• Willkommen im Geoclub - dem größten deutschsprachigen Geocaching-Forum. Registriere dich kostenlos, um alle Inhalte zu sehen und neue Beiträge zu erstellen.

SMTP_Error von GC.com?!

Zai-Ba

Geowizard
Hab grad' ne Mail in meinen Spamordner bekommen.

Code:
This is an automatically generated Delivery Status Notification.

SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached!

Als attachment war ne Email.zip angehängt. Da ich gerade an nem Unirechner sitze, wollte ich mal rein schau'n aber die Firewall will's nicht :-(

Also Wurm oder Nichtwurm? Das ist hier die Frage!

keep mailing, Zai-Ba
 

hcy

Geoguru
Wurm, ganz klar. Sowas trudelt hier schon seit Tagen von unterschiedlichen "Absendern" (eBay etc.) ein.
Eigentlich müsste man Leute, die heute noch Outlook benutzen (und dabei nicht wissen was sie tun) in die Mithaftung nehmen bei sowas ...
 

morsix

Geowizard
Zai-Ba schrieb:
Hab grad' ne Mail in meinen Spamordner bekommen.

Code:
This is an automatically generated Delivery Status Notification.

SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached!

Als attachment war ne Email.zip angehängt. Da ich gerade an nem Unirechner sitze, wollte ich mal rein schau'n aber die Firewall will's nicht :-(

Also Wurm oder Nichtwurm? Das ist hier die Frage!

keep mailing, Zai-Ba

Die Frage ist natürlich, wer der echte Absender war, das lässt sich recht einfach herausfinden in dem man sich alle Parameter anzeigen lässt, dort steht dann z.B. welcher SMTP Server genau verwendet wurde, ist er von gc.com?

Der Grund für eine solche Nachricht kann nämlich auch sein, daß Du in gc.com eine Nachricht an jemanden geschrieben hast der wiederum eine falsche email-Adresse angegeben hat. Dann wäre die Mail kein Wurm und im Zip deine ursprüngliche Nachricht gespeichert.

Ohne die genauen Parameter (wie Sender Server) kann man das nicht genau identifizieren.

Kann natürlich auch ein Wurm sein ...

Grüße
Rudi
 

hcy

Geoguru
morsix schrieb:
Dann wäre die Mail kein Wurm und im Zip deine ursprüngliche Nachricht gespeichert.

Ja na klar, und im Himmel ist Jahrmarkt. Wer speichert denn eine abgelehnte Mail als ZIP-Attachment? GC.com wohl kaum.
 

alex3000

Geowizard
hcy schrieb:
Ja na klar, und im Himmel ist Jahrmarkt. Wer speichert denn eine abgelehnte Mail als ZIP-Attachment? GC.com wohl kaum.

Nee, stimmt schon. Einige Server senden Dir Deine Ursprungs-Nachricht in einem zip-File zurück.
 

hcy

Geoguru
Also sowas gehört doch bestraft. Kein Wunder dass manche Leute alle Attachments aufmachen müssen. In welchem RFC steht denn das, oder haben die Admins nur keine Ahnung von dem was sie tun?
 

morsix

Geowizard
hcy schrieb:
Also sowas gehört doch bestraft. Kein Wunder dass manche Leute alle Attachments aufmachen müssen. In welchem RFC steht denn das, oder haben die Admins nur keine Ahnung von dem was sie tun?

Wobei ein ZIP File nicht gefährlich ist, selbst wenn ein Wurm drin ist, erst das entpacken und starten des ZIP-Inhaltes ist gefährlich.

Doch Vorsicht:

Manche Zip files sind keine ZIPs, z.B. "blafasel.zip___viele_Blanks____.exe"
Gleicher Trick dann im Zipfiles selbst:
"read_me.txt___viele_Blanks____.exe"

Das ".exe" sieht man dann im Zipfenster nicht (auf Anhieb!) , da es rechts aus dem Fensterrand verschwindet.

Daher:
1) Schauen, ob der SMTP Server des Senders auch tatsächlich die gleiche Domäne ist wie der Absender der Mail.
2) Prüfen ob das Attachment wirklich ein Zip ist, nur dann öffnen
3) Prüfen, ob der Inhalt des Zips ungefährlich ist (also tatsächlich .txt u.ä.)
4) aktuellen Virenscanner haben, der sofort jedes neue File checkt.
5) aktuellen Entzipper haben, bestimmte alte Versionen haben ein Bufferoverlow Problem mit gefakten Archiven.

