Achtung! Du bist im Forums-Archiv gelandet.
 

Aktuelles Forum: http://forum.oase.com/





oase.com - surfers world


Neues Thema erstellen  Antwort erstellen
Mein Profil | Verzeichnis Einloggen | | Suchen | Hilfe | Übersicht aller Foren
  nächster älterer Beitrag   nächster neuer Beitrag
» oase.com - surfers world   » Formelles   » oase.com - Mitteilungen   » Spam/Email-Viren - und warum ist der vermeintliche Abs. nicht immer der wahre Abs.?

   
Autor Thema: Spam/Email-Viren - und warum ist der vermeintliche Abs. nicht immer der wahre Abs.?
joe
Admin

Beiträge: 1935
aus: Kiel, Germany
reg. seit: Mrz 99   

Icon 2 erstellt am: 26. August 2003 02:17      Ansicht des Profils von joe     Private Nachricht versenden       Editieren/Löschen des Beitrags   Antwort mit Zitat 

Hi Leute,

da der Virus Sobig gerade aktiv war/ist und das Thema hier im Forum auch schon angesprochen wurde, möchte ich auch noch paar Worte darüber verlieren. Vor allem, da garantiert auch Mails mit scheinbarem @oase.com Absender rumgeistern.

Oft findet man die eigene Email-Adresse im From einer SPAM-Mail/Virus-Mail. Unbedarfte Nutzer könnten denken, dass die Mail also von einem selbst versendet wurde. Dies ist natürlich NICHT der Fall (zumindest bei mir nicht [Wink] ). Da die Mailheader fast beliebig fälschbar sind, und viele Viren den Rechner (das Mailprogramm / Adressbuch) nach realen Email-Adressen durchsuchen und diese als Absender-Adresse nutzen, kommt es dazu. Es muss lediglich die eigene Email-Adresse auf den frendem Rechnern (im Mailprogramm / Adressbuch) existieren - z.B. durch vorher stattgefundenen Mailverkehr.

Da ich selbst (über @oase.com und @bwd.de) sehr viele Mailkontakte habe, tritt dieses Problem auch bei mir auf.

Und selbstverständlich versende ich selbst KEINEN Spam/Viren.

Wer SPAM/Viren bekommt und sich beschweren möchte oder irgendwelche Aussagen zum Ursprung der Mail finden möchte, muss sich den vollständigen Header anschauen. Die From-Adresse sagt NICHTS aus. Bei SPAM ist sie fast immer gefälscht. Wenn überhaupt, dann lassen die Received-Zeilen etwas erkennen. Dazu hab ich unten nochmal etwas Info rangehängt.

Und noch ein kurzes Wort zum Thema Email-Viren.
Eine Email an sich kann kein Virus sein (ausser HOAXES, aber das ist ein Thema für sich). Es sind immer Anhänge, also ausführbare Programme, die vom Anwender gestartet werden müssen. Problematisch wird es dort, wo das Ausführen vom Mailprogramm selbstständig durchgeführt wird / werden kann. Dies macht kein gutes Emailprogramm und sollte es natürlich auch nicht machen. Am bekanntesten für dieses Problem ist Microsoft Outlook Express. Bei diesem Programm gibt es Situationen, wo Anhänge direkt ausgeführt werden können/könnten.

Dieses Problem ist sehr einfach zu umgehen. Nutzt einfach nicht Outlook-Express! Es gibt viele 1000mal bessere Email-Programme, meistens auch kostenlos. Die drei besten z.B. PegasusMail (www.pmail.com), Mozilla (www.mozilla.org) oder The Bat. PegasusMail läuft z.B. bei mir seit über 7 Jahren perfekt und verwaltet mehr als 30.000 Mails und wird viele zigtausend Mails verarbeitet haben. Der Funktionsumfang ist nahezu perfekt.

Das einzige was so bei Email-Viren noch nervt ist der Bandbreiten-Verbrauch (also die Downloadzeit - zu TDSL-Zeiten auch nicht mehr soo dramatisch) und der Zeitaufwand sie zu löschen bzw. wegzusortieren.

