Virus vom ThinkPad Forum versendet ??

andywin

New member
Registriert
15 März 2007
Beiträge
425
Hallo zusammen,


ich habe gerade eine Mail mit einer Zip Datei vom Forum (info@thinkpad-forum.de) bekommen mit einer angehangen Tip Datei. In der Zip ist eine SCR Datei.

Wisst Ihr darüber etwas ?

Grüße Andre
 

Anhänge

  • Screenshot_20210305_105202_com.android.email.jpg
    Screenshot_20210305_105202_com.android.email.jpg
    151,7 KB · Aufrufe: 122
Zuletzt bearbeitet:
Eigenartig, wir haben nichts verschickt. Werden später mal das Protokoll von unserem Mailserver untersuchen.
Hat sonst noch jemand die Mail bekommen?
 
Header anschauen und die tatsächliche Absenderadresse ermitteln. Die Angaben in "From" kann man beliebig ändern. Im Header stehen aber zusätzliche Infos, wie z.B. die Server, die die Mail genommen hat. Reihenfolge von unten nach oben bei mehreren "Received"-Eintragen

Edit: Thread ins richtige Unterforum verschoben - dat mit dem Lesen üben wir nochma :D.
 
Zuletzt bearbeitet:
Moin mit dem Smartphone kann die ich den Header leider nicht anschauen und auf den Rechner lade ich mir die Mail nicht. Wenn ich auf weiterleiten gehe steht da auch die Forums Mail!

Ursprüngliche Nachricht --------
Von: "ThinkPad-Forum.de" <info@thinkpad-forum.de>
Datum: Fr., 5. März 2021, 09:38
An: andywin@freenet.de
Betreff: Claim

Grüße Andy
 
Warum ? Das Forum schickt mit einen Virus und Du betrachtest das als Gegenstandslos ? Seltsam ?
 
Oh, ganz dünnes Eis...

Du behauptest etwas, was du nicht nachweisen kannst...

Anstatt den kosntruktiven Vorschlägen nachzugehen, da auch der Betreiber des Forum hier Interesse an Aufklärung hat, stellst du wilde Behauptungen in den Raum:facepalm:
 
Die "Von:" / "From:" Zeile in einer E-Mail hat praktisch keine technische Funktion und kann frei gewählt worden, auch wenn die Mail von irgendwo anders her kommt.
Ohne die kompletten Angaben im Mail-Header kommen wir nicht weiter. Aus Erfahrung mit ähnlichen Mails ist es recht unwahrscheinlich, dass diese wirklich "vom Forum" kommt.
 
das Forum schickt keinen Virus. Schau den Header an und du wirst fündig werden. Ansonsten geht es wohl wirklich nicht mehr weiter, da nur dort weiterführende Details zu finden wären.
 
So, jetzt mal einen Gang zurück, Anschuldigungen helfen uns hier nicht weiter :Oldtimer:
Auch wenn dein Handy den Header nicht anzeigen kann, kannst du dies bei Freenet direkt im online Postfach ohne die Mail auf den Rechner zu laden.
Wenn du die Mails am Handy nicht per POP3 abrufst sind die ja in der Regel weiterhin im Postfach, vllt. ist das eine Option, die uns mehr Informationen liefert.
Header freenet.jpg

P.S.: Diese Funktion bietet freenet auch im Mobile-Webclient, du kannst den PC also komplett außen vor lassen ;-)
 
Zuletzt bearbeitet:
Das Forum schickt mit einen Virus und Du betrachtest das als Gegenstandslos ?
Beweise es!! Statt dessen lehnst Du jegliche Kooperation ab. Hättest Du meine erste Antwort richtig, vollständig gelesen UND verstanden, wüsstest Du, dass Deine Behauptung so lange haltlos ist, bis DU es bewiesen hast. Nur hast Du ja keine Ambitionen, den Beweis zu erbringen und beharrst statt dessen auch "Schein" statt "Sein".

Entweder, Du bewegst Dich jetzt von der dünnen Eisfläche runter oder dieser Thread ist Geschichte.
 
Wer schonmal irgendwie mit Spam zu tun hatte weiss, dass der "Absender" gefaked werden kann und meistens auch wird. Entweder man schaut sich den Quellcode von der Mail an um den Ausgangsserver, IP und tatsächlichen Ursprung der Mail zu bestimmen oder man kann es gleich sein lassen. Auf dem gefälschten Absender zu beharren macht keinen Sinn und sorgt nur für Ärger. Entweder du traust dir ein wenig Recherche zu oder lässt das Thema ruhen, würde ich sagen.
 
hee was geht denn hier ab, ich wollte nur Informieren und niemanden Beschuldigen ....
@ Supertux Danke Du rettest meine Meinung zum Forum und hilfst statt zu meckern

Im Übrigen wollte Andy der Admin in den Protokollen nachschauen und hat sich aber nicht gemeldet, dann kommt halt die Antwort von wegen gegenstandslos .... Naja

Im Header bei Freenet übrigends wie beschrieben, steht tatsächlich keine thinkpad-Forums Adresse sondern tatsächlich eine gänzlich andere Sender ID ....

