# dumme Frage wegen ständiger Spammails



## Anonymous (18 Januar 2006)

da ich die Materie nicht gut kenne, möge man mir die vielleicht dumme Frage nachsehen. In den letzten zwei - drei Monaten kommen hier jeden Tag teilweise bis zu 10 Phishing-Mails (Dresdner Bank, Volksbanken-Raiffeisenbanken) an. Mir ist ja klar, daß die Banken dabei keine Verantwortung tragen. Und soweit ich das richtig verstanden habe, sind sogenannte Botnetze für die Verbreitung der Betrugs-Mails verantwortlich, also gekaperte Rechner, die diese Mails massenhaft rausschicken. Daher sind die Absenderangaben auch nicht hilfreich. (Man möge mich korrigieren)

Aber von irgend einem Absender muß so eine Mail ja kommen, also von einem gekaperten Rechner. Ich kann in meinem Email-Programm eine Mail ablehnen, so daß sie als unzustellbar an den Absender zurückgeht. Da der Absender der von mir abgelehneten Mail diese von mir aber auch nicht haben will, geht sie als unzustellbar wieder an mich zurück, oder wird vom Absender/Empfängerserver als Spam oder Phishing erkannt und geht an mich zurück.

Frage ist also: kann ich, wenn ich die Phishing-Mails ablehne und diese an den vermeintlichen Absender zurückgehen und er sie wiederum mir zurückschickt, auf den tatsächlichen Absender der Mail schließen? Das heißt - wird sich im Header der an mich retournierten Mail die Absenderadresse des gekaperten Rechners finden?

Der Hintergrund ist der, daß ich dann dem Administrator eine Nachricht zukommen lassen will, daß er mal seinen Server oder Rechner durchcheckt.


----------



## User Nr 2528 (18 Januar 2006)

*Nachtrag*

obwohl eingeloggt nur als Gast erschienen. Sorry.

Ein Header einer solchen Phishing-Mail sieht so aus:

Von:   [email protected]
Betreff: DRESDNER BANK ONLINE-BANKING [Thu, 19 Jan 2006 00:03:10 -0200]
Datum: 19. Januar 2006 03:08:10 MEZ
An:  [email protected] 
Return-Path: <[email protected]>
Delivery-Date: Wed, 18 Jan 2006 11:08:51 +0100
Received: from [201.29.16.92] (helo=20129016092.user.veloxzone.com.br) by mx.kundenserver.de (node=mxeu8) with ESMTP (Nemesis), id 0MKt1w-1EzAF61RkD-00010l ; Wed, 18 Jan 2006 11:08:49 +0100
Fcc: mailbox://[email protected]/Sent
X-Identity-Key: id7
X-Accept-Language: en-us, en
Mime-Version: 1.0
Content-Type: multipart/related; boundary="------------040500090307020103050003"
Message-Id: <[email protected]>
Envelope-To: MEIN [email protected]
X-Spamscore: 4.052 tests= DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS SUB_ONLINE FROM_HAS_ULINE_NUMS


----------



## stieglitz (18 Januar 2006)

Tja, wie soll man dir da so einfach auf ein komplexes Thema antworten?
Erstmal hat es keinen Sinn die mail zu retournieren. Selbst wenn die erneut zurückkommen, kannst du da höchstwahrscheinlich keine Erkenntnisse erzielen. Also nicht zurückschicken, du erhöhst damit nur unnötig der Trafik.
Die Jungs bei Antispam haben da schon einiges zusammengetragen.
http://www.antispam-ev.de/forum/forumdisplay.php?f=12
Und hier gibts auch bereits eine grosse Krankenakte:
http://forum.computerbetrug.de/viewtopic.php?t=4815
Da wird die entwicklung seit 2004 dokumentiert.
Also ne Flasche aufmachen, Chips und viel lesen.


----------



## User Nr 2528 (18 Januar 2006)

leider ist Antispam ja oft nicht erreichbar. Aber danke für die Links. Du meisnt also, ich kann aus der retournierten Mail keinen Rückschluß auf den Botrechner gewinnen?


----------



## Captain Picard (18 Januar 2006)

User Nr 2528 schrieb:
			
		

> . Du meisnt also, ich kann aus der retournierten Mail keinen Rückschluß auf den Botrechner gewinnen?


selbst wenn, würde das nichts nützen.  Bots sind nur  dumme Zombies, die über
 IRC-Server gesteuert werden, die wiederum irgendwo auf der Welt stehen 

http://cert.uni-stuttgart.de/doc/netsec/bots.php


----------



## drboe (18 Januar 2006)

Anonymous schrieb:
			
		

> Aber von irgend einem Absender muß so eine Mail ja kommen, also von einem gekaperten Rechner. Ich kann in meinem Email-Programm eine Mail ablehnen, so daß sie als unzustellbar an den Absender zurückgeht. Da der Absender der von mir abgelehneten Mail diese von mir aber auch nicht haben will, geht sie als unzustellbar wieder an mich zurück, oder wird vom Absender/Empfängerserver als Spam oder Phishing erkannt und geht an mich zurück.


Das funktioniert nicht. Du gehst davon aus, dass die in solche Mails eingesetzte Mail-Adresse die des Eigners eines verseuchten PC sein muss. Das ist nicht der Fall. Das kannst du leicht selbst ausprobieren. Irgendwo in Deinem Mail-Programm stellst Du ein, welche Mail-Adresse Du hast und an welche Adresse Anworten gehen sollen. Normalerweise schreibt man da zweimal das gleiche hin. Muss man aber nicht. Und welche Adresse man da hineinschreibt, ist völlig belanglos. Du kannst Mails als Bill Clinton, Angela Merkel oder Freddy Mercury versenden. Das bekommen einige User gelegentlich zu spüren, wenn unzustellbare Mails aus spam-Aktionen an den vermeintlichen Sender zurückgehen und dann das Postfach geflutet wird. Den Realnamen kannst Du auch noch beliebig wählen. D. h., Du solltest auf das Ping-Pong Spiel verzichten, es führt wirklich nur zum Anstieg der Netzlast, belästigt Unbeteiligte und gibt keine Information, die in der ursprünglichen Mail nicht schon enthalten wäre.

M. Boettcher


----------



## User Nr 2528 (18 Januar 2006)

ja, ich laß es sein. Abgesehen davon ändert sich die betroffene Adresse ohnehin bald und beim neuen Anbieter habe ich einen recht guten Spamschutz auf dem Server. Ich hatte nur mal vor Jahren den Fall, daß von einem Server der Uni Bremen Schadsoftware verschickt wurde. Da stimmte aber wohl die im Header angegebene Adresse und der Admin antwortete auf meinen Hinweis, daß der Server mißbraucht worden war. Ich dachte, daß in diesem Fall auch ein Hinweis an den Admin möglich wäre. Ist halt nervig, wenn jeden Tag 10 - 15 Phishing-Mails eintrudeln. Nebenbei frag ich mich auch, wer auf den Müll noch reinfällt, vor allem wenns so massiv auftritt.


----------

