clean-mx Antispam Antivirus Antiphishing » Fehlleistungen

Virus im Namen von antiphishing@vr-networld.de oder das totale Versagen gro�er Mailprovider

Gerhard W. Recher — Tue, 08 May 2007 18:58:47 +0000

Die Artikelreihe Fehlleistungen 2.0 muss ich leider fortsetzen

… und schon wieder rollt eine Welle durch das Internet mit Trojanern, die sogar angeblich im Namen von vr-networld.de und pikanterweise auch noch von antiphishing@vr-networld.de stammen sollen.

Die Signatur verh�hnt auch noch “Spamfighter”, perverser geht es wirklich nimmer, und dieser Schmutz wird von unseren gro�en Mailprovidern angenommen und zugestellt.

Ungl�cklicherweise wird auch dieser wieder seine Opfer finden, da es z.B Schlund & Partner immer noch nicht realisiert haben, das man den erkl�rten Willen von vr-networld.de:

;; ANSWER SECTION:
vr-networld.de. 59535 IN TXT “v=spf1 ip4:194.149.246.0/23 ip4:195.35.89.0/25 -all”

respektieren und beachten sollte!

Aber nein Sie nehmen die Fracht einfach so an und transportieren Sie weiter.

Das ist ein Skandal liebe Verantwortliche bei Schlund & Partner, schaltet die SPF Pr�fung endlich “scharf” und macht das was der Domaineigent�mer von Euch verlangt.

Hier die Fakten, weitere Worte sind nicht notwendig, ich bin ersch�ttert.

Return-Path: <>
Delivered-To: virus-quarantine
X-Envelope-To:

X-Envelope-From: 
X-Quarantine-id: 
Received: from mout-xforward.kundenserver.de (mout-xforward.kundenserver.de [212.227.15.35])
        by relay3.netpilot.net (Postfix) with ESMTP id 079BCE59B
        for
; Tue,  8 May 2007 20:19:40 +0200 (CEST)
Received-SPF: fail (mxeu24: domain of vr-networld.de does not designate 84.237.209.197 as permitted sender) client-ip=84.237.209.197; env
elope-from=antiphishing@vr-networld.de; helo=HP.apollo.lv;
Received: from [84.237.209.197] (helo=HP.apollo.lv)
        by mx.kundenserver.de (node=mxeu24) with ESMTP (Nemesis),
        id 0MKtd6-1HlUHk049y-0003Cn for shirley@victim.de; Tue, 08 May 2007 20:19:40 +0200
Message-ID: 
Date: Tue, 8 May 2007 21:25:03 +0300
From: Kajsa Lindman 
User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To:  shirley@victim.de
Subject: antiphishing
Content-Type: multipart/alternative;
 boundary="------------020604090607070409000205"
X-Spam-Flag: YES
X-Amavis-Alert: BANNED FILENAME, message contains part named: Regning.exe

This is a multi-part message in MIME format.
--------------020604090607070409000205
Content-Type: text/plain; charset=iso-8859-1; format=flowed
Content-Transfer-Encoding: 8bit

Sehr geehrte Kundin, sehr geehrter Kunde

Rechnung

 Die Dateien wurden als Anhang eingefugt und konnen jetzt mit dieser Nachricht gesendet
 werden.

-----------------------------------------------------------------
 Ich verwende die kostenlose Version von SPAMfighter,
 die bis jetzt 227 Spammails entfernt hat.
 Fur private Anwender ist SPAMfighter vollig kostenlos!
 Jetzt gratis testen: hier klicken.

--------------020604090607070409000205
Content-Type: application/octet-stream; name="Regning.exe"
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="Regning.exe"

Bundestrojaner Onlinedurchsuchung SPF und die grossen Mailprovider

Gerhard W. Recher — Sat, 05 May 2007 15:22:30 +0000

Es ist zum heulen schon wieder die selbe “aufgeregte” Diskussion, und schon wieder warnen alle die es nicht besser wissen vor diesen Viren.

Wie immer durchleuchtet keiner die Hintergr�nde und stellt die Tatsachen objektiv ins Licht !

Wie immer, diese gesamte Virus-Welle w�rde nie und nimmer die Postk�rbe der Benutzer von z.B Schlund & Partner erreichen, wenn diese wenigstes SPF beachten w�rden.

