🙂

Die Receivedheader der Email, also die Strecke an welchem Mailserver die Email wann vorbei gekommen ist, teilt uns dann auch mit, daß obige Facebookheader von einer echten Mail stammen werden, die gestern an GMX ging:

Received: from tool.jobnowx.com ([45.58.188.112]) by mx-ha.web.de (mxweb012
[212.227.15.17]) with ESMTP (Nemesis) id 1MmkT4-1itqCw1E62-00jrjK for
<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX@web.de>; Sun, 29 Mar 2020 11:50:52 +0200
Received: from 66-220-155-145.mail-mail.facebook.com () by
mx-ha.gmx.net (mxgmx117 ) with ESMTPS (Nemesis) id
1N4gjH-1jP4ch2OyF-011ils for <XXXXXXX@gmx.de>; Sat, 28 Mar 2020 21:55:12 +0100

Wie man in rot sehen kann, „tool.jobnowx.com“  ist der echte Absender, der diese Email losgeschickt hat, und der Scammer hat einfach den Header vom GMX Mailserver drin gelassen, damit die Quelle verschleiert wird. Wenn man so etwas macht, sollte man GMX nicht mit Web.de verwechseln 😀

In der Email ist dann noch die eigentliche Payload, das Ziel der „Verführung“ untergebracht und das geht zu : clicks-bb.com und der Domainname ist ja wohl Programm genug. McAfee gibt auch schon seit Tagen eine Warnung für diese Domain aus und kommt mit Sicherheit nichts gutes bei raus, wenn man die aufruf, aber aller Vernunft zu Trotz …

$ curl http://clicks-bb.com
<html><body><h1>403 Forbidden</h1>
Request forbidden by administrative rules.

muharhar schon gesperrt worden vom Hoster 😀

Schauen wir uns mal den „Inhalt“ an …

Hallo Florian,

Erinnerung: Christian Zacher hat dich eingeladen, „Finanzcoach XXXXXXXX Zacher“ mit „Gefällt mir“ zu markieren.

Wenn dir Finanzcoach XXXXXXX Zacher gefällt, klicke auf den folgenden Link: https://www.facebook.com/n/?pages………

Wir wissen nicht, wer Florian ist, oder ob es den Zacher wirklich gibt, aber Emails, die in der Hallo Zeile nicht den eigenen Namen drin haben, sind i.d.R. SPAM und jetzt haut die weg 🙂

Die gleiche Masche gabs Anfang der Woche für Amazon, da stand dann im Betreff auch „BITTE ANTWORTEN“ drin, also wenn Großbuchstaben bei uns was bewirken würden, außer genauer hinzusehen 😉

1+1: „Sie haben das Internet kaputt gemacht.“

Posted on by

Störung des Mailversands bei 1+1

Wie aus diversen Berichten von Betroffenen hervorgeht, hat 1+1 derzeit massive Probleme Emails eigener Kunden zu versenden und Emails an Kunden zu empfangen.

Seit 10:30 Uhr heute früh hat 1+1 eine Störungsmeldung auf ihrer Seite http://status.1und1.de

Die Ursache dafür, daß man 1und1 keine Emails mehr schicken kann, liegt darin begründet, daß viele Netze eine sogenannte CNAME-Delegation haben. Damit vermeiden große Anbieter, daß jeder kleine Kunde bei RIPE ein Netz bekommt. Stattdessen werden kleine Teile des eigenen Netzes an die Nameserver des Kunden delegiert. Dadurch kann der Kunde dann eigene PTR-Records für seine IPs setzen.

Nachforschungen zu folge, funktioniert genau dieser Mechanismus bei 1+1 Mailservern derzeit nicht mehr.

1+1 selber spricht nur von Emailproblemen seiner eigenen Kunden.

Die Störung bei 1+1 fing unseren Recherchen zufolge am 3.11. gegen 14.20 Uhr an.Eine typische Meldung sieht im Log so aus : host mx-ha02.web.de [213.165.67.120]: 554-web.de (mxweb101) Nemesis ESMTP Service not available\n554-No SMTP service\n554 invalid DNS PTR resource record, IP=1.2.3.4
Daran können Sie erkennen, ob Sie betroffen sind oder nicht.Der Support von 1und1 hat dies Problem bestätigt und verweist darauf, daß es mit Nachdruck gelöst wird. Wie lange auch immer das dauern mag 🙂