Hallo ihr Lieben!

mir sind einige falsche E-Mails unter gekommen und ich bin selber betroffen gewesen – deswegen der Beitrag

Was ist das Problem?!

Angebliche Bestellungen per Mail, wobei Domains zum verschicken der Mails genutzt werden,
die natürlich anderen Personen gehören.

Mir ist bekannt das STRATO-Kunden davon betroffen sind – vielleicht auch noch mehr!

ACHTUNG: Ich unterscheide zwischen gefaket und gehackt (siehe weiter unten)
Hier ist sind nur gefakten Mails gemeint…

Wie kann ich mich davor schützen:

Aktivierung des SPF-Records für die Domain:

Dies kann man über das Kundenlogin: Ihr Paket – Domains – verwalten und – DNS Einstellungen – SPF- und TXT-Record: SPF *Aktiviert*

Hier eine kurze Anleitung mit Screenshots zur Aktivierung des SPF-Records:

SPF aktivieren – ANLEITUNG

Die Geschichte dahinter:

In diesem Fall handelt es sich um das vorgaukeln eines Absenders!

Es werden aktuell E-Mail von “gefälschten” E-Mail-Konten verschickt die eine angebliche Rechnung enthalten.
Dabei werden die Mails oft von russichen Server verschickt.
Die Mails sind meist in etwa so aufgebaut:

Absender:
buchung@*

Betreff:
Bestellen ** / Bestellnummer **

Text:
Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen!
Ihre Bestellung #** wird 04.06.2014 verschickt werden.

Datum: 02.06.2014 16:26:51
Summe: €139.81
Bezahlungstyp: Banküberweisung
Transaktionsnummer: 07B9AFA15D7072ACEB

Die Gesamtrechnung werden Sie in der Datei buchung1922.zip finden

Mit freundlichen Grüßen,
***

* = Die Domain
** = anscheinend eine Zufallszahl
*** = eine angebliche Person – die Telefonnummern können allerdings bestehen.. diese Gehören in der Regel Privatpersonen.

Laut Googlemail ist im Anhang ein Virus versteckt 😉

 

Beispiel einer Fake-Mail

Ein Beispiel:

Da ich selber solche Mails bekommen habe, hier mal ein Screenshot:

Diese E-Mail wurde netterweise von Google für mich abgerufen.
Google greift den Nutzern schön unter die Arme, wie man sehen kann: Im Anhang wurde ein Virus gefunden (wuhuu).
In der Kopfzeile lässt sich erkennen, von welchem Server die E-Mail ausging (srs.smtpin.rzone.de) – Dies steht sonst in den META-Daten, wird aber netterweise direkt angezeigt.

Da die meisten Leute ihren eigenen Server benutzen, gehe ich davon aus, das die Mail nicht echt ist.

Was mir passiert ist:

Auf einmal bekam ich (glücklicherweise) automatisch irgendwelche E-Mails zurück, da mein Postfach alle E-Mails der Domain empfängt.

Nach dem Ändern aller Passwörter und dem aktivieren des SPF-Records kamen zum Glück keine mehr….
Bis dahin war das echt ganz schön aufregend!!

Als ich dann mit dem zweiten Admin der Domain telefoniert habe, war eine Anzeige bei der Polizei wegen Computerbetrugs nötig.
Aktueller Stand ist allerdings, dass das Verfahren eingestellt wurde, da keine “Aussicht auf Erfolg” besteht.
Eigentlich wäre keine Anzeige nötig gewesen, da die E-Mails nicht von meinem Server kamen.
Das war mir nicht klar und ich war echt aufgeregt!

STRATO konnte mir leider keine LOG-Dateien zur Verfügung stellen..
Die Mails hätten auch direkt über meinen Server verschickt werden können – mit dem Zugangsdaten.. Dann wären dort IPs aufgetaucht. (siehe gehackt)

Eine falsche E-Mail beinhaltete sogar eine Drohung, Anwälte in die Polizei eingeschaltet zu haben – natürlich vollkommen unbegründet.

Was ist SPF-Record?!

Ihr müsst nicht ungedingt wissen, was der SPF-Record ist und wie er funktioniert, ich versuche hier trotzdem kurz zu erklären was dahinter steckt:

Der Domaininhaber kann in den DNS eintragen, welche Server, E-Mails mit der Domainendung verschicken dürfen.
Der Empfänger überprüft im DNS-Eintrag der Domain welche Server erlaubt sind – ist der Absender dort nicht eingetragen, handelt es sich also dann um eine “gefälschte Mail”.
Ist allerdings nichts eingetragen (wie bei deaktivierten SPF-Record) werden alle Absender akzeptiert.

Eine recht gute Beschreibung ist auch unter http://de.wikipedia.org/wiki/Sender_Policy_Framework zu finden.

GEFAKET oder GEHACKT – der Unterschied

GEFAKET:
Es ist möglich E-Mailadressen vorzugaukeln, die über einen anderen Server verschickt werden.
Das wird in diesen Fällen gerne gemacht!
Hierbei ist leicht nachzuweisen, das ihr als Domaininhaber nicht der Absender dieser E-Mail seid – es ist aber trotzdem unnötig und stressig!

Abhilfe bring da das aktivieren des SPF-Records wie hier beschrieben.

GEHACKT:
Wenn ein E-Mailkonto gehackt wurde, hat der Angreifen den vollen Zugriff auf den E-Mailserver.
Dabei ist schwer nachzuweisen, das ihr nicht der Absender seid – einfacher wird es wenn Logins protokolliert werden.
Auch Stressig! Abhilfe bringt das nur, das Passwort regelmäßig zu ändern…

FAZIT

Computerbetrug kann jedem passieren!
Es gibt aber Möglichkeiten sich zu schützen! – Wenn auch nicht zu 100%…

Weitere Links:

Ich werde noch einen Beitrag des gefakte Mail schreiben und erkennen beinhaltet.

3 Gedanken zu „Falsche Rechungen per Mail! (STRATO+?)

  1. Hallo und danke für die tolle Anleitung, bei STRATO einen SPF-Record zu setzen. Leider klappt das bei mir nicht, denn die Option “TXT-Record und SPF” ist in der Domain Einstellung in Strato bei mir als “inaktiv” gekennzeichnet. Beim Klick auf das “i”-Symbol dabei sagt mir Strato, “Diese Option ist inaktiv, da die momentane DNS-Konfiguration der Domain/Subdomain die Verwendung dieser Option verhindert”. ? Und jetzt? Leider gibt mir Strato keinen Hinweis darauf, was ich ggf. wo ändern muss, damit es geht. Hast Du dazu vielleicht auch noch so einen tollen Tipp? Danke!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.