Immer wieder versuchen die Botnetz Betreiber Ihren Stamm an Zombie-Maschinen durch verschicken von E-Mails mit Trojanern im Anhang zu vergrößern.
Das traurige an der Sache ist, das es Ihnen nach dem Gesetz der großen Zahl dies mehr oder weniger immer gelingen wird.
Es tragen aber auch noch andere wesentlich zum "Erfolg" dieser kriminellen Banden bei: 1) Große Mailprovider prüfen nur ungenügend auf schädlichen Inhalt. 2) Domaineigentümer und deren Netzverantwortliche nutzen nur ungenügend die zur Verfügung stehenden Mittel (z.B. SPF)
ad 1) Die große Zahl von Benutzern , die solche Mails erhalten, sind
entweder mit Ihrer Domain bei einen Massenhoster, oder haben einen
Mailaccount bei einem der großen Mailhoster (gmx, web.de,t-online.de
tiscali, aol, yahoo, gmail usw…)
Und genau dies riesige Schar von Nutzern bekommt solche Mail, man kann
sich leicht ausmalen wie oft der Schadinhalt ausgeführt wird.
Solche Mails dürften nie und nimmer in der Inbox eines Nutzers
auftauchen, ja noch nichtmal in einem Verdacht- oder Unbekannt-Order.
Kleine Provider haben diese Problematik schon längst im Griff, alleine
die großen stehlen sich hier aus der Verantwortung.
ad 2) Es kostet den Domaineigentümer absolut nichts endlich
einen gültigen SPF Record in seiner DNS Definition abzulegen, damit
verantwortungsbewußte Mailprovider diese "Prüfvorschrift" auch
durchführen können.
Was ist nun passiert? Leider muss ich ziemlich
technisch werden, das Thema ist nicht wirklich trivial, sonder hoch
komplex. Der geneigte Leser mag es mir verzeichen wenn es hier von
"böhmischen Dörfern" nur so wimmelt.
Unser Bundeskriminalamt hat zwar einen TXT-Record im DNS, aber der ist
pure Webung für seinen Provider.
;; ANSWER SECTION:
bka.de. 11710 IN TXT "Created by update.named 3.6a – NetUSE AG"
und die eigenliche Mail-Domain des BKA ist eigenlich "@bka.bund.de", und auch diese Domain hat keinen SPF-RECORD
;; QUESTION SECTION:
;bka.bund.de. IN TXT
und auch die bund.de Domain hat keinerlei Vorsorge getroffen:
;; QUESTION SECTION:
;bund.de. IN TXT
Die Ironie an der ganzen Geschichte ist ja, das das BKA nicht mit Absenderadressen "vorname.name@bka.de" sondern mit "vorname.nachname@bka.bund.de" mit der Welt kommuniziert.
Unter den Adressen "…@bka.de" akzeptiert das BKA ja nur E-Mails, geantwortet wird immer mit einer "…@bka.bund.de" Adresse.
Auf diesen Hintergrund basiert dieser Vorschlag von SPF Definitionen, die natürlich nicht vollständig sein können.
bka.de. 7200 IN TXT "This domain sends no email"
bka.de. 7200 IN TXT "Null SPF is for tracking purposes only"
bka.de. 7200 IN TXT "All mail claiming to be from @bka.de is forged"
bka.de. 7200 IN TXT "v=spf1 +exists:CL.%{i}.FR.%{s}.HE.%{h}.null.spf.bka.de -all"
und:
bka.bund.de. 7200 IN TXT "v=spf1 a mx include:provider.de -all"
Mit derartigen SPF Einträgen für den BUND und das BKA und weiterer Behörden könnte jeder Mailserver dieser Welt sofort sagen "325986-abteilung@bka.de kann gar nicht authetisch sein", da ja die Domain bka.de sagt "wir senden
keinen Mails mit dieser Domain" und PUNKT! Würden dann auch noch alle großen Mailprovider eine SPF Eingangsprüfung
machen, wäre die Mehrzahl der E-Mail Nutzer von dieser Art von
Belästigungen und Schadinhalten verschont geblieben.
So einfach kann die Welt sein, aber die Verantwortlichen schlafen, und
machen immer kompliziertere Gesetze (TKG) zur
Überwachung und Regelung des Zusammenlebens in unserer Republik, aber
dies hier ist ein globales Problem, und ein Spammer oder Krimineller
aus dem "Ausland" schert sich um nichts.
Würde sich endlich mal jemand Verantwortlich zeigen müßte das BKA nicht
diese Pressemitteilung
herausgeben und alle Rundfunksender vor diesen Mails warnen. Sie würden
so und in solchen Mengen erst gar nicht bei unschuldigen E-Mail Nutzern
"aufschlagen".