Gruss
Johannes

joe
Admin

Beiträge: 1935
aus: Kiel, Germany
reg. seit: Mrz 99   

Icon 1 erstellt am: 26. August 2003 02:18      Ansicht des Profils von joe     Private Nachricht versenden       Editieren/Löschen des Beitrags   Antwort mit Zitat 

Warum ist der vermeintliche Absender nicht immer der wahre Absender?

Sehr kurze Antwort und stark vereinfacht:

Man vergleiche mit Brief und Briefumschlag der normalen Schnecken-Post. Was der Laie sieht, ist Absender und Empfaenger, der auf dem *Brief* steht. Was der SMTP-Server (der Mail-versendende Rechner) sieht und relevant ist, ist das, was auf dem *Briefumschlag* steht.

joe
Admin

Beiträge: 1935
aus: Kiel, Germany
reg. seit: Mrz 99   

Icon 1 erstellt am: 26. August 2003 02:18      Ansicht des Profils von joe     Private Nachricht versenden       Editieren/Löschen des Beitrags   Antwort mit Zitat 

Etwas ausführlichere Antwort:

Genau wie bei der Briefpost stellt auch E-Mail leider nicht sicher, dass der vermeintliche Absender der tatsaechliche Absender ist. Was jemand als Absender auf einen Brief oder auch Briefumschlag schreibt, ist ihm frei ueberlassen.

Waehrend falsche Absenderangaben bei Briefpost nur in Einzelfaellen vorkommen, ist dies leider bei schaedlichen Computerprogrammen (sogenannte Viren oder Wuermer) genauso ueblich wie beim sogenannten Spam, dem E-Mail Aequivalent zu Postwurfsendungen.

Damit wollen diese Programme zum einen die Identitaet des Absenders verschleiern und zum anderen auch Filter ueberwinden, die Spam, Viren und Wuermer von unbekannten Adresen abwehren sollen. Die Absenderadressen werden dabei oft im Internet gesammelt oder im Falle von Viren und Wuermern auf der Festplatte (insbesondere in Computer-Adressbuechern) der verseuchten Computer gesucht.

Will man nähere Infos zum Versandweg einer Email erfahren, so muss man den vollständigen Header der Mail betrachten. Wie man diesen vollständigen Header anzeigt, hängt vom Mailprogramm ab.

In diesem sogenannten Mail-Header sieht man Zeilen, die mit "Received:" beginnen. Dies sind quasi Poststempel. Anders als bei der Briefpost stempelt jedoch jede Poststation, durch die die E-Mail durchlaeuft die E-Mail erneut ab und nicht nur die erste Poststation. Die letzte dieser Zeilen ist ausserdem die erste "Poststelle" durch die die E-Mail lief.

Hinter dem Wort "from" steht ein sogenannter Hostname, das ist der Name unter dem sich der absendende Computer gegenueber dem empfangenden Computer (dem Postamt) identifiziert hat. Dieser Name ist so leicht zu faelschen, wie man dem Postbeamten in der Post erzaehlen koennte, dass man "Hans Mueller" waere. Es wird nicht ueberprueft.

In eckigen Klammern steht jedoch die IP-Nummer, vier mit Punkten getrennte Ziffernbloecke. Diese Adresse ist schon sehr schwierig zu faelschen und gibt daher Hinweise auf den echten Absender. Leider ist oft die einzige Information, die dieser Nummer zu entnehmen ist, dass es sich um einen Kunden von T-Online, AOL oder sonst welchen Provider handelt. Den Ort bekommt man oft zumindest naeherungsweise heraus, die Person aber nur mithilfe der Log-Dateien des Zugangsproviders, der diese aber nur dem Staatsanwalt geben wuerde.

Hinter "by" steht dann das "Postamt", also der Computer, der die E-Mail angenommen hat. Auch diese Information nuetzt i.d.R. wenig. Allenfalls kann man damit erkennen, welche Computer einen offenen Zugang fuer das Mail-Versenden haben - der Haupt-Ursache, warum Spam ueberhaupt moeglich ist.