Sie pr�fen auf SPF, lassen aber die “virulente” Fracht ohne mit der Wimper zu zucken durch, obwohl der vermeintliche Absender per SPF definiert hat das er NICHT von einem DSL Anschlu� aus Thailand sendet …

;; ANSWER SECTION:
ninja.com. 558043 IN TXT “v=spf1 mx include:aspmx.googlemail.com -all”

Wann lernen es unseren “grossen” Mailprovider endlich die zur Verf�gung stehende Technik auszureizen, und so �ber 90% der Spams und Viren an Ihren “Einfallstoren” schlicht abprallen zu lassen ?

Ich kann nur noch mit dem Kopf sch�tteln.

Received: from mout-xforward.kundenserver.de (mout-xforward.kundenserver.de [212.227.15.33])
        by relay3.netpilot.net (Postfix) with ESMTP id 3A90F1032E
        for
; Sat,  5 May 2007 16:06:53 +0200 (CEST)
Received-SPF: fail (mxeu9: domain of ninja.com does not designate 125.25.55.121 as permitted sender) client-ip=125.25.55.121; envelope-from=
Nadine@ninja.com; helo=125-25-55-121.adsl.totbb.net;
Received: from [125.25.55.121] (helo=125-25-55-121.adsl.totbb.net)
        by mx.kundenserver.de (node=mxeu9) with ESMTP (Nemesis),
        id 0MKt64-1HkKuK0c9R-00063D for jason@iolab.de; Sat, 05 May 2007 16:06:52 +0200
Message-ID: <001401c78f59$4deff020$00ddbd1c@iqcoms304cabc2>
From: "Herbert Klein" 
To: "jason" 
Subject: Bericht-[74078676] Onlinedurchsuchung
Date: Sat, 5 May 2007 21:05:49 +0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
        boundary="----=_NextPart_000_0011_01C78F59.4DEFF020"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Spam-Flag: YES
X-Amavis-Alert: INFECTED, message contains virus: TROJ_SMALL.IAU

------=_NextPart_000_0011_01C78F59.4DEFF020
Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Sehr geehrter Internetnutzer,    im Rahmen unserer ständigen =
automatisierten Überprüfung von sogenannten Tauschbörsen =
im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.IP: =
81.133.121.144    Der Inhalt Ihres Rechners wurde als Beweismittel =
mittels den neuen Bundestrojaner sichergestellt.  Es wird  umgehend =
Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder =
Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter =
Tauschbörsen, stellen Sie diese auch anderen Nutzern zu =
Verfügung und verstoßen somit gegen §§ 249ff StGB.  =
  Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie =
im Anhang dieser Email.Die Strafanzeige und die Möglichkeit zur =
Stellungnahme wird Ihnen in den nächsten Tagen schriftlich =
zugestellt.  Herbert Klein, Kriminaldirektor, LKA Rheinland-PfalzAm =
Sportfeld 9c, 55124 MainzTel.: 06131 - 970738Fax: 06131 - 970731Mobil: =
0171 - 7504699Mail: Hcklein51@aol.com

BKA verlagert die Kommunikation in Pressekonferenzen

Gerhard W. Recher — Mon, 26 Mar 2007 19:24:18 +0000

Ich bin entr�stet, ich bin schockiert.

im Interview mit der Taz erkl�rt der Pr�sident des Bundeskriminalamtes (BKA) Herr Ziercke:

Im Kern geht es nur darum, den von den Schwerstkriminellen bereits vollzogenen digitalen Quantensprung aufzuholen. Diese verlagern ihre Kommunikation konsequent in das Internet.

Ich kann dazu nur noch mal betonen:

Ja der Quantensprung in der Kommunikationsgeschwindigkeit muss erreicht werden

nicht Tage und Wochen und Monate um etwas zu bearbeiten sondern bitte h�chstens Stunden !

Ja ein Quantensprung in der Kommunikationsfreudigkeit muss erreicht werden

Lieber Herr Ziercke, Ihr Amt beantwortet ja noch nicht einmal Emails

Ja eine Quantensprung an interdisziplin�rer Arbeit ist dringend erforderlich

Wo bleibt denn hier das BMI?
Lieber Herr Schaar, lesen Sie �berhaupt Emails?

Ja ein Quantensprung an Bescheidenheit und innerer Einkehr ist von n�ten

Wir reden hier von digitalen Themen, also kann man dar�ber auch sachlich und hieb und stichfest und beweisbar reden, logb�cher l�gen nicht…

und genau das tun Sie nicht Herr Ziercke.

Wo sind die Zahlen die “belastbar” das hergeben was Sie an “Prosa” in diversen Pressekonferenzen und Interviews verlauten lassen?

