[Blackmailing Versuch] Bitte helft mir mit dem tracking.

[Michael Uplawski]

Moin

Original-Mail folgt unten.

Ich habe einen neuen Erpressungsversuch bekommen, inhaltlich wie andere,
nur dass der Erpresser seine überragenden Kapazitäten mit Blödsinn
begründet. Ich kann bei Bedarf den ganzen Nachrichtenkörper übersetzen,
aber das ist vielleicht nicht nötig.
Nur der erste Satz: « Wie Sie vielleicht bemerkt haben, habe ich eine
Mail über Ihren Account <michael....@uplawski.eu> abgesetzt. »

Ich habe Angst vor den vielen Klagen über « piratisierte »
Mail-Accounts, wenn dieser Quatsch jetzt wiederkommt... Smartphone-User
sind so... „unschuldig“.

Ich versuche nun, meine Zweifel bezüglich des ersten Mailservers
auszuräumen. Für mich zeigt das auf Microsoft, ich habe aber keinen
Grund anzunehmen, dass die gefälschte From-Adressen einfach
durchlassen... vielleicht irre ich mich.

Andererseits... Safaricom.co.ke ... kein Abuse-Kontakt, und das ähnelt
auch alles sehr den ganzen Afrika-Mails, die in Frankreich so in Mode
sind (Frankreich ist „hier”). Ich habe den Schmodder sowohl an Microsoft
wie auch an zwei Mail-Adressen in Nairobi geschickt.

Aber bestätigt mich doch mal oder widerlegt meine löchrige
Interpretation. Hier kommt der Eumel:
----------------------------

From michael....@uplawski.eu Sun Nov 6 08:41:40 2022
Return-Path: <michael....@uplawski.eu>
Delivered-To: michael....@uplawski.eu
Received: from pops.lautre.net [80.67.160.88]
by kurti.uplawski.eu with POP3 (fetchmail-6.4.0.beta4)
for <michael@localhost> (single-drop); Sun, 06 Nov 2022 08:41:40 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
by erza.lautre.net (Postfix) with ESMTP id A4E62E6F95
for <michael....@uplawski.eu>; Sat, 5 Nov 2022 20:13:34 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at erza.lautre.net
X-Spam-Flag: NO
X-Spam-Score: -1.9
X-Spam-Level:
X-Spam-Status: No, score=-1.9 tagged_above=-10 required=5.31
tests=[BAYES_00=-1.9, RCVD_IN_MSPIKE_H2=-0.001, URIBL_BLOCKED=0.001]
autolearn=ham autolearn_force=no
Received: from erza.lautre.net ([127.0.0.1])
by localhost (erza.admin.lautre.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id U5At1CRv7405 for <michael....@uplawski.eu>;
Sat, 5 Nov 2022 20:13:32 +0100 (CET)
Received: from thk-tes-mailout03.safaricombusiness.co.ke
(thk-tes-mailout03.safaricombusiness.co.ke [41.203.208.149]) (using
TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by erza.lautre.net (Postfix) with ESMTPS id 4EAACE6ED8
for <michael....@uplawski.eu>; Sat, 5 Nov 2022 20:13:32 +0100 (CET)
Received: from thk-ecisp-cpanel-mailout02.safaricombusiness.co.ke
([41.203.208.146]) by thk-tes-mailout03.safaricombusiness.co.ke with
ESMTP; 05 Nov 2022 22:13:30 +0300
Received: from host31.safaricombusiness.co.ke
(host31.safaricombusiness.co.ke [197.248.5.31]) by
thk-ecisp-cpanel-mailout02.safaricombusiness.co.ke (Postfix) with ESMTP
id 03D192E4C
for <michael....@uplawski.eu>; Sat, 5 Nov 2022 22:13:32 +0300 (EAT)
Received: from [51.140.231.1] (port=54211 helo=fmlogistic.fr) by
host31.safaricombusiness.co.ke with esmtpsa (TLS1.2) tls
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
(Exim 4.95)
(envelope-from <michael....@uplawski.eu>)
id 1orOag-007mb7-DB
for michael....@uplawski.eu;
Sat, 05 Nov 2022 22:13:21 +0300
From: michael....@uplawski.eu
To: michael....@uplawski.eu
Subject: important!
Date: 05 Nov 2022 19:13:28 +0000
Message-ID: <20221105191328....@uplawski.eu>
MIME-Version: 1.0
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Bogosity: Unsure, tests=bogofilter, spamicity=0.501423, version=1.2.5
Status: RO
Content-Length: 2034
Lines: 38