Oft faelschen Viren, Wuermer und Spammer den oder die ersten Received-Eintraege. Auch das ist eigentlich ein Fehler beim ersten echten E-Mail "Postamt", aber kommt leider vor. Zur naeheren Untersuchung sollten daher immer alle Received-Header untersucht werden, auch wenn nur der letzte (zeitlich ist das der erste) wirklich relevant ist.

Ich kann jedenfalls versichern, dass ich (oase.com und bwd.de) keinen SPAM oder Email-Viren versende und auch mein Computer nicht von einem Virus oder Wurm infiziert ist (und es hoffentlich auch bleibt [Wink] ). Leider kann man/ich bei der Ermittlung des wahren Absenders nicht weiterhelfen. Die Gruende duerften nun einigermassen klar sein.

(Text stammt aus einer Mailingliste)

joe
Admin

Beiträge: 1935
aus: Kiel, Germany
reg. seit: Mrz 99   

Icon 1 erstellt am: 26. August 2003 02:29      Ansicht des Profils von joe     Private Nachricht versenden       Editieren/Löschen des Beitrags   Antwort mit Zitat 

Wer genauere Infos zum Thema haben möchte, möge bitte die RFCs und FAQs konsumieren, z.B. unter http://home.snafu.de/laura/de.admin.net-abuse.mail.txt Frage 4.

Zitat:

Frage 4:
========

* Wie kommt es, daß ich eine Mail bekomme, wenn in der To:-Zeile
oder Cc:-Zeile gar nicht meine Adresse steht?

A: Hierzu hatte Heiko Schlichting in bln.announce.fub.zedat.d
mit 7ahusp$n6f$1@fu-berlin.de einen Artikel geschrieben, der
das so schön erklärt, daß ich ihn einfach übernehmen möchte:

---- 8 ----

> Ich versteh nicht, warum in meiner Mailbox (...) Emails wie
> die folgende landen. Kann mir das jemand erklären? Meine Adresse
> ist doch gar nicht im Header der Email aufgeführt.

Man unterscheidet bei E-Mail zwischen Envelope und Header. Die
Programme, die die Auslieferung durchführen (*), richten sich
nach der Adresse im Envelope. Dieser wird bei der letzten Zu-
stellung (also dem Anhängen der Mail in Deiner Mailbox) entfernt.
Was Dein Mail-Anzeigeprogramm (**) Dir anzeigt, ist nur der Header.
Er ist zu Deiner Information gedacht, hat aber bei der Auslieferung
keine Rolle gespielt.

Als Vergleich zur normalen Briefpost:

------------------------+-------------------------------------
E-Mail | Briefpost
========================+=====================================
Envelope-Adresse | Adresse auf dem Umschlag
------------------------+-------------------------------------
Header | Briefkopf auf der ersten Seite
------------------------+-------------------------------------

Der Briefträger orientiert sich auch nicht an den Angaben im
Briefkopf, sondern immer nur an den Angaben auf dem Umschlag.
Genau wie bei der klassischen Briefpost sind folgende Angaben
übrigens leicht fälschbar (***):

- Absender im Envelope
- Adressat und Absender im Header

Wer in Mailinglisten eingetragen ist, wird die Unterscheidung von
Envelope und Header schon gesehen haben. Dort ist nämlich in der
Regel im HEADER der Autor der Nachricht im From und die Mailingliste
im To: eingetragen. In Wirklichkeit lief die Mail aber von dem
Mailinglisten-Verteiler an den Mailinglisten-Teilnehmer. Diese
beiden Adressen stehen im Envelope-Teil, der nach der Auslieferung
nicht mehr sichtbar ist. Manche Transport-Systeme tragen diese
Information aber in den Received:-Zeilen im Header ein, so daß man
das dort ggf. nachlesen kann (...).

