FAQ: Wie identifiziert man gefälschte Mails? - E-Mail-Header: Der Weg zum Absender - Neue Technologie zur Klärung von E-Mail-Absendern SPF - gefälschte Mailserver mail.brakensiek.de ([37.228.116.2])

FAQ: Wie identifiziert man gefälschte Mails? - E-Mail-Header: Der Weg zum Absender - Neue Technologie zur Klärung von E-Mail-Absendern SPF - gefälschte Mailserver mail.brakensiek.de ([37.228.116.2])




Quelle:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/GefaelschteAbsenderadressen/gefaelschteabsenderadressen_node.html


Spam, Phishing & Co

Gefährliche Kuckuckseier: E-Mails mit falschem Absender

Wer über E-Mails Viren und Würmer verbreiten will, versteckt sich gerne hinter seriös wirkenden Absenderadressen. Die Empfänger vertrauen solchen Absendern, öffnen die Nachrichten und infizieren dadurch ungewollt ihre PCs. Adressen von persönlich Bekannten des Empfängers werden dabei ebenso missbraucht wie die von anerkannten öffentlichen Einrichtungen oder Großunternehmen.

Aber auch Versender von Werbemails (Spammer) verschleiern ihre Identität, und zwar aus zwei Gründen: Einerseits ist das Versenden von Spam in Deutschland ungesetzlich. Daher bleiben die Urheber lieber anonym. Andererseits rechnen auch Spammer damit, dass Nachrichten von seriösen oder persönlich bekannten Absendern mit größerer Wahrscheinlichkeit geöffnet werden. Möglicherweise werden Sie auch schon einmal Rückmeldungen auf Nachrichten erhalten haben, die Sie nie geschrieben haben. Dann wurde vielleicht Ihre eigene Adresse missbraucht. Dagegen können Sie praktisch nichts unternehmen. Die Betrüger verwischen Ihre Spuren nämlich im Regelfall so gründlich, dass eine Nachverfolgung nicht möglich ist. Die beste Reaktion: Die Mails ignorieren und löschen.
Gefälschte Absenderadressen sind übrigens auch eine Basis für die Praktiken der Phisher.

Hinweis: Gefälschte E-Mail mit offiziellen Absendern in Umlauf

Mit einer hinterhältigen Masche versuchen Cyber-Kriminelle immer wieder Schädlinge auf fremde Rechner zu schmuggeln. Sie verschicken E-Mails mit einem gefälschten Absender, die angeblich vom Bundeskriminalamt (BKA), vom Landeskriminalamt Rheinland-Pfalz oder sonstigen offiziellen Stellen stammen sollen. Der Inhalt der E-Mails mit Betreffzeilen wie zum Beispiel "Onlinedurchsuchung", "Aktenzeichen" oder "Bericht" besagt, dass gegen den Empfänger Strafanzeige gestellt werde, da sein PC von einem Trojaner durchsucht und illegale Software, Filme und Musikdateien auf dem Computer des Empfängers sichergestellt worden seien.
Im Anhang der E-Mail befindet sich eine Datei, die angeblich Details zum Ermittlungsverfahren enthält und vom Empfänger geöffnet werden soll. Geschieht dies, installiert sich ein Schädling auf dem Rechner. Auch wenn die E-Mail vermeintlich echt aussieht: Absenderadressen von E-Mails können relativ leicht gefälscht werden und Empfänger sollten sich daher nicht verunsichern lassen. Offizielle Stellen informieren vermeintliche Straftäter zudem nicht per E-Mail über Ermittlungsverfahren. Empfänger derartiger E-Mails sollten keinesfalls den Anhang öffnen. Das BSI rät weiter, die E-Mails umgehend zu löschen und zeitnah die Update-Funktion der Virenschutz-Software zu nutzen. Die E-Mails sollten nicht weitergeleitet werden – auch nicht an Polizeibehörden.
Gefälschte E-Mail-Absenderadressen – die technische Basis