FAZIT:

Bitte kommunizieren Sie mit uns m�ndigen B�rgern dieses Landes mit den Kommunikationsmitteln dieses Jahrhunderts.

F�r alle Dienststellen in Ihrem Bereich gilt:

Bitte zur�ck auf die Schulbank und das Kommunikations 1×1 dieses Jahrhunderts intensivst verinnerlichen.

Nat�rlich hat jeder einzelne Beamte in Ihrem Bereich sein spezial Wissen, aber es obliegt Ihnen die Organisationsstrukturen und die technischen Infrastrukturen passend zu unserem Jahrhundert aufzubauen.

Verfolgen die LKA’s und das BKA Phishing?

Gerhard W. Recher — Wed, 21 Mar 2007 19:25:03 +0000

Ich sage nein!

Sie haben weder vom Personal her, noch von der Schulung des Selbigen, ganz geschweige von Ihren Kommandostrukturen her das Zeug hier der internationalen kriminellen Szene auch nur ann�hrend etwas entgegenzusetzen.

Im Zeitalter der Millisekunden schnellen Kommunikation sind Reaktionszeiten auf Anschreiben und Telefonate im Gr��enbereich von Wochen einfach untragbar.

Was mich zu dieser �berzeugung bringt?

Ein Rootserver eines Kunden wurde von der Mafia missbraucht. Gott sei Dank ohne Folgen, da wir alle Mails abfangen konnten.

Die Geschichte die aus diesem Vorfall aber erwachsen ist, muss jedem zu Denken geben , der das Wort “Onlinedurchsuchung” auch nur ansatzweise in den Mund nimmt.

Der Plot ist eigentlich schnell umrissen:

ein Subjekt hat von einem T-COM Anschluss aus einen Mailserver unseres Kunden missbraucht (schwaches Passwort eines Benutzernamens…)

er hat 3 Testmail an yahoo gooogle und web.de geschickt, um zu sehen ob man diesen Server zum Massenversand prinzipiell nutzen kann.

anschlie�end hat er, da er anscheinend Herr einer Bot-Armada ist, einen amerikanischen Zombie mit dem Mailversand von E-bay Phishing E-Mails beauftragt.

wir haben die Phishingwelle durch unser Produkt clean-mx entdeckt und ausgefiltert.

Dann f�ngt das Drama an. Wie reagieren die Beteiligten an diesem Drama.. oder ist ein "Possenspiel" ?

Mit kurzen Worten, es passiert nichts. Der offensichtliche Phisher kommt ungeschoren davon.

web.de hat nicht reagiert

google hat erst recht nicht reagiert

yahoo keinen Funken von Reaktion

T-Online als Accessprovider hat sich ebenfalls nicht ger�hrt (aber die filtern ja auch flei�ig Ihre abuse accounts)

Eine Anzeige beim LKA in M�nchen verlief im Sande. Es wurde NICHTS unternommen.

Sie glauben das nicht?

Nun hier die verschiedenen Dokumente, Adressen, Namen sind geschw�rzt:

1. 12.2006: Erstes Anschreiben an das LKA:

Anschreiben 4 Seiten Pdf in eigenem Fenster

Nach einigen frustrierenden Telefonaten mit dem LKA:
4.12.2006: Zweites Schreiben an das LKA:

Anschreiben 10 Seiten Pdf in eigenem Fenster

Dann tat sich lange nichts mehr. Telefonate sind im Sand verlaufen.
18.12.2006: Drittes Schreiben ans das LKA:

Anschreiben 3 Seiten Pdf in eigenem Fenster

Letzter Kenntnissstand nach einem Telefonat mit dem LKA:

Ja das haben die Kollegen in Essen, die werden da schon das Richtige machen…

Fazit: Es ist definitiv nichts geschehen. Wahrscheinlich sind einige Aktenbl�tter angelegt worden. Ein Aktenzeichen haben wir nie bekommen. Es war der Frust hoch 13 der uns hier gepackt hat.

Unsere Politiker sprechen von “Gef�hrdungslage” und fordern eine immer weitergehende Speicherung von Verbindungsdaten.
Sie wollen am liebsten von allem und jedem eine “Bewegungsprofil” erstellen und dabei bringen unsere Beh�rden es offensichtlich noch nicht einmal fertig einen Fall wie diesen, der “klar wie Klo�br�he” da liegt, vern�nftig zu bearbeiten.