Wenn eine Mail nicht zugestellt werden kann, wird die Fehlermeldung
übrigens grundsätzlich an die Absender-Information im Envelope (und
nicht etwa an die Adresse im From:-Header) zurückgeschickt. Wer
jetzt an die Einträge bei Mailinglisten denkt, wird sofort erkennen,
warum das so sein muß.

Wenn sich jemand bei der ZEDAT beklagt, daß seine Mail "verloren"
gegangen ist (nicht beim Empfänger angekommen und keine Fehlermeldung
zurückgekommen), dann liegt es in mehr als 90% der Fälle daran, daß
der Absender sein Programm bezüglich der Envelope-Absenderadresse
falsch konfiguriert hat und eine erzeugte Fehlermeldung daher nicht
richtig zurückgeschickt werden konnte. Das hat der Absender nur nie
bemerkt, weil normale Antworten immer den (meist richtig konfigurierten)
From:-Header verwenden. Wer seine Einträge testen möchte, kann eine
Mail an "echo@fu-berlin.de" schicken. Da sollte nach kurzer Zeit eine
Antwort zurück kommen. Wenn nicht, sind die Einträge vermutlich falsch
und sollten korrigiert werden.

(...)

(*) Message Transfer Agent (MTA) - in der ZEDAT heißt das Programm
"smail", ein häufiger Vertreter dieser Art ist auch das Programm
"sendmail".

(**) Mail User Agent (MUA) - dazu gehören pine, mutt, elm, Netscape,
Outlook Express, Eudora, Pegasus, Agent u.v.a.m.

(***) Das Versenden gefälschter Mail von einem FU-Account aus könnte
ggf. zur Sperrung der Nutzerkennung führen. Leicht fälschbar
bedeutet nicht, daß dieses mit geeigneten Zugriffsrechten nicht
nachvollziehbar wäre.

(...)

---- 8 ----


Neben dem erwähnten "Envelope" gibt es noch eine weitere Möglichkeit,
wieso man sich selbst nicht in "To:" oder "Cc:" sehen kann, aber eine
Mail dennoch bekommen hat:

Das Header-Feld "Bcc:" (Blind Carbon Copy).

Aus RFC 2822:

3.6.3. Destination address fields

(...)

The "Bcc:" field (where the "Bcc" means "Blind Carbon Copy") contains
addresses of recipients of the message whose addresses are not to be
revealed to other recipients of the message. There are three ways in
which the "Bcc:" field is used. In the first case, when a message
containing a "Bcc:" field is prepared to be sent, the "Bcc:" line is
removed even though all of the recipients (including those specified
in the "Bcc:" field) are sent a copy of the message. In the second
case, recipients specified in the "To:" and "Cc:" lines each are sent
a copy of the message with the "Bcc:" line removed as above, but the
recipients on the "Bcc:" line get a separate copy of the message
containing a "Bcc:" line. (When there are multiple recipient
addresses in the "Bcc:" field, some implementations actually send a
separate copy of the message to each recipient with a "Bcc:"
containing only the address of that particular recipient.) Finally,
since a "Bcc:" field may contain no addresses, a "Bcc:" field can be
sent without any addresses indicating to the recipients that blind
copies were sent to someone. Which method to use with "Bcc:" fields
is implementation dependent, but refer to the "Security
Considerations" section of this document for a discussion of each.


Deutschsprachige Ausführungen zum Thema "Bcc" (von Matthias Opatz):

* Das Geheimnis der »blinden Durchschläge«
http://www.trollpress.de/bcc/



Format der Zeitangaben: German Time  
Neues Thema erstellen  Antwort erstellen Thema schließen    Thema verschieben    Thema löschen nächster älterer Beitrag   nächster neuer Beitrag
 - Druck-Version anzeigen
Gehe zu:

Kontakt | oase.com - surfers world

oase.com - surfers world
http://www.oase.com/
Impressum

Powered by Infopop Corporation
UBB.classicTM 6.4.0.1

   
   
   


Achtung! Du bist im Forums-Archiv gelandet.

Aktuelles Forum: http://forum.oase.com/