[vgwort line=“86″ server=“vg05″ openid=“1f3899e363b6463788b3e82177b94663″]
Auf den ersten Blick war die E-Mail nicht schlecht gemacht. Die Fälschung war jedoch offensichtlich, denn ich wohne woanders und nutze für Paypal eine andere E-Mail-Adresse. Mein PayPal-Konto war zumindest nicht in Gefahr. Ob der Händler nun an eine falsche Adresse liefert, ist erst einmal nicht mein Problem.
Eine Suche nach meinem Namen und der Adresse aus der E-Mail ergab keinen Treffer, so dass ich mir nicht sicher bin, ob unter der Liefer-Adresse ein Namensvetter von mir wohnt. Dies will aber nichts heißen; am Tag der Lieferung kann es durchaus ein Namensschild „Thomas Arend“ an einer der Türen oder Klingeln im Haus geben.
Auf den zweiten Blick und im Vergleich zu einer echten PayPal Rechnung fällt auf, dass ein Kasten „Stornierung durchführen“ eingefügt ist. Der Link führt jedoch nicht zu Paypal, sondern auf einen Server 1073133003-paypal.de-pp26.pw. Dies deutet auf einen normalen Phishing Versuch hin. Vielleicht soll die falsche Lieferadresse mich nur zum voreiligen Stornieren verleiten. Aber wer aufmerksam liest: Für eine Stornierung ist noch gut eine Woche Zeit.
Sie werden anschließend weitergeleitet und haben dort die Möglichkeit die Zahlung kostenlos zu stornieren.
Die Stornierung ist bis zum 05.01.2016 möglich.
Ein dritter Blick in den Quelltext des HTML-Teils der Mail zeigt den typischen Versuch durch unsinnige HTML-Tags die Spam-Filter auszutricksen. Hat aber nicht geklappt.
Eigentlich lohnt kein weiterer Blick in die Mail. Da ich aber schon mal dabei bin:
Zu dem obigen Servernamen existiert keine IP-Adresse mehr und so ist der Server nicht mehr erreichbar. So geht Phishing natürlich nicht. Entweder hat hier jemand sehr schnell reagiert oder den Betrügern ist ein Fehler unterlaufen.
Eine Original-Rechnung weist zwar auf die Hilfe Seite hin; dieser Hinweis ist im Original jedoch nicht mit einem Link hinterlegt. Der Link in der Fälschung führt aber tatsächlich zu Paypal. Aber Vorsicht: Dies könnte sich in künftigen E-Mails ändern.
Als letzter Link verbleibt der unscheinbare grüne Transaktioncode in der rechten oberen Ecke. (Seltsames denglish. Liebes Paypal, wie wäre es mit Transaktionskode, da meckert die Rechtsschreibprüfung nicht). Da ich mir Paypal-Rechnungen eigentlich nur im Plaintext ansehe, war mir nicht bewusst, dass sich hinter dem Transaktionscode ein Link verbirgt. Der Link https://www.paypal.com/de/cgi-bin/webscr?cmd=_view-a-trans&id=… in der Fälschung führt allerdings wirklich zu Paypal. Wenn man nicht angemeldet ist, verlangt Paypal zuerst eine Anmeldung. Das hier die richtige E-Mail-Adresse in der Maske voreingetragen ist, liegt an meinem Browser, nicht am Link in der E-Mail.
Verschickt wurde die E-Mail übrigens von einem Server (IP: 194.63.140.153) in der MediaServicePlus Ltd, Russland.
Na dann, genug für heute. Gute Nacht
Moin Thomas,
mit der folgenden Kombination in der main.cf von Postfix kommen solche Mails erst gar nicht mehr an:
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_invalid_hostname,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_unknown_address,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client ix.dnsbl.manitu.net,
reject_unverified_recipient,
permit
Danke für den Hinweis. Ich hoffe, dann wird überhaupt noch etwas angenommen.
Wenn alles richtig konfiguriert ist kommen alle Mails an, da die eigentlich eine Standardkonfiguration ist. Diese wird sogar durch den Postfix Papst „Heinlein“ empfohlen.
In der Regel haben „richtig“ konfigurierte Mailanbieter hier keinerlei Probleme, sondern „nur“ SPAM Anbieter, wenn z.B. der FQDN oder REVERSE Lookup nicht passen.
In der Regel können dann aber auch keine E-Mails an namhafte E-Mailanbieter zugestellt werden.
Und da hier auch erst bei „smtpd_recipient_restrictions“ und nicht bei „helo“ angesetzt wird, kann auch jeder ersteinmal Kontakt aufnehmen.
Grüße
Danke für den Tipp. Es hat die Spam-Mails in den vergangenen zwei Tagen um etwa 80-90% reduziert.
Hallo ,
Hallo Daniel,
ich bekomme auch zu viel von den Spam Mail.
Kannst Du mal beschreiben , was Du mit „main.cf von Postfix “ meinst? Meine Mail kommen bei Alfahostig an und ich hole diese mit 5 verschiedenen PC/ Handy ab.
Zur Zeit geht mir der Spam auf den Geist.
Viele Grüße Steffen
Hallo Steffen,
dazu muss auf einem vServer, auf welchem man root-Rechte hat die bei Debian unter /etc/postfix/ liegen conf-Datei main.cf wie oben beschrieben bearbeiten.
Für die Kontaktaufnahme gibt es vier verschiedene Konfigurationsabschnitte, wobei „smtp_sender_restrictions“ veraltet ist:
smtpd_helo_restrictions =
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
#smtpd_sender_restrictions =
smtpd_client_restrictions =
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_invalid_hostname,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_unknown_address,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client ix.dnsbl.manitu.net,
reject_unverified_recipient,
permit
Hierbei sollte man sich hauptsächlich auf „smtpd_recipient_restrictions“ konzentrieren, da hiermit der eigentliche Empfang bezeichnet wird. Vorher sollte man nicht unbedingt anfangen, d.h. als Beispiel „smtpd_helo_restrictions“, damit hier bereits die eigentliche Kontaktaufnahme bereits empfindlich gestört wird. Dies kann essentiell sein, wenn man eine E-Mai definiert, die generell alles annehmen soll.
Die main.cf kann noch weiter angepasst werden um z.B. nur TLS Verbindungen (was eigentlich nur noch erlaubt werden sollte) zu aktivieren (kann mit https://starttls.info) überprüft werden.
Ein guter Wert ist z.B.:
Mail server Result
mail.der-webcode.de Grade: A (92.0%)
Man kann auch noch viele andere Sachen mit der main.cf machen.
Grüße
[…] dem Tipp von Daniel hat sich der tägliche Spam auf meinem Server drastisch reduziert. Heute habe ich mir die […]