Mir wird Angst wenn ich an einen unkompetenten “Bundestrojaner” denke.. Brrrr

Jedenfalls war dieser Vorgang die Geburtsstunde unsere Phishing Datenbank.

Ich bin �berzeugt, dass staatliche Organisationen wie:

Lokale Polizeibeh�rden

Landespolizei

Bundespolizei>

Europol

Weltpol…

und Organisationen wie

Icann

Lokale Registries (denic f�r de … usw..)

.. denken Sie sich weitere Organisationen aus.. es gibt genug davon

absolut nichts ausrichten werden und k�nnen.

Also habe ich es zu meinem Motto gemacht:

Die kriminellen Elemente auf dieser Welt zielen ohne auf Recht und Sitte zu achten auf unser aller Gemeinwohl.

Also schaffe ich einen Service der hemds�rmlig dagegen h�lt ohne gro� Instanzen zu bem�hen.

Und der Erfolg meiner Bem�hungen:

Von Ende Februar 2007 ca. 16 Tausend aktiven Phishingseiten, sind wir nun durch konstantes Wachr�tteln der Netzverantwortlichen in der gesamten Welt, auf 500 bis 600 aktive Phishingseiten heruntergekommen.

Das entspricht ungef�hr der Rate wie neue Seiten dazukommen.
Siehe auch unten stehend das Phish-Wetter 2007.

Abschlie�end das Phish-Wetter 2007

Presse Spiegel dazu:

gulli.com Strafverfolger Durch Phishing bereits �berlastet

[update] 27.3.2007
Wie aus heise Online zu entnehmen ist:

Einen Phishing-Fall z�hlte der oberste Kriminalbeamte der Republik ebenfalls mit auf, in dem der Versand der tr�gerischen Mails �ber ein Bot-Netz mit zehntausenden Rechnern weltweit erfolgt sei. In den genannten Beispielen ist laut Ziercke ein heimliches Vorgehen essenziell, um tats�chlich an die T�ter-Netzwerke zu gelangen und diese nicht etwa durch eine offene Hausdurchsuchung bereits fr�hzeitig zu warnen. Zuvor hatte er sich wiederholt �ber den Anstieg von Straftaten im Bereich Kinderpornographie sehr besorgt gezeigt.

Wird doch tats�chlich ein Phisher in deutschen Landen verfolgt.

Respekt Herr Ziercke, wirklich und aufrichtig, ein Meilenstein in der Bek�mpfung dieses �bels!

Fehlleistung 2.0 – oder schlafen die Netzverantwortlichen unserer Beh�rden? [update]

Gerhard W. Recher — Fri, 02 Feb 2007 13:31:56 +0000

Immer wieder versuchen die Botnetz Betreiber Ihren Stamm an Zombie-Maschinen durch verschicken von E-Mails mit Trojanern im Anhang zu vergr��ern.

Das traurige an der Sache ist, das es Ihnen nach dem Gesetz der gro�en Zahl dies mehr oder weniger immer gelingen wird.

Es tragen aber auch noch andere wesentlich zum "Erfolg" dieser kriminellen Banden bei: 1) Gro�e Mailprovider pr�fen nur ungen�gend auf sch�dlichen Inhalt. 2) Domaineigent�mer und deren Netzverantwortliche nutzen nur ungen�gend die zur Verf�gung stehenden Mittel (z.B. SPF)

ad 1) Die gro�e Zahl von Benutzern , die solche Mails erhalten, sind
entweder mit Ihrer Domain bei einen Massenhoster, oder haben einen
Mailaccount bei einem der gro�en Mailhoster (gmx, web.de,t-online.de
tiscali, aol, yahoo, gmail usw…)
Und genau dies riesige Schar von Nutzern bekommt solche Mail, man kann
sich leicht ausmalen wie oft der Schadinhalt ausgef�hrt wird.
Solche Mails d�rften nie und nimmer in der Inbox eines Nutzers
auftauchen, ja noch nichtmal in einem Verdacht- oder Unbekannt-Order.
Kleine Provider haben diese Problematik schon l�ngst im Griff, alleine
die gro�en stehlen sich hier aus der Verantwortung.

ad 2) Es kostet den Domaineigent�mer absolut nichts endlich
einen g�ltigen SPF Record in seiner DNS Definition abzulegen, damit
verantwortungsbewu�te Mailprovider diese "Pr�fvorschrift" auch
durchf�hren k�nnen.
Was ist nun passiert? Leider muss ich ziemlich
technisch werden, das Thema ist nicht wirklich trivial, sonder hoch
komplex. Der geneigte Leser mag es mir verzeichen wenn es hier von
"b�hmischen D�rfern" nur so wimmelt.

