VDFB-Mail (@vdfb.de)

    Hallo
    Ich habe vor 3 Tagen folgende E-Mail bekommen:


    "Dear user of "Vdfb.de" mailing system,


    Your e-mail account will be disabled because of improper using in next
    three days, if you are still wishing to use it, please, resign your
    account information.


    For further details see the attach.


    Kind regards,
    The Vdfb.de team http://www.vdfb.de "



    Da im anhang ist nun so ein Document, weiß nicht ob ich es öffnen soll!
    Kommt das nun von der VDFB-Leitung oder ist das ein FAKE und Virus?


    mfg
    Dees

    Das ist ein FAKE!!!!! AUF KEINEN FALL DAS ATTACHMENT ÖFFNEN!!!!!


    Ist ja lustig auf was für dinge die leute alles kommen um ihren mist abzusenden... :-((


    ACHTUNG: Mails die über den VDFB-Server laufen werden alle über die 1und1-Server verbreitet. Wenn die Mail (mailheader genau angucken) über einen anderen Server läuft ist es ein Fake... Frage mich nur, wie die Mail überhaupt bis zu Dir gelangen konnte... Eigentlich dürfte sowas gar nicht passieren das man eine mail von einem fremden bekommt aber als absender vdfb.de....

    Return-path: <scripts@vdfb.de>
    Envelope-to: ufo@vdfb.de
    Delivery-date: Mon, 29 Mar 2004 20:20:53 +0200
    Received: from [212.227.126.206] (helo=mrelayng.kundenserver.de)
    by mxng18.kundenserver.de with esmtp (Exim 3.35 #1)
    id 1B81NV-00085c-00; Mon, 29 Mar 2004 20:20:53 +0200
    Received: from idreamfactory.de ([217.160.177.6] helo=localhost)
    by mrelayng.kundenserver.de with asmtp (Exim 3.35 #1)
    id 1B81NV-0005Ec-00; Mon, 29 Mar 2004 20:20:53 +0200
    MIME-Version: 1.0
    Subject: Freischaltung =?ISO-8859-1?Q?f=FCr?= Basic-League erfolgt
    Content-Type: multipart/alternative;
    boundary="=_dd7a6a3c844dd20a66e55a759da4b352"
    Message-ID: <hvcoas.wyxgl@www.vdfb.de>
    To: basti@world-of-sports.net, ufo@vdfb.de, audistar@vdfb.de
    From: scripts@vdfb.de
    Date: Mon, 29 Mar 2004 20:20:53 +0200
    X-Provags-ID: kundenserver.de abuse@kundenserver.de auth:99b46881c1d4b29d119aa49011361074
    X-NAS-Classification: 0
    X-NAS-MessageID: 795
    X-NAS-Validation: {79A971D6-0936-4561-8ED7-754D4BB786DF}



    (2)
    Received: from [212.227.126.206] (helo=mrelayng.kundenserver.de)
    by mxng18.kundenserver.de with esmtp (Exim 3.35 #1)
    id 1B81NV-00085c-00; Mon, 29 Mar 2004 20:20:53 +0200
    (1)
    Received: from idreamfactory.de ([217.160.177.6] helo=localhost)
    by mrelayng.kundenserver.de with asmtp (Exim 3.35 #1)
    id 1B81NV-0005Ec-00; Mon, 29 Mar 2004 20:20:53 +0200


    (1) = Nachricht kommt von idreamfactry.de (ist meine Hauptdomain) helo gibt lcalost zurück. Ist also ein lokaler prozess (auf dem vdfb-server).


    (2) Mail ging dann nach mxng18.kundenserver.de weiter (kundenserver.de sind die 1und1-server).


    Hier ist diese Mail allerdings schon wieder am Ende weil ICH sie bei 1und1 abrufe....


    Hier ein weiteres Beispiel....


    Return-Path: <buchhaltung@support.sipgate.de>
    X-Flags: 0000
    Delivered-To: GMX delivery to msy@gmx.de
    Received: (qmail 26033 invoked by uid 65534); 19 Mar 2004 16:37:45 -0000
    Received: from erdbert.netzquadrat.de (EHLO erdbert.netzquadrat.de) (217.10.64.130)
    by mx0.gmx.net (mx033) with SMTP; 19 Mar 2004 17:37:45 +0100
    Received: from [217.10.64.103] (helo=chief01.farm01.netzquadrat.de ident=mail)
    by erdbert.netzquadrat.de with esmtp (Exim 3.12 #1 (Debian))
    id 1B4N0A-0006YB-00
    for <msy@gmx.de>; Fri, 19 Mar 2004 17:37:42 +0100
    Received: from www-data by chief01.farm01.netzquadrat.de with local (Exim 3.12 #1 (Debian))
    id 1B4Mzs-0008A4-00
    for <msy@gmx.de>; Fri, 19 Mar 2004 17:37:24 +0100
    To: msy@gmx.de
    Subject: sipgate.de Rechnung Nummer sg3052 / 2004
    From: sipgate.de - Buchhaltung <buchhaltung@support.sipgate.de>
    Reply-To: <buchhaltung@support.sipgate.de>
    Errors-To: <error@support.sipgate.de>
    X-Complaints-To: postmaster@support.sipgate.de
    Message-Id: <E1B4Mzs-0008A4-00@chief01.farm01.netzquadrat.de>
    Date: Fri, 19 Mar 2004 17:37:24 +0100
    X-GMX-Antivirus: -2 (not scanned, virus scanner disabled)
    X-GMX-Antispam: 0 (Mail was not recognized as spam)
    X-NAS-Bayes: #0: 2.10231E-030; #1: 1
    X-NAS-Classification: 0
    X-NAS-MessageID: 475
    X-NAS-Validation: {79A971D6-0936-4561-8ED7-754D4BB786DF}

    Hier mal ein Header einer Spammail...