Grüß
Rudi
 

kapege.de

Geocacher
Thunderbird = die Alternative. Outlook? Ich musste grad' mal nachschauen, wie man das überhaupt schreibt! :D
 

geometer42

Geomaster
Thunderbird ? Wirklich ? :?

Gerade beim Virenscannen von Anhängen finde ich die Funktionalität von Thunderbird äußerst dürftig. Ich hatte mal etwas namens PocoMail, da konnte man die Anhänge ***vor*** dem Speichern auf Viren prüfen. Bei Tb geht das prinzipiell schon nicht, da muss ich erst den Anhang speichern, dann das entsprechende Verzeichnis suchen und öffnen, bevor ich den Virenscanner drauf los lassen kann. Das gefährliche direkte Öffnen von Anhängen, das eigentlich strikt verboten sein sollte, geht dagegen problemlos. :shock:

Chris
 

morsix

Geowizard
Zum Thema, prüfe ob der Absender der Mail auch zur Domain passt:

Beispiel: Eine Mail von [email protected]. SMTP Server ist der Hoster der Site:

(beachte Fettes)

Mail Tags schrieb:
X-Kaspersky: Checked
Return-Path: <[email protected]>
...
Received: by server024.webpack.hosteurope.de running Exim 4.51 using esmtpa
from server024.webpack.hosteurope.de ([80.237.130.32]helo=mailout.vgasoft.de)
id 1Ejzdr-0004gv-7o; Wed, 07 Dec 2005 14:47:31 +0100
...
Reply-to: [email protected]
From: [email protected]
Message-ID: <8259706da392979a2e12271543f46bc8@www.geoclub.de>
MIME-Version: 1.0
...

Diese Info erhält man z.B. in Outlook Express mit "Eigenaschaften" und dann weiter im Reiter "Details".

Dummerweise ist hier nicht Absender-Domain gleich Mailer-Domain, also erst mal spam-Verdächtig bzw. könnte sich ein Wurm dahinter verbergen (ein Anhang an der Mail mal angenommen)

Erstes Indiz für eine erwünschte Mail ist das http://www.geoclub.de in der Message-ID.

Wenn man aber sichergehen will, kann man zumindest für .de Domains http://www.denic.de bemühen, dort gibt man jetzt oben rechts bsp. einfach "geoclub" ein. Dann bekommt man (nebst vielen anderen Infos) als Ergebnis:

denic ergebnis schrieb:
Name: HostEurope GmbH
Kontakttyp: ROLE
Adresse: Hansestr. 109
PLZ: 51149
Stadt: Köln
Land: DE
Telefon: +49 1805 467838
Telefax: +49 1805 663233
E-Mail: [email protected]
Remarks: Domainregistration HostEurope GmbH
Technische Daten
Nameserver: a1.wpns.hosteurope.de.
Nameserver: a1.wsns.hosteurope.de.

Mit vgsasoft.de aus "helo" verfährt man genauso ...

So ist zumindest gesichert, daß der Absender der Mail eine korrrekte SMTP Domain benutzt. Das machen nämlich die meisten Würmer falsch, sie nehmen als Absender oft irgendjemanden aus dem Adressbuch und benutzen einen eigenen bsz. nicht passwortgeschützten Server.

Grüße
Rudi
 

BlackyV

Geowizard
geometer42 schrieb:
...Ich hatte mal etwas namens PocoMail, da konnte man die Anhänge ***vor*** dem Speichern auf Viren prüfen. Bei Tb geht das prinzipiell schon nicht, da muss ich erst den Anhang speichern, dann das entsprechende Verzeichnis suchen und öffnen, bevor ich den Virenscanner drauf los lassen kann. Das gefährliche direkte Öffnen von Anhängen, das eigentlich strikt verboten sein sollte, geht dagegen problemlos.
:?: Sicher?
Jeder halbwegs aktuelle Virenscanner klinkt sich in die API zum Dateisystem ein und scannt sowohl beim Speichern der Datei als auch nochmals beim eventuellen Entpacken. Eine Datei zu starten, ohne sie vorher (und sei es nur in einem temporären Verzeichnis, man schaue mal nach "?:\Dokumente und Einstellungen\...") im Dateisystem abzulegen geht IMHO nicht.