Unser Bundeskriminalamt hat zwar einen TXT-Record im DNS, aber der ist
pure Webung f�r seinen Provider.

;; ANSWER SECTION:
bka.de. 11710 IN TXT "Created by update.named 3.6a – NetUSE AG"

und die eigenliche Mail-Domain des BKA ist eigenlich "@bka.bund.de", und auch diese Domain hat keinen SPF-RECORD

;; QUESTION SECTION:
;bka.bund.de. IN TXT

und auch die bund.de Domain hat keinerlei Vorsorge getroffen:

;; QUESTION SECTION:
;bund.de. IN TXT

Die Ironie an der ganzen Geschichte ist ja, das das BKA nicht mit Absenderadressen "vorname.name@bka.de" sondern mit "vorname.nachname@bka.bund.de" mit der Welt kommuniziert.
Unter den Adressen "…@bka.de" akzeptiert das BKA ja nur E-Mails, geantwortet wird immer mit einer "…@bka.bund.de" Adresse.

Auf diesen Hintergrund basiert dieser Vorschlag von SPF Definitionen, die nat�rlich nicht vollst�ndig sein k�nnen.

bka.de. 7200 IN TXT "This domain sends no email"
bka.de. 7200 IN TXT "Null SPF is for tracking purposes only"
bka.de. 7200 IN TXT "All mail claiming to be from @bka.de is forged"
bka.de. 7200 IN TXT "v=spf1 +exists:CL.%{i}.FR.%{s}.HE.%{h}.null.spf.bka.de -all"

und:

bka.bund.de. 7200 IN TXT "v=spf1 a mx include:provider.de -all"

Mit derartigen SPF Eintr�gen f�r den BUND und das BKA und weiterer Beh�rden k�nnte jeder Mailserver dieser Welt sofort sagen "325986-abteilung@bka.de kann gar nicht authetisch sein", da ja die Domain bka.de sagt "wir senden
keinen Mails mit dieser Domain" und PUNKT! W�rden dann auch noch alle gro�en Mailprovider eine SPF Eingangspr�fung
machen, w�re die Mehrzahl der E-Mail Nutzer von dieser Art von
Bel�stigungen und Schadinhalten verschont geblieben.

So einfach kann die Welt sein, aber die Verantwortlichen schlafen, und
machen immer kompliziertere Gesetze (TKG) zur
�berwachung und Regelung des Zusammenlebens in unserer Republik, aber
dies hier ist ein globales Problem, und ein Spammer oder Krimineller
aus dem "Ausland" schert sich um nichts.
W�rde sich endlich mal jemand Verantwortlich zeigen m��te das BKA nicht
diese Pressemitteilung
herausgeben und alle Rundfunksender vor diesen Mails warnen. Sie w�rden
so und in solchen Mengen erst gar nicht bei unschuldigen E-Mail Nutzern
"aufschlagen".

Dies ist ein �ffentlicher Aufruf an den Bundesdatenschutzbeauftragten endlich zu handeln und dieses Thema energisch innerhalb kurzer Zeit zu verfolgen und Ma�nahmen zu ergreifen.

Pressemeldungen wie z.B. in heise online:
Weitere Details zum Trojaner in gef�lschten BKA-Mails [Update]
oder im spiegel online etwas zu leichtfertig von der satirischen Seite… Vorsicht vor falschen E-Mails! oder in der sueddeutsche.de Der "Bundestrojaner" ist da und pc-welt Neue BKA-Mails und vorgebliche Rechnungen
zu diesem Thema beleuchten leider den dahinter stehenden technischen Aspekt nicht oder nur ungen�gend.

Insbesondere die Aussage laut sueddeutsche.de von J�rgen Stock:

Das Problem: J�rgen Stock, Vizepr�sident des BKA, ist
keineswegs der Absender. Statt dessen kommt die Mail von Unbekannten,
die damit Daten auf den Computern der Empf�nger stehlen wollen

ist v�llig am Thema vorbei. Es ist die Absenderadresse die hier ein Problem macht. nat�rlich ist der Urheber unerkannt und
anonym (noch). Die Verantwortung seinen eigenen Namen m�glichst
effizient zu sch�tzen liegt beim Eigent�mer, und das ist das BKA bzw.
der BUND.