Findige Würmer
Computer-Würmer verbreiten sich, indem sie E-Mail-Adressen missbrauchen. Einerseits versenden sie sich selbst an jede Adresse weiter, die sie in Adress-Verzeichnissen auf einem infizierten PC entdecken. Andererseits benutzen sie auch gefälschte Absenderadressen. Manche Würmer verwenden immer die gleiche Adresse, andere kombinieren manchmal auch aus Teilen bestehender Adressen völlig neue Absender. Die Adressen finden sie in Adressbüchern oder –listen auf den infizierten PCs. Manche Würmer durchforsten aber auch alle möglichen Dateien (unter anderem Text-Dateien und HTML-Dateien) auf dem PC des Nutzers. Die meisten Browser sind nämlich so eingestellt, dass sie besuchte Websites für eine gewisse Zeit im Cache abspeichern. Aus diesen HTML-Seiten lassen sich ebenfalls die darin enthaltenen E-Mail-Adressen herausfinden.
Fehlerhafte E-Mail-Server als Brückenköpfe
Um ihre wahre Identität zu verschleiern, greifen Betrüger E-Mail-Server an, die E-Mails jeder beliebigen Adresse weiterleiten. Aufgrund dieser fehlerhaften Einstellung werden diese E-Mail-Server auch Open Relay Server (ORS) (ORS) genannt. Üblicherweise werden von E-Mail-Servern ja nur E-Mails eines bestimmten Adressbereichs empfangen und versendet. Ein ORS ist jedoch so offen eingerichtet, dass auch E-Mails, die nicht aus diesem Adressbereich kommen – also gefälscht sind – weitergeleitet werden.

Seitenblicke:

Neue Technologie zur Klärung von E-Mail-Absendern
Auch die Provider sind im Kampf gegen den Missbrauch von E-Mail-Adressen nicht untätig: Das neue Schlagwort heißt Sender ID. Dahinter verbirgt sich eine Technologie, die den Absender einer E-Mail einwandfrei definiert. Einer der wesentlichen technischen Grundlagen dafür ist das Sender Policy Framework (früher Sender Permitted From) Verfahren (kurz SPF), an dem die Branchenriesen intensiv arbeiten. Provider versehen die bei ihnen registrierten Internetadressen mit zusätzlichen Erkennungsmerkmalen. Fehlt einer E-Mail-Nachricht dieses Etikett, so handelt es sich um eine Fälschung.

E-Mail-Header: Der Weg zum Absender
Beim Fälschen einer E-Mail-Absenderadresse wird der E-Mail-Header (den Kopfzeilen einer Nachricht) manipuliert. Dieser enthält unter anderem Informationen rund um den Zustellungsweg der E-Mail. Den Header können Sie sich in Ihrem E-Mail-Programm anzeigen lassen. In den mit Received From bezeichneten Zeilen können Sie den Weg der Mail verfolgen, der Versender findet sich in der letzten Received From-Zeile. Der Absender kann allerdings nicht direkt ermittelt werden, sondern nur über die angegebene IP-Adresse. Die Ermittlung, wer sich hinter einer bestimmten IP-Adresse zu einem bestimmten Zeitpunkt verborgen hat, ist sehr aufwändig und nur von Fachleuten möglich.

Digitale Signaturen
Obwohl Programme dafür schon lange verfügbar sind, wird die Versiegelung von E-Mails gegen Veränderung und Überprüfung des Absenders durch so genannte digitale Signaturen bisher nur von wenigen Nutzern eingesetzt. Mit Hilfe des öffentlichen Signaturschlüssels kann jederzeit festgestellt werden, wer der Urheber der Daten ist und ob die Daten während der Übermittlung verfälscht wurden.

Achtung:
Einen Mailserver mail.brakensiek.de ([37.228.116.2]) gibt es nicht. Es handelt sich um eine Fälschung. Wir haben Strafanzeige erstattet. Bitte sperren Sie diese IP. Nach unseren Recherchen ist es ein russischer Server. Wer Hinweise dazu geben kann informiert uns bitte über das Kontaktformular.
Wir haben diese Informationen in einem Mail Header gefunden einer returning message to sender Mail gesendet an:
dominik_baumann@brakensiek.de
Wir haben keine Mailadresse die so heisst.

Bitte lassen Sie durch Ihren IT Service Ihr Mailpostfach so konfigurieren, das die SPF Technologie verwendet wird. Dann werden gefälschte Mails mit hoher Wahrscheinlichkeit abgelehnt und Ihr Postfach nicht mehr befüllen.

Hinweis:
Wir machen generell keine Newsletter: Insofern können Sie auch von uns keine erhalten.
Sollten Sie von uns einen erhalten so bitten wir Sie unverzüglich uns das über das Kontaktvormular mitzuteilen, damit wir dem nachgehen können.