Wenn das (mit dem Einklinken des Scanners) nicht so wäre müsste man ja jede Applikation (die Verbindung zum Internet aufnehmen kann) mit einem Virenscanner verknüpfen müssen. Muss man aber nicht. (Übrigens: selbst Google Earth hat einen eigenen Browser mit an Bord...)
 

kapege.de

Geocacher
geometer42 schrieb:
Thunderbird ? Wirklich ? :?

Gerade beim Virenscannen von Anhängen finde ich die Funktionalität von Thunderbird äußerst dürftig. Ich hatte mal etwas namens PocoMail, da konnte man die Anhänge ***vor*** dem Speichern auf Viren prüfen. Bei Tb geht das prinzipiell schon nicht, da muss ich erst den Anhang speichern, dann das entsprechende Verzeichnis suchen und öffnen, bevor ich den Virenscanner drauf los lassen kann. Das gefährliche direkte Öffnen von Anhängen, das eigentlich strikt verboten sein sollte, geht dagegen problemlos. :shock:

Chris
Ist halt kein Anfängerprogramm. Ich kann JavaScript und das Öffnen von Anhängen abschalten, Texte ohne HTML anzeigen usw. IMAP funktioniert wunderbar. Ich kann also den ganzen Mist direkt vom Server löschen und spare mir die Übertragung in meine eigene Kiste.
Virenscanner brauche ich keinen, weil ich an meinem Rechner weiß was ich mache. (Gefälsche BMPs, wie Morsix schon schön zeigte, usw.)

Außerdem funktioniert der Spam-Filter genial! Er lernt und ist flexibel; nicht so dämlich wie die Junk-Mail-Funktion von Outlook! :x
In der Arbeit muss ich mit Outlook arbeiten und greife mir jeden Tag wieder ans Hirn, weil irgend so ein Chef-Depp sich dafür entschieden hat (ist ja sooo billig das Programm!) Was kostet Thunderbird? Nix?
 

geometer42

Geomaster
@BlackyV:
Vielleicht bin ich ja ein wenig altmodisch, aber mir ist das höchst unsympathisch, wenn sich jemand ungefragt einklinkt, auch mein Virenscanner darf nur dann arbeiten, wenn ich ihn explizit starte. Einen residenten Virenscanner benutze ich nicht.

@KaPeGe:
Ich finde Thunderbird ja auch klasse, sonst würde ich ihn nicht benutzen.
Leider unterstützt er nicht meine seit vielen Jahren erfolgreich eingesetzte Methode, mir Gewürm vom Rechner fernzuhalten, nämlich jeden Mail-Anhang "von Hand" zu scannen.


Viele Grüße
Chris
 

BlackyV

Geowizard
geometer42 schrieb:
Vielleicht bin ich ja ein wenig altmodisch, aber mir ist das höchst unsympathisch, wenn sich jemand ungefragt einklinkt, auch mein Virenscanner darf nur dann arbeiten, wenn ich ihn explizit starte. Einen residenten Virenscanner benutze ich nicht.
Ja, bist du, sorry: die Zeiten, in denen Schadsoftware nur über Dateien ins System kommt sind seit Jahren vorbei! Aktuelle (residente!) Scanner klinken sich sogar in den Netzwerk-Stack ein und erkennen merkwürdige Datenströme (wie 2003 mal den Slammer-Wurm: den hat es nie als Datei gegeben)...

Übrigens tun sie das nicht ungefragt sondern beauftragt... :wink:
 

geometer42

Geomaster
... und ich war so naiv, zu glauben, dass meine (externe) Firewall sich um so etwas kümmert. :shock:

Jedenfalls habe ich in Mail-Anhängen schon Massen von Schädlingen entdeckt und entsorgt, aber auf andere Weise ist offenbar noch nichts in meine Rechner gelangt.

Vielleicht hast du Recht und ich sollte nach 10 Jahren mal meine Strategie überdenken. :wink:

Viele Grüße
Chris
 

radioscout

Geoking
geometer42 schrieb:
... und ich war so naiv, zu glauben, dass meine (externe) Firewall sich um so etwas kümmert. :shock:
Manche Firewalls haben tatsächlich solche Zusatzfunktionen.
Ähnlich schockiert war ich, als ich kürzlich mein DSL-Modem/Router mit WLAN öffnete. Bis dahin ging ich davon aus, daß das WLAN abgeschaltet ist, wenn ich die Antenne abschraube. Und was finde ich im Gehäuse? Eine zweite Antenne! Die ist jetzt auch abgeklemmt.
 
Oben