Gerhard W. Recher

Update

Wie man in einem Zustellungsbericht entnehmen kann, haben einige Stellen beim BUND Probleme mit dieser Technologie:
DeliveryFailureReport_bsifb.pdf

Eine dieser Mails im Original

Return-Path: <325986-abteilung@bka.de>X-Original-To: trap@funny.clean-mx.comDelivered-To: trap@funny.clean-mx.comReceived: from relayn.netpilot.net (nocn.netpilot.net [62.67.240.20]) by ksrv8.netpilot.net (Postfix) with ESMTP id E73DE252D443 for ; Fri, 2 Feb 2007 11:47:37 +0100 (CET)Received: from localhost (unknown [127.0.0.1]) by localhost (Postfix) with ESMTP id 8CA68EAC23F for ; Fri, 2 Feb 2007 10:43:26 +0000 (UTC)Received: from relay.netpilot.net ([62.67.240.16]) by localhost (newtunix [62.67.240.20]) (clean-mx, port 10024) with ESMTP id 14441-07 for ; Fri, 2 Feb 2007 11:43:26 +0100 (CET)Received: from [62.118.181.2] (unknown [62.118.181.2]) by relay.netpilot.net (Postfix) with ESMTP id B504118D5A for ; Fri, 2 Feb 2007 11:42:57 +0100 (CET)Received: from Lena (Lena [192.168.114.17]) by Lena (8.12.8p1/8.12.8) with ESMTP id i6E78AF87CBA68 for ; Fri, 2 Feb 2007 16:40:23 +0300 (envelope-from 325986-abteilung@bka.de)Date: Fri, 2 Feb 2007 16:40:23 +0300From: "BKA Abteilung 19855" <325986-abteilung@bka.de>Reply-To: "BKA Abteilung 19855" <325986-abteilung@bka.de>X-Priority: 3 (Normal)Message-ID: <00403587.20070202134023@bka.de>To: webmaster@victimdomain.tldSubject: Ermittlungsverfahren Nr. 181854MIME-Version: 1.0Content-Type: multipart/mixed; boundary="----------36F123F0C37818E" ------------36F123F0C37818EContent-Type: text/html; charset=ISO-8859-1Content-Transfer-Encoding: 7bit Sehr geehrte Damen und Herren, das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft. Wir m�chten Sie darauf hinweisen, dass Ihr Rechner unter der IP 217.71.103.40 erfasst wurde. Ihre Daten wurden uns von Ihrem Provider zu Verf�gung gestellt und eine Strafanzeige wurde erlassen. In dem angef�hrten Anhang finden Sie die Strafanzeige mit dem Aktenzeichen Nr.:# 130067 Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu. Eine Kopie der Strafanzeige wird Ihnen in den n�chsten Tagen schriftlich zugestellt. Hochachtungsvoll i.A. J�rgen Stock Bundeskriminalamt BKA Referat LS 2 65173 Wiesbaden Tel.: +49 (0)611 - 55 - 12331 Fax.: +49 (0)611 - 55 - 0 ------------36F123F0C37818E Content-Type: application/x-msdownload; name="Akte58583.zip" Content-transfer-encoding: base64 Content-Disposition: attachment; filename="Akte58583.zip" .... ------------36F123F0C37818E

Fehleistungen 2.0 oder Regeln sind nicht zum Spa� aufgestellt worden

Gerhard W. Recher — Wed, 31 Jan 2007 06:14:00 +0000

Was SPF kann und wie man diese Regeln beachtet sollte sich langsam herumgesprochen haben… aber die "global Player" leisten sich reihenweise Fehltritte.

Im diesem Fall ber�cksichtigt der Service noch nicht einmal eine SPF Definition eines armen Opfers.

Was ist passiert? Ganz einfach. Der Service bekommt eine Spammail die angeblich von einen Absender stammt, der aber definitiv dem Rest der Welt per DNS Eintrag erkl�rt hat, dass er NICHT von einem DSL Anschlu� (adsl196-204-228-206-196.adsl196-8.iam.net.ma) seine Post versendet.

So eine Definition sieht in diesem Fall so aus:

victimdomain.tld. 86400 IN TXT "v=spf1 a mx include:netpilot.net -all"

und weder der A-Record noch alle MX-Records und schon gar nicht das was netpilot definiert ist ann�hernd im Netzblock des Spammers.

Was aber macht der Service?

Er nimmt die Mail an, erkennt das sein Filterkunde keinen User mit dem alias "dooley" hat, erl�rt auch noch das der Inhalt kein Spam ist (X-StarScan-Version: 5.5.10.7; banners=-,-,filterkundendomain.tld) und bef�rdert den gesamten Inhalt per Bounce an das unschuldige Opfer.

Eigentlich liegt ja hier eine Fehleistung 3.0 vor, aber ich will an der Stelle nicht kleinlich sein.
Und diese Fehlleistungen sind an der Tagesordnung, aber CLEAN MX putzt auch diese "spoof-replys" oder "Backscatter" Mails zuverl�ssig raus.

�berzeugen Sie sich selbst von der Leistungsf�higkeit von CLEAN MX fordern Sie einen Testbetrieb f�r Ihre Domain an

Fehlleistungen 2.0 … oder was machen andere Filtersysteme

Gerhard W. Recher — Tue, 30 Jan 2007 23:43:02 +0000

Es ist schon erstaunlich was andere managed Spam Solutions so durch Ihre Filter lassen.

In diesem Fall nimmt z.B. Messagelabs von einem DSL-Spammer die Fracht ohne mit der Wimper zu zucken auf, und dann kommt es dicke: die Spam-mail wandert durch den "tower" und wird nicht als Spam erkannt und an des unschuldige Opfer ausgeliefert.

Auch hier wurde eine CLEAN MX Kunde wieder mal erfolgreich von solchen unsinnigen M�ll gesch�tzt.

�berzeugen Sie sich selbst von der Leistungsf�higkeit von CLEAN MX fordern Sie einen Testbetrieb f�r Ihre Domain an

Received: from relayx.netpilot.net ([62.67.240.18]) by localhost (newtunix [62.67.240.20]) (clean-mx, port 10024) with ESMTP id 06830-04 for ; Sat, 20 Jan 2007 21:27:04 +0100 (CET) Received: from mail94.messagelabs.com (mail94.messagelabs.com [216.82.240.115]) by relayx.netpilot.net (Postfix on SuSE Linux 7.3 (i386)) with SMTP id 411753421E for ; Sat, 20 Jan 2007 21:26:35 +0100 (CET) X-VirusChecked: Checked X-Env-Sender: bqrsuphp@bulldog-design.de X-Msg-Ref: server-5.tower-94.messagelabs.com!1169324787!55687593!15 X-StarScan-Version: 5.5.10.7; banners=.,-,- X-Originating-IP: [68.213.48.78] Received: (qmail 31398 invoked from network); 20 Jan 2007 20:26:33 -0000 Received: from adsl-068-213-048-078.sip.ard.bellsouth.net (HELO costacarolina.com) (68.213.48.78) by server-5.tower-94.messagelabs.com with SMTP; 20 Jan 2007 20:26:33 -0000 Received: from hinet.net ([192.168.1.3]) by costacarolina.com with Microsoft SMTPSVC(6.0.3790.1830); Sat, 20 Jan 2007 15:26:31 -0500 Message-ID: <0f1d01c73cd1$3ffbda90$ef8b722a@yzcv> From: "Kommit Stephen" To: "Prisca" , Subject: Von Gabi kommt dieser Tipp Date: Sat, 20 Jan 2007 12:58:27 -0800 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_000_0F1A_01C73C8E.31D89A90" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2180 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180 X-OriginalArrivalTime: 20 Jan 2007 20:26:31.0743 (UTC) FILETIME=[45A214F0:01C73CD1] X-Virus-Scanned: by netpilot GmbH at clean-mx.de X-Spam-Status: Yes, hits=28.6 tagged_above=-999.0 required=6.1 tests=HTML_MESSAGE, RAZOR2_CF_RANGE_51_100, RAZOR2_CF_RANGE_E8_51_100, RAZOR2_CHECK, URIBL_JP_SURBL, URIBL_NETPILOT, URIBL_OB_SURBL, URIBL_SC_SURBL, URIBL_WS_SURBL X-Spam-Level: **************************** X-Spam-Flag: YES This is a multi-part message in MIME format. ------=_NextPart_000_0F1A_01C73C8E.31D89A90 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 8bit Guten Morgen Prisca, Von Gabi kommt dieser Tipp 564314 R|O|L|E|X 158765 406608 B|R|E|I|T|L|I|N|G 623874 212420 O|M|E|G|A 284688 633266 P|A|T|E|K 612267 500436 C|A|R|T|I|E|R 807827 �ber 942 Modelle zur Auswahl, Preise ab 149.- EURO http://jvzwr.texastarget.com Steinleitner das Viktoria gerne abl�sbar Prisca Andensteisshuhn m�chte, kaufen beschuldigt Benzinpumpe rein mehr B�roger�te Prisca wo er/sie schl�ft stehen Anrufwiederholung Auftauchen B�roger�te wie Fettsucht. ______________________________________________________________________ This email has been scanned by the MessageLabs Email Security System. For more information please visit http://www.messagelabs.com/email ______________________________________________________________________