Bonjour!
Comme vous l'avez peut-=C3=AAtre remarqu=C3=A9, je vous ai envoy=C3=A9 un e=
-mail depuis votre compte (michael....@uplawski.eu). Cela signifie que=
j'ai un acc=C3=A8s complet =C3=A0 votre compte.
Je t'observe depuis quelques mois maintenant.
Le fait est que vous avez =C3=A9t=C3=A9 infect=C3=A9 par Njrat via un site =
Web pour adultes que vous avez visit=C3=A9.
Si vous n'=C3=AAtes pas familier avec cela, je vais vous expliquer.
Njrat me donne un acc=C3=A8s et un contr=C3=B4le complets de votre appareil=
=2E
Cela signifie que je peux tout voir sur votre =C3=A9cran, allumer la cam=C3=
=A9ra et le microphone, mais vous ne le savez pas.
J'ai =C3=A9galement acc=C3=A8s =C3=A0 tous vos contacts et correspondances.=

J'ai fait une vid=C3=A9o qui vous montre en train de vous masturber dans la=
moiti=C3=A9 gauche de l'=C3=A9cran et dans la moiti=C3=A9 droite vous pouv=
ez voir la vid=C3=A9o que vous regardiez.
D'un simple clic de souris, je peux envoyer cette vid=C3=A9o =C3=A0 tous vo=
s emails et contacts sur les r=C3=A9seaux sociaux.
Je peux =C3=A9galement publier l'acc=C3=A8s =C3=A0 toute votre correspondan=
ce par courrier =C3=A9lectronique et aux messagers que vous utilisez.
Si vous voulez emp=C3=AAcher cela,
virer le montant de 1400 EUR sur mon adresse Bitcoin (si vous ne savez pas =
comment faire, =C3=A9crivez =C3=A0 Google : "Acheter Bitcoin").

Mon adresse Bitcoin (Portefeuille BTC) est=C2=A0: 1KJzkYG937PmUy3QF9PFta3TX=
d17cXcweC

Apr=C3=A8s r=C3=A9ception du paiement, je supprimerai la vid=C3=A9o et vous=
ne m'entendrez plus jamais. Je vous donne 48 heures pour payer.
J'ai un message lisant cette lettre et la minuterie fonctionnera lorsque vo=
us verrez cette lettre.
Il ne sert =C3=A0 rien de d=C3=A9poser une plainte o=C3=B9 que ce soit car =
cet e-mail ne peut pas =C3=AAtre suivi comme mon adresse Bitcoin. Je ne fai=
s pas d'erreurs.
Si je d=C3=A9couvre que vous avez partag=C3=A9 ce message avec quelqu'un d'=
autre, la vid=C3=A9o sera diffus=C3=A9e imm=C3=A9diatement.
Salutations!

--
Le progrès, ce n'est pas l'acquisition de biens. C'est l'élévation de
l'individu, son émancipation, sa compréhension du monde. Et pour ça il
faut du temps pour lire, s'instruire, se consacrer aux autres.
(Christiane Taubira)

[Marco Moock]

Am 06.11.2022 um 09:10:50 Uhr schrieb Michael Uplawski:

> Ich habe einen neuen Erpressungsversuch bekommen, inhaltlich wie
> andere, nur dass der Erpresser seine überragenden Kapazitäten mit
> Blödsinn begründet. Ich kann bei Bedarf den ganzen Nachrichtenkörper
> übersetzen, aber das ist vielleicht nicht nötig.
> Nur der erste Satz: « Wie Sie vielleicht bemerkt haben, habe ich eine
> Mail über Ihren Account <michael....@uplawski.eu> abgesetzt. »
>
> Ich habe Angst vor den vielen Klagen über « piratisierte »
> Mail-Accounts, wenn dieser Quatsch jetzt wiederkommt...
> Smartphone-User sind so... „unschuldig“.

