Hilfe! Mir wird vorgeworfen, dass mein Rechner einen Trojaner hat und ich Spam verschicke

[vgwort line=“73″ server=“vg08″ openid=“3f6257a407594be79ca39e5e1b6f1504″]

Freitag bekam ich einen weniger netten Anruf aus Hamburg. Der Anrufer forderte, dass sich sofort damit aufhöre, ihn mit Spam Mails das Postfach zuzumüllen. Auf meine Nachfrage hin, bekam ich zur Antwort, dass ich doch mit meiner Firma hinter dieser Werbung für arbeitdeutschland.com stehen würde. Nun, da ich keine Firma habe, blieb ich gelassen. Der Anrufer hatte offensichtlich meine Web-Seite gefunden und sich nicht die Mühe gemacht, sie genauer zu lesen. Meine Auskunft, dass ich diese Mails nicht verschicke, sondern nur über sie schreibe und genau wie er leide, konnte ihn nur begrenzt überzeugen. Er wird mich jetzt weiter beobachten.

Es ist nicht das erste Mal, dass diese Behauptung aufgestellt wurde und mir sogar mit dem Anwalt gedroht wurde. Ich hoffe, dass die Leute sich etwas besser informieren, bevor sie voreilig Anzeige gegen mich erstatten oder einen Anwalt einschalten. Die Kosten können sie sich sparen.

Nun deutet ein Kommentar hier darauf hin, dass ich nicht der einzige bin, dem solches vorgeworfen wird. Den Vorwurf stets einfach von der Hand zu weisen, geht jedoch nicht. Es ist nicht auszuschließen, dass an dem Vorwurf etwas dran ist. „Was tun?“, spricht Zeus. Schauen wir uns die Sache näher an.

Was ist ein Trojaner

Ein Trojaner – oder Trojanisches Pferd – ist nichts anderes als ein Programm. Diese Programm gaukelt dem Nutzer vor, etwas nützliches zu tun, während es im Hintergrund, unsichtbar für den Nutzer, ganz andere Dinge tut. Zum Beispiel kann ein Trojaner das Mail-Adressbuch an einen anderen Rechner schicken, ohne das der Nutzer dies merkt. Für ihn hüpft vielleicht nur ein nettes nacktes Mädchen über den Bildschirm oder er spielt ein unterhaltsames Spiel. Die wenigsten Trojaner machen sich heute diese Mühen. Ihr Ziel ist es einmal von Nutzer gestartet zu werden und sich heimlich auf dem Rechner festzusetzen. Wichtig für eine Trojaner ist es, dass er nach dem Neustart des Rechners erneut aufgerufen wird. Neben der althergebrachten Methode sich in andere Programme oder dem Autostart-Ordner einzuklinken , sind heute Einträge in der Registry oder die Installation als Dienst beliebt. Unter Windows ist dazu ein Eintrag in einem Registry Schlüssel „Run“ beliebt. Heute meint fast jedes Programm sich vorsorglich starten zu müssen, so dass die Registry selten so übersichtlich ist, wie im nachfolgenden Screen Shot. Um hier Freund und Feind unterscheiden zu können, braucht es einiges an Wissen. Es gibt noch andere Möglichkeiten dafür zu sorgen, dass der Trojaner nach einen Rechnerneustart wieder aufgerufen wird, aber dieser zu betrachten würde hier zu weit führen.

Windows Registry Eintrag Schlüssel Run
Windows Registry Eintrag Schlüssel Run. Hier wird ein Programm VBoxTray für die Communication der virtuellen Maschine mit dem Host gestartet.

Wer sich nicht mit der Registry auskennt, muss sich auf einen Virenscanner verlassen. Dies ist die einfachsten Möglichkeit den Rechner auf Trojaner zu prüfen. Allerdings gibt es Trojaner, die den Virenschutz aushebeln können. Aber beginnen wir mit der Prüfung außerhalb unseres Rechner. Die wichtigste Frage ist:

Wieso kommen andere zu der Erkenntnis, ich hätte einen Trojaner auf meinem Rechner

Warum andere auf die Idee kommen könnten, dass sich ein Trojaner auf meinem Rechner ein Trojaner befindet, kann verschiedenen Ursachen haben.