Fehlleistungen 2.0 oder die Verantwortung von Massenhostern

Gerhard W. Recher — Tue, 30 Jan 2007 22:20:05 +0000

Hier mal eine doppelte Fehlleistung im wahrsten Sinn des Wortes.

1) Der Massenhoster Schlund und Partner, inzwischen ja unter United Internet zusammen mit gmx und web.de untergekommen, nimmt eine Spam f�r einen Kunden an, der eine Weiterleitung an einen anderen Sammelaccount gesetzt hat.

Schlund.de pr�ft nicht die Bohne, dass hier Spam vorliegt, sondern leitet einfach weiter, nachdem Sie von einem DSL-Client aus Fernost, den Sie erst gar nicht h�tten annehmen d�rfen, die Fracht bekommen haben.

2) der Spammer selber hat anscheinend seine Bot-Clients nicht richtig im Griff, denn seine Fracht wurde nicht personalisiert und mit Inhalt gef�ttert, ist aber trotzdem Spam und l�stig.

zum Gl�ck gibt es ja CLEAN MX und damit dem armen Kunden solchen Schrott vom Leibe h�lt.

�berzeugen Sie sich selbst von der Leistungsf�higkeit von CLEAN MX fordern Sie einen Testbetrieb f�r Ihre Domain an

Received: from relay3.netpilot.net ([62.67.194.35]) by localhost (newtunix [62.67.240.20]) (clean-mx, port 10024) with ESMTP id 29335-04 for ; Tue, 30 Jan 2007 22:05:25 +0100 (CET) Received: from mout-xforward.kundenserver.de (mout-xforward.kundenserver.de [212.227.15.37]) by relay3.netpilot.net (Postfix) with ESMTP id 87B5BE40A for ; Tue, 30 Jan 2007 22:04:56 +0100 (CET) Received-SPF: softfail (mxeu11: transitioning domain of d2.dion.ne.jp does not designate 124.106.243.218 as permitted sender) client-ip=124.106.243.218; envelope-from=0130shinutxz@d2.dion.ne.jp; helo=124.106.243.218; Received: from [124.106.243.218] (helo=124.106.243.218) by mx.kundenserver.de (node=mxeu11) with ESMTP (Nemesis), id 0MKuA8-1HC09s0y3n-0005Zm for victim@hisfirstdomain.tld; Tue, 30 Jan 2007 22:04:54 +0100 Message-Id: <20070130210525.87B5BE40A@relay3.netpilot.net> Date: Tue, 30 Jan 2007 22:04:56 +0100 (CET) From: 0130shinutxz@d2.dion.ne.jp To: undisclosed-recipients:; X-Virus-Scanned: by netpilot GmbH at clean-mx.de X-Spam-Status: Yes, hits=10.6 tagged_above=-999.0 required=6.1 tests=MISSING_SUBJECT, MSGID_FROM_MTA_ID, NO_REAL_NAME, RCVD_IN_BL_SPAMCOP_NET, RCVD_IN_SORBS_WEB, RCVD_NUMERIC_HELO, SPF_HELO_SOFTFAIL, SPF_SOFTFAIL, UNDISC_RECIPS X-Spam-Level: ********** X-Spam-Flag: YES [Unknown Tag *$$cl3* Please Fix] [Unknown Tag *$$cl3* Please Fix] for ; Tue, 30 Jan 2007 15:06:36 -0600 [Unknown Tag *$$cl1* Please Fix] [Unknown Tag *$$cl2* Please Fix] for ; Tue, 30 Jan 2007 15:06:36 -0600 Reply-To: "Lora Prince" <0130shinutxz@d2.dion.ne.jp> From: "Lora" <0130shinutxz@d2.dion.ne.jp> Message-ID: <7638153142.845396519695@d2.dion.ne.jp> Date: Tue, 30 Jan 2007 15:06:36 -0600 To: Subject: <$$text> MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit X-Spam-Flag: YES <$$text> <$$text> <$$text> <$$text> <$url1>?<$mcrypt>