Unerwünschte E-Mail (SPAM, Phishing, Schadsoftware)

Inhalt:

  1. Was ist SPAM
  2. Was sind Phishing E-Mails
  3. Was unternimmt der ZID gegen SPAM
  4. Was unternimmt der ZID gegen Schadsoftware
  5. Was können Sie persönlich tun
  6. Mailweiterleitungen von fremden Providern
  7. Wie kommen die Verursacher zu den Mailadressen
  8. E-Mail und Authentizität
  9. Das TO:-Feld und die tatsächlichen Empfänger einer Nachricht
  10. SPAM mit uibk Absenderadressen
  11. SPAM - ein Beispiel
  12. Interpretation und Hinweise zum Beispiel
  13. Weiterleiten von Phishing-Nachrichten
  14. Weitere Links zum Thema

Was ist SPAM?

"SPAM" ist der Fachausdruck für die Überflutung mit Neuigkeiten, die Keinen interessieren, benannt nach einem Dosenfleisch, das vornehmlich in den USA und Großbritannien verkauft wird. Das Fleisch spielte in vielen Monty-Python-Sketchen eine Rolle. In einem Film sang eine Gruppe Wikinger "Spam, Spam, Spam,...", wodurch sämtliche Konversation im Raum erstickt wurde. Ähnlich sehen Experten die Gefahr durch Werbemails; durch die Unmenge an Post könnten die Mailserver im Internet vollkommen überlastet werden und die wichtigen Nachrichten ihre Empfänger nur mit Mühe erreichen. (Erklärung ursprünglich von Till Heidemann auf cityweb.de)

Was sind Phishing Nachrichten?

Im Gegensatz zu "nur lästigem" SPAM werden Phishing Nachrichten in krimineller Absicht verschickt. Der Absender versucht unter Vortäuschung einer falschen Identität die Empfänger dazu zu verleiten, geheime Informationen wie Zugangsinformationen zu E-Banking-Anwendungen oder elektronischen Flohmarkt- und Einkaufssystemen weiterzugeben.

Im Allgemeinen wird der Nutzer durch psychologische Tricks ("Konto abgelaufen", "Konto wurde gehackt" etc.) dazu verleitet, auf einer Webseite, die der tatsächlichen Bankwebseite täuschend ähnlich sieht, Passwörter, Transaktionscodes etc. einzugeben.

Es handelt sich dabei aber nicht um den Web-Server der Bank, sondern um einen gehackten PC irgendwo im Internet. Der angezeigte Link stimmt i.A. nicht mit dem tatsächlich angewählten Web-Server überein. Das können Sie i.A. verifizieren, wenn Sie mit dem Mauszeiger über den Link fahren. Der unten im Programmfenster angezeigte Link stimmt nicht mit dem im Mail angezeigten überein. Gute Mailprogramme wie z.B. der Mozilla Thunderbird weisen Sie in solchen Fällen auch explizit darauf hin.

Möglicherweise laden Sie durch Anklicken des Links bzw. den Download von Dateien/Programmen von dieser gefälschten Seite in Folge auch Schadprogramme wie Passwort-Sniffer, Tastatur-Aufzeichnungssoftware etc. auf Ihren PC herunter. Da diese unerwünschte Software eventuell maßgeschneidert und zum Zeitpunkt der Verbreitung der Mailnachrichten noch keine so große Verbreitung im Internet gefunden hat, ist es möglich, dass diese von Ihrer Anti-Virensoftware zum Zeitpunkt des Besuchs der gefälschten Webseite auch noch nicht als Schadprogramm erkannt wird.

Die Informationen werden in Folge dazu verwendet, das Bankkonto der leichtgläubigen Empfänger zu leeren.

Siehe dazu auch die sehr gute Erklärung zu Phishing bei Wikipedia.de.

Was unternimmt der ZID gegen SPAM?

SPAM wird sich nie komplett unterbinden lassen ohne Ihre Erreichbarkeit per Mail massiv einzuschränken.

Um die Anzahl der unerwünschten Nachrichten trotzdem gering zu halten, wurden vom ZID verschiedene technische Maßnahmen ergriffen. Um wirksam zu bleiben, werden die Maßnahmen und Filterregeln laufend aktualisiert.