E-Mails werden mit meiner Adresse als Absender verschickt

Sollte der Andere E-Mails mit meiner Mail-Adresse bekommen, und daraus schließen, ich würde diese Mails verschicken, so unterliegt er zu 99% einem Irrtum. Jeder kann im Internet eine E-Mail unter meinem Namen abschicken. Was ein Mailprogramm als Absender einträgt, hängt davon ab, was jemand bei der Kontoerstellung als Adresse angibt. Siehe Screen Shot.

Mail Konto für Barak Obama in Outlook Express
Einrichtung eines Mail Kontos für Mr. Obama in Outlook Express

Wenn ich diese Mail-Adresse angebe, dann werden mich Antworten nicht erreichen. Dies stellt für die meisten Spammer kein Problem dar, denn sie wollen nicht per Mail erreicht werden.

Um diesen Missbrauch zu verhindern, ersetzen manche Provider in den Mails ihrer Kunden den Absender durch die richtige Adresse (z.B. T-Online).

Wenn sich die Behauptung nur auf den Absender in der empfangenen Mail bezieht, dann kann ich mich beruhigt zurück lehnen.

Meine IP-Adresse taucht in der Mail auf

Um das folgende zu demonstrieren hat mir mein Freund Barack Obama freundlicherweise mehrere Mails geschickt 😉 und so zeigt mein Client sie an:

Fake Mail from Barack Obama
Gefakte Mail von Barack Obama

Dies ist allerdings alarmieren. Lassen wir die Frage außer acht, ob wie der Andere es schafft hat, meine dynamische IP-Adresse meiner Person zuzuordnen. Dies ist ein sicheres Zeichen, dass auf meiner Seite etwas nicht stimmt. Schauen wir und dazu eine Mail im Quelltext an.

Return-Path: <president@whitehouse.gov>
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on k2.arend.tksd
X-Spam-Level:
X-Spam-Status: No, score=-0.0 required=4.5 tests=BAYES_40,NO_RELAYS
autolearn=ham version=3.3.1
X-Spam-Spammy: 0.975-419–68h-944s–0d–yours,
0.951-548–213h-1476s–0d–states
X-Spam-Hammy: 0.004-1–4h-0s–0d–H*UA:mailx, 0.004-1–4h-0s–0d–H*u:Heirloom
X-Original-To: thomas@example.com
Delivered-To: thomas@example.com
Received: by server.arend.tksd (Postfix, from userid 1000)
id 9428B28B8C; Sun, 28 Oct 2012 17:17:02 +0100 (CET)

Date: Sun, 28 Oct 2012 17:17:02 +0100
From: president@whitehouse.gov
To: thomas@example.com
Subject: Dear Thomas
Message-ID: <508d5a7e.G3hxyhZwtL2Aa2Td%president@whitehouse.gov>
User-Agent: Heirloom mailx 12.2 01/07/07
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
X-UIDL: i05!!Sk&“!!RV“!Dfe“!
Dear Thomas

I’m very happy to demonstrate, that everybody can send you a message in my name.

Sincerly yours

Barack Hussein Obama II
44. President of the United States of America

Eine Mail besteht grundsätzlich aus zwei Teilen: Dem Kopf oder header und dem Inhalt, Körper oder body. Der Inhalt kann weiter unterteilt werden, ist aber für uns hier uninteressant.

Nur der rot und fett markierte Teil im Header deutet darauf hin, dass diese Mail nicht von Barack Obama stammt. Es ist zwar nicht unmöglich, aber doch sehr unwahrscheinlich, dass der Präsident der Vereinigten Statten seine Mails von meinem Rechner aus verschickt. In der Regel gibt es mehrere Einträge dieser Art. Für jeden Server, der die Mail bearbeitet hat einen.

