Verdacht auf Adressfälschung

2 views
Skip to first unread message

Chr. Maercker

unread,
Nov 5, 2021, 2:52:12 AM11/5/21
to
Hallo,

kann man bei dieser Herkunft und Absender:

Received: from mail-ed1-f49.google.com (mail-ed1-f49.google.com
[209.85.208.49])
(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
key-exchange X25519 server-signature RSA-PSS (2048 bits)
server-digest SHA256) by <dest srv> (Postfix) with ESMTPS id D00FE840003
for <recepient>; Thu, 4 Nov 2021 10:04:02 +0100 (CET)

Received: by mail-ed1-f49.google.com with SMTP id v11so16280083edc.9
for <recepient>; Thu, 04 Nov 2021 02:04:02 -0700 (PDT)

Received: from NobleTYoungs (ip1f139b4e.dynamic.kabel-deutschland.de.
[31.19.155.78]) by smtp.gmail.com with ESMTPSA id
i15sm2558499edk.2.2021.11.04.02.04.01 (version=TLS1_2
cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);
Thu, 04 Nov 2021 02:04:01 -0700 (PDT)

From: <tyoungs[aet]noble.com>

davon ausgehen, dass
1. von einem Kabel-Deutschland (Vodafone)-Anschluss aus ein Webmailer
von GMail benutzt wurde und
2. die verwendete Absenderadresse eines US-amerikanischen
Rüstungsunternehmens gefälscht ist?

Und da von Deutschland aus gesendet wurde: was sagen Strafrecht etc.
dazu? Vermutlich nix, aber eine Info an den Besitzer der Domain
noble.com würde ich sehr ungern schicken.
Die betr. Mail ist kein Spam, stammt aber sehr wahrscheinlich von einem
Spammer, darauf deutet ihr Inhalt.
--


CU Chr. Maercker.

Chr. Maercker

unread,
Nov 5, 2021, 8:17:50 AM11/5/21
to
Karl-Josef Ziegler wrote:
> Nun, die MX records für Noble sagen, dass da aspmx.l.google.com
> zuständig wäre. Insofern würde ich eher vermuten, dass der Mailaccount
> gecrackt wurde und die Mail über eine ebenfalls gecrackte Kiste an einem
> Kabelanschluss versendet wurde.

d.h. Info an noble.com Abusedesk wäre fällig. Ausgerechnet eine
Waffenschmiede ... :-\

BTW: Lässt sich aus den von Vodafone vergebenen IP-Adressen auf die
Region/Stadt schließen?
--


CU Chr. Maercker.

Thomas Hochstein

unread,
Nov 5, 2021, 1:15:03 PM11/5/21
to
Karl-Josef Ziegler schrieb:

> Am 05.11.2021 um 07:52 schrieb Chr. Maercker:
[...]
> > Received: from NobleTYoungs (ip1f139b4e.dynamic.kabel-deutschland.de.
> > [31.19.155.78]) by smtp.gmail.com with ESMTPSA id
> > i15sm2558499edk.2.2021.11.04.02.04.01 (version=TLS1_2
> > cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);
> > Thu, 04 Nov 2021 02:04:01 -0700 (PDT)

Die Mail wurde von 31.19.155.78, einem Vodafone-Kabelkunden, per SMTP
(!) (ESMTPSA) an GMail übermittelt.

> > davon ausgehen, dass
> > 1. von einem Kabel-Deutschland (Vodafone)-Anschluss aus ein Webmailer
> > von GMail benutzt wurde und

Nein, der Versand erfolgte über SMTP.

> > 2. die verwendete Absenderadresse eines US-amerikanischen
> > Rüstungsunternehmens gefälscht ist?

Kann sein, kann nicht sein.

> Nun, die MX records für Noble sagen, dass da aspmx.l.google.com
> zuständig wäre. Insofern würde ich eher vermuten, dass der Mailaccount
> gecrackt wurde und die Mail über eine ebenfalls gecrackte Kiste an einem
> Kabelanschluss versendet wurde.

Es kann auch einfach ein Kabelanschluss-Kunde sein, der die Mails (von
sich aus oder weil sein Rechner durch Malware ferngesteuert wird) über
irgendeinen Google-Account (seinen eigenen oder den eines Dritten)
versendet. Nur weil Noble einer der vielen, vielen Firmenkunden von
Google ist, heißt das nicht, dass der Versand der Mail auch über einen
Account von Noble erfolgte. Dafür ist Google einfach zu groß.

-thh
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<https://th-h.de/net/usenet/faqs/danam-intro/> lesen!

Weitere kleine Texte rund um das Thema E-Mail: <https://th-h.de/net/mail/>

Karl-Josef Ziegler

unread,
Nov 5, 2021, 2:26:33 PM11/5/21
to
Am 05.11.2021 um 18:12 schrieb Thomas Hochstein:

> Es kann auch einfach ein Kabelanschluss-Kunde sein, der die Mails (von
> sich aus oder weil sein Rechner durch Malware ferngesteuert wird) über
> irgendeinen Google-Account (seinen eigenen oder den eines Dritten)
> versendet. Nur weil Noble einer der vielen, vielen Firmenkunden von
> Google ist, heißt das nicht, dass der Versand der Mail auch über einen
> Account von Noble erfolgte. Dafür ist Google einfach zu groß.

Bei den allermeisten Mugu-Mails, die über Gmail hereinkommen, ist im
Return-Path aber schon die versendende Adresse genannt, neulich z. Bsp.:

warrenedwardbuffet1 at gmail.com

Und nein, das war kein Warren Buffet Scam, sondern der Spam zielte auf
die Elizabeth Rebecca Foundation ab. Da hat der Mugu Adressen
wiederverwendet. Meine Erfahrung spricht eher dafür, dass es sich da
tatsächlich um einen gecrackten Noble Account handelt.

Karl-Josef Ziegler

unread,
Nov 5, 2021, 2:34:01 PM11/5/21
to
Am 05.11.2021 um 18:12 schrieb Thomas Hochstein:

> Es kann auch einfach ein Kabelanschluss-Kunde sein, der die Mails (von
> sich aus oder weil sein Rechner durch Malware ferngesteuert wird) über
> irgendeinen Google-Account (seinen eigenen oder den eines Dritten)
> versendet. Nur weil Noble einer der vielen, vielen Firmenkunden von
> Google ist, heißt das nicht, dass der Versand der Mail auch über einen
> Account von Noble erfolgte. Dafür ist Google einfach zu groß.

Und ja: eine solche Person (Inside Sales Specialist) gibt es wohl
tatsächlich bei Noble. Das wären mir dann doch zu viele Zufälle.


Georg Schwarz

unread,
Nov 5, 2021, 3:14:39 PM11/5/21
to
Thomas Hochstein <t...@thh.name> wrote:

> versendet. Nur weil Noble einer der vielen, vielen Firmenkunden von
> Google ist, heißt das nicht, dass der Versand der Mail auch über einen
> Account von Noble erfolgte. Dafür ist Google einfach zu groß.


würdfe Google einen solchen Versand über seinen SMTP-Server ohne
passende Authentifizierung nicht verhindern?
Reply all
Reply to author
Forward
0 new messages