Unerwünschte Nachrichten werden in keinem Fall "verschluckt". Wird eine Nachricht als SPAM etc. identifiziert, wird die Post am ZID nicht angenommen und der Absender erhält eine Unzustellbarkeitsfehlermeldung mit weiterer Hilfe.

  • Das Mailsystem nimmt keine Post von ungültigen Absenderadressen an.
    (genauer: der Teil hinter dem @ muss eine gültige Internetdomäne sein.)

  • Seit geraumer Zeit verwenden wir eine als nolisting bezeichnete Anti-SPAM-Maßnahme.

  • Das Mailsystem nimmt keine Post von Mailsystemen an, die schon SPAM weiterverbreitet haben, und nichts dagegen unternommen haben.
    Diese werden in weltweiten Datenbanken verwaltet. Wir prüfen beim Eintreffen von Nachrichten die sendende IP-Adresse und lehnen Post ggf. ab. 
    Neben der Blackliste ZEN von spamhaus.org wird auch die SPAMCOP-Datenbank konsultiert.

  • Bekannte Phishing-Nachrichten werden von unseren Virenscannern identifiziert und abgewiesen.

  • Nachrichten werden dann am Mailrelais einer inhaltlichen Filterung mit Spamassassin unterzogen und bewertet.
    Sehr wahrscheinliche SPAM-Nachrichten mit mehr als 7 SPAM-Punkten werden sofort am Relais abgelehnt.
    Die anderen Nachrichten werden mit einer zusätzlichen Nachrichtenkopfzeile versehen, die eine SPAM-Bewertung enthält. zB:

    X-Spam-Score: (**) 2.3 HTML_MESSAGE,MSGID_FROM_MTA_HEADER,...

Mit Stand Mai 2017 werden von unserem Spam- und Virenschutzsystem pro Tag von ca. 300 000 Nachrichten, die von außerhalb eintreffen, insgesamt ca. 250 000 abgelehnt, und 50 000 zugestellt. 1200 Nachrichten pro Tag sind virenverseucht und werden ebenso abgelehnt.

Das heißt in anderen Worten, dass sich ohne die Maßnahmen des ZID in der "durchschnittlichen" Mailbox pro 7 Nachrichten nur mehr eine erwünschte finden würde.

Eine komplette Filterung von SPAM ist aber leider unmöglich, da die Tatsache ob Post vom Empfänger erwünscht oder unerwünscht ist, persönlicher Natur ist, und damit technisch nur bedingt entschieden werden kann.

Ebenso ist es bei Phishingnachrichten sehr schwierig, diese von normalen Nachrichten zu unterscheiden, weil diese i.A. keine gefährlichen Anhänge enthalten und in Form und Inhalt laufend neu gestaltet werden.

Was unternimmt der ZID gegen Schadsoftware

Neben der Prüfung aller Nachrichten auf Schadsoftware mit einem Virenscanner werden gewisse Anhänge (=Attachments) ausgefiltert. Das ist notwendig, weil Schadsoftware naturgemäß immer erst nach dem Auftreten in die AV-Datenbanken aufgenommen wird.

Dazu gehören ausführbare Dateien, ZIP-Dateien mit lediglich einer ausführbaren Datei und Dokumente mit gewissen Dateinamen wie z.B. XXXXXXXX-nnnn.doc die aktuell oft als Angriffsvektor für Hacker verwendet werden.

Sollten Sie trotzdem solche Dateien benötigen finden Sie dazu Hinweise in unserem Dokument Dateien als Link statt als E-Mailanhang versenden

Was können Sie persönlich tun?

Verfahren Sie mit unerwünschter E-Mail wie mit der täglichen Flut von unerwünschten Prospekten und Werbematerial. Löschen Sie die Nachrichten ungesehen aus Ihrer Mailbox.

Sollte Ihnen das zu mühsam werden:
Am Mailserver für Universitätsbedienstete (Exchange-Server) können Sie sich sehr einfach einen serverseitigen Filter einrichten, der SPAM-verdächtige Nachrichten in einen eigenen Mailordner verschiebt.

Am Studentenmailserver (mail.uibk.ac.at) können Sie im Webmail unter "Filter" - "Spamfilter" den Spamlevel z. B. auf 4 setzen, einen Zielordner angeben in den alle Nachrichten mit einem Spamscore zwischen 4 und 6 verschoben werden und auf "Speichern und Aktivieren" klicken.

Phishing Nachrichten sollten Sie sofort löschen! Klicken Sie nicht auf die angeführten Links und füllen Sie auf gar keinen Fall ein Ihrem Web-Banking täuschend ähnlich sehendes Formular aus. Banken nehmen im Allgemeinen nicht in Form von E-Mail-Nachrichten mit Ihnen Kontakt auf.

Die oft in E-Mails angebotene Möglichkeit sich aus dem "Mailverteiler" streichen zu lassen, funktioniert praktisch nie und dient lediglich dem Zweck, sicherzustellen, dass Ihre Mailadresse gültig ist und gelesen wird. Sie bekommen im besten Fall eine Unzustellbarkeitsmeldung retour. Sparen Sie sich also die Mühe.

Mailweiterleitungen von fremden Providern

Unsere Filtermaßnahmen berücksichtigen wesentlich, woher eine Mailnachricht zu uns kommt. Sobald Sie ein anderes Postfach/eine weitere Mailadresse an die Innsbrucker Mailadresse weiterleiten, müssen Sie damit rechnen, wesentlich mehr SPAM zu bekommen, weil wir der Quelle (Ihrem Mailprovider für die alternative Adresse) ja trauen.

Was können Sie tun?

  • Hinterlegen Sie statt einer automatischen Weiterleitung eine "Urlaubsnachricht" auf Ihrem alten Mailsystem. Menschliche Nutzer können mit der Nachricht
    Meine Mailbox xx@yy wird nicht mehr gelesen. 
    Bitte wenden Sie sich an xxx.yyy@uibk.ac.at
    gut leben. SPAMer lesen das nicht und Sie sind einen Teil der unerwünschten Nachrichten los.
  • Alternativ kann man am Exchange-Server eine Filterregel so anpassen, dass die weitergeleiteten Nachrichten gleich in einem eigenen Mailordner landen.

Wie kommen die Verursacher zu den Mailadressen?

Insbesondere wenn mehrere Innsbrucker E-Mail-Adressen in einer Nachricht angeführt werden, fragt man sich natürlich, wie die Verursacher zu den Adressen kommen. Haben Sie diese von der Uni?
Fast sicher nein. Web-Formulare können von Suchmaschinen insofern nicht durchsucht werden, als hier die Eingabe eines Suchstrings erforderlich wäre.
Der ZID oder die Uni gibt diese natürlich auch nicht weiter. Das ist sogar explizit verboten.

Die wahrscheinlichste Quelle für Mailadressen sind Web-Seiten, in denen Ihre Adresse im "Klartext" aufgeführt ist.

"Adresshändler" durchsuchen die Seiten nach Zeichenketten, die wie Mailadressen aussehen und bieten diese dann in Datenbanken an, die möglichst viele Adressen umfassen. Sie verwenden dabei dieselbe Technik, mit der Suchmaschinen im Internet zu Ihren Daten kommen.

Suchen Sie z.B. einmal bei google.com nach Ihrer Adresse und Sie werden sehen, in wie vielen Dokumenten Ihre Mailadresse vorkommt.

Leider geben inzwischen auch sehr viele Windows-Viren die Mailadressen, die Sie am verseuchten PC in Adressbüchern, Mailnachrichten und gecachten Web-Seiten sammeln konnten, auch an Ihre "Auftraggeber" weiter. So genügt oft ein einziger verseuchter PC eines Bekannten, der Ihre Mailadresse lokal gespeichert hatte, dass Ihre Adresse SPAM erhält.

E-Mail und Authentizität

Vielen Personen ist nicht bewusst, dass Internet-E-Mail standardmäßig *nicht* auf Authentizität, also auf die Richtigkeit des angegebenen Absenders und auf die Korrektheit und Unverfälschtheit des Inhalts überprüft wird.