Falls das ganze jemanden Interessiert bitte:

An Mornsgrans, ich wollte Euch nur Informieren nicht anprangern oder beschuldigen -> scheint nicht gewollt zu sein.... bzw wird immer nur das schlechte im Menschen gesehen pfui



Received: from [192.168.16.130] ([45.83.91.204]) by mail1.helsingenet.com (12.3.0 build 2 x6
4) with ASMTP (SSL) id 202103041445547670 for <ahelena.palmberg@helsingenet.com
>; Thu, 04 Mar 2021 14:45:54 +0100

To: andywin@freenet.de
From: "ThinkPad-Forum.de" <info@thinkpad-forum.de>
Subject: Claim
Message-Id: <fc693915-889b-fdbf-0623-9e26ef36b84f@helsingenet.com>
Date: Thu, 4 Mar 2021 14:45:45 +0100
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:78.0) Gecko/20100101 Thunderbird/78.8.
0

Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="------------4A4E1C93546E3EC08D34D6E2"
Content-Language: ru





 
An Mornsgrans, ich wollte Euch nur Informieren nicht anprangern oder beschuldigen -> scheint nicht gewollt zu sein
Ganz im Gegenteil: Es ist gewollt und wir wollten mehr über den Vorgang herausfinden, wozu wir deine Mithilfe brauchten. Aber du hast die entsprechenden Hinweise eine ganze Weile ignoriert.
 
Sorry aber ich habe nichts ignoriert sonst hätte ich nicht gepostet, jedoch wusste ich nicht wie man den Header ausliest.
Wäre der Hinweis von supertux gleich gekommen (Danke nochmal) hätten wir das schneller klären können, aber gut ...
Immerhin weiß ich jetzt wie man den Header ausliest und über den Rest hier bin ich noch immer verwundert aber das kann ich ab....

Grüße und schönes Wochenende an alle ...
 
Received: from [192.168.16.130] ([45.83.91.204]) by mail1.helsingenet.com
Technical details
IP address 45.83.91.204
Address type Public
Protocol version IPv4
Network class Class A
Vermutlich eine dynamische IP-Adresse in Schweden, da es keinen DNS-Eintrag dafür gibt.

Die Mail kam also aus einem privaten Netzwerk vom PC mit der IP-Adresse 192.168.16.130 angeschlossen mit der IP 45.83.91.204 des Internetanbieters über das Mailkonto mail1.helsingenet.com diese angebliche Mail des ThinkPad-Forums.
for <ahelena.palmberg@helsingenet.com>;
kann dabei z.B. ein gehackter Mailaccount sein, der zum Versand der Mail missbraucht wurde, wobei der Name vor dem "@" nicht echt sein muss.

Auch die E-Mail-ID bestätigt,
Message-Id: <fc693915-889b-fdbf-0623-9e26ef36b84f@helsingenet.com>
dass die Mail über den helsingnet-Account gekommen ist. Der Server des ThinkPad-Forums steht aber in Deutschland und nicht in Stockholm.

ich wollte Euch nur Informieren nicht anprangern oder beschuldigen
Da sagt der Threadtitel etwas anderes aus. "Stilvoller" und "informativer" wäre z.B. die Verwendung des Wörtchens "angeblich". So steht die Frage im Threadtitel eher reißerisch im Stile der Zeitung mit den vier Buchstaben im Raum.

Zeitung_450414377639.jpg
 
Zuletzt bearbeitet:
Traurig ist vor Allem, dass freenet scheinbar nicht das Sender Policy Framework sauber prüft, sonst wäre das Ding maximal als Spam erkannt im Junk E-Mail Ordner gelandet, dieser ist für thinkpad-forum.de ja korrekt gepflegt.
Hier würde ich den E-Mail Anbieter wechseln, der taugt nichts.

Die Empfehlung laut SPF ist ganz klar - abweisen wenn die IP oder der Hostname nicht passen - diese wurde einfach mal gekonnt ignoriert.
 
Zuletzt bearbeitet:
Traurig ist vor Allem, dass freenet scheinbar nicht das Sender Policy Framework sauber prüft, sonst wäre das Ding maximal als Spam erkannt im Junk E-Mail Ordner gelandet, dieser ist für thinkpad-forum.de ja korrekt gepflegt.
Würde ich jetzt nicht einfach so behaupten. Die Mail kam ja über ein reguläres Mailkonto. Der "Sender" ist damit legitim.

Problematisch ist es mit "From" und "Reply-to", die ja beliebig geändert werden können und bei der SPF-Überprüfung nicht berücksichtigt werden.

Da der SPF-Eintrag von helsingnet ok ist, muss der Spamfilter diese Mail durchlassen.

Wäre die Mail direkt von einer dynamischen IP-Adresse durch den Freenet-Mailserver angenommen worden, wäre Dein Einwand auf jeden Fall berechtigt gewesen.

Abgesehen davon muss man eben selbst entscheiden, ob man einen freien Mailaccount oder ein Bezahl-Mailkonto mit entsprechend höherem Leistungsumfang in Punkto Spamschutz wählt. Ob die Mail durch den höherwertigen Spamfilter zugerückgewiesen worden wäre, bezweifle ich aber, eben weil das Feld "From" kein Spam-Kriterium darstellt.
 
Zuletzt bearbeitet:
@ Morngrans, wenn sowohl Header-From als auch Envelope-From geprüft werden würden, wäre das aufgefallen:

From: "ThinkPad-Forum.de" <info@thinkpad-forum.de> in Kombination mit 45.83.91.204 geht halt nicht, das ist das, was im Envelope steht, gute Spamfilter filtern das sofort weg.
Bei googlemail kannst du nicht mal die Mail absetzen wenn das vom Header From abweicht oder fehlt..

Scheinbar wurde hier - wenn überhaupt - nur der Header-From geprüft und nicht der Envelope-From. Ist halt allgemein noch kompatibler als eine Prüfung von beiden Angaben.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben