• Bitte schaltet eure Ad Blocker aus. SLinfo kann nur betrieben werden, wenn es durch Werbung Einnahmen erzielt. Vielen Dank!!
  • Wir freuen uns, wenn du dich in unserem Forum anmeldest. Bitte beachte, dass die Freigabe per Hand durchgeführt wird (Schutz vor Spammer). Damit kann die Freigabe bis zu 24 Stunden dauern.
  • Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Sie geben Einwilligung zu unseren Cookies, wenn Sie unsere Webseite weiterhin nutzen.

[OT] Sicherheitsüberprüfung der E-Mail Adresse

Ihr tut ja gerade so, als würden die Eure E-Mail lesen wollen! Angenommen, das BSI würde Böses im Schilde führen. Was bekommen sie dann? einen Riesenhaufen gültiger Mailadressen ohne Zuordnung. Wer mehrere Adressen checken lassen will, und extrem misstrauisch ist, geht halt über einen Anonymisierungsdienst und schickt jede Anfrage mit einer neuen IP los.

Ich glaube, zur Zeit gibt es auf der dunklen Seite des Webs 1000 bestätigte E-Mailadressen für 1 €.
 
Danke für den Hinweis. Habe alle meine Adressen getestet und eine war kompromittiert. Eine Spamadresse bei Yahoo, die ich für Torrents, Foren, diverse Portale und so etwas genutzt habe. Also meiner Meinung nach ist das ein guter Hinweis, dass das System tut, was es verspricht.
 
Habe 5 Mailadressen getestet und davon wurde eine beantwortet.
Interessanterweise habe ich für genau diese Mailadresse etwa 2003 (also vor über 10 Jahren) meine Mailbox gelöscht und dort seitdem nur noch eine reine Weiterleitung (kein Postfach = kein Login).

Die Daten beim BSI sind - in meinem Fall jedenfalls - völlig veraltet.
 
Ich glaube, es geht nicht um die Adressen und ihre Passwörter, sondern um Webseiten, auf denen man mit dieser Adresse als Username einloggt, und die dazu passenden Passwörter.
 
Phischingattake

Guten morgen :)

Es kann auch eine übliche Phischingattake sein, aber irgendwie ordne ich sie hierher unter. Ich habe gerade eine Email von angeblich PayPal bekommen

Identifikation : *********

Guten Tag ****,

wir möchten Sie über den derzeitigen Stand Ihres PayPal-Kontos benachrichtigen.
Am 23. Januar 2014 wurden die geltenden Datenschutzbedingungen für alle Kunden unserer Dienstleitungen aktualisiert.
Im Zuge dessen muss jeder Benutzer den PayPal Account erneuern, um eine eindeutige Identifizierung sicherzustellen.
Aus diesem Grund wurde Ihr Account vorläufig gesperrt, solange das Update Ihres Accounts nicht fertig gestellt ist.
Während das Update Ihres Accounts nicht erfolgt, bleibt es gesperrt, um das Risiko für unsere Kunden zu verringern.
Sie werden aufgefordert eine Bestätigung Ihrer Identität abzuschließen, um Ihren Account freizuschalten.
Im Folgenden ist ein Link zu Ihrer individuellen Session aufgeführt, durch welche Sie nach dem Login in Ihren Account vom System geleitet werden.


Zur Session (link führt zu einem Server mit einr russischen Domain)


Sobald Sie den Sicherheitsprozess beendet haben, wird der Account reaktiviert und ist wieder wie gewohnt für den Transfer finanzieller Mittel nutzbar.

Mit freundlichen Grüßen,

Information and Service PayPal


ssl-key:*******

Die Mail wurde an meine alternative Adresse verschickt und an einen fiktiven Namen gerichtet, den ich für diese Adresse ausgedacht habe. Den Namen kennt nur mein Mailprovider, ich habe den nirgends und gar nicht mit dieser Adresse benutzt. Also entweder hat der meine Daten verkauft (kann vorkommen) oder wurde da tatsächlich eingebrochen. Mein PayPal läuft auf die richtige Adresse und da hab ichs nachgeschaut keine Spur von irgendwelchen Sperrungen.

Wer also so eine Mail bekommt, wie immer schließen und bei PayPal direkt nachschauen, und keine Links ankliken.

LG
Jenna

PS. Die hier benutzte Adresse war ebenfalls so um 2005 rum eingerichtet worden, also ebenfalls sehr alt, allerdings ist sie im Gebrauch. Nur den Namen hatte ich seit Einrichtung nirgends benutzt.
 
Zuletzt bearbeitet:
Wer sich nicht sicher ist klickt niemals auf einen Link in einer Mail, sondern geht in den Lieblingsbrowser und tippt per Hand die bekannte Web-Adresse ein, oder holt sich die Login-Seite aus den persönlichen Lesezeichen.
 
Du könntest mal den Header posten, dann kann man oft sehen, woher es kommt.

Habe mir lange überlegt, ob ich mehr oder weniger eine Volzitat mit Domainnamen hier posten kann. Wenn das durch Forenregeln verboten sein sollte (habe die Lange version nicht gefundne) bitte löschen oder was auch immer. Die angegebene Mailadressen könnten gefälscht sein, also die Zitat muss nicht heißen die NAchricht kam tatsächlich davon.

Return-Path: gourmet@fisher.arvixe.com
Received: from relay.mailchannels.net ([184.154.112.208]) by mx-ha.gmx.net
(mxgmx010) with ESMTP (Nemesis) id 0MVIx4-1VmDb70kus-00Yf5b for
<meine Adresse>; Wed, 29 Jan 2014 23:56:00 +0100
X-Sender-Id: arvixe|x-sg-opt|50.97.138.111:%2fhome%2fgourmet%2fpublic_html%2fpassovermenu.com%2fhtml%2fsss.php
Received: from fisher.arvixe.com (ip-10-227-128-69.us-west-2.compute.internal [10.227.128.69])
by relay.mailchannels.net (Postfix) with ESMTPA id 9508460F84
for <meine Adresse>; Wed, 29 Jan 2014 22:55:55 +0000 (UTC)
X-Sender-Id: arvixe|x-sg-opt|50.97.138.111:%2fhome%2fgourmet%2fpublic_html%2fpassovermenu.com%2fhtml%2fsss.php
Received: from fisher.arvixe.com (fisher.arvixe.com [10.248.1.104])
(using TLSv1 with cipher DHE-RSA-AES256-SHA)
by 0.0.0.0:2500 (trex/5.0.19);
Wed, 29 Jan 2014 22:55:58 GMT
X-MC-Relay: Bad
X-MailChannels-SenderId: arvixe%7Cx-sg-opt%7C50.97.138.111%3A%252fhome%252fgourmet%252fpublic_html%252fpassovermenu.com%252fhtml%252fsss.php
X-MailChannels-Auth-Id: arvixe
Received: from localhost ([127.0.0.1]:46957 helo=fisher.arvixe.com)
by fisher.arvixe.com with smtp (Exim 4.82)
(envelope-from <gourmet@fisher.arvixe.com>)
id 1W8e2w-0006sy-4k
for <meine Adresse>; Wed, 29 Jan 2014 14:55:50 -0800
Date: Wed, 29 Jan 2014 14:55:50 -0800
X-SG-User: gourmet
X-SG-Opt: SCRIPT_FILENAME=/home/gourmet/public_html/passovermenu.com/html/sss.php REQUEST_URI=/html/sss.php PWD=/home/gourmet/public_html/passovermenu.com/html REMOTE_ADDR=176.10.115.98
To: <meine Adresse>
Subject: Reaktivieren Sie Ihren gesperrten PayPal Account, <Mein fktiver Name>
From: PayPal-Update Deutschland <no_reply1173773300@server4255774306.europe-service-paypal.de>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
X-AuthUser:
Content-Transfer-Encoding: quoted-printable
Envelope-To: <meine Adresse>

Ich habe kurz recherchiert. fisher.arvixe.com müsste eigentlich eine Subdomain von arvixe.com sein, arvixe.com scheint ein recht solider Webhosting-Unternehmen sein. Für "fisher.arvixe.com" gibt es aber komische Suchergebnisse, die ich nicht zitieren wage, weil ich da evtl. falsch liege. Die Adresse "gourmet@fisher.arvixe.com" halte ich irgendwie für gefälscht, Aber ich finde keine Mitarbeiterliste bei arvixe.com um zu prüfen, ob da jemand eingestellt ist der gourmet mit Nachnamen oder so heißen könnte.