Ich empfehle dir dringend, SPF einzurichten und zwar mit -all. Damit
sortieren MTAs, die SPF prüfen, derartige Mails gleich mal in die
Kategorie gefälscht oder nehme die gar nicht erst an, wenn die nicht
von einem MTA kommen, den du freigegeben hast.

Sonst gäbe es noch die Möglichkeit, den Provider anhand der IP zu
kontaktieren. Abuse-Adresse bekommt man per whois.

[Laurenz Trossel]

On 2022-11-06, Marco Moock <mo...@posteo.de> wrote:
> Ich empfehle dir dringend, SPF einzurichten und zwar mit -all.

SPF ist sinnlos und macht nur legitimen Mailversand kaputt.

Er kann genauso gut auf seinem MX Mails von außen mit seiner eigenen
Absenderadresse ablehnen.

> Sonst gäbe es noch die Möglichkeit, den Provider anhand der IP zu
> kontaktieren. Abuse-Adresse bekommt man per whois.

Die einliefernde Adressen sind 41.203.208.149 und 197.248.5.31 von
Safaricom in Kenya. Viel Glück.

https://www.safaricom.co.ke/fraud-awareness

Ich würde die Mail löschen. Das spart Zeit. Viel gravierender ist, daß sein
Spamfilter die Mail als Ham eingestuft und auch noch trainiert hat.

[Thomas Hochstein]

Michael Uplawski schrieb:

> Ich versuche nun, meine Zweifel bezüglich des ersten Mailservers
> auszuräumen.

lautre.net ist offensichtlich Dein Provider.

> Received: from pops.lautre.net [80.67.160.88]
> by kurti.uplawski.eu with POP3 (fetchmail-6.4.0.beta4)
> for <michael@localhost> (single-drop); Sun, 06 Nov 2022 08:41:40 +0100 (CET)
> Received: from localhost (localhost [127.0.0.1])
> by erza.lautre.net (Postfix) with ESMTP id A4E62E6F95
> for <michael....@uplawski.eu>; Sat, 5 Nov 2022 20:13:34 +0100 (CET)

> Received: from erza.lautre.net ([127.0.0.1])
> by localhost (erza.admin.lautre.net [127.0.0.1]) (amavisd-new, port 10024)
> with ESMTP id U5At1CRv7405 for <michael....@uplawski.eu>;
> Sat, 5 Nov 2022 20:13:32 +0100 (CET)
> Received: from thk-tes-mailout03.safaricombusiness.co.ke
> (thk-tes-mailout03.safaricombusiness.co.ke [41.203.208.149]) (using
> TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
> (No client certificate requested)
> by erza.lautre.net (Postfix) with ESMTPS id 4EAACE6ED8
> for <michael....@uplawski.eu>; Sat, 5 Nov 2022 20:13:32 +0100 (CET)

Das ist also vertrauenswürdig. Die Mail kam von safaricombusiness.co.ke,
die IP 41.203.208.149 passt auch (Safaricom, Kenia).

Alles davor ist nicht prüfbar und kann gefälscht sein. Wenn man
unterstellt, dass Safaricom ein seriöser Provider ist (wer weiß?), dann
kam die Mail von einem von deren Ausgangsmailservern
(thk-tes-mailout03.safaricombusiness.co.ke). Dann wäre auch das
vertrauenswürdig:

> Received: from thk-ecisp-cpanel-mailout02.safaricombusiness.co.ke
> ([41.203.208.146]) by thk-tes-mailout03.safaricombusiness.co.ke with
> ESMTP; 05 Nov 2022 22:13:30 +0300

Intern kam die Mail von einem Mailausgangsserver mit "cpanel" im Namen,
das ist ein verbreitetes Konfigurationstool für Webhoster.

