+comunity+ zuge4spammt von mur at

mur.at NOC lu at mur.at
Mi Okt 12 13:53:04 CEST 2005 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

hi

aus gegebenem anlass reply an die liste. es werden wohl sehr viele heute
eine vollkommen zugemuellte inbox vorgefunden haben :[[[
(ich stehe im moment bei 997 mails vonwegen unzustellbarkeit, und es
kommen immer noch neue rein.)

vorweg: der schrott kommt natuerlich NICHT von mur.at. das zu
unterstellen ist echt dumm und keiner weiteren replik wert. (ausserdem
hoere ich von anderen providern genau die selbe geschichte. warum sollt
es nur uns betreffen???)

wo kommt der muell dann her?
wo er immer herkommt. von verwanzten windows kisten irgendwo im internet
(aka redmond-metastasen). diesmal indirekt (s.u.)

und warum an dich/euch?
weil diese viren sowohl absender- als auch empfaenger-adressen aus dem
adressbuch von outlook (express) holen, und weil die mailserver auf
empfaengerseite die fehlermeldung an die (gefaelschte) absenderadresse
schicken. was ja sinn macht, ich will schliesslich wissen, wenn ein
mail, das (wirklich) ich schicke, nicht dort ankommt, wo es hin soll.
aber dieses "wirklich" ist genau das problem bei der sache.

kleiner crashkurs im mailheader-lesen anhand eines mails der heutigen
welle. es ist eine von einem mailserver automatisch generierte
unzustellbarkeits-nachricht, typischerweise mit Subject "Mailsystem
Error", "returned mail" o.ä., an den (vermeintlichen) absender kavn at mur.at.

> --------------------------------------
> Return-Path: <>
> Received: from fox.mur.at (fox.mur.mur [192.168.1.7])
> by hornet (Cyrus v2.1.18-IPv6-Debian-2.1.18-1) with LMTP; Wed, 12 Oct
> 2005 05:15:05 +0200
> X-Sieve: CMU Sieve 2.2
> Received: from localhost (localhost [127.0.0.1])
> by fox.mur.at (Postfix) with ESMTP id 70E9F4C4B8
> for <erwin at fox.mur.at>; Wed, 12 Oct 2005 05:15:05 +0200 (CEST)
> Received: from fox.mur.at ([127.0.0.1])
> by localhost (fox.mur.at [127.0.0.1]) (amavisd-new, port 10024)
> with LMTP id 15255-01-50 for <erwin at fox.mur.at>;
> Wed, 12 Oct 2005 05:15:04 +0200 (CEST)
- ---
> Received: from simmts8-srv.bellnexxia.net (simmts8.bellnexxia.net
> [206.47.199.166])
> by fox.mur.at (Postfix) with ESMTP id E82944C457
> for <kavn at mur.at>; Wed, 12 Oct 2005 05:14:53 +0200 (CEST)
- ---
die letzte (unterste) zeile, die mit "Received:" beginnt, sagt, wo das
mail wirklich herkommt (simmts8.bellnexxia.net, host einer kanadischen
firma).
(zeilenumbrueche kommen von der formatierung hier im mail-body.)
in der ersten Received:-zeile _muss_ natuerlich fox.mur.at stehn, das
ist schliesslich der host, der mails @mur.at zustellt, dh an die
empfaengeradressen weiterleitet.

> To: kavn at mur.at
> From: Mail Administrator <Postmaster at bellnexxia.net>

"Received:" stimmt mit der domain im "From:" ueberein. das erwarten wir
im normalfall, muss aber nicht so sein (s.u.).

und dann kommt die ursache, die unzustellbare nachricht:

> Reporting-MTA: dns; simmts8.bellnexxia.net
> Arrival-Date: Tue, 11 Oct 2005 23:14:46 -0400
> Received-From-MTA: dns; toronto-HSE-ppp3998738.sympatico.ca (70.48.17.210)
> 

- ---
> Final-Recipient: RFC822; <vechkan at tekom.odessa.ua>
- ---
= die 'eigentliche' empfaengeradresse, also die, an die nicht zugestellt
werden konnte. die russen! subject und inhalt der attachments sind auch
durchwegs russisch. der virus selbst, der mittlerweile gluecklicherweise
aus den fehlermails rausgefiltert wird, kommt wahrscheinlich auch aus
russland, vermut ich mal.

...

- ---
> From: =?Windows-1251?Q?=C4=E8=F1=F2=F0=E8=E1=F3=F6=E8=FF?=
> <p.baumann at lsr-t.gv.at>
> To: =?Windows-1251?Q?=CF=EE=EB=FC=E7=EE=E2=E0=F2=E5=EB=FE?=
> <draco1 at mobilkom.at>
- ---
absender und empfaenger wahllos aus dem adressbuch. hab mir ca. ein
dutzend der mails angeschaut, allesamt .at adressen! legt die vermutung
nahe, dass eines oesis, der/die gerade in kanada weilt (sympatico.ca)
und dort eine dial-up leitung verwendet ("ppp" im hostnamen), vervirte
maschine der ursprung ist.

Cc: und BCc:, also adressaten von kopien dieser nachricht scheinen hier
nicht auf. ebenso wie Return-Path:, Reply-To: oder envelope-from, wo
sich dann wahrscheinlich kavn at mur.at findet (auch aus dem outlook
adressbuch), was in diesem fall erwins adresse und somit mur.at
ueberhaupt erst ins spiel bringt. (eine alte idee von jogi: soziogramme
anhand von viren/spam From:-To: beziehungen erstellen. also wer hat wen
im adressbuch? ich haette da noch den verschwoerungstheoretischen
ansatz: CIA, NSA, M$ oder was noch groesseres, geheimeres, maechtigeres
bringt viren in umlauf, um indirekt die adressbuecher der
internetbevoelkerung auszuspionieren und so verbindungen aufzudecken. hm?)

...

> X-Mailer: Microsoft Outlook Express 6.00.2800.1106
            ^^^^^^^^^^^^^^^^^^^^^^^^^
und zu guter letzt haben wir hier DAS BOESE!

Microsoft Outlook Express ist kriminell schlechte und gemeingefaehrliche
software. finger weg davon!
Microsoft Outlook ist nicht viel besser. finger weg davon!

verwendet webmail oder thunderbird. dann habt ihr zwar noch immer unter
spam und den folgeerscheinungen zu leiden, aber ihr tragt selber
wenigstens nicht zum problem bei. denn, wer's noch immer nicht kapiert
hat, wenn ihr so ein mail oeffnet (nicht die fehlernotifikationen,
sondern die urspruengliche message), stehn die chancen recht gut, dass
ihr selber demnaechst tausende spams mit angehaengtem virus verschickt.
usw. usf. ad nauseam.


idee: eine schadenersatzklage gegen M$ als erfinder und vertreiber von
software, die spam-viren mit allen ihren folgen erst ermoeglicht, also
die wurzel des uebels. streitwert mehrere milliarden dollars, die zur
gaenze in die entwicklung und durchsetzung eines neuen mailstandards
fliessen (natuerlich ohne jegliche beteiligung von billyboy & kumpanen).
wer macht mit? vor allem brauchen wir ebenso brilliante wie wahnsinnige
rechtsanwaelte. und sponsoren und spindoctors und -igitt-
marketingleute. jeweils heerscharen... planer und entwickler gaeb's ja
genug.

lg
lu


- --
wuensche, wohl administriert worden zu sein!

http://lu.mur.at/lu.asc.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFDTPkgea0RHHXBzw0RAnxoAJ9Ga+REYbGu3HCh5uS/DrWWm+VTbACgg+Ui
F0ve4KQC2MKOYHfkzRCJ77o=
=+mO6
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste comunity