Skip to content

Aber ich habe doch gar kein Konto bei der Kreissparkasse...

Immer dann, wenn mir langweilig ist, schaue ich mal in den Spamordner. Neulich trudelte eine recht gut gemachte Mail rein, die von der Kreissparkasse zu stammen scheint. Allerdings mit zwei entscheidenden Fehlern: Weder habe ich ein Konto bei dieser Bank, noch heiße ich so, wie ich in der Mail angesprochen werde. Von der Absenderadresse, die nicht gefälscht war über die Metadaten der Mail (Hearder usw.) oder die Links, auf die darin verwiesen wird, will ich gar nicht erst anfangen:

Screenshot der Mail

Also gut, nach dem Klick auf "Weiter zur Kontrolle" geht es weiter im Browser:

Loginseite der ScammerIm weiteren Verlauf habe ich mal ein paar Phantasiedaten eingegeben, die auf den ersten Blick genau so plausibel erschienen wie diese Phishing Webseite und den ganzen Registrationsprozess durchlaufen. 

Das Ende vom Lied: 

Erfolgreicher Abschluss

Ein wiederholter Aufruf der Seite ist dann nicht mehr möglich, weil die Tracking Url, die durch das Anklicken des "Weiter zur Kontrolle" in der oben genannten email gesetzt wurde, eindeutig mit der Mailadresse an die die Mail ging, verbunden war. Mehr brauchten die Scammer nicht, um durch die Befragung Online-Banking-Zugangsdaten, Geburtsdatum, Telefonnummer sowie die Daten der Sparkassen-Card zu erfahren. In meinem Fall mit fiktiven Daten. Bis auf die Telefonnummer des BKA, die ich zur schnelleren Bearbeitung eventueller Nachfragen angegeben habe...

Postfix: Mails komfortabel löschen

Das folgende Skript löscht alle E-Mails aus der Mailwarteschlange, die dem als erstes Argument angegebenen regulären Ausdruck entsprechen:

#!/usr/bin/perl
$REGEXP = shift || die "no email-adress given (regexp-style, e.g. bl.*@yahoo.com)!";
@data = qx;
for (@data) {
  if (/^(\w+)(*|\!)?\s/) {
     $queue_id = $1;
  }
  if($queue_id) {
    if (/$REGEXP/i) {
      $Q{$queue_id} = 1;
      $queue_id = "";
    }
  }
}
#open(POSTSUPER,"|cat") || die "couldn't open postsuper" ;
open(POSTSUPER,"|postsuper -d -") || die "couldn't open postsuper" ;
foreach (keys %Q) {
  print POSTSUPER "$_\n";
};
close(POSTSUPER);

Im folgenden Beispiel löscht man alle Nachrichten in der Warteschlange von oder zu der Domain "fuckspamdomain.com":
./postfix-delete.pl fuckspamdomain.com
Im folgenden Beispiel löscht man alle Nachrichten in der Warteschlange, die das Wort "xyz" in der E-Mail-Adresse enthalten:
./postfix-delete.pl xyz
Credits: nixcraft

Mini HowTo: OpenDKIM für Postfix installieren

Foto: Lourdes Cardenal
Campo de Criptana Molinos de Viento / La Mancha.
Foto: Lourdes Cardenal, CC BY-SA 3.0, via Wikimedia Commons
Bekanntlich bin ich der Ansicht, daß alle Spammer an ihren Eiern aufgehängt gehören. Da dieser Wunsch für mich momentan etwas schwierig umzusetzen ist, ich aber trotzdem Interesse an einer weitestgehend Spam bzw. Phishing freien Mailverkehr habe, muss ich wie einst Sisyphos (oder war es Don Quixote?) gegen unerwünschte Mails kämpfen. Da ich nicht der einzige bin, der diesen Wunsch hegt, gibt es eine breite Palette an Tools, die einen dabei unterstützen. Als Domaindiktator setze ich dabei am Mailserver an: "DomainKeys ist ein Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern, das von Yahoo entwickelt wurde und seit Ende 2013 ein Internet-Standard ist. Es wurde konzipiert, um bei der Eindämmung von unerwünschter E-Mail wie Spam oder Phishing zu helfen." DKIM-Signaturen machen also Veränderungen an Header und Body einer Mail erkennbar.
Da es einige Stolperfallen bei der Einrichtung gibt, die das korrekte Funktionieren verhindern können, habe ich mir ein kurzes und rudimentäres HowTo verfasst:

Das Szenario: Alle Mails der Doman domainname.de sollen signiert werden. Alle eingehenden Mails sollen verifiziert werden. Wir haben Zugriff auf Nameservereinträge der Domain und ein Postfix Server sowie Amavis und Spamassassin verrichten ihren Dienst auf einem debian System. Den DKIM Dienst soll openDKIM übernehmen, das wir gleich mal in einem Terminal zusammen mit ein paar Tools installieren:
sudo apt install opendkim opendkim-tools

Dann legen wir ein Schlüsselverzeichnis an und generieren den Schlüssel. Wichtig ist die korrekte Rechtevergabe in den Schlüsselverzeichnissen! Zudem sollte der Dienst nicht als root laufen sondern unter dem User opendkim. Dieser darf in keiner anderen Gruppe Mitglied sein, ansonsten quittiert der Dienst den selbigen mit einer Fehlermeldung.
mkdir /etc/opendkim/keys/domainname.de
/usr/bin/opendkim-genkey -D /etc/opendkim/keys/domainname.de/ -d domainname.de -s 2020
chown -R root:opendkim /etc/opendkim/keys/domainname.de
chmod 640 /etc/opendkim/keys/domainname.de/2020.private
chmod 644 /etc/opendkim/keys/domainname.de/2020.txt

Im Anschluss bearbeiten wir die /etc/opendkim.conf:
Domain   domainname.de
Selector 2020                             # Das ist der im vorigen Schritt angegebene Selector. Interessant für diejenigen, die den DKIM Key regelmäßig aktualisieren.
KeyFile  /etc/opendkim/domainname.de/2020.private
Socket   inet:8891@localhost
Canonicalization        relaxed/simple    # Auf Headermodifikationen nicht gleich allergisch reagieren
Mode                    sv                # Mails [s]ignieren und [v]erifizieren

Wir starten den Dienst: sudo systemctl restart opendkim und regeln, daß der Dienst beim Systemstart gleich gestartet wird: systemctl enable opendkim. Dann befassen wir uns mit der Integration von openDKIM in Postfix. Dazu editieren wir die /etc/postfix/main.cf:
smtpd_milters = inet:localhost:8891
non_smtpd_milters = $smtpd_milters

Danach muss Postfix diese Änderung bekannt gegeben werden: sudo systemctl reload postfix.

Das war es im Grunde dann auch schon. Bis auf eine Kleinigkeit: Die Integration des Schlüssels als TXT Record im Nameservereintrag von domainname.de. Diese Einstellung unterscheidet sich von Provider zu Provider, daher an der Stelle auch nur der allgemeine Hinweis:


Record NameRecord TypeText
mail._domainkeyTXTv=DKIM1; k=rsa; p=MI.. (Hier Inhalt von /etc/opendkim/keys/domainname.de/2020.txt einfügen, dabei alle >"< entfernen und alle Zeilen nach p= in einen Schlüssel ohne Leerzeichen verbinden.)

Das korrekte Eintragen des Schlüssels kann kompliziert sein, vor allem der Teil nach "p=" darf weder um- noch unterbrochen sein. Ansonsten wird der Schlüssel nicht erkannt!

Testen des Keys:
# opendkim-testkey -d domainname.de -s mail -vvv

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'mail._domainkey.domainname.de'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Sofern keine Fehlermeldungen auftreten, kann man sich nun darum kümmern, eingehenden Spam weiter zu filtern. In Amavis ist der DKIM Filter in einigen Debian Derivaten deaktiviert, lässt sich aber einfach aktivieren. Dazu muss in der Konfigurationsdatei /etc/amavis/conf.d/20-debian-defaults folgender Parameter gesetzt werden:
$enable_dkim_verification = 1;

In der Datei /etc/amavis/conf.d/50-user muss für eine erweitere Anzeige der Überprüfungsergebnisse dann als letztes noch folgender Parameter gesetzt werden:
$allowed_added_header_fields{lc('Authentication-Results')} = 1;