> Received: from host31.safaricombusiness.co.ke
> (host31.safaricombusiness.co.ke [197.248.5.31]) by
> thk-ecisp-cpanel-mailout02.safaricombusiness.co.ke (Postfix) with ESMTP
> id 03D192E4C
> for <michael....@uplawski.eu>; Sat, 5 Nov 2022 22:13:32 +0300 (EAT)
> Received: from [51.140.231.1] (port=54211 helo=fmlogistic.fr) by
> host31.safaricombusiness.co.ke with esmtpsa (TLS1.2) tls
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> (Exim 4.95)
> (envelope-from <michael....@uplawski.eu>)
> id 1orOag-007mb7-DB
> for michael....@uplawski.eu;
> Sat, 05 Nov 2022 22:13:21 +0300

Wenn man unterstellt, dass auch das stimmt - das ist allerdings reine
Spekulation, wenn die Namen auch schlüssig klingen -, dann hat jemand mit
der 51.140.231.1, zu der es keine Rückwärtsauflösung gibt, die E-Mail bei
einem Host von Safaricom eingeworfen, und zwar ein angemeldeter Nutzer.
Demnach käme die Mail von einem Account bei Safaricom, entweder dessen
Kunde oder ein gehackter Account, der über die IP 51.140.231.1 online war,
die irgendwie zu Microsoft im Vereinigten Königreich gehört. Als HELO
wurde dabei "fmlogistic.fr" erfunden.

Ein bißchen komisch wirkt, dass auf host31.safaricombusiness.co.ke ein
Exim läuft und auf dem Mailserver
(thk-ecisp-cpanel-mailout02.safaricombusiness.co.ke) dann ein Postfix,
aber das kann natürlich so sein.

> Für mich zeigt das auf Microsoft, ich habe aber keinen
> Grund anzunehmen, dass die gefälschte From-Adressen einfach
> durchlassen... vielleicht irre ich mich.

Mit Microsoft hat das wenig zu tun; wenn die Header komplett stimmen, dann
erfolgte darüber nur die Einwahl ins Netz, von der Mail hat man dort
nichts mitbekommen. Und Safaricom prüft offensichtlich das From: nicht.

-thh
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<https://th-h.de/net/usenet/faqs/danam-intro/> lesen!

Weitere kleine Texte rund um das Thema E-Mail: <https://th-h.de/net/mail/>

[Marco Moock]

Am 06.11.2022 um 12:11:45 Uhr schrieb Laurenz Trossel:

> SPF ist sinnlos und macht nur legitimen Mailversand kaputt.

Das stimmt nicht.

Wenn mit meinem Domainnamen im mail from: Mails an Dritte gehen, kann
SPF helfen, diese zu erkennen. Man kann auch ~all eintragen, dann kann
man wenigstens definitiv erlaubte MTAs erkennen.

[Michael Uplawski]

Thomas Hochstein:

> Mit Microsoft hat das wenig zu tun; wenn die Header komplett stimmen, dann
> erfolgte darüber nur die Einwahl ins Netz, von der Mail hat man dort
> nichts mitbekommen. Und Safaricom prüft offensichtlich das From: nicht.

Das hatte ich angenommen. Aber ich habe es nicht geschafft, Microsoft
herauszuhalten. Allerdings habe ich zwei Safaricom Adressen im Web
gefunden, und dort auch die Beschwerde hingeschickt. Für Microsoft habe
ich nur angedeutet, dass ich Zweifel hege, ob deren Mitschuld. Ich
hoffe, dass dort meine Nachrichten richtig gelesen werden.

Herzlichen Dank Thomas.

[Michael Uplawski]

Marco Moock:

> Am 06.11.2022 um 09:10:50 Uhr schrieb Michael Uplawski:

> Sonst gäbe es noch die Möglichkeit, den Provider anhand der IP zu
> kontaktieren. Abuse-Adresse bekommt man per whois.

Du hat meine OP nicht gelesen. Dafür kann ich nichts.