    Return-Path: <t.ameszm@megabit.de>
    X-Flags: 0000
    Delivered-To: GMX delivery to msy@gmx.de
    Received: (qmail 21926 invoked by uid 65534); 29 Mar 2004 17:44:16 -0000
    Received: from 104.Red-213-97-59.pooles.rima-tde.net (HELO essex.ac.uk) (213.97.59.104)
    by mx0.gmx.net (mx007) with SMTP; 29 Mar 2004 19:44:16 +0200
    Message-ID: <308c01c415b7$4464d2ad$6aa533df@essex.ac.uk>
    From: "Terrence S. Ames" <t.ameszm@megabit.de>
    To: msy@gmx.de
    Date: Mon, 29 Mar 2004 17:59:34 +0000
    MIME-Version: 1.0
    Content-Type: text/html;
    charset="iso-8859-1"
    Content-Transfer-Encoding: 8bit
    X-GMX-Antivirus: -2 (not scanned, virus scanner disabled)
    X-GMX-Antispam: 0 (Mail was not recognized as spam)
    X-NAS-Bayes: #0: 1; #1: 1.82396E-015
    Subject: [Norton AntiSpam] Internet Pharmacy - Smart Prices
    X-NAS-Classification: 1
    X-NAS-MessageID: 790
    X-NAS-Validation: {79A971D6-0936-4561-8ED7-754D4BB786DF}



    From: "Terrence S. Ames" <t.ameszm@megabit.de>
    To: msy@gmx.de


    Normalerweise sllte dann auch eine MessageID von diesem Server erzeugt werden... Erwartet hätte ich Message-ID: <308c01c415b7$4464d2ad$6aa533df@megabit.de>


    Gefunden aber Message-ID: <308c01c415b7$4464d2ad$6aa533df@essex.ac.uk>



    Received: from 104.Red-213-97-59.pooles.rima-tde.net (HELO essex.ac.uk) (213.97.59.104)


    Das teilen wir mal auf;


    (1) Received: from 104.Red-213-97-59.pooles.rima-tde.net
    (2) HELO essex.ac.uk
    (3) 213.97.59.104


    1. Server von dem es kommt.
    2. Was gibt dieser Server als HELO (Serverkennung) zurück`?`
    3. IP des Rechners der das HELO beantwortet.


    Nun findet man die IP (3) im servernamen (1). Das deutet auf eine Einwahlverbindung hin (dynamische ip-adresse). KLING; SPAM?


    Ok, pingen wir mal den HELO-Rechner an....


    >ping essex.co.uk


    Ping essex.co.uk [81.31.115.90] mit 32 Bytes Daten:
    Antwort von 81.31.115.90: Bytes=32 Zeit=46ms TTL=55
    Antwort von 81.31.115.90: Bytes=32 Zeit=47ms TTL=55
    Antwort von 81.31.115.90: Bytes=32 Zeit=48ms TTL=55
    Antwort von 81.31.115.90: Bytes=32 Zeit=47ms TTL=55
    Ping-Statistik f?r 81.31.115.90:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
    Ca. Zeitangaben in Millisek.:
    Minimum = 46ms, Maximum = 48ms, Mittelwert = 47ms


    GANZ anderer Adressbereich... HELO (2) und servername (1) bzw IP (3) passen NICHT zusammen! Da "faked" jemand eine HELO-Antwort...


    Ping megabit.de [213.164.133.36] (Anmerkung: SOLL ja die absenderdomain sein)... IP passt auch hier weder im Adressbereich noch sonstwie zum Transport der Mail. Die Mail war vermutlich NICHT auf dem server von megabit.de...


    Naja. Das sind nur kleine Infs die man entnehmen kann... Viel mehr kann man nicht rausfinden hne mithilfe der "betroffenen Provider"... Also die, über deren "gate" die Mail gelaufen ist... Aber an solche Infos kommt man als normalsterblicher nicht ran. :D



    PS: Da lob ich mir doch die vdfb-ping-zeiten ;)


    Ping vdfb.de [217.160.177.6] mit 32 Bytes Daten:
    Antwort von 217.160.177.6: Bytes=32 Zeit=18ms TTL=56
    Antwort von 217.160.177.6: Bytes=32 Zeit=18ms TTL=56
    Antwort von 217.160.177.6: Bytes=32 Zeit=18ms TTL=56
    Antwort von 217.160.177.6: Bytes=32 Zeit=18ms TTL=56
    Ping-Statistik f?r 217.160.177.6:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
    Ca. Zeitangaben in Millisek.:
    Minimum = 18ms, Maximum = 18ms, Mittelwert = 18ms