Dies ist ein öffentlicher Aufruf an den Bundesdatenschutzbeauftragten endlich zu handeln und dieses Thema energisch innerhalb kurzer Zeit zu verfolgen und Maßnahmen zu ergreifen.
Pressemeldungen wie z.B. in heise online:
Weitere Details zum Trojaner in gefälschten BKA-Mails [Update]
oder im spiegel online etwas zu leichtfertig von der satirischen Seite… Vorsicht vor falschen E-Mails! oder in der sueddeutsche.de Der "Bundestrojaner" ist da und pc-welt Neue BKA-Mails und vorgebliche Rechnungen
zu diesem Thema beleuchten leider den dahinter stehenden technischen Aspekt nicht oder nur ungenügend.
Insbesondere die Aussage laut sueddeutsche.de von Jürgen Stock:
Das Problem: Jürgen Stock, Vizepräsident des BKA, ist
keineswegs der Absender. Statt dessen kommt die Mail von Unbekannten,
die damit Daten auf den Computern der Empfänger stehlen wollen
ist völlig am Thema vorbei. Es ist die Absenderadresse die hier ein Problem macht. natürlich ist der Urheber unerkannt und
anonym (noch). Die Verantwortung seinen eigenen Namen möglichst
effizient zu schützen liegt beim Eigentümer, und das ist das BKA bzw.
der BUND.
Gerhard W. Recher
Update
Wie man in einem Zustellungsbericht entnehmen kann, haben einige Stellen beim BUND Probleme mit dieser Technologie:
DeliveryFailureReport_bsifb.pdf
Eine dieser Mails im Original
Return-Path: <325986-abteilung@bka.de>
X-Original-To: trap@funny.clean-mx.com
Delivered-To: trap@funny.clean-mx.com
Received: from relayn.netpilot.net (nocn.netpilot.net [62.67.240.20])
by ksrv8.netpilot.net (Postfix) with ESMTP id E73DE252D443
for; Fri, 2 Feb 2007 11:47:37 +0100 (CET)
Received: from localhost (unknown [127.0.0.1])
by localhost (Postfix) with ESMTP id 8CA68EAC23F
for; Fri, 2 Feb 2007 10:43:26 +0000 (UTC)
Received: from relay.netpilot.net ([62.67.240.16])
by localhost (newtunix [62.67.240.20]) (clean-mx, port 10024) with ESMTP
id 14441-07 for;
Fri, 2 Feb 2007 11:43:26 +0100 (CET)
Received: from [62.118.181.2] (unknown [62.118.181.2])
by relay.netpilot.net (Postfix) with ESMTP id B504118D5A
for; Fri, 2 Feb 2007 11:42:57 +0100 (CET)
Received: from Lena (Lena [192.168.114.17])
by Lena (8.12.8p1/8.12.8) with ESMTP id i6E78AF87CBA68
for; Fri, 2 Feb 2007 16:40:23 +0300
(envelope-from 325986-abteilung@bka.de)
Date: Fri, 2 Feb 2007 16:40:23 +0300
From: "BKA Abteilung 19855" <325986-abteilung@bka.de>
Reply-To: "BKA Abteilung 19855" <325986-abteilung@bka.de>
X-Priority: 3 (Normal)
Message-ID: <00403587.20070202134023@bka.de>
To: webmaster@victimdomain.tld
Subject: Ermittlungsverfahren Nr. 181854
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------36F123F0C37818E"
------------36F123F0C37818E
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
Sehr geehrte Damen und Herren,
das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft.
Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP 217.71.103.40 erfasst wurde.
Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen.
In dem angeführten Anhang finden Sie die Strafanzeige mit dem Aktenzeichen Nr.:# 130067
Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu.
Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.
Hochachtungsvoll
i.A. Jürgen Stock
Bundeskriminalamt BKA
Referat LS 2
65173 Wiesbaden
Tel.: +49 (0)611 - 55 - 12331
Fax.: +49 (0)611 - 55 - 0
------------36F123F0C37818E Content-Type: application/x-msdownload; name="Akte58583.zip" Content-transfer-encoding: base64 Content-Disposition: attachment; filename="Akte58583.zip" .... ------------36F123F0C37818E
Recently:
- Virus im Namen von antiphishing@vr-networld.de oder das totale Versagen großer Mailprovider
- Bundestrojaner Onlinedurchsuchung SPF und die grossen Mailprovider
- BKA verlagert die Kommunikation in Pressekonferenzen
- Verfolgen die LKA’s und das BKA Phishing?
- Deutschland auf Platz 1 beim Phishing?
- Fehlleistung 2.0 – oder schlafen die Netzverantwortlichen unserer Behörden? [update]
- Fehleistungen 2.0 oder Regeln sind nicht zum Spaß aufgestellt worden
- Fehlleistungen 2.0 … oder was machen andere Filtersysteme
- Fehlleistungen 2.0 oder die Verantwortung von Massenhostern
- Was kostet Spam?