Im täglichen Mailverkehr empfiehlt sich darüber hinaus ein Addon für den freien Mailclient Thunderbird zur Kontrolle der empfangenen Mails: Den DKIM Verifier. Dieses Addon überprüft beim Öffnen einer Mail die Gültigkeit der Signatur. Somit kann man sich (halbwegs) sicher sein, daß die Mail vom signierenden Mailserver stammt. Natürlich nutzen auch einzelne Spammer DKIM. "Es ist wichtig zu beachten, dass eine E-Mail durch eine beliebige Domain signiert seinen kann. Eine gültige Signatur alleine ist daher kein Hinweis auf eine vertrauenswürdige E-Mail. Um zu entscheiden ob eine E-Mail vertrauenswürdig ist sollte immer überprüft werden wer der Signierende ist! In einigen Fällen kann die Abwesenheit einer DKIM Signatur nützlich sein um betrügerische E-Mails zu erkennen. Falls bekannt ist, dass eine Domain alle ihre E-Mails mittels DKIM signiert, ist das Nichtvorhandensein einer DKIM Signatur ein starker Hinweis auf eine gefälschte E-Mail." (Aus der Addon Beschreibung)

Quellen:
debianwiki, Steven Jenkins, Michael Kofler, WikiPedia, Philippe Lieser, Patrick Koetter

"...ein akzeptabler Rattenzahlungsvorschlag..."

Eine Wildratte geht eventuell auch...

Foto: Reg Mckenna (originally posted to Flickr as Wild Rat) [CC-BY-2.0 (http://creativecommons.org/licenses/by/2.0)], via Wikimedia Commons
Ab und zu sollte man seinen Spamordner durchstöbern. Dann kommen auch solche Perlen wie die folgende zum Vorschein. Ich bin sehr dankbar, daß meine gesetzlichen Interessen von solchen Leuten geschützt werden und daß mir ein Rattenzahlungsvorschlag angeboten wird. Wobei mir eigentlich nicht ganz klar ist, wieviele Ratten ich denn jetzt zahlen muss. Und dann die Qual der Wahl: Männliche oder weibliche. Wilde oder domestizierte. Große oder kleine usw. usw.

Deshalb, weil's kompliziert bleibt, im vollständigen Wortlaut:

"Verehrter Kunde,

unser Anwalt-Büro wurden heute am 08.07.2013 von Schwab GmbH beauftragt Ihre gesetzlichen Interessen in Ihrem Fall zu schützen.

Mit der ausgeführten Bestellung vom 22.05.2013 haben Sie sich vertraglich verpflichtet den Betrag in Höhe von 770,00 Euro an unseren Mandanten zu zahlen. Der Versand erfolgte an die angegebene Adresse und ist belegbar.

Diesen Betrag haben Sie bislang nicht überwiesen, obwohl Sie sich in Zahlungsverzug befinden und mit sehr hohen Strafen und Unannehmlichkeiten rechnen müssen.

Wir verpflichten Sie, den fälligen Rechnungsbetrag so schnell wie möglich auf das Konto unseren Mandanten zu überweisen.

Die Bankdaten und die Lieferdaten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang des Betrags setzten wir Ihnen eine gesetzliche Zeitfrist bis zum 15.07.2013. Eventuell können Sie die ausstehende Rechnung aber in angemessenen Monatsraten begleichen, soweit ein akzeptabler Rattenzahlungsvorschlag innerhalb dieser Frist bei uns eintrifft.

Mit besten Grüßen
Jan Horn Anwalt Buro"


Best of Spamfilter #2: Viel Vergnügen mit meiner Master-card...

Neu in unserer Rubrik Spamcop:

"Sehr geehrter Karten Inhaber/in,

mit Bedauern müssen wir Ihnen die temporäre Aussetzung Ihrer Karte mitteilen.
Der Grund hierfür sind die neuen Sicherheitsrichtlinien, welche für jeden unserer Kunden geltend sind und bestätigt werden müssen.