Der Eintrag fisher.arvixe.com [10.248.1.104] scheint nicht zu stimmen, die IP wird glaube ich etwas anders aufgelöst. Damit kann man, denke ich, die angegebene Unternehmen nicht dem Spamversand belangen. Die Idee, die Mail an GMX oder arvixe.com mit einem Misbrauchshinweis weiterzuleiten, sollte ich, denke ich, auch lassen.

Der Server "europe-service-paypal.de" existiert ebenfalls nicht. Interessant sind da auch Angaben wie "REMOTE_ADDR" und der Hinweis auf Localhost. Naja, soviel habe ich dem ganzen entnehmen können, vielleicht können Experten da mehr mit anfangen.

Achso, der Link wo ich zum Wiederherstellen meines PP Account ankliken sollte, führte zu http://akadama.ru

Edit. Das mit Localhost nehme ich zurück, hälfte meiner empfangenen "normalen" Emails haben das im Header.
 
Zuletzt bearbeitet:
Beschwerden an:

Admin Name: ARVAND SABETIAN
Admin Organization: ARVIXE, LLC
Admin Street: 23801 CALABASAS RD #2005
Admin City: CALABASAS
Admin State/Province: CA
Admin Postal Code: 91302
Admin Country: US
Admin Phone: +1.8889278493
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: DOMAINS@ARVIXE.COM

Die Adresse <server4255774306.europe-service-paypal.de> ist gefakt. Die TLD europe-service-paypal.de ist nicht registriert und bei der Denic frei.
 
Zuletzt bearbeitet:
Arvixe ist ein amerikanischer Webhoster, so wie 1&1 oder Strato bei uns. Fisher ist einfach der Servername. Auf fisher.arvixe.com laufen nach kurzer Recherche hunderte von Domains. Gourmet könnte der User bei Arvixe sein, was uns aber alles nicht weiterhilft.

Die Frage ist, was am Header könnte gefälscht sein. Normalerweise wird die Fälschungswarscheinlichkeit der Received-Abschnitte immer höher, desto tiefer sie im Header liegen. Die E-Mail wurde definitiv über Arvixe gesendet, das zeigen die IP's in den ersten Received-Abschnitten. Ganz unten haben wir aber einen speziellen Header. Das Datumsfeld ist um X-SG-User und X-SG-Opt erweitert. "X"-Felder sind einfach irgendwelche Headererweiterungen, die jedes Programm beliebig setzen kann. X-SG-Felder benutzt z.B. das Programm mini_sendmail. Hier aber denke ich steht SG für SiteGround. Das ist eine amerikanische Firma. Ein Blick in die Wikipedia verrät uns, das die Firma SoftLayer ein Partner von SiteGround ist. Und hier schliesst sich der Kreis, Arvixe gehört zu SoftLayer. Daher ist es sehr warscheinlich, dass X-SG-User und X-SG-Opt vom Server von Arvixe gesetzt wurden. Darauf deutet auch, dass sämtliche arvixe-Mails diese Header-Erweiterungen besitzen. Daher würde ich sagen, dass die Angabe der REMOTE_ADDR mit hoher Warscheinlichkeit echt ist, sagen wir mal 80%, lach.

Dann hätte der Absender die IP 176.10.115.98 und säße irgendwo in der Schweiz, Internetzugang über Datasource AG. Vermutlich ist die IP dynamisch, muss aber nicht sein.
 
Die Adresse des Hosters ist gekapert und der Absender gefakt, generiert. Die wirkliche Quelle lässt sich nicht bestimmen. Zuständig ist der Hoster selbst. Über abuse@ würde ich eine Mail schreiben damit die Adresse gesperrt wird.
 
(...)
Der Eintrag fisher.arvixe.com [10.248.1.104] scheint nicht zu stimmen, die IP wird glaube ich etwas anders aufgelöst. Damit kann man, denke ich, die angegebene Unternehmen nicht dem Spamversand belangen.

(...)