Schauen wir und diese Teil der Mail an, wenn ich sie nicht von meinem Rechner zu Hause verschicke, sondern von meinem V-Server im Internet:


Received: from h1383963.stratoserver.net (byggvir.de [172.16.0.1])
by server.arend.tksd (Postfix) with ESMTP id EBC6E28B8C
for <thomas@example.com>; Sun, 28 Oct 2012 19:35:11 +0100 (CET)
Received: by h1383963.stratoserver.net (Postfix, from userid 1000)
id EB14D206E9A9; Sun, 28 Oct 2012 17:39:56 +0100 (CET)

Hier hat der Mail-Client die Mail beim lokalen Mail-Server abgegeben. Dieser hat diese Mail an den Mail-Server bei mir Zuhause weiter geleitet. Würde Barack an meine T-Online Adresse schreiben, sähe es am Ende wie folgt aus:


Received: from k2.arend.tksd (localhost [127.0.0.1])
by server.arend.tksd (Postfix) with ESMTP id DFE6928977
for <thomas@localhost>; Sun, 28 Oct 2012 19:45:58 +0100 (CET)
Received: from sfwd01.sul.t-online.de [194.25.134.110]
by k2.arend.tksd with POP3 (fetchmail-6.3.19)
for> (single-drop); Sun, 28 Oct 2012 19:45:58 +0100 (CET)
Received: from mailin13.aul.t-online.de (mailin13.aul.t-online.de [172.20.27.48])
by mhead408 (Cyrus v2.3.15-fun-3.2.14.0-1) with LMTPA;
Sun, 28 Oct 2012 19:45:53 +0100
X-Sieve: CMU Sieve 2.3
Received: from h1383963.stratoserver.net ([85.214.133.14]) by mailin13.aul.t-online.de
with esmtp id 1TSXrn-0fHGBE0; Sun, 28 Oct 2012 19:45:47 +0100
Received: by h1383963.stratoserver.net (Postfix, from userid 1000)
id 063BC206E9B5; Sun, 28 Oct 2012 19:45:46 +0100 (CET)

In diesem Fall hat der V-Server die Mail an einen Server von T-Online mailin13.aul.t-online.de weitergeleitet. Dieser hat sie wiederum intern an einen Server mhead408 weiter gegeben. Dieser hat die Mail auf nicht dokumentierte Weise an sfwd01.sul.t-online.de weitergegeben. Mein Rechner Zuhause die Mail mit fetchmail von sfwd01.sul.t-online.de abgeholt und über den internen Postfix Server verteilt.

In der Liste stehen die Server immer in der umgekehrten Reihenfolge der Abarbeitung, da ein Server sich immer vorne in der Liste einträgt. Spammer fügen noch ein paar weitere Einträge hinzu, um den Spam-Filtern die Arbeit zu erschweren. Hier sollte ich zur Täuschung noch Zeilen des Mail-Servers des Weißen Hauses einfügen. Aber es entsteht in der Regel ein logischer Bruch. Der nächste Server passt logisch nicht in die Kette, denn er empfängt die Mail von einem Server, der die Mail nicht empfangen haben kann. Dieser Bruch ist auch bei T-Online vorhanden, aber solange wir dem Provider vertrauen, ist dies nicht weiter schlimm.

Wenn in dieser Liste die IP-Adresse meines Servers oder meines DSL-Anschlusses auftaucht, dann besteht wirklich ein Problem, dem nachzugehen ist.

Wenn also jemand behauptet, ich würde Spam Mails verschicken, brauche ich zur Prüfung eine Mail mit Header. Weist diese in einer vertrauenswürdigen Kette nicht bis zu meinem Server, dann ist die Mail nicht von mir.


Received: from 172.16.0.1 [172.16.0.1]
by k2.arend.tksd with POP3 (fetchmail-6.3.19)
for <thomas@localhost> (single-drop); Sun, 28 Oct 2012 21:00:01 +0100 (CET)
Received: from mailout09.t-online.de (mailout09.t-online.de [194.25.134.84])
by h1383963.stratoserver.net (Postfix) with ESMTP id AE8BF206E012
for <thomas@arend-rhb.de>; Sun, 28 Oct 2012 20:59:48 +0100 (CET)
Received: from fwd00.aul.t-online.de (fwd00.aul.t-online.de )
by mailout09.t-online.de with smtp
id 1TSZ1Q-0007Zg-74; Sun, 28 Oct 2012 20:59:48 +0100
Received: from x1.localnet (r3JntrZQYhuuYP4NX76w87i8EFbMM6yU9uNOb7tXNwJrwEjiVM2FWOn8lS3vhzFQXw@[93.206.123.123]) by fwd00.t-online.de
with esmtp id 1TSZ1O-1TZ0gy0; Sun, 28 Oct 2012 20:59:46 +0100

