Re: Spam aus Nepal?

1 view
Skip to first unread message

Volker Englisch

unread,
Aug 25, 2022, 5:33:07 PMAug 25
to
Andreas Kohlbach schrieb am 25.08.2022:
> On Thu, 25 Aug 2022 18:21:24 +0200, Volker Englisch wrote:
>>
>> Received: from mta4.munpokharabids.gov.np (mta4.munpokharabids.gov.np [89.144.10.241])
>> (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
>> key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256)
>> (No client certificate requested)
>> by mx005.myprovider.example.com (Postfix) with ESMTPS id 7EA393065846
>> for <x...@example.org>; Thu, 25 Aug 2022 17:28:45 +0200 (CEST)
>> Received: by OnWqAmorV-w8k0EZyD6E5YS24g5c1XI6y-t6Ym86fA-64jI2Ap
>> with SMTP ID: Uzt5YTA8kyst3l7otrUz5Iu0Giw-5O45L0wFhN4v
>> Thu, 25 Aug 2022 17:08:39 +0200 m=+550806074413384310
>> Received: from i-b.at
>> Message-Id: <2022082515284...@scanner001-out.myprovider.example.com>
>> Date: Thu, 25 Aug 2022 17:28:47 +0200 (CEST)
>> From: SRS0=dgB0=Y5=munpokharabids.gov.np=Britt...@mx.myprovider.example.com
>>
>> ------------------------- schnapp ------------------------------------
>>
>> Die Domain aus Nepal (.gov.np) läßt sich hier nicht auflösen.
>
> mta4.munpokharabids.gov.np aber schon. Auch munpokharabids.gov.np . Im
> Browser sagt es "Suspended page", was aber ein Fake sein kann.
>
>> Und was hat es mit der untersten Received-Zeile mit der
>> österreichischen Domain auf sich?
>
> Ein Treffer von munpokharabids.gov.np bei Google weist auf eine
> Facebook-Seite hin, in der von "Hacker attack on the Vienna" (laut
> Google Übersicht; besucht habe ich sie nicht) gesprochen wird.

Wurde jetzt da die österreichische oder die nepalesische Domain
"gekapert"?

Volker Englisch

unread,
Aug 26, 2022, 12:53:07 PMAug 26
to
Karl-Josef Ziegler schrieb am 26.08.2022:
> Für mich sieht es so aus: ein gecrackter Server der nepalesischen
> Regierung, der aber bei Ghostnet in Deutschland gehostet sein soll:

Faszinierend.
> Das mit i-b.at halte ich für eine Fake der Ratware.

Wobei diese Domain in der Tat existiert...

Volker Englisch

unread,
Aug 26, 2022, 12:53:07 PMAug 26
to
Andreas Kohlbach schrieb am 25.08.2022:
> Im Spam geht es (nach meiner Recherche eben) um einen Hacker, der
> Webseiten "De-Faced", und auf diesen seinen Spamming-Service
> anbietet. Die URL dort ist spamxtoolz punkt com. Kam mir bekannt
> vor. Vermutlich hatte ich mich schon einmal registriert. Brachte aber
> IIRC keine verwertbaren Daten des Spammers, die ich dann hätte wiederum
> missbrauchen könnte.

Danke für die Info. Es wird wohl wenig Sinn machen, die nepalesische
Regierung darauf hinzuweisen...

Marco Moock

unread,
Aug 26, 2022, 2:43:34 PMAug 26
to
Am Donnerstag, 25. August 2022, um 18:21:24 Uhr schrieb Volker Englisch:

> Received: from mta4.munpokharabids.gov.np (mta4.munpokharabids.gov.np
> [89.144.10.241]) (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384
> (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096
> bits) server-digest SHA256) (No client certificate requested)
> by mx005.myprovider.example.com (Postfix) with ESMTPS id
> 7EA393065846

Da ist doch gleich die erste Frage, warum der Rechner vermeintlich
einen Namen mit example.com hat.

Kein legitimer MTA hätte sowas.

Zur österreichischen Domain: Da fehlt ja der ganze andere Kram, kann
aber auch künstlich eingefügt sein, um Vertrauen zu wecken.

Was mich stutzig macht: Wo sind die Received-Zeilen deines Mailservers?

Volker Englisch

unread,
Aug 26, 2022, 4:23:07 PMAug 26
to
Marco Moock schrieb am 26.08.2022:
> Am Donnerstag, 25. August 2022, um 18:21:24 Uhr schrieb Volker Englisch:
>
>> Received: from mta4.munpokharabids.gov.np (mta4.munpokharabids.gov.np
>> [89.144.10.241]) (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384
>> (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096
>> bits) server-digest SHA256) (No client certificate requested)
>> by mx005.myprovider.example.com (Postfix) with ESMTPS id
>> 7EA393065846
>
> Da ist doch gleich die erste Frage, warum der Rechner vermeintlich
> einen Namen mit example.com hat.

Ist es für irgendjemanden wichtig, über welchen Provider ich die Mails
beziehe?

> Zur österreichischen Domain: Da fehlt ja der ganze andere Kram, kann
> aber auch künstlich eingefügt sein, um Vertrauen zu wecken.
>
> Was mich stutzig macht: Wo sind die Received-Zeilen deines Mailservers?

Warum sind die wichtig?

Marco Moock

unread,
Aug 27, 2022, 3:14:56 AMAug 27
to
Am Freitag, 26. August 2022, um 22:16:29 Uhr schrieb Volker Englisch:

> Marco Moock schrieb am 26.08.2022:
> > Am Donnerstag, 25. August 2022, um 18:21:24 Uhr schrieb Volker
> > Englisch:
> >> Received: from mta4.munpokharabids.gov.np
> >> (mta4.munpokharabids.gov.np [89.144.10.241]) (using TLSv1.3 with
> >> cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519
> >> server-signature RSA-PSS (4096 bits) server-digest SHA256) (No
> >> client certificate requested) by mx005.myprovider.example.com
> >> (Postfix) with ESMTPS id 7EA393065846
> >
> > Da ist doch gleich die erste Frage, warum der Rechner vermeintlich
> > einen Namen mit example.com hat.
>
> Ist es für irgendjemanden wichtig, über welchen Provider ich die
> Mails beziehe?

Nein, aber wenn du geschrieben hättest, dass die von dir geändert
wurden, hätte ich nicht gefragt.

> > Zur österreichischen Domain: Da fehlt ja der ganze andere Kram, kann
> > aber auch künstlich eingefügt sein, um Vertrauen zu wecken.
> >
> > Was mich stutzig macht: Wo sind die Received-Zeilen deines
> > Mailservers?
>
> Warum sind die wichtig?

Die müssen da sein, wenn du sie entfernst, sage das am besten, dann
wundert man sich nicht.
Deren Position wäre relevant.

Volker Englisch

unread,
Aug 27, 2022, 12:23:07 PMAug 27
to
Marco Moock schrieb am 27.08.2022:
> Am Freitag, 26. August 2022, um 22:16:29 Uhr schrieb Volker Englisch:
>> Marco Moock schrieb am 26.08.2022:
>> > Am Donnerstag, 25. August 2022, um 18:21:24 Uhr schrieb Volker
>> > Englisch:
>> >> Received: from mta4.munpokharabids.gov.np
>> >> (mta4.munpokharabids.gov.np [89.144.10.241]) (using TLSv1.3 with
>> >> cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519
>> >> server-signature RSA-PSS (4096 bits) server-digest SHA256) (No
>> >> client certificate requested) by mx005.myprovider.example.com
>> >> (Postfix) with ESMTPS id 7EA393065846
>> >
>> > Da ist doch gleich die erste Frage, warum der Rechner vermeintlich
>> > einen Namen mit example.com hat.
>>
>> Ist es für irgendjemanden wichtig, über welchen Provider ich die
>> Mails beziehe?
>
> Nein, aber wenn du geschrieben hättest, dass die von dir geändert
> wurden, hätte ich nicht gefragt.

Ich hatte gedacht, daß "... myprovider.example.com" das widerspiegelt.
Sorry, habe ich mich wohl geirrt.

>> > Zur österreichischen Domain: Da fehlt ja der ganze andere Kram, kann
>> > aber auch künstlich eingefügt sein, um Vertrauen zu wecken.
>> >
>> > Was mich stutzig macht: Wo sind die Received-Zeilen deines
>> > Mailservers?
>>
>> Warum sind die wichtig?
>
> Die müssen da sein, wenn du sie entfernst, sage das am besten, dann
> wundert man sich nicht.
> Deren Position wäre relevant.

Die geposteten Received-Zeilen sind die letzten Received-Zeilen im
Header. Davor kommen nur noch welche von meinem Provider und von meinem
eigenen Mailserver. Bei einem allfälligen nächsten Mal werde ich das
erwähnen...


Reply all
Reply to author
Forward
0 new messages