Doch, kann man letztendlich ;-)
Die 10.248.1.104 ist einfach eine private Adresse, die nicht ins Internet geroutet wird. (10.0.0.0 bis 10.255.255.255, also 10.0.0.0/8 sind ebenso private Adressen wie z.B. auch 192.168.0.0/256). Das ist die lokale IP von fisher.arvixe.com im eigenen Subnetz. (So, wie man zuhause oft z.B. 192.168.0.1 für seinen Router hat und z.B. 192.168.0.5 für seinen PC dann.) Übers Internet ist der Rechner fisher.arvixe.com dann über eine andere Adresse erreichbar (50.97.138.111), die derzeit dem Webhoster Arvixe gehört.

Die 127.0.0.1 ist auf dem Rechner fisher.arvixe.com der Rechner fisher.arvixe.com selbst (loacalhost/loopback). D.h. die Mail wurde wohl von einem Programm/Skript auf diesem Rechner an den Mail Server auf dem lokalen Rechner verschickt und ging dann von dort über ein MailChannels Relay zu GMX und dann von dort zu Dir. Die X-Header (X-SG User bzw. X-SG OPT ) wurden dabei auf dem Rechner selbst gesetzt, sind also nicht unbedingt "vertrauenswürdig" und könnten durchaus auch gefälscht sein.

Da wurde wohl einfach der Webhosting/Admin-Account bzw. der Zugang von "Aaron's Gourmet" gekapert, einem US-Lebensmittelmarkt aus NY, der bis vor kurzem u.a. unter "passovermenu.com" noch einen Food-Service mit jüdischem/koscherem Essen angeboten hat. (Ist aber immer noch unter http://www.aaronsgourmet.com/ zu erreichen, siehe http://www.aaronsgourmet.com/html/passover_2014.html). Und anschließend wurden vermutlich von einem (umgeschriebenen) php-Script auf diesem Rechner eben die Mails verschickt. Vermutlich dann über den Mailer, der z.B. sonst den Newsletter verschickt hat. Weswegen das wohl auch z.B. dem MailChannels Relay nicht aufgefallen ist.
 
Die X-Header (X-SG User bzw. X-SG OPT ) wurden dabei auf dem Rechner selbst gesetzt, sind also nicht unbedingt "vertrauenswürdig" und könnten durchaus auch gefälscht sein.

Da wurde wohl einfach der Webhosting/Admin-Account bzw. der Zugang von "Aaron's Gourmet" gekapert, einem US-Lebensmittelmarkt aus NY, der bis vor kurzem u.a. unter "passovermenu.com" noch einen Food-Service mit jüdischem/koscherem Essen angeboten hat.

Die Argumentation hinkt ein wenig. Wenn X-SG-Opt gefälscht wurde, wäre auch passovermenu.com gefälscht. Aber ich denke schon das X-SG-Opt echt ist, wie gesagt 80%. Ansonsten ist natürlich nichts im Header wirklich vertrauenswürdig. Im Extremfall könnte sogar der ganze Postweg ab einschliesslich Zeile 5 gefälscht sein.
 
Danke Euch für die Antworten. Cool, hätte ich nicht gedacht dass man soviel rauslesen kann :)

Nico, kurze frage, woher hast Du diese Angaben?

Beschwerden an:

Admin Name: ARVAND SABETIAN
Admin Organization: ARVIXE, LLC
Admin Street: 23801 CALABASAS RD #2005
Admin City: CALABASAS
Admin State/Province: CA
Admin Postal Code: 91302
Admin Country: US
Admin Phone: +1.8889278493
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: DOMAINS@ARVIXE.COM

Unter Contact hat Arvixe eine andere Angabe, vor allem gibts da "abuse@.." Email angegeben. Und wenn ich die IP 50.97.138.111 aus dem Header auflösen will, bekomme ich ebenfalls die Adresse mit abuse. Ich werde die Mail mit der Headerzitat an beide weiterleiten.

LG
Jenna
 
Stimmt, danke Dir Bittersweet :) Habe an beide verschickt, so können die schneller reagieren, bzw der richtige evtl gleich informiert, falls in den 2 Tagen nicht schon der Misbrauch aufgefallen ist.
 

Users who are viewing this thread

Zurück
Oben Unten