Solange Sie die Verifizierung nicht durchgeführt haben, wird es uns nicht möglich sein Ihre Kreditkarte freizuschalten.
Wenn Sie jedoch nicht auf den Service von Master-card verzichten möchten und Ihre Karte weiterhin reibungslos und sicher nutzen wollen, haben Sie die Möglichkeit eine Verifizierung durchzuführen.
Mit diesem Verfahren schalten Sie Ihre Karte unverzüglich wieder vollständig frei.

Hierzu besuchen Sie die unten aufgeführte Seite, auf welcher Sie ein Formular vorfinden.
Tragen Sie dort Ihre Daten ein und vergewissern Sie sich nochmals, dass diese korrekt eingetragen wurden.
Weitere Informationen zu Ihrer Sicherheit und zur Verifizierung finden Sie selbstverständlich auf der folgenden Seite:

hXXp://www.mastercards-terminal.com/verifizierung.php1

Viel Vergnügen mit Ihrer Master-card und einen schönen Tag wünscht Ihnen.

(...)"

Der Link verweist auf folgende Seite:

Screenshot


Was jetzt? Ich habe doch gar keine Master-card...

 

1 Der angegebene Link verweist auf: hXXp://bistrotdesvignes.com/german/i.php


Kein Kreditinstitut wird jemals nach einer Onlineverifizierung für Kredit- oder Scheckkarten fragen. Auch nicht Mastercard.

Siehe auch: Phishing: Aktuelle Mitteilung zu ihrem Karten-Konto

Best of Spamfilter #1: "Das ist nicht das Ende der Welt für Sie"

Da hat sich mal wieder einiges im Spamfilter verfangen, das mir so erhaltenswert erscheint, dass ich gleich eine neue Rubrik aufmache. Einsteigen wollen wir hiermit:

Hallo,
Top des Tages für Sie.

Sind Sie in der Notwendigkeit einer Kredit? oder haben Sie Betrug sein in der Vergangenheit von Ihrer Festplatte Geld verdienen alles im Namen des einen Kredit von einer Firma oder einer Bank

Das ist nicht das Ende der Welt für Sie, ich will, dass Sie wissen, dass wir bei James Oliva Loan Firm sind hier, um einen Punkt, um Ihre finanziellen Probleme gestellt und machen, dass ein Ding der Vergangenheit in Ihrem Leben.

Also, wenn Sie daran interessiert, finanzielle Hilfe von uns sind, dann kontaktieren Sie uns heute mit über unser Unternehmen E-Mail über: jamesoliva79_loaninvestment@yahoo.XXX, so dass wir Ihnen mit dem Darlehen Betrag, den Sie brauchen Hilfe.

To be continued...

Spammer an den Eiern aufhängen?

Der Dwarslöper berichtet über Probleme mit Spamattacken auf WordPress-Blogs und schlägt folgendes vor:

"Wir gehen herrlichen Zeiten entgegen. Diese Spammer sollten man an ihren Eiern aufhängen, und das nicht nur, weil Ostern ist."

Aber Spammer haben doch gar keine ....

Wie auch immer, ich verwende zwar nicht Wordpress, sondern Serendipity, aber ich bin mir nicht sicher, ob ein Aufruf zu einem Wechsel so sinnvoll oder auch machbar ist. Zumal jedes Blogsystem neben seinen Vorteilen (hier z.B. problemlose Upgrades und Installationen von Plugins / Templates aus einer Adminoberfläche - das war für mich damals neben dem ASTREINEN Support das "Argument Nr. 1" für Serendipity) auch so seine Probleme hat. Bei uns kommen z.B. nicht immer alle Trackbacks an. :'(

Eine Migration, insbesondere größerer Blogs ist definitiv immer mit Mega Streß verbunden. Datenverluste inclusive. Ich persönlich würde mir das eher nicht antun. Eine Behebung der Probleme durch die Entwicklergemeinde ist mit Sicherheit sinnvoller. Und: Daß die aufgezählten Problem bekannt sind ist ja in der Opensource Welt eigentlich selbstverständlich und zeigt, daß mit den Problemen offen umgegangen wird. Im Gegensatz zum Umgang mit Sicherheitslücken in Redmond...
cronjob