Hier ein Beispiel, wie es aussieht, wenn ich eine Mail über T-Online versende. Mein lokaler Mailserver (k2.arend.tksd) holt die Mail bei meinem Mailserver (172.16.0.1) im Internet mit fetchmail ab. Dieser Server hat die vom T-Online Server mailout09.t-online.de erhalten. Dieser wiederum hat sie T-Online intern von fwd00.aul.t-online.de erhalten, bei dem mein Mailprogramm die Mail abgeliefert hat.

Wie kommt man an den Header einer Mail?

Unter kmail drückt man einfach die Taste „V“ und schon wird der Quelltext der Mail in einem Fenster angezeigt. Unter Outlook Express geht es mit „Datei – Eigenschaften – Details“, unter Thunderbird ist es „Strg-U“. In der Regel hat jedes Mailprogramm seine eigene Bezeichnung und einen Menüpunkt um die Nachricht im Klartext, Quelltext, Quellcode oder wie auch immer es bezeichnet wird anzuzeigen.

Einfaches Weiterleiten der Mail reicht in der Regel nicht, da der Header abgeschnitten und nur der Text in die neue Mail übernommen wird. Am besten die Mail exportieren und als Anhang zu schicken. Den Textteil kann man da auch ruhig wegschneiden. Er ist unwichtig.

Findet sich dann ein Hinweis, dass diese Mail von meinem Rechner – oder besser aus meinem Heimnetz stammt, dann hat hier ein Rechner einen Trojaner. Ich tippe, dass dann mein Sohn sich wieder etwas eingefangen hat.

Fazit

Der Absender einer Mail hat nichts zu bedeuten. Hier kann man alles und jeden eintragen. Einzig verlässliche Quelle ist der Header mit den „Received:“ Einträgen.

Viele Spam Mails, gerade die Scanner- oder eFax-Spam werden mit meiner Domain und einem hexadezimalen User als Absender verschickt. Da viele Adressaten nicht existieren, bekam ich bisher die Zustellfehler. Diese angeblichen Absender existieren aber auch nicht bei mir und so nehme ich diese Mails nicht mehr an.

So, der Urlaub ist zu Ende. Daher gibt es keine Nachtsitzungen mehr.

Gute Nacht

4 Kommentare

  1. Hi,

    gegen dieses Absender-Spoofing hilft SPF (Sender Policy Framework: http://de.wikipedia.org/wiki/Sender_Policy_Framework ). Damit legt man für eine Domain fest welche Server überhaupt Mails mit diesen Absender-Adressen verschicken darf. Der empfangende Server überprüft dann über das DNS ob die Mail von einem Server kam die im DNS als erlaubte Sender eingetragen sind. Schützt nicht direkt gegen Spam, aber es schützt davor das die eigene Domain als Absender verwendet wird.

  2. […] Aufmerksam wurde ich durch einen aufgebrachten Anrufer. Sorry, dass ich die Geduld verloren habe, aber wenn mir nicht geglaubt und mit einer Anzeige gedroht wird, werde ich ungehalten. Einige nette Anrufe und Mails zeigen, es geht auch anders. Es ist nicht der erste Fall, dass mir jemand am Telefon mit einer Anzeige droht und ich erklären muss, warum eine Mail, die angeblich von mir ist, nicht von mir stammt. Um diesen Punkt nicht zu Weit auszudehnen: Jeder kann im Namen von jedem Mails verschicken. Siehe meinen Artikel Hilfe! Mir wird vorgeworfen, dass mein Rechner einen Trojaner hat und ich Spam verschicke. […]

Kommentare sind geschlossen.