Sie können also eine E-Mail vom Präsidenten der Vereinigten Staaten, vom ZID oder auch vom Rektor bekommen, die (natürlich) nicht von diesen verfasst wurde.

Im ersten Moment werden Sie sagen Katastrophe! Im realen Leben, können Sie aber natürlich genauso mit einer Urlaubspostkarte mit falschem Absender, einem anonymen oder gefälschten Brief konfrontiert werden. Erscheint Ihnen der Inhalt unglaubwürdig, werden Sie die Nachricht mehr oder weniger schnell entsorgen.

Behandeln Sie also auch elektronische Post notwendigerweise mit einer gewissen Skepsis. Ein kurzer Anruf oder eine Antwort an den vermeintlichen Absender der Nachricht kann hier so manches Missverständnis frühzeitig aufklären.

Diese Unzulänglichkeit klassischer E-Mail kann mit so genannten elektronischen Signaturen kompensiert werden. Vorausgesetzt, Ihre Gegenseite signiert die Nachrichten vor dem Verschicken und Sie prüfen die Korrektheit der Signatur mit geeigneten Maßnahmen, können Sie dann auch von der Unverfälschtheit und Authentizität der Nachricht ausgehen.

Das TO:-Feld und die tatsächlichen Empfänger einer Nachricht

Warum bekommen Sie E-Mail, die an friends@yahoo.com adressiert ist? Liegt ein Zustellungsfehler vor?

Nein. Gleich wie bei der normalen Post muss die Adresse am Kuvert eines Briefes nicht mit der im Briefkopf übereinstimmen. Der Briefträger richtet sich nach der Adresse am Kuvert. Sie sehen am Brief selbst nur die Ansprache "Liebe Wählerinnen und Wähler".

Das TO-Feld einer Nachricht entspricht dem der Anrede in einem normalen Brief und ist deshalb mit einfachen Mitteln genauso zu "fälschen" wie z. B. der Absender der Nachricht.

Einzig die bei der Zustellung in den Nachrichtenkopf kodierten Informationen lassen analog zum Aufgabestempel eines Briefes Aufschlüsse über den Absender einer Nachricht zu.

SPAM mit uibk Absenderadressen

In letzter Zeit kommt es auch vor, dass uibk-Mailadressen als gefälschte Absender in SPAM-Nachrichten verwendet werden. Ungünstig konfigurierte Mailserver im Internet glauben dann, den vermeintlichen Absender über Zustellfehlern etc. informieren zu müssen.

Der Nutzer der uibk-Adresse bekommt dann in Folge leider innerhalb kurzer Zeit viele Fehlermeldungen auf Nachrichten zugestellt, die er gar nicht verschickt hat. Dem Nutzer bleibt meist nur übrig, die Nachrichten zu löschen und zu warten, dass der SPAMer bald andere Adressen zum Versand nützt.

Leider lassen sich solche Nachrichten nur schwer filtern, weil diese ja von richtigen, großen Mailservern stammen und kaum von Fehlermeldungen zu unterscheiden sind, die auf Grund tatsächlich von Ihnen stammenden Nachrichten generiert werden.

SPAM - ein Beispiel

Für die Analyse von SPAM ist es notwendig, die ganze Nachricht inklusive aller Kopfzeilen zu betrachten. Mailprogramme zeigen normalerweise nur die ohnehin gefälschten und unbrauchbaren Kopfdaten an.

Im Mozilla Thunderbird können Sie den gesamten Inhalt mit der Menüfunktion "Menü/Ansicht/Nachrichten-Quelltext" anzeigen lassen. Im Webmail klicken Sie bei geöffneter Nachricht auf "Quelltext". Outlook 2016 ermöglicht eine Abfrage der Headerzeilen einer (in einem eigenen Fenster geöffneten) Mail über "Datei/Eigenschaften/Internetkopfzeilen". Sie sollten dann also z. B. folgendes vorfinden:

Return-Path: <Intelligenz@yahoo.com.br> 1) 
Received: via tmail-4.1(11) for cXXXXXX+; Tue, 1 Aug 2017 17:53:54 +0200
(MET DST) 2)
Received: from lmr2.uibk.ac.at (lmr2.uibk.ac.at [138.232.1.202]
Intelligenz@yahoo.com.br) by smc.uibk.ac.at
(8.11.6/uibk) with ESMTP id f91Frsc11273
for <csaXYYYY@mail.uibk.ac.at>; Tue, 1 Aug 2017 17:53:54 +0200 (MET DST)
Received: from po.ontake.jp ([210.238.89.17] Intelligenz@yahoo.com.br) by
lmr2.uibk.ac.at (8.11.3/E2) with ESMTP
id f91Frp3338705 for <Vorname.Nachname@student.uibk.ac.at>; Tue, 1 Aug 2017
17:53:51 +0200 (MDT) 3)
Received: from yahoo.com.br [202.138.44.232] by po.ontake.jp (SMTPD32-4.10)
id A5D05212010C; Tue, 01 Aug 2017 23:59:28 +0900 4)
Von: Intelligenz@lmr2.uibk.ac.at, Emotionen <Intelligenz@yahoo.com.br> 5)
An: Intelligente.Leute@lmr2.uibk.ac.at 6)
Betreff: Intelligenz, Emotionen
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Nachrichten-ID: <20011002000328.SM00201@yahoo.com.br> 7)
Datum: Wed, 2 Aug 2017 00:10:23 +0900

blablabla

Interpretation und Hinweise zum Beispiel

1) Die vom Sender verwendete Absenderadresse. Vermutlich nicht existent oder vom Provider yahoo inzwischen schon gesperrt.

2) Die Nachricht wurde um 17:53 Ortszeit in Ihrer Mailbox am Mailserver der Uni abgelegt.

3) Das Mailrelais der Universität hat die Nachricht um 17:53 vom vermutlich offenen Mailrelais 210.238.89.17 (po.ontake.jp) entgegengenommen.
BTW: Das Mailrelais po.ontake.jp wurde inzwischen in die MAPS-Datenbank aufgenommen. Wir sollten also von dort keine SPAM mehr bekommen.

4) Die Nachricht wird von der IP-Adresse 202.138.44.232 beim offenen Mailrelais po.ontake.jp zur weiteren Verteilung im Internet abgeliefert.
BTW:Genauere Recherchen würden ergeben, dass die Adresse 202.138.44.232 an einen australischen Internetprovider vergeben wurde. Man könnte sich bei diesem über dessen Benutzer, den Verursacher der Nachricht, beschweren.

5) Der Absender der Nachricht ist natürlich gefälscht.

6) Als Empfänger hat der Sender die Adresse "Intelligente.Leute" angegeben. Unser Mailgateway hat dann bei der Weiterbeförderung der Nachricht "@lmr2.uibk.ac.at" angehängt um die Adresse zu einer gültigen E-Mail-Adresse zu machen.
Lassen Sie sich dadurch nicht beunruhigen - Es ist niemand in das Mailsystem eingebrochen etc.

7) Die Nachrichten-ID wurde vom Sender ebenfalls konsistent zur falschen Absenderadresse gewählt.

Weiterleiten von Phishing-Nachrichten

Falls Sie uns Phishing-Nachrichten zukommen lassen wollen, ist es ganz wichtig, dass alle Header-Zeilen erhalten bleiben.

Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie in Ihrem Mailprogramm eine neue Nachricht. Verwenden Sie ein aussagekräftiges Betreff wie z.B. "Meine Phishing-Spende".
  2. Ziehen Sie nun die unerwünschte(n) Nachricht(en) aus der Nachrichtenübersicht in den Attachmentbereich des von Ihnen neu erstellten Mails.
  3. Schicken Sie das Mail an security (at) uibk.ac.at

Damit bleiben die für uns besonders wichtigen Kopfzeilen erhalten. Ein Weiterleiten mit Web-Mail ist nicht möglich. Schicken Sie uns in diesem Fall einfach den Nachrichtenquelltext der Phishing-Nachricht (mit Cut&Paste in eine neue Nachricht kopieren).

Weitere Links zum Thema

Nach oben scrollen