[Michael Uplawski]

Michael Uplawski (ich selber):

> Andererseits... Safaricom.co.ke ... kein Abuse-Kontakt, und das ähnelt
> auch alles sehr den ganzen Afrika-Mails, die in Frankreich so in Mode
> sind (Frankreich ist „hier”). Ich habe den Schmodder sowohl an Microsoft
> wie auch an zwei Mail-Adressen in Nairobi geschickt.

So. Eine der Safaricom Adressen lehnt die Mail ab, wegen
Sicherheitsbedenken. Das heißt andererseits, dass die zweite sie wohl
durchgelassen hat.

[Marco Moock]

Am 06.11.2022 um 15:58:12 Uhr schrieb Michael Uplawski:

> Marco Moock:
> > Am 06.11.2022 um 09:10:50 Uhr schrieb Michael Uplawski:
>
> > Sonst gäbe es noch die Möglichkeit, den Provider anhand der IP zu
> > kontaktieren. Abuse-Adresse bekommt man per whois.
>
> Du hat meine OP nicht gelesen. Dafür kann ich nichts.

whois safaricombusiness.co.ke

Registrar Abuse Contact Email: ebt-d...@Safaricom.co.ke
Registrar Abuse Contact Phone: 0722002222

Für die IP gibt es in der Tat keinen Abuse-Kontakt.

Telefonnummern stehen drin, du kannst aber mal anrufen. :-)

[Michael Uplawski]

Marco Moock:

> whois safaricombusiness.co.ke

Facepalm
Da war ich einen Moment lang wohl emotional zu mitgenommen. Nein! Ich
kann einfach keine Routine entwickeln.

> Registrar Abuse Contact Email: ebt-d...@Safaricom.co.ke

Schönen Dank!

> Registrar Abuse Contact Phone: 0722002222
>
> Für die IP gibt es in der Tat keinen Abuse-Kontakt.
>
> Telefonnummern stehen drin, du kannst aber mal anrufen. :-)

Warum nicht. Wäre mal was Neues und ich hatte schon lange keinen Urlaub
mehr... Jahrmärkte, Kinos und Biergärten gibt's auch nicht. ;)
Ich weiß, dass mein Telefon Gespräche aufzeichnen kann, habe das aber
noch nie ausprobiert. Hm.

Schöne Woche.

Michael

[Marco Moock]

Am 07.11.2022 um 08:33:10 Uhr schrieb Karl-Josef Ziegler:

> Am 06.11.2022 um 16:07 schrieb Michael Uplawski:
> > Michael Uplawski (ich selber):
> >
> >> Andererseits... Safaricom.co.ke ... kein Abuse-Kontakt, und das
> >> ähnelt auch alles sehr den ganzen Afrika-Mails, die in Frankreich
> >> so in Mode sind (Frankreich ist „hier”). Ich habe den Schmodder
> >> sowohl an Microsoft wie auch an zwei Mail-Adressen in Nairobi
> >> geschickt.
> >
> > So. Eine der Safaricom Adressen lehnt die Mail ab, wegen
> > Sicherheitsbedenken.
>

> Spamfilter auf Abuse-Kontakt?

Da kommt sicher viel an, da ab...@domain.invalid der Standard ist.

[Michael Uplawski]

Karl-Josef Ziegler:
> Am 06.11.2022 um 16:07 schrieb Michael Uplawski:

>> So. Eine der Safaricom Adressen lehnt die Mail ab, wegen
>> Sicherheitsbedenken.
>

> Spamfilter auf Abuse-Kontakt?

Bevor Marco noch eine Adresse vorgeschlagen hat, bin ich über die
Web-Site von safaricom domains an zwei Adressen gelangt, die zwar nicht
direkt mit “abuse handling” in Verbindung zu bringen sind, aber als
allgemeine Ansprechpartner präsentiert werden.

Es wundert mich darum eigentlich nicht, dass dort keine Kopien von
fadenscheinigen Mails akzeptiert werden.

Das ist mir aber bei anderen – überwiegend spanischen – Mailprovidern
auch schon mit abuse@[ding].es passiert.

Cheerio

Michael