WIN-NPPN1JPV75J und WORLDST-UQ3K9Q0


Man soll ja bekanntlich den Tag nicht vor dem Abend loben… Und ich als radikaler Erz-Atheist bin garantiert alles andere als abergläubisch… Dennoch habe ich da gewisse Erfahrungswerte im Hinterkopf und bin daher – ganz entgegen meiner Natur -  ausnahmsweise mal zurückhaltend, vorsichtig und bescheiden… ;-)

Trotzdem mal ein kleiner Zwischenstand zu unserem Problem mit der aktuellen Spamwelle. Wir litten ja extrem unter E-Mail-Spoofing: Spam-Mails en masse (großteils an unsere Kontakte – entweder in unserem Namen oder/und mit unseren E-Mail-Adressen), die aber NICHT von uns (oder irgendwelchen angeblich infizierten Rechnern hier) stammten…

Seit der SPF-Umsetzung am 09.12.2015 sind exakt NULL Mails von uns hier eingetrudelt. “Wir” hatten ja nicht nur Dritte zugespammt, sondern auch uns selbst… Wir wurden nicht nur mit Weiterleitungen von “Important new message”s verschont – wir erhielten auch exakt NULL Rückmeldungen a la “Undelivered Mail Returned to Sender”.

Natürlich haben wie keine Ahnung, welcher User A über seinen E-Mail-Provider B aus C welche E-Maill mit dem Inhalt D von “uns” (oder wem auch immer) erhalten hat – aber HIER ist erst mal Ruhe im Karton. Hoffen wir mal, daß es so bleibt…

Den DKIM-Proxy für Windows habe ich übrigens noch nicht getestet, da er auf Java aufsetzt. So sehr neige ich dann doch nicht zum virtuellen Selbstmord, als daß ich diese Umgebung nach zwei überstandenen BKA-/GEMA-”Trojaner”-Infektionen auf einem Produktiv-Rechner noch mal insten würde…  Mal sehen, wann ich wieder mal Zeit habe, mit VMs rumzuspielen… Oder ich hänge mir doch noch mal einen Server mit Linux ins Netz… Dann kann ich den echten DKIM-Proxy testen – und gleich auch den DNS-Server BIND dort aufsetzen, der derzeit als Windows-Version auf einem der Rechner hier rumdümpelt…

Aber egal. Fazit ist und bleibt, daß die SPF-Geschichte scheinbar erst einmal geholfen hat… Und da wiederhole ich mich gern: Hoffen wir mal, daß es so bleibt…

 

Update:

Kaum geschrieben, wurden wir eines Besseren belehrt. Der Spam begann erneut – allerdings in wesentlich geringerem Ausmaß.

Letzter Stand war ja folgender:

1)
_spf._domainkey.faett-boys.de
TXT
“v=spf1 include:_spf.1und1.de -all”
   und
2)
 faett-boys.de
TXT
“v=spf1 a mx include:_spf._domainkey.faett-boys.de -all”

Allerdings nörgelte dieser Test etwas rum – und fand einen Error. Recherchen ergaben, daß mehrere SPF-Einträge zu Fehlern führen können.

Also sprang ich ausnahmsweise mal über meinen großen, breiten Schatten und verzichtete auf kompliziertes Doppel-Gemoppel, nur um einen wichtig aussehenden Eintrag a la _spf._domainkey.faett-boys.de vorweisen zu können… ;-)

Ich beschränkte mich im Sinne von “Aus zwei mach eins…” bescheidenerweise und komplett entgegen meiner Natur einfach auf folgenden, spartanisch anmutenden Eintrag:

faett-boys.de
TXT
“v=spf1 a mx include:_spf.1und1.de -all”

Und toi, toi, toi… – dreimal auf Holz geklopft: Seitdem ist (hier) Ruhe im Karton.
Ausnahmen – exakt gezählt – gleich NULL!

Keine Spam-Attacken gegen uns selbst; keine Beschwerden über nicht zugestellte Mails… – NICHTS!

So kann es bleiben !!!

Ganz kleine Eimer…


… (oder zumindest erst einmal einen, man ist schließlich wohlerzogen und daher bescheiden…) bräuchte man, wenn man Mäuse melken wollen würde. Und dabei ist mir im Moment sogar völlig egal, aus welchem Material dieser Eimer wäre und ob er verbeult und obendrein vielleicht sogar noch quietschebunt wäre! Ein oller Blech-Eimer wäre also schon völlig ausreichend !!! Hier dreht sich momentan alles nur um Mäuse – und um alles, was damit zu tun hat. Insofern sind mir derzeit sogar meine Mitmenschen mal völlig relativ egal – es sei denn, jemand könnte mir leihweise mit dem so dringend benötigten Mäusemelk-Equipment aushelfen – oder SPF verklickern. Das könnte zumindest die Gefahr etwas eindämmen, daß ich gleich auf den Kriegspfad ziehe und Bullys berühmten Klappstuhl ausgrabe…

Denn: Es ist mal wieder – wie der intellektülle ;-) Leser nach obenstehender Andeutung bereits erahnen mag – zum sagenumwobenen und viel beschrienen Mäusemelken… Und wenn ich den kleinen Nagebiestern nicht spätestens sofort an den Minizitzchen rumzerren kann, raste ich wohl endgültig aus und drehe komplett durch! Ich frage mich nämlich mal wieder, wie “beklopft” (“bekloppt” klingt immer so trivial…) man sich manchmal anstellen kann. Und damit meine ich einerseits mich selbst – und andererseits die FAQ- bzw. Hilfstext-Schreiberlinge gewisser ISPs…

Prolog

Wie unter Fw: Important! – HELO WORLDST-UQ3K9Q0 (bzw. WIN-NPPN1JPV75J) geschildert, leiden einige unsere bisherigen, aktuellen und evtl. sogar zukünftigen ;-) Kontakte unter massiven Spam-Attacken, die SCHEINBAR von uns ausgehen. Zum Glück für uns handelt es sich “nur” um E-Mail-Spoofing bzw. einen sogenannten Mail-Joe-Job – soll heißen: Die Mails sind gefälscht und stammen nicht von uns. Trotzdem ist das natürlich sehr ärgerlich und kann uns in keinster Weise dazu verleiten, uns aufgrund dieser Erkenntnis entspannt zurückzulehnen… Denn:

a) Unsere Kontakte werden ja trotzdem nach wie vor belästigt und evtl. sogar durch etwaige bösartigen Inhalte gefährdet.
b) Unsere Reputation als Kontakt leidet darunter natürlich immens, erst recht die als IT-Fuzzis – jeder denkt natürlich, wir hätten Schadware auf den Rechnern…
c) Fragwürdig ist nach wie vor, wie die Gauner an die Adressen der Opfer gelangt sind. Immerhin spricht zwar alles für ein Sicherheitsleck beim Provider (siehe verlinkter Beitrag) – aber wer glaubt einem das?
Siehe Forenbeitrag von “SoulOfDarkness” vom 21.09.2015,
siehe Kommentar vom “genervten Admin” vom 01.10.2015,
siehe Kommentar von “Anonymous” vom 09.11.2015 und
siehe Kommentar von “amayr” vom 09.11.2015,

Daher hüpfte ich heute auf einmal wie ein Flummi vor Freude bis an die Decke, als ich auf der Suche nach Updates zu dem seit Mitte/Ende August massiv auftretenden Problem auf einer 1&1-Admin- bzw. Postmaster-Seite etwas vom Sender Policy Framework las.

SPF (Sender Policy Framework) ist eine Technik, die das Fälschen von Absenderadressen erschweren soll. Hierzu wird festgelegt, von welchen IP-Adressen der Versand von E-Mails mit einer bestimmten Absenderdomain erfolgen darf (respektive von welchen IP-Adressen ein Versand nicht erfolgen darf). Dazu wird in der DNS-Zone ein Ressource Record vom Typ TXT (oder falls vorhanden SPF) hinterlegt, der alle berechtigten IP-Adressen auflistet, diese Domain als Absenderadresse zu verwenden. Zur Überprüfung Ihres SPF-Eintrages empfehlen wir Ihnen den so genannten “SPF-Wizzard” auf den Seiten von Openspf.org

Das beste war, daß 1&1 lt. einem Forumpost bei Antispam-eV.de SPF unterstützen soll:

… »Den Webhoster überprüfen lassen, ob der Mailserver einen sogenannten “SPF-Eintrag” im DNS hat. Mit diesem “SPF-record” wird sichergestellt, dass Mails mit Absendeangabe Ihrer Domain nur von einem bestimmten Mailserver (nämlich dem Ihres Hosters bzw. von Ihrem eigenen Mailserver) von einer festgelegten IP-Adresse aus gesendet werden dürfen. Da die meisten Mailprovider weltweit inzwischen die SPF-records bei der Mailannahme prüfen, wird dann kaum noch irgendwo ein Mailprovider Spam-Mails mit Ihrer Domain, aber unpassender IP, annehmen.«
….
Das geht z.B. bei STRATO ganz einfach über Domainverwaltung, DNS-Einstellungen, TXT-Record inklusive SPF-Einstellungen, und dann ‘aktiviert’. Andere Hoster (1&1 etc.) haben ähnliche Einstellungen…

Und gemäß einer Meldung vom 05.08.2015 ist das bei 1&1 nun auch tatsächlich der Fall.

Soweit so gut. Oder sollte ich sagen: “Soweit so schlecht?” Denn dann ging es los…


“SPF – Ver(w)irrungen auf dem Wege zur Erkenntnis”
oder
“Die Odyssee durchs Netz in 23 Akten”

Ein gepflegtes “Pfffff….” bekomme ich ja gerade noch so – sogar im Vollrausch – formuliert… Aber einen SPF-Record im DNS? Wo ich mich letztens gerade extrem körperlich verausgabt (=> Mausarm *lol*) habe, nur um hier unter Einsatz meines Lebens den DNS-Server BIND 9.8.1 einzurichten? Ich möchte die nächsten 3 Jahre bitte nur noch an Desoxyribonukleinsäure denken, wenn ich DNS höre – und nicht an irgendein nerviges Domain Name System… Ergo: Ich muß mal wieder büffeln, damit ich auch weiß, was ich wie und auf welche Weise wann wo warum und wozu mache. I need also sozusagen etwas Input in Sachen Syntax! Befragte ich also Freund Google…

1) Das erste, was auffiel: Die Suchwörter “1&1” und “SPF” in Kombination liefern ganz tolle, superhilfreiche und vor allem extrem allgemein gehaltene Hilfstexte a la “Wenn in China ein Sack Reis umfallen soll, benötigen Sie neben der Schwerkraft auch noch einen Sack Reis in China.” bei 1&1. Soll heißen: Wenn Sie einen SPF-Eintrag anlegen wollen, tragen Sie doch einfach einen ein! Hammer !!!

2) Der Rest, der einem auf den ersten Blick bei Google ins Auge sticht, ist entweder englisch oder veraltet. (“1&1 bietet nicht die Möglichkeit für TXT-Records…”)

3) “E-Mail-Spoofing“, “Eintrag anlegen”, “Anleitung” etc. als zusätzliche Suchwörter bewirken so ziemlich gar nichts – es sei denn, sie “verschlimmbessern” die ausgegebene Erbenisliste noch.

4) Die englischen Seiten zu SPF- bzw. TXT-Records liefern zwar ganz tolle Bilder engländischer Webinterfaces bei 1and1 (also bei “2″) – aber was in 3-Teufelsnamen soll v=spf1 a mx ptr ~all darstellen? Kann mir auch mal jemand diese 4 Sachen hinter spf1 vernünftig erklären, damit ich nicht 5 Fragezeichen in meinen 6y Geleemurmeln habe? ;-)

5) Zwischenzeitlich war ich nämlich auch schon mal bei Wiki und bei OpenSPF und habe dort etwas von SoftFail und Neutral gelesen. Helfen mir dann die Qualifikatoren ~ oder ? wirklich weiter? Und wenn + für Pass als Standard steht – brauche ich dann nicht höchstwahrscheinlich ein klitzekleines - für ein (Hard)Fail ???

6) Witzig ist, daß mal von Host, mal von Client, mal von Sender geschrieben wird. Was die Termini a, mx & Co so halbwegs bedeuten, ist ja nicht einmal mir neu. Von A-Record und MX-Record habe nämlich sogar ich schon mal was gehört. ;-) Aber gebe ich nun bei include: meine betreffende bzw. eher “betroffene” Domain an, damit eine SPF-Anfrage dann die dazugehörige Server-IP rausrückt? Warum stehen in manchen Beispielen bei ip4: ganze Netze mit Präfixen? Wieviele IPs hat ein Server? Ok – es gibt Cluster bzw. Load Balancing… aber /16er Netz? Geht es da um die Adressen des Clients? Wer ist der “Sender”, der “Host”? MX-Records sagen ja eher meinen Kontakten, wohin sie ihre Mails schicken sollen, wenn sie mich erreichen wollen… Sollte man dann nicht eher mout.kundenserver.de statt mx00.kundenserver.de  und mx01.kundenserver.de für ein 1&1-Paket eintragen? Fragen über Fragen… – wahrscheinlich, weil ich wie immer mal wieder viel zu kompliziert denke.

7) Wenn man sich nun nicht in 5 min ein paar Grundlagen anlesen kann, weil man schon 30 min sucht und irgendwie nichts wirklich aussagekräftiges findet, da man in Ermangelung eines 20-jährigen Informatikstudiums den gefundenen, einem inkompatibel erscheinenden  Output nicht als eigenen Input verwenden kann, braucht man also TOOLS & UTILITIES  !!! Geile Idee! ;-)

8) Gedacht, gesucht, gefunden. Zumindest theoretisch. Der im obigen ersten Zitat genannte “Wizzard” ist weder auf der Startseite noch über die Suche bei OpenSPF.org zu finden. (Geht also schon mal gut los…) Sucht man clevererweise nach “Wizard” oder schaut unter Tools nach, stellt man fest, das es eben diesen zauberhaften und zaubernden Assistenten letztlich “… wegen der Schwierigkeit der korrekten Erläuterung der zugrunde liegenden Konzepte…” nicht mehr gibt. Die Ergebnisse wären nämlich oft zu komplex oder funzten nicht, wenn Leute, die die Feinheiten nicht kannten, nur schnell mal im Vorbeigehen einen Eintrag erstellen wollten. (Also solche doofen Vollpfosten wie ich… – suuuuuuuuuuuuuuper Erklärung!  *LOL*  !!!) Sind wir denn hier bei OpenSPF.org – oder auf Mein-Privates-Tool-Sammelsurium.de mit tausend toten Links ??? Das ist ja fast so, als wenn man ‘ne Pressemitteilung läse, in der stünde, daß man bei Winzigweich in Redmond, Virginia, USA alle Festplatten formatiert hätte und auf Linux umgestiegen wäre, nur weil die berühmte “Fenster”-Software zu buggy ist… ;-)   Ich meine: Bei OpenSPF kriegt man es nicht hin, daß man verständlich (!)  vom Assistenten geführt wird, so, daß es hinterher auch funzt? Von wem darf man sowas denn dann erwarten?

9) Na von Microsoft (oder/und meinem Hirn) wohl auch nicht. Denn  was die Jungs und Mädels bei OpenSPF meinten, durfte ich als “DAU” live auf Microsofts Anti-Spamtools.org erleben. Ich hatte zwar nach ein paar Klicks augenscheinlich einen ganz passablen SPF-Record erzeugt – aber der funzte natürlich nicht !!! ;-) Scheiß DAUs… (also ich, meinereiner und meine ganzen ebenso tumben Alter Egos) !!!

10) Aber weiter. Ich eiere ja erst ‘ne Stunde rum und habe noch genug Langeweile. 64-seitige, undeutsche Kampfschriften :-) wie den englischsprachigen RFC7208 lese ich erst, wenn ich bettlägrig bin und mich gar nicht mehr wehren kann… Grundlagen sind zwar immer gut – aber man kann es ja auch übertreiben… Denn wie sieht es aus? Ich habe eine – wenn auch englische – Beschreibung zur Syntax – und ein Tool, das irgendwie irgendwas (!) erzeugt. Wie ich das einzugeben habe, weiß ich auch schon. Na ja – zumindest fast. Fast?  Gleich….  – einen Moment Geduld bitte! ;-)

11) Ich muß mich bezüglich meiner Handlungsweise beim Eintragen nämlich entscheiden, ob mich 1&1 einfach nur ein bißchen rassistisch diskriminieren oder aber hochgradig verwirren will. Erstens wurde ja – wenn ich das richtig gelesen habe, RFC4408 durch den 7208er  überflüssig. Soll heißen, man macht eigentlich gar keine dedizierten SPF-Einträge (= spezielle TXT-Einträge) mehr, sondern nur noch TXT-Einträge, die mittlerweile multipel nutzbar sind… Da ist das schon mal witzig, daß mir 1&1 jetzt, mehr als 1 Jahr nach der Verabschiedung dieses RFCs das UNDOKUMENTIERTE  Anlegen dedizierter SPF-Records ermöglicht. Wow!  Nun, mehr als 2 Nameserver gibt es ja auch erst seit einigen Dutzend Wöchelchen… – lt. entsprechendem, jahrealten RFC vom Juli 1997 sollten es aber mind. 3 und max. 7 sein… Und alte 1&1-Hostingverträge dümpeln immer noch mit ihren nur 2 NS rum.. Hinzu kommt, daß 1and1 Einträge als TXT-Record ohne Anführungszeichen vorsieht; ich als Deutscher hingegen soll bei 1und1 einen SPF-Record mit Anführungszeichen anlegen. Wird das jetzt wirklich unterschiedlich gehandhabt? Oder ist das ein Fehler? Denn dank Wartezeit bei der Übernahme des Eintrags macht Testen ja nicht wirklich viel Spaß… Man will ja schließlich auch mal den Eintrag abrufen und sehen, ob alles funzt.

12) Stichwort Abrufen. Hähä… ;-) Syntax, Tool und 2 Möglichkeiten, etwas einzutragen habe ich also. Daß es darum geht, eine Verifikation von HELO oder/und MAIL FROM durchzuführen, habe ich ja durchaus schon rausgelesen. Und daß es bei Weiterleitungen oder bei Webformularen Dritter Probleme mit SPF geben kann, habe ich auch schon mitbekommen. Sender-ID soll daher irgendwie besser sein – wirklich besser ist aber angeblich DKIM !!! Zur kompletten Verwirrung reicht es mir aber zum Glück noch nicht – denn noch (!) habe ich eine ungefähre Vorstellung von dem, was ich glaube machen zu müssen bzw. machen zu wollen… ;-)   Müßte ich ja nur noch irgendwie checken, ob ich auch richtig liege – wenn ich genug Sitzfleisch hätte, nach fast jedem Testeintrag gefühlte 10 min zu warten, bis letzterer greift… Und spätestens damit gehen die Probleme dann gleich weiter: Try & Error vom Allerallerfeinsten!

13) Nachdem ich etliche Bestätigungen für einige meiner neuen “Erkenntnisse” auf MSXFAQ.de fand und dort auch noch solche selten schönen “xml-artigen Outputse” ;-)   wie diesen hier

C:\Users\root>nslookup
Standardserver:  fritz.fonwlan.box
Address:  192.168.178.10
> set q=TXT
> _ep.netatwork.de
Server:  fritz.fonwlan.box
Address:  192.168.178.10
Nicht-autorisierende Antwort:
_ep.netatwork.de        text =
"<ep xmlns='http://ms.net/1' testing='false'><out><m><a>80.66.20.18</a><
/m></out></ep>"
>

sah, war ich der irrigen Annahme, ich könnte jetzt meinen bei der Testdomain faett-boys.de gesetzten  SPF-Record auch mit nslookup auslesen. Das war aber ein Trugschluß – zumindest noch zu diesem Zeitpunkt. Mein schnödes Ergebnis sah leider so aus und entsprach nun so überhaupt nicht meinen Vorstellungen:

C:\Users\root>nslookup
Standardserver:  fritz.fonwlan.box
Address:  192.168.178.10
> set q=TXT
> faett-boys.de
Server:  fritz.fonwlan.box
Address:  192.168.178.10
faett-boys.de
primary name server = ns5.schlund.de
responsible mail addr = hostmaster.schlund.de
serial  = 2015080801
refresh = 28800 (8 hours)
retry   = 7200 (2 hours)
expire  = 604800 (7 days)
default TTL = 600 (10 mins)
>

Den Abfragetyp kann man zwar auf alles mögliche festlegen (A, AAAA, A+AAAA, ANY, CNAME, MX, NS, PTR, SOA, SRV – TXT ist witzigerweise nicht aufgeführt) – nur eben nicht auf SPF. Was zum Geier ist _ep im ersten Beispiel zu nslookup? Und warum zeigen einige der bis dahin noch unverständlichen Bilder solche “Subdomains” wie _spf? Daß eine scherz- bzw. testhalber getätigte Abfrage auf _spf.1und1.de sogar ein scheinbar nützliches Ergebnis hervorbrachte, merkte ich erst wesentlich später….

> set q=TXT
> _spf.1und1.de
Server:  fritz.fonwlan.box
Address:  192.168.178.10
Nicht-autorisierende Antwort:
_spf.1und1.de   text =
"v=spf1 a:moi.1and1.com a:moint.1and1.com a:mxint01.1and1.com a:mxint02.1and1.com a:mbulk.1and1.com a:mout.kundenserver.de a:mout.perfora.net -all"
>

Zumindest war das die Bestätigung, daß auch mein nslookup funzt und keine versionsbedingten Eigenarten aufweist… Bloß faett-boys.de ist störrisch… Also ist wohl was mit meinem SPF-Record faul… Oder so ähnlich. Da ich jedenfalls nicht das sah, was ich glaubte sehen zu wollen oder zu müssen, suchte ich natürlich weiter. Der Wizzard wizzzzzzzzardete ja bekanntlich nicht mehr – aber die Sektion “Tools” auf OpenSPF bot ja noch mehr – so z.B. das Beveridge Hosting DNS Lookup – das mir doch tatsächlich zumindest so lange einen SPF-Record zu faett-boys.de anzeigte, wie sein Ergebnis neutral war. Ich schaffte nämlich natürlich wie jeder rumspielende DAU ohne Peilung ziemlich schnell im Laufe meiner Tests, ein permerror und ein fail zu erzeugen – und von SPF-Records sah ich dann bei diesem grandiosen, auf dig basierenden Test weit und breit nichts mehr! Als wenn gar kein Eintrag existieren würde! Der geneigte Leser wird spätestens jetzt erahnen, daß ich noch eine andere Möglichkeit des Testens gefunden habe – und er liegt damit richtig! Nachdem ich dummerweise kurz mal abschweifte und Richtung DKIM luscherte (weil ich zwischenzeitlich den Anflug einer vollen Nase in Sachen SPF verspürte…), kam ich auf die überaus geniale Idee, bei SenderScore.org Zeit zu investieren. Schließlich fand ich im Laufe meiner Recherchen folgenden Text bei ReturnPath.com:

Denken Sie auch an Systeme, die in Ihrem Namen bzw. im Namen Ihrer Domains E-Mails verschicken. Um sicherzugehen, dass Sie alle diese Domains erfasst haben, empfehle ich das Return Path-Tool Reputation Monitor. Um sich einen ersten Eindruck zu verschaffen können Sie auch die kostenlose senderscore.org Webseite nutzen. Bei Sender Score geben Sie den Namen der von Ihnen genutzten Domain ein. Am Ende der Seite erhalten Sie dann unter dem Punkt „Related Sending Domains“ eine Übersicht über alle Domains, die E-Mails unter Ihrem Brand versenden. Außerdem ist es sinnvoll, sich mit den Kollegen vom Kundenservice, Ihren internen IT-Administration und natürlich Ihrem E-Mail-Service Provider kurzzuschließen, um die Einführung von DKIM-Signaturen für alle E-Mail-Ströme sicherzustellen.

Klar – ich gab die Domain (faett-boys.de) ein – ich wollte ja sehen, welche Systeme so Mails in diesem Namen versenden. Das “kostenlose Tool” toolte aber nicht -  ich sollte mich erst registrieren. Gleich mit einem komischen Gefühl in der Magengegend zog ich los, diesem Ansinnen Folge zu leisten. Widerwillig, wohlgemerkt !!! Das gipfelte darin, daß ich eine Trash-Mail-Adresse als E-Mail angab, eine 0190-6×6-Rufnummer und lächelnd von 50 Mio versandter Mails pro Monat schwärmte. Es hat mich wirklich gewundert, daß ich nicht noch Schuhgröße, Gewicht und  Brustumfang ein- bzw. angeben mußte. Und wat sah ick anschließend? Nüscht. Nix. Nada. Niente! Nothing! Ok – fast nichts: Ich hatte lt. Sender Score mind. einen MX-Record. Und ein SSL-Zertifikat. Man zeigte mir sogar die Domain dafür an! Woooooooooow! Der (mittlerweile erfolgreich woanders getestete) SPF-Eintrag wurde hingegen nicht ermittelt. Wozu auch? Immerhin will mir die Truppe ja die Vollbetreuung in Sachen DKIM verkaufen, wenn ich meine kursorische Lesebegabung nicht über Nacht verloren habe…. Die verschwommenen Grafiken über den Listen waren weg – aber die vorher angedeutetetn Listen waren dafür jetzt leer. Also Luftnummer! Daß mein ungutes Gefühl richtig war, merkte ich daran, daß ich bei jeder Abfrage – auch als Registrierter – mit der Lupe so ein bescheiden schönes Captcha für Leute entschlüsseln mußte, die irgendwas zwischen halbblind und halbblöd sind… Sorry Leute – nichts zu finden ist das eine (das mag ja sein – gerade ich als DNS-/SPF-DAU kann da nicht mitreden – habe vielleicht was falsches erwartet….)… Mutwillig mit solchen als Captcha getarnten Exkrementen gequält zu werden steht aber auf einem ganz anderen Blatt. Ungerecht? Beschwerden zu meiner bösen Captcha-Kritik könnt Ihr gern an wurst@trash-mail.com senden! Zur Ehrenrettung muß ich anführen, daß zu einer anderen mir bekannten Domain die “versendenden Systeme” korrekt ermittelt wurden…  Aber weiter…

14) Ich stellte mir gerade die Frage, ob ich Selbstmord begehe oder stattdessen lapidar die Spam-Opfer bemitleide und mich anschließend doch einfach zurücklehne – oder ob ich meine gesammelten Erfahrungen für die Nach- oder auch Jetztwelt niederschreibe – je nachdem, ob ich nun doch noch Suizid begehe oder nicht…. (Denn den Eimer für die Mäusemilch habe ich immer noch nicht. Ich bin also gaaaaaanz dicht davor…)  Doch nun kommts: Da – endlich! Es geschehen doch noch Zeichen und Wunder! Nun schon bei Pkt. 14 der “Schnell”-Fortbildungs-Odyssee angelangt kommen wir, wie es scheint. doch endlich in den grünen Bereich!  Ein Tool hat sich tatsächlich als nützlich erwiesen: Im Tool-Bereich von OpenSPF findet man nämlich folgenden Hinweis:

“Port25.com provides another tool to test whether your SPF record is working. Send an e-mail to check-auth@verifier.port25.com and you will receive a reply containing the results of the SPF check.”

Und soll ich Euch was sagen? Das scheint auch ganz hervorragend zu funzen!

15) Der Eintrag “v=spf1 a ptr ip4:212.227.146.25 mx:mx00.kundenserver.de mx:mx01.kundenserver.de -all” lieferte ein klassisches, aber dennoch extrem unschönes fail - aber ich erfuhr so (über den Inhalt der Ergebnis-Mail) von der Existenz geschätzer 18.743 1&1-Mail-Ausgangsserver-IP-Adressen hinter mout.kundenserver.de.

16) Der Eintrag “v=spf1 a ptr ip4:212.227.146.25 mx:mx00.kundenserver.de mx:mx01.kundenserver.de mx:mout.kundenserver.de -all” lieferte ebenfalls ein gepflegtes fail - logisch! Was war MX doch noch gleich? (Der MX Eintrag in ihrer DNS-Zone teilt allen anderen Mailservern der externen Welt mit, auf welche IP-Adresse diese ihre Post für ihre Domäne einwerfen können.) Nun ja – ein sogenannter gedanklicher Schnellschuß – mout hört sich schließlich irgendwie nach etwas anderem an!

17) Übrigens  – und ich hoffe mal, daß ich halbwegs alles richtig übersetzt und kapiert habe: Diese Einträge wurden sogar mit dem Mikro-Saft-Wizard erstellt… ;-)   So langsam verstehe ich, warum die Fuzzis von OpenSPF ihren “Zauberer” in die Verbannung geschickt haben… *lol*… Scheiß DAUs! ;- ) ;- ) ;- )  Ich gucke ja niemanden komisch an – und erst recht nicht in den Spiegel!  Irgendwas scheint wohl zu fehlen… Nun ja – es war schön spät… Oder früh? Egal – es war dunkel… Aber weiter:

18) Nach noch ein wenig mehr genossener Test- und Wartezeit erzielte ich tatsächlich ein relativ unverdächtiges neutral - wahrscheinlich, weil ich in dem Moment den Quatsch im vorigen Punkt noch nicht als solchen verstand und nun erst einmal testhalber die Anführungszeichen bei 1&1 wegließ… Die Quittung kam prompt: Kein SPF-Record in der Result-Mail von Port25 erkennbar! Neutraler gehts nicht! Haha!

19) Ein fast spartanisch anmutendes “v=spf1 a include:faett-boys.de +a +mx -all” (alle A-Records, alle MX-Records… und dummerweise auch alles, was von faett-boys.de kommt – z.B. wenn ein Formular versandt wird – so die Überlegung…) gipfelte in einem überaus verführerischen permerror. Ich steigerte mich also! ;-) Was ich zu diesem Zeitpunkt wohl hinter a vermutet haben mag, frage ich mich jetzt lieber nicht… Außerdem hatte ich da noch nicht verinnerlicht, daß ich mit include: sozusagen SPF-Records von irgendwoher (z.B. dem Provider) importieren will… Insofern war faett-boys.de zu inkludieren natürlich hochgradiger Käse. Tja, ich habe scheinbar ADLS – alt, debil, mit Limburger-Syndrom…

20) Aber sowas macht mich ja erst richtig geil. Jeder andere – wenn er denn überhaupt so lange ausgeharrt hätte – hätte spätestens jetzt seinen Computer mit seiner Schwiegermutter erschlagen. Oder wenigstens umgekehrt… ICH aber nicht. Denn ich bin geizig: Computer sind teuer! ;-)

21) Zurück zum Thema: Wie war das gerade? Geradezu spartanisch? Das war ja wohl nur ein Witz! Es geht doch noch viiiiiiiiiiiel kürzer! Wozu etwas inkludieren, wenn es gar nicht da ist… (Denn: Weitere Records zu SPF sind ja unter der Adresse nicht zu finden, oder?) A-Records, MX-Records – und fertig! Oder so ähnlich. Der Ansatz “v=spf1 +a +mx -all” brachte zwar auch nur ein dämliches fail zu Tage – aber ich näherte mich zumindest der Lösung, wie es mittlerweile scheint! Sieht ja fast so aus wie der ominöse Eintrag unter Pkt. 4)… Ich hätte den mal einfach abmalen sollen – und gut…

22) Aber der Denkprozeß begann allmählich. Wenn A-Records und MX-Records nicht ausreichen – was fehlt denn dann noch? Mein DSL-Netz, in dem mein Client steht? Mit NITRO oder NAPALM als HELO? Oder gar NITRO/NAPALM.local ??? Wird das übermittelt? (Klar – früher gab es unter  http://schizo-bl.kundenserver.de sogar eine Blacklist bei 1&1, auf der man landete, wenn man zu oft mit einem anderen HELO-String mailte…) Jemand, der einen originalen Mail-Header von mir anguckt, kann seinen Rechner doch auch so nennen – dann wäre das alles doch ziemlicher Blödfug. Oder sollte ich als ip4: ein 93.214.0.0/16-Netz eintragen – weil aus diesem Pool meinen Public IPs stammen? Oder eher irgendwo irgendwie noch sowas wie p5DD60789.dip0.t-ipconnect.de ???  So langsam fing ich an, zu überlegen, ob ich nicht doch lieber auf Schuhputzer umsatteln sollte. Für IT a.k.a. EDV war ich wohl zu blöd… Oder doch nicht? Was war noch mal MX? Dann brauche ich ja wohl eher doch sowas wie  mout.kundenserver.de in meinem Record…

23) Hm – toller Trick! Ich weiß ja mittlerweile, wie eine Antwort- bzw. Result-Mail von Port25.com aussieht. Soll ich das jetzt wirklich alles als ip4: einklimpern? Dann droht definitiv ein mittelprächtiger Mittelfinger-Katarrh!

faett-boys.de. 3600 IN A 212.227.146.25
faett-boys.de. 3600 IN MX 10 mx00.kundenserver.de.
faett-boys.de. 3600 IN MX 11 mx01.kundenserver.de.
mx00.kundenserver.de. 1695 IN A 212.227.15.41
mx01.kundenserver.de. 468 IN A 217.72.192.67
187.126.227.212.in-addr.arpa. 86400 IN PTR mout.kundenserver.de.
mout.kundenserver.de. 78284 IN A 212.227.126.133
mout.kundenserver.de. 78284 IN A 212.227.17.24
mout.kundenserver.de. 78284 IN A 217.72.192.75
mout.kundenserver.de. 78284 IN A 212.227.126.135
mout.kundenserver.de. 78284 IN A 217.72.192.73
mout.kundenserver.de. 78284 IN A 212.227.126.131
mout.kundenserver.de. 78284 IN A 212.227.126.130
mout.kundenserver.de. 78284 IN A 212.227.126.134
mout.kundenserver.de. 78284 IN A 212.227.17.13
mout.kundenserver.de. 78284 IN A 212.227.126.187
mout.kundenserver.de. 78284 IN A 212.227.17.10
mout.kundenserver.de. 78284 IN A 217.72.192.74

Doch halt… – gab es da nicht noch PTR ??? Und siehe da: Der SPF-Record “v=spf1 a mx ptr:mout.kundenserver.de -all” erzeugt sage und schreibe ein niedliches pass !!! Ziel erreicht!

Oder? Da man PTR-Queries ja wohl eigentlich vermeiden sollte…
Hm… Hmm… Hmmm ???

Und wenn ich mir dann zu allem Überfluß noch diese Liste mit Mailservern von 1&1 ansehe, habe ich ja eigentlich nur an der Oberfläche gekratzt… Aber stop! Konnte man nicht die SPF-Records des ISP inkludieren? Mit include:_spf.1und1.de?
Hmmmmmmmmmmmmmmm!

Also testen wir mal, welches Resultat “v=spf1 a mx include:_spf.1und1.de -all” liefert…
Und?

PASS !!! ;-) ;-) ;-)


Epilog

Der Gag bei der ganzen Geschichte: Als ich dann zum 83. Male meine Niederschrift hier beäugte, um alles augenkrebsfördernd bunt zu machen und mit zahlreichen Links zu bestücken, fiel mir bei der Suche nach einer unlängst aufgerufenen Seite mit dem Suchwort “SPF-Record” über die Google-Suchergebnisseite der URL http://www.spf-record.de in die Hände… Ein Generator, den sogar ich verstehe, weil er a) kurz und knapp und b) sogar deutsch ist  – und obendrein sogar noch auf Anhieb funzt! Denn was spuckte er aus, nachdem ich die Fragen artig beantwortet habe? Na?

Den anzulegenden Eintrag “v=spf1 a mx include:_spf.1und1.de -all” !!! Und wenn ich erlaube, daß auch Mails über Subdomains gesendet werden, dann kommt in dem Fall das böse, böse PTR ins Spiel: “v=spf1 a mx ptr include:_spf.1und1.de -all”… Geil, wah? :-)

Puh – Schwein gehabt… Brauche ich wohl doch noch nicht zum Schuhputzer umzuschulen… Es wurde nämlich genau das kreiert, was ich mir in einer stundenlangen, schweißtreibenden und wutfördernden Session angelesen und ausgetestet habe… Allerdings hätte mir dieser Generator eigentlich von Anfang an vollauf gereicht… Nun gut – dümmer geworden bin ich durch diese “Session” auch nicht. Aber kann man sowas bitte nicht irgendwo VERNÜNFTIG erklären, so daß DAUs und auch Leute, die immer viel zu kompliziert denken, das auch verstehen, ohne sich Infos von hundert Seiten, von denen ein Drittel veraltet und fast 2 Drittel englisch sind, zusammenklauben zu müssen? Gut – von PC-Enthusiasten wie Bloggern oder Wiki-Betreibern/-Nutzern kann man das nicht verlangen… Ich könnte ja jetzt (FAST :-) ) selbst ‘ne Doku schreiben und mit gutem Beispiel vorangehen… Von 1&1 möchte ich sowas im Hilfebereich aber verlangen dürfen !!!

Übrigens: Daß 1&1 nicht so ganz auf der Höhe der Zeit ist, (SPF-Record statt TXT-Record, RFC4408 vs. RFC7208 oder auch Anzahl der Nameserver nach RFC2182 Sektion 5 (2 NS vs. 3-7 NS) bei Altverträgen), vermutete ich ja schon “auf dem Weg hierher” (bis zu Zeile 17.851 dieses Pamphlets oder so *lol*)… Denn: Nachdem ich bei 1&1 in den DNS-Einstellungen für faett-boys.de meinen letzten Wissensstand einklimperte, stellte ich frecherweise den Eintragstyp von SPF auf TXT um – gemäß RFC! Und siehe da:

Beveridge Hosting DNS Lookup (dig) spuckt im Gegensatz zu vorhin diese Zeile aus:
faett-boys.de.        3600    IN    TXT    “v=spf1 a mx include:_spf.1und1.de -all”

Auch das Lookup-Tool von SPF-Record.de findet JETZT meinen SPF-Eintrag, was es noch nicht tat, als er noch ein “dedizierter SPF-Record” und kein “TXT-Record” war…

Und was soll ich Euch sagen? Sogar bei SenderScore.org  findet man NUN einen SPF-Record…

Auch das zischenzeitlich bei Mail-Tester.com gefundene Test-Tool findet den Eintrag:
1 SPF record found for the domain faett-boys.de :
“v=spf1 a mx include:_spf.1und1.de -all”

Das allerbeste jedoch ist, daß sogar nslookup JETZT endlich die Ausgabe erzeugt, die ich schon vor Stunden sehen wollte:

C:\Users\root>nslookup
Standardserver:  fritz.fonwlan.box
Address:  192.168.178.10
> set q=txt
> faett-boys.de
Server:  fritz.fonwlan.box
Address:  192.168.178.10
Nicht-autorisierende Antwort:
faett-boys.de   text =
"v=spf1 a mx include:_spf.1und1.de -all"
>

Ist das Leben nicht schön? ;-)

Bleibt immer noch die Frage was wäre, wenn der böse Spammer auch bei 1&1 Kunde ist und über dieselben Server seinen Dreck verbreiten würde… Inwiefern würde dieser Eintrag dann meine Echtheit beweisen? Also scheint ja noch was zu fehlen (und wenn’s nur bei mir im Kopf ist)… Stichwort HELO oder so… Aber zumindest die Fuzzis in Malaysia, Uruguay und Japan, die in der Vergangenheit die Mail-Adressen der Fätt-Boys so schamlos mißbrauchten, sollten nun eigentlich erst mal außen vor bleiben – sofern die Mail-Server der Provider “unserer” Spam-Opfer den SPF-Record auswerten. Mal sehen, ob der zwischenzeitlich schon mal abgeklungene und seit 3 Tagen geradezu wieder hyperaktiv auftretende Spam in unserem Namen evtl. endlich nachläßt…

Es sei mal dahingestellt, wie sinnvoll dieser Eintrag sein mag – oder eben auch nicht… ;-) Doch entweder ist dieser eigentlich schon alte Hut für manche in Deutschland das ultimativ Neueste auf dem Markt (*lol* – siehe RFC-Datum oder Forenbeiträge von 2006) – oder bei 1&1 hat man Angst, daß jemand SPF nutzen und daran verzweifeln könnte. Denn Halbwissen reicht scheinbar wirklich nicht. Und gar kein Wissen erst recht nicht. Den wirklich tollen Generator von SPF-Record.de in allen Ehren – aber woher bekomme ich die Info, daß 1&1 unter _spf.1und1.de inkludierbare SPF-Records bereitstellt? Wenn man seitens 1&1 schweigt, versucht es niemand – und kann sich dann auch nicht beim Support melden… Oder wie jetzt? Ich kann jedenfall meiner Meinung nach ETWAS mehr, als nur einen Rechner einzuschalten – und ich sehe mindestens auf diesem Gebiet immensen Nachholbedarf. Ich denke jetzt schon, daß DKIM wohl die bessere Wahl ist: Ich besorge mir per OpenSSL ein Schlüsselpaar, lege einen TXT-Record an, benenne meinen  (_)selector._domainkey ggf. in (_)irgendwas._domainkey, (_)dkim._domainkey, (_)MyFirstDKIM._domainkey oder sonstwas um – trage ihn dann als Präfix ein und gebe meinen öffentlichen Schlüssel im Textfeld an. Dieser ist anschließend (je nachdem, ob er mit Unterstrich beginnt oder nicht…) unter dkim._domainkey.faett-boys.de oder eben unter _dkim._domainkey.faett-boys.de abrufbar. Nun kann man sogar Schlüssel oder/und Selektor alle paar Tage ändern, jeder Mail-Kampagne eigene Schüssel/Selektoren usw. verpassen… Was ich noch nicht gelesen habe: Wie ich meinem Mail-Client den privaten Schlüssel einimpfe – wenn das überhaupt geht. Wenn, dann wahrscheinlich importieren, ggf. über den dazugehörigen Browser bzw. die dazugehörige Zertifikatsverwaltung – so wie ein Zertifikat für digitale Signatur… Allerdings steht an der Stelle für die digitale Signatur ja schon mein Comodo-Zertifikat… Gleich schreie ich wieder nach ‘nem Eimer! Grrrrr! Dieses Mal brauche ich aber einen großen – für etwas unschönes anderes… (Mäusemilch ist mittlerweile out.)

Es sieht aber leider gemäß der ersten 384 Dokumente, die ich gerade mal schnell überflogen habe, so aus, als wenn der private Schlüssel auf dem Mail-Server abgelegt werden muß… Zumindest deutet “Please copy the below text into a new file onto your server. You can name the file _dkim.faett-boys.de.pem for easy reference. You can save the file to C:\pmta on windows or /etc/pmta on linux…” verdächtig eindeutig darauf hin… Zumindest verklickert mir das der testhalber mal angeschmissene DKIM-Wizard von Port25.com

Aber habe ich auf den MTA / Mail Transfer Agent / Mailserver Zugriff? Nein… Aber wozu bietet mir 1&1 dann die Möglichkeit an, den DNS-Einstellungen einen TXT-Eintrag samt Selektor und öffentlichem Schlüssel für DKIM hinzuzufügen? Falls ich mir mit PHP einen Mail-Client progge und dann per sendmail des Webservers verschicke? Da schweigt man sich bei 1&1 mal wieder beharrlich aus; es ist alles sogar noch viiiiiiiiiel “besserererer” dokumentiert als SPF… :-(   Zu diesem ebenfalls mittlerweile uralten Hut finde ich nicht mal Bildchen englicher 1and1-Kunden… :-(

Ich glaube, ich werde den Support von 1&1 mal exzessiv nerven!

Oder ich befasse mich lieber erst einmal mit DKIM-Proxy… Das liest sich nämlich auf den ersten Blick ganz gut… :-)

Und wenn ich schon nichts Wichtiges weiß – eins weiß ich: Ich werde diesen subhumanoiden, kriminellen und mafiösen Drecks-Spammern jedenfalls nicht das Feld kampflos überlassen. Nicht ohne Gegenwehr!

Wer ein Hosting-Paket bei 1&1 hat, kann das mit dem SPF-Record in den DNS-Einstellungen zur Domain ja mal testen. Vielleicht hilft es ja gegen die Spoofer… Was allerdings Leute machen können, die nur eine Mail-Adresse irgendwo haben, übersteigt meine Phantasie nun auch…

Auf jeden Fall werde ich bei Gelegenheit mal posten, ob der gespoofte Spam nachgelassen hat…

PS:
Da ich von Natur aus ein sehr neugieriger Mensch bin, ließ mir das Input-Feld “Präfix” mit dem Hinweis “Dieses Präfix wird für den Eintragnamen verwendet. Nur für DKIM-Einträge erforderlich…” in der DNS-Verwaltung von 1&1 natürlich keine Ruhe., zumal mir die oben erwähnten _ep- und _spf-”Subdomains;-) noch im Gedächtnis waren. Die Ähnlichkeit mit den Selektoren für DKIM war ja offensichtlich. Also verpaßte ich meinem SPF-Record ein Präfix: _spf ließ sich zwar nicht setzen (RegEx-Vorgabe seitens 1&1: (_)foo._bar) – dafür aber z.B. _spf._domainkey… Natürlich endete der nächste Test erst mal wieder mit neutral… Da ich es aber scheinbar kompliziert und doppelt gemoppelt :-) mag, habe ich jetzt 2 Einträge nach dem Muster Name | Typ | Wert:
1)
_spf._domainkey.faett-boys.de
TXT
“v=spf1 include:_spf.1und1.de -all”
   und
2)
 faett-boys.de
TXT
“v=spf1 a mx include:_spf._domainkey.faett-boys.de -all”

Das ist zwar eigentlich Blödsinn – zeigt mir aber, daß ich zumindest halbwegs geschnallt habe, wie das läuft. Denn sämtliche Tools finden “meinen” SPF-Record – auch wenn a und mx bei der Anzeige unterschlägt:

;; ANSWER SECTION:
_spf._domainkey.faett-boys.de. 1050 IN    TXT    ”v=spf1 include:_spf.1und1.de -all”

;; ANSWER SECTION:
faett-boys.de.        799    IN    TXT    ”v=spf1 include:_spf._domainkey.faett-boys.de”

Diese Ergebnisse liefert nslookup:

C:\Users\root>nslookup
Standardserver:  fritz.fonwlan.box
Address:  192.168.178.10
> set q=TXT
>
> faett-boys.de
Server:  fritz.fonwlan.box
Address:  192.168.178.10
Nicht-autorisierende Antwort:
faett-boys.de   text =
"v=spf1 a mx include:_spf._domainkey.faett-boys.de"
>
> _spf._domainkey.faett-boys.de
Server:  fritz.fonwlan.box
Address:  192.168.178.10
Nicht-autorisierende Antwort:
_spf._domainkey.faett-boys.de   text =
"v=spf1 include:_spf.1und1.de -all"
>

Da ja nun fast alle Mail-Server der Welt ;-) ;-) ;-) erlaubt sind, liefert der finale Test über die Mail-Adresse von Port25.com natürlich auch ein nettes und freundliches pass:

----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result:         pass
ID(s) verified: smtp.mailfrom=info@faett-boys.de
DNS record(s):
faett-boys.de. SPF (no records)
faett-boys.de. 972 IN TXT "v=spf1 a mx include:_spf._domainkey.faett-boys.de -all"
faett-boys.de. 972 IN A 212.227.146.25
faett-boys.de. 3600 IN MX 10 mx00.kundenserver.de.
faett-boys.de. 3600 IN MX 11 mx01.kundenserver.de.
mx00.kundenserver.de. 6963 IN A 212.227.15.41
mx01.kundenserver.de. 1822 IN A 217.72.192.67
_spf._domainkey.faett-boys.de. SPF (no records)
_spf._domainkey.faett-boys.de. 969 IN TXT "v=spf1 include:_spf.1und1.de -all"
_spf.1und1.de. SPF (no records)
_spf.1und1.de. 300 IN TXT "v=spf1 a:moi.1and1.com a:moint.1and1.com a:mxint01.1and1.com a:mxint02.1and1.com a:mbulk.1and1.com a:mout.kundenserver.de a:mout.perfora.net -all"
moi.1and1.com. 83091 IN A 212.227.126.208
moi.1and1.com. 83091 IN A 212.227.126.209
moi.1and1.com. 83091 IN A 212.227.17.1
moi.1and1.com. 83091 IN A 212.227.17.2
moint.1and1.com. 72245 IN A 212.227.17.27
moint.1and1.com. 72245 IN A 212.227.17.7
moint.1and1.com. 72245 IN A 212.227.15.7
moint.1and1.com. 72245 IN A 212.227.15.8
mxint01.1and1.com. 600 IN A 212.227.126.206
mxint01.1and1.com. 600 IN A 212.227.17.16
mxint02.1and1.com. 600 IN A 212.227.17.17
mxint02.1and1.com. 600 IN A 212.227.126.207
mbulk.1and1.com. 76885 IN A 212.227.126.223
mbulk.1and1.com. 76885 IN A 212.227.126.222
mbulk.1and1.com. 76885 IN A 212.227.126.221
mbulk.1and1.com. 76885 IN A 212.227.126.220
mout.kundenserver.de. 85194 IN A 212.227.17.10
mout.kundenserver.de. 85194 IN A 212.227.17.24
mout.kundenserver.de. 85194 IN A 212.227.126.133
mout.kundenserver.de. 85194 IN A 212.227.126.134
mout.kundenserver.de. 85194 IN A 217.72.192.74
mout.kundenserver.de. 85194 IN A 212.227.17.13
mout.kundenserver.de. 85194 IN A 212.227.126.130
mout.kundenserver.de. 85194 IN A 212.227.126.135
mout.kundenserver.de. 85194 IN A 217.72.192.75
mout.kundenserver.de. 85194 IN A 212.227.126.187
mout.kundenserver.de. 85194 IN A 217.72.192.73
mout.kundenserver.de. 85194 IN A 212.227.126.131

Irgendwie ist mir das zwar gefühlsmäßig viel zu viel, was ich da erlaube – ich werde doch noch mal 1&1 rausschmeißen, vielleicht nur mout.kundenserver erlauben und etwas mit PTR rumspielen – mal sehen… Erst mal bin ich halbwegs zufrieden.

Tja, da haben die kleinen Mäuschen dieser Welt ja noch mal richtig Schwein gehabt… ;-)

Fw: Important! – HELO WORLDST-UQ3K9Q0


Es ist mal wieder Spam-Time !!! :-(

Momentan rollt wieder mal eine extreme Spamwelle durchs Land… Leider auch in unserem Namen…

Eins vorweg:

WIR VERSENDEN NIEMALS E-MAILS MIT DEM BETREFF “Fw: Important” ODER “Try it out” !!! NIEMALS !!! NICHT ÖFFNEN BZW. DEN ENTHALTENEN LINK ANKLICKEN !!!

Wer betroffen ist und sich nicht für Mutmaßungen usw. interessiert, sollte bitte nach unten scrollen und den letzten Teil (rot) lesen!

Der erste Gedanke ist natürlich gewesen, daß wir uns Schadware eingefangen hätten, die sich im E-Mail-Client umsieht – und in unserem Namen alle möglichen Kontakte, z.B. aus dem Adreßbuch anschreibt… Aber ist es wirklich so?

1) Die benutzten Betriebssysteme sind aktuell bzw. werden zumindest noch “erweitert” supportet – sprich, etwaige Sicherheitslücken werden nach wie vor durch Updates gefixt.
2) Die Systeme verfügen über vernünftige (!) Antivirensoftware.
3) Sämtliche einschlägigen Tools (HiJackThis, MBAM, OTL, TDSSKiller) finden nichts.
4) Es werden sowohl Kontakte angeschrieben, die im Adreßbuch stehen, als auch Kontakte, die dort nicht verzeichnet sind…
5) Es werden auch gänzlich Fremde angemailt, die überhaupt noch nie im E-Mail-Client aufgetaucht sind – weder als Absender, noch als Empfänger !!!
6) “Wir” spammen uns selbst zu (siehe 7) – zumindest legt das die angebliche Absenderadresse nahe, auch wenn die Mail einen anderen Absendernamen hat… Dieser Name stammt mal aus dem Adreßbuch, mal auch nicht – dann haben wir aber zumindest schon Mails vom echten “Namensträger” erhalten – oder wir haben den Namen überhaupt noch nicht gesehen…
7) In den E-Mail-Headern tauchen unsere Adressen empfängerseits auch auf (siehe 6). Witzigerweise mit den Namen anderer Konten, mit Fantasienamen – mit Namen von Kontakten (egal, ob im Adreßbuch eingetragen oder nicht) oder gänzlich fremden Namen – oder auch ohne Namen, dann dafür mit dem local-part der Mailadresse (vor dem @)…
8) Die zum Versand genutzten bzw. mißbrauchten  Adressen stimmen auch nur partiell mit den vorhandenen bzw. eingerichteten Konten überein. So werden z.B. von 13 im Client eingerichteten Adressen / Konten (mit verschiedenen Domains) nur 7 benutzt …
9) Der X-Mailer – sofern nicht gefälscht – ist in allen Fällen Outlook 15 (2013), welches hier gar nicht im Einsatz ist.

Ehrlich gesagt sieht das für uns nicht so aus, als wenn wir Schadware auf dem Rechner / den Rechnern hätten. Dazu ist das Schema irgendwie zu wenig erkennbar.

Eine Gemeinsamkeit ist dann aber doch aufgefallen: Alle “entführten” Mail-Adressen stammen aus einem Vertrag – sie werden also über einen Account / ein “Kundencenter” verwaltet !!!

Gucken wir uns doch mal eine typische Mail an:

Return-Path: <info@f*e*t-b**s.de>
Received: from [212.227.15.41] ([212.227.15.41]) by mx.kundenserver.de
(mxeue005) with ESMTPS (Nemesis) id 0MhJvZ-1a1R8o2sEb-00MJZC for
<info@f*e*t-b**s.de>; Thu, 24 Sep 2015 22:49:59 +0200
Received: from mailout06.albacom.net ([217.220.33.6]) by mx.kundenserver.de
(mxeue005) with ESMTPS (Nemesis) id 0MJJ0A-1ZhycX2mxG-002smH for
<email@e*t**o.de>; Thu, 24 Sep 2015 22:49:59 +0200
Received: by mailout06.albacom.net (Postfix, from userid 496)
id E09B14E9A98; Thu, 24 Sep 2015 22:49:58 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
by mailout06.albacom.net (Postfix) with ESMTP id CC4F14E998A;
Thu, 24 Sep 2015 22:49:58 +0200 (CEST)
X-Virus-Scanned: amavisd-new at albacom.net
Received: from mailout06.albacom.net ([127.0.0.1])
by localhost (mailout06.albacom.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 3YN2R4DyZmer; Thu, 24 Sep 2015 22:49:57 +0200 (CEST)
Received: from WORLDST-UQ3K9Q0 (r167-58-7-59.dialup.adsl.anteldata.net.uy [167.58.7.59])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
(Authenticated sender: account@condy.it)
by mailout06.albacom.net (Postfix) with ESMTPSA id B704C4E97A6;
    Thu, 24 Sep 2015 22:49:34 +0200 (CEST)
From: P######o <info@f*e*t-b**s.de> (0)
To: “info” <info@p######o.de> (1),
“email” <email@e*t**o.de>,
“info”
<info@f#####r-p####o.de> (2),
“info” <info@d*s*o.com>,
“info” <info@d*s*o.com>,
“info” <info@d*s*o.com>,
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“Olaf Hilgendorf” <email@e****o.de> (3)
,
“information” <information@t**s**o.de>,
“email” <email@e*t**o.de>,
“info” <info@d*s*o.com>,
“email” <email@e*t**o.de>,
“info” <info@d*s*o.com>,
“webmon” <webmon@e*t**o.de>,
“e*t**o” <e*t**o@trash-mail.com> (4)
,
“info” <info@d*s*o.com>,
“info” <info@d*s*o.com>,
“Olaf Hilgendorf”
<email@e*t**o.de> (3),
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“Olaf Hilgendorf” <email@e*t**o.de> (3)
,
“S### M#####s” <email@e*t**o.de> (5),
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“T##### B####r” <t#####.b####r@gmx.de> (6),
“info” <info@d*s*o.com>,
“info” <info@d*s*o.com>,
“Olaf Hilgendorf” <email@e*t**o.de> (3)
,
“email” <email@e*t**o.de>,
“info” <info@d*s*o.com>,
“email” <email@e*t**o.de>,
“EiTiCo.de” <email@e*t**o.de> (7),
“information” <information@t**s**o.de>,
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>
Date: Thu, 24 Sep 2015 22:49:26 +0200
Message-ID: <000060b1907b$c7768bb4$11a13770$@f*e*t-b**s.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_0001_04FF1368.0245850D”
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdD1O9NKea+72BjO55ljpB1aGdRI7A==
Content-Language: en-us
X-Antivirus: avast! (VPS 150924-1, 24/09/2015), Outbound message
X-Antivirus-Status: Clean
Envelope-To: <info@f*e*t-b**s.de> 
Subject: [SPAM?] Fw: important

This is a multipart message in MIME format.

——=_NextPart_000_0001_04FF1368.0245850D
Content-Type: text/plain; charset=”us-ascii”
Content-Transfer-Encoding: 7bit

Hey!

Important message, please visit <http://m##########j.com/c######e.php?tah5r>

P######o (8)

——=_NextPart_000_0001_04FF1368.0245850D
Content-Type: text/html; charset=”us-ascii”
Content-Transfer-Encoding: quoted-printable

Interessant ist beim (angeblichen) Absender und bei den Empfängern folgendes:
(0) – Der Name stammt von jemandem, der uns sonst (ungefragt) nur mit Newslettern versorgt  – die Adresse ist unsere – schließlich geht es ja darum, daß “wir” (angeblich) spammen…
(1) – echte E-Mail-Adresse des Newsletterversenders siehe (0)
(2) – unbekannte Adresse (nie etwas von dem Abs. erhalten oder an ihn gesendet)
(3) – weder in der E-Mail-Postfach-Konfiguration, noch im Client ist dieser Name mit der E-Mail-Adresse so gepaart; aber
a) Olaf Hilgendorf könnte so bei Bekannten (und ebenfalls Betroffenen) in Adreßbüchern hinterlegt sein;
b) der Name könnte als Paar mit der Adresse aus den Headern erhaltener Mails stammen (z.B. wg. Pkt. a);
c) die Zuordnung kann sich auch aus der Zugehörigkeit der Mail-Adresse zum Kundenkonto / Account / Vertrag ergeben – letzterer läuft auf “Olaf Hilgendorf”…
(4) – an diese Adresse wurde mal was verschickt – zu Testzwecken
(5) – der gute Mann ist ein Kontakt, er hat aber eine eigene E-Mail-Adresse und nutzt nicht eine von uns; er steht definitiv NICHT im Adreßbuch; lediglich frühere Mails an ihn und von ihm liegen in Postfach-Unterordnern auf dem Server
(6) – dito bzw. siehe (5); allerdings beschränkt sich das Geschehen(e) auf eine einzige Mail, die wir vor Jahren mal erhalten (und leider damals auch noch übersehen) haben
(7) – siehe 3a / 3b
(8) – cool – die Unterschrift paßt wenigstens zum Absendernamen i.S.v. (0) ;-)

Es sieht also daher so aus, aus wenn jemand Zugriff auf den Provider gehabt hätte… Und zwar hintenrum. Denn über ein normales Social Hacking, Brute Force bzw. eine Wörterbuchattacke käme man vielleicht (u.U. erst nach 128 Jahren *lol*) ins Kundencenter – aber dort sieht bzw. findet man die Paßwörter nicht. Man könnte neue vergeben, um Zugriff auf die ganzen Mailkonten zu erhalten – das ja. Aber dann würden unsere Clients hier den Dienst verweigern! Wiederum ist es so, daß man von Providern erwarten können sollte, daß Paßwörter nur verschlüsselt in Datenbanken abgelegt werden, falls jemand auf diese Zugriff hätte… Fragen über Fragen!

Wären wir jetzt beim “Rosa Riesen” bzw. bei der Telekom, wäre der Fall klar. Dort hat man unlängst zähneknirschend zugeben müssen, daß man “beraubt” wurde – Angreifer haben eine nicht unbeträchtliche Menge Zugangsdaten zu E-Mail-Konten erbeutet… (Soviel zum Thema PW-Verschlüsselung… – oder wie soll man das sonst verstehen? Haben die Diebe etwa MD5-Rainbow-Tables zur Entschlüsselung benutzt?)

http://www.golem.de/news/security-massenhaft-spam-ueber-t-online-konten-versendet-1508-115844.html
http://www.bild.de/digital/internet/t-online/t-online-hack-42244992.bild.html

Andere Anbieter sind jedenfalls offiziell bislang nicht betroffen bzw. haben sich zumindest diesbezüglch noch nicht geoutet. (Das war zumindest mein Kenntnisstand, als ich diese Zeile schrieb. Mehr dazu weiter unten…)

Tja – nehmen wir mal frecherweise an, 1&1 wäre auch betroffen – schließlich stehen da – wie bei T-Online – auch nur ein paar Computer rum… ;-) ;-) ;-) Das würde zumindest erklären, warum die Rechner hier beim Malwarecheck als “unkompromittiert” abschneiden…

Folgendes Szenario: Man hat “vertragsweise” (indem ein Kundenaccount nach dem anderen abgeklappert wurde) E-Mail-Zugangsdaten erbeutet – und von mir aus auch noch die Paßwörter entschlüsselt, sofern diese nicht im Klartext vorliegen…  Vielleicht gibt es in der Datenbank ja sogar eine Tabelle mit folgenden Spalten:

id | emailadresse |  pw | absendername | kdnr

Dann wäre das ja wohl ohne Weiteres möglich… Fix eingeloggt, Mails auf dem Server nach Empfängern “gegrabbt”, in einen Pool, der der Kundennummer zugeordnet wird, gepackt…

Obwohl wir selbst Adresse A benutzen, um die Kontakte 1-5 anzuschreiben, Adresse B für die Kontakte 6-15, Adresse C für die Kontakte 16-75 und  – in anderen Belangen bzw. Angelegenheiten – die Adresse D für die Kontakte 1, 23, 46, 68 und 72, könnte man jetzt die Adressen A-D nutzen, um alle 75 Kontakte zuzuspammen. Hinzu kommen noch einige Adressen aus Pools, die zu anderen Kunden(nummern) gehören… Obendrein nimmt man die geklauten Absendernamen und verteilt die fast wahllos auf erbeutete E.Mail-Adressen. Und schon hat man ein Sammelsurium aus angeblichen Absendernamen, die man zwar kennt, und angeblichen Mailadressen, die man auch kennt – die aber nicht zusammenpassen. Um die Verwirrung (und die Reichweite) noch zu steigern, werden dann noch ein paar Daten aus anderen geknackten Accounts reingeballert – fertig. Und Empfängernamen (generiert oder aus dem Gesamt-Absenderpool gewonnen) und -adressen werden obendrein auch noch gemischt.

Hat man erst einmal Zugriff auf eine entsprechende Datenquelle, sollte ein solcher Algorithmus bzw. ein solches Skript recht schnell zusammengeklatscht sein – ein paar multidimensionale Arrays, etwas array_push(), etwas shuffle(), ein wenig rand() – fertig. Dann noch ein offenen Relayserver, der nicht auf den Blacklists steht. Ready – steady – go! Let’s spam !!!

Der Knackpunkt ist aber nach wie vor: Wo kommen die Daten her? Nach der obigen Analyse ergibt sich scheinbar eine Kausalität zwischen Vertrag – Namen – Adressen – Empfänger… Und das deutet auf den Provider. Denn die uns gänzlich unbekannte Empfängeradresse (2) existiert hier auf keinem der Rechner – weder in irgend einem E-Mail-Client noch sonstwo! Sofern sie nicht im Klartext auf einer Internetseite stand, die dann per ungewolltem Zwangs-Popup bzw. einem Layer in den “Cache” bzw. die “Temporary Internetfiles” gewandert ist, kann sie NIRGENDS auf dem Rechner vorhanden sein! Für den Berufszweig, in dem die Firma tätig ist, hat sich hier noch nie jemand interessiert…. Außerdem müßte die unfindbare Malware dann auch noch den Browsercache durchforsten, nur um E-Mail-Adressen potentieller Opfer zu finden… Also sollte man davon ausgehen können, daß zumindest die Empfänger-Adressen aus anderen Quellen stammen. Nun gut – es gibt ja Datenbanken zu kaufen… :-( Und Harvester…

Aber trotz allem: Wenn Zugriff auf die Daten im Client vorläge – wieso beschränkt sich der Mißbrauch nur auf die Konten eines Vertrages – und erstreckt sich nicht auch auf die anderen vom Client zu verarbeitenden Mail-Adressen? Werden dann wirklich Mails nach potentiellen Empfängern durchsucht, weil manche Empfänger echte Kontakte sind -. aber nicht im Adreßbuch stehen?

Uns gibt das jedenfalls sehr zu denken.

Headeranalyse:
http://www.gaijin.at/olsmailheader.php

Weitere Links zum Problem:
http://www.netzwelt.de/news/154262-gefaehrliche-e-mails-deutsche-telekom-warnt-neuer-spam-welle.html
https://www.reddit.com/r/24hoursupport/comments/3k4y3t/something_is_sending_spam_emails_through_my_edu/

Weitere Infos / Mutmaßungen / Betrachtungen:
18.08.2015 – Heise: Web.de/GMX.de/1&1 auch betroffen – nur mobil und ohne Cookies… (ACH SO ??? Hm…)
18.08.-21.09.2015 – Administrator.de: Quelle der Daten nach wie vor unklar
19.08.2015 – Blogschrott: Fiese Spam-Mail-Attacken
19.-20.08.2015 – Heise: Forenübersicht “Deutsche. Telekom warnt vor Spamwelle”
20.09.2015 – agoraBlog: WORLDST-UQ3K9Q0 – …unterschätzter neuer Super-Hack??


Fazit nach dem Lesen diverser Beiträge:

• Die Spamwelle läuft mindestens seit Mite August 2015.
• Es sind nicht nur Konten bei T-Online und Arcor betroffen, sondern auch Konten bei Web.de, GMX und 1&1 (wenn auch “nur” von 20.000 Mobilnutzern…).
• Befindet sich ein Virus auf den Rechnern der Versender? Vermutlich nein – Virenschutzsoftware findet nichts.

Der Link in den Spam-Mails ist potenziell gefährlich! Nicht anklicken bzw. öffnen!
Das Paßwort des Mailpostfachs könnte evtl. die Schwachstelle sein und sollte geändert werden, auch wenn das in etlichen Fällen NICHT half…
Der spammende Client nennt mittels HELO den Namen WORLDST-UQ3K9Q0.
• Der X-Mailer ist in allen Fällen  – sofern nicht gefälscht – MS Outlook 15 (2013).
• Die zugespammten Kontakte wurden wahrscheinlich aus ALLEN vorhandenen Mails extrahiert und bunt durcheinandergewürfelt!

• Die Mails stehen nicht im Ordner “Sent” / “Gesendet” / “Gesendete Objekte”.
• Versand erfolgt aus Uruguay, Italien, Japan usw.

Was kann man also tun?

• Auf jeden Fall sollte man (als angeblicher Versender) die Paßwörter der E-Mailkonten ändern und sein System scannen. Vorsichtshalber. Evtl. gibt es Abwandlungen / Modifikationen mit gleichem Verhalten und anderer Ursache!
• Und wer (als Empfänger) zufällig eine solche Mail bzw. den enthaltenen Link geöffnet hat, sollte sein (hoffentlich aktuelles) System ausgiebig bezüglich eines Malware-Befalls untersuchen. Manche Seiten sind gefährlich (Malware), andere Links führen zu Casinos oder Seiten, die “7.600,- Euro Nebenverdienst in nur einer Woche” oder ähnlich dubiosen Müll bewerben…

Viel mehr kann man eigentlich gar nicht tun (siehe Nighthawks Kommentar auf https://answers.avira.com/de/question/neuer-emailspam-bot–fw-important-40938). Spam von gefälschten Absendern, sog. E-Mail-Spoofing (es reicht ja schon das vermeintliche “Abbestellen” eines “Newsletters” von Spammern – schon ist bekannt, daß die Adresse existiert… – oder gar der Versand an eine Adresse, sofern kein “Mail delivery failed: returning message to sender” gemeldet wird…) wird es wohl immer geben…

Insofern ist das einzige, was wirklich helfen würde, die betroffene(n) Mail-Adresse(n) aufzugeben und sich (eine) neue zuzulegen, nachdem man ALLE Kontakte darüber informiert hat. Der Spam mit der/den alten Adresse(n) hört dann zwar nicht zwingend auf – aber zumindest hat man gute Argumente, daß man selbst nicht der Spammer ist… Das hilft dann aber u.U. auch nur bis zur nächsten Newsletter-Abmeldung – oder bis zur nächsten erfolgreich ausgelieferten “Ping”-Mail, die die Empfängeradresse wegen eines fehlenden Fehlers verifiziert … ;-)

PS / Update:
Dasselbe trifft mittlerweile übrigens auch auf Mail mit HELO=WIN-NPPN1JPV75J zu!
Siehe dazu auch der Beitrag “Ganz kleine Eimer…” vom 09.12.2015.

E-Mail-Versand über Website funktioniert nicht mehr…


Ein XTC-Shop (oder eine andere Website) versendet plötzlich (scheinbar) keine E-Mails mehr… Man selbst ist sich jedoch keiner Schuld bewußt… Woran kann es also liegen?

Das Problem muß nicht unbedingt auf einer falschen Konfiguration oder einem Hack beruhen… Handelt es sich evtl. um Billig-Webspace bei einem Massenhoster? Dann ist es wahrscheinlich, daß es sich um eine ganz andere Ursache handelt…

Es wird im Video gezeigt, was man neben Konfiguration und Scriptcode noch prüfen sollte – am besten sogar zuerst!

Für den Fall, daß sich das Ergebnis dieser Prüfung mit den Befürchtungen deckt, wird auch grob erklärt, was zu tun ist bzw. was das Beste wäre, um einem Wiederholungsfall vorzubeugen… Und das wäre aus SEO-Gründen ohnehin ratsam…

Weiterführende Links:
http://www.zdnet.de/39160890/dns-blacklisting-e-mail-verbot-fuer-unschuldige/
http://www.returnpath.de/blog-press/leitfaden-zu-e-mail-blacklists-alles-was-sie-uber-die-schwarzen-listen-wissen-mussen/

Übrigens: Den Shop kann man nur empfehlen! Leckeren Met und vieles mehr gibt es bei http://metladen.de bzw. http://met-honigwein-shop.de !!!

.

Von Pornos kriegt man wunde Finger…


… und scheinbar machen erstere auch dumm. Zumindest denken die Trittbrettfahrer, die auf die aktuelle RedTube-Abmahnwelle aufspringen, so oder ähnlich über ihre potentiellen Wunsch-Opfer.

Derzeit werden – und das stimmt so weit – Urheberrechtsverletzungen abgemahnt, die durch das bloße Streamen eines heißen Streifens über das Portal Redtube begangen worden sein sollen. So haben wohl etliche Internetuser “Werke” wie “Amandas Secrets” konsumiert, um dabei Hand an sich zu legen.

Mal davon abgesehen, daß jeder Mensch mit etwas Grips wissen müßte, daß die temporär im Cache liegenden Dateischnipsel Bestandteil bzw. Folge des technischen Vorgangs des Streamens sind… – die Frage, ob das bereits eine Vervielfältigung ist oder nicht, ist noch gar nicht eindeutig geklärt und in der Juristerei stark umstritten.

Jedenfalls wurden IPs gesammelt, Adreßdaten angefragt und auch herausgegeben; Abmahnungen sind unterwegs. Doch auch die eingangs erwähnten Trittbrettfahrer sind mit von der Partie und verschicken Abmahnungen per E-Mail.

Während unsereiner dümmliche E-Mails mit dummen Anhängen von noch dümmeren Absendern vollends ignoriert und im Zweifelsfalle auf altmodisches Papier mit Aktenzeichen, Stempel und Unterschrift  wartet, gibt es natürlich wie immer unbedarfte User, die feucht in der Hose werden. Nicht so wie einst, vorn, beim Konsum der “Secrets” – nein; dieses Mal hinten, beim Anblick der Mail. Bibber, schlotter, zitter – und schon ist die Hose voll!

Vor Schreck und in ängstlicher Neugier wird dann geklickt – und schon teilt der Rechner das Schicksal der Hose:

AntiVir     TR/Matsnu.A.113     
ESET-NOD32  Win32/Trustezeb.E     
Ikarus      Trojan-Spy.Zbot     
Kaspersky   Trojan-Dropper.Win32.Injector.jspw     
McAfee      Artemis!38B1862A42A6     
Sophos      Mal/Generic-S

Der Gag ist, daß sich diese – Entschuldigung – Scheiße gar nicht auf den Rechner ergießen müßte, wenn man nicht jeden Mist öffnen würde. Da lobe ich mir doch mein Outlook Express, daß mir einen Blick in den Quelltext ermöglicht:

Logdaten meiner Mahnung? Nanü? Was das wohl ist?

Also ne, ehrlich mal… Der Traggi wieder… Hinter traggi@arcor.de vermutet man natürlich sofort einen seriösen Anwalt. Und was der alles weiß, hat und kann… – sagenhaft!!!

Der weiß z.B. nämlich heute schon, daß ich am 19.12.2013 um 23:15:50 Uhr über 64-21-220-14.static-ip.telepacific.net Amandas Geheimnisse ergründen werde.

Respekt !!!

Bei so viel Know-How haben dumme Pornojunkies keine Chance, erst recht keine Wiederholungstäter. Ich bin übrigens auch einer, da ich gar nicht genug von dem Steifen – äh… Streifen kriegen kann. Habe ich doch am 02.12. auch schon gesündigt, dieses Mal über c-76-20-208-128.hsd1.ga.comcast.net… Meine Güte, ich wußte gar nicht, daß ich soooooo viel DSL habe..

From: "=?utf-8?q?Rechtsanw=C3=A4lte Urmann und Collegen?=" <ideas@casema.nl>
To: "Hilgendorf Olaf" <napalm@faett-boys.de>
Subject: Redtube Urheberrechtsverletzung an dem Werk Amandas secrets
Date: Tue, 10 Dec 2013 10:32:19 GMT
Datum/Uhrzeit: 02.12.2013 22:64:62
IP-Adresse: 76.20.208.128 Hilgendorf Olaf
Produktname: Amandas secrets
Benutzerkennung: 98330189939
Stream Seite: Redtube
Gegenstandswert: 3450,00 Euro
Geschäftsgebühr §§ 13, 14, Nr. 2030 VV RVG: 175,12 Euro
Pauschale für Post und Telekommunikation: 32,28 Euro
Schadensersatz: 83,45 Euro
Aufwendung für Ermittlung der Rechtsverletzung pauschal: 70,00 Euro

Tja, dann ist es wohl in Zukunft erst mal Essig mit dem Onanieren. Da werde ich wohl meine wunden Fingerchen eher vom Stricken kriegen… Denn für so viel Kohle müssen nicht nur alte Omis lange stricken. Hinzu kommt, daß ich chronisch langsam bin…

Oder… Bessere Idee !!! Ab in die Tonne mit dem Müll! Auch Outlook Express verfügt über eine Löschfunktion…

Hintergrund:
• Streaming-Abmahnungen schrecken Internet-Nutzer auf
• Abmahnung von Streaming-Nutzern: Nur ein Missverständnis?
• RedTube: Streaming-Abmahnungen unwirksam?
• Warnung: Fake-Abmahnung von U+C Rechtsanwälte im Umlauf
• Streaming-Abmahnung! Schon tausende User sind davon betroffen! U+C Rechtsanwälte

SEO-Spam: SeoWeb-Suchmaschinenoptimierung.net


Unser Spam-Report geht nach der Betrachtung von Web-Progress.net in die zweite Runde… Derzeit flattern Webmastern Spam-Mails von SeoWeb-Suchmaschinenoptimierung.net ins Haus, in denen die Optimierung der Website samt garantiertem Einzug in die Top Ten der Google-Suchergebnisse angeboten wird… Kann wenigstens diese Firma halten, was sie verspricht? Taugt denn wenigstens dieses Angebot etwas? Sind die 149,- Euro (Standardpreis inkl. MwSt) gut investiert? Sollten etwaige Zweifler vielleicht gerade jetzt zuschlagen, um im Rahmen der derzeitigen Promotion-Aktion 15% der Kosten zu sparen?

Oder handelt es sich auch bei diesem Angebot nur um Abzocke? Ist das auch wieder Dummenfang – so wie bei Web-Progress.net? Oder ist es sogar Betrug – weil auch dieses ”Unternehmen” etwas anbietet, wovon man dort gar keine Ahnung hat?

Wir beleuchten in diesem Video die Qualifikation dieser “Firma” anhand ihrer Unternehmenswebsite – denn die sollte doch wohl repräsentativ sein und potenzielle künftige Kunden überzeugen, oder? Ansonsten bräuchte man ja auch keine Referenzen anzugeben…

Nach dem Ansehen dieses Videos sollte sich jeder selbst ein Bild davon machen können, wie es um die Seriosität dieses “Unternehmens” bestellt ist.


(Download)

Die Aussagen zu den Impressumsvorgaben stellen keine Rechtsberatung dar und ersetzen auch keine. Es wurden lediglich Gedanken, die auf beruflichen Erfahrungen beruhen, geäußert.

Daß wir auch in diesem Fall wieder mit unserer Einschätzung richtig liegen, ist auf folgenden Seiten ersichtlich:
http://spamschleuder.wordpress.com/2013/02/15/15-prozent-rabatt-fur-die-optimierung-der-webseite/
http://www.seo-web-seo.de/index.php/seo-blog/101-achtung-dieser-spam-kommt-nicht-von-uns
http://www.antispam-ev.de/forum/showthread.php?34052-Seoweb-Suchmaschinenoptimierung
http://www.virenguard.de/threads/professionelle-suchmaschinenoptimierung-durch-seoweb.84/
https://consultdomain.de/forum/domaincafe/60431-spam-von-seoweb-suchmaschinenoptimierung.html
http://www.onlineshopsiegel.de/forum/viewtopic.php?f=25&t=838
https://www.onlineshopsiegel.de/forum/viewtopic.php?f=25&t=730 (Vorläufer-Seite)
http://www.mywot.com/en/scorecard/seoweb-suchmaschinenoptimierung.net
http://www.webutation.net/de/review/seoweb-suchmaschinenoptimierung.net
http://wwww.stangl.eu/2713/15-prozent-rabatt-fur-die-optimierung-der-webseite

Besonders interessant, um nicht zu sagen witzig:
http://www.seo-united.de/blog/seo-offtopic/wie-man-nervige-seo-agenturen-aufs-korn-nimmt.htm
http://www.kolumne24.de/unprofessionelle-werbung-der-firme-seoweb-am-ueberseering-25-in-hamburg

SEO-Spam: Web-Progress.net


Derzeit flattern Webmastern Angebote von Web-Progress.net ins Haus, in denen die Optimierung von Webseiten angeboten bzw. versprochen wird. Kann die Firma halten, was sie verspricht? Taugt das Angebot etwas? Oder ist es nur Abzocke? Dummenfang? Eine Adreßdatensammlung? Oder gar Betrug?

Wir beleuchten in diesem Zweiteiler mal die Qualifikation dieser “Firma” anhand ihrer Unternehmenswebsite – denn die sollte doch wohl repräsentativ sein, oder?

Wenn man den Angaben diverser Antispam-Seiten trauen kann, handelt es sich um eine Art Briefkastenfirma, die von polnischen Adreßhändlern, die in der Vergangenheit bereits unter dem Namen “GC GlobalContact” mit ständig wechselnden Domains und jeder Menge SPAM glänzten, betrieben wird.


(Download)


(Download)

Die Aussagen zu den Impressumsvorgaben stellen keine Rechtsberatung dar und ersetzen auch keine. Es wurden lediglich Gedanken, die auf beruflichen Erfahrungen beruhen, geäußert.

Daß wir mit unserer Einschätzung nicht allein sind, zeigt sich auch auf folgenden Seiten:
Antispam-ev.de
Abbruchunternehmen.blogspot.de
Spam.Tamagothi.de
Stangl.eu (Ok… Aber schlechter sind wir auch nicht… *lol*)
Blog.Schockwellenreiter.de
Spamschleuder.Wordpress.com
Productforums.Google.com
McGrip.de
Netrix.de
JHMC-Blog

Man braucht sich ja auch gar nicht zu wundern, warum dieser Schrott aus der Didierstraße 1 in Wiesbaden stammt – zumindest dann nicht mehr, wenn man das hier bzw. das hier weiß… ;o)

‘Nichts als Ärger’ oder ‘Die Wahrheiten des Mr. Murphy’


Man stelle sich einmal vor, man hätte normalerweise keine, wenig oder kaum Zeit. Und dann kommt er – der eine Tag, an dem man sich sagt: “So, das wird jetzt durchgezogen…”

Man nimmt sich also irgendwie die Zeit, ist frohen Mutes und geht voller Elan ans Werk. Doch wenn dann tatsächlich auch noch alles klappen sollte, ist das ja fast schon wieder irgendwie langweilig. Also sollte, muß und wird – ganz nach Murphys Gesetz – irgendwas schiefgehen…

Worum geht es also? Wir haben ja bekanntlich mehrere GooglePlus-Seiten. Eine für die Fätt-Boys, eine für DISEPO, eine für EiTiCo und eine für 3SEPO.

Die ersten 3 Seiten dienen prinzipiell dazu, auf die Blog-Artikel der entsprechenden Bereiche zu verweisen.

3SEPO enthielt ursprünglich nur die reinen 3SEPO-Mitteilungen – und schmierte dann irgendwann wegen ein paar nicht glücken wollenden Adreßänderungen ab. Error 500 – That’s all that we know. Mit Forum, Problemmeldung usw. dauerte es 2 Monate, bis die Seite wieder administrierbar war. Und das gerade zu der Zeit, als ich einen Link aufs Impressum einfügen wollte…   

Da ich nicht wußte, ob sich überhaupt mal was ändert, legte ich ein neues 3SEPO-Profil an und bat beim Support 2 mal um Löschung des alten. Allerdings tat sich diesbezüglich nichts.

So dümpelte lange Zeit (bis es auf einmal wieder administrierbar war und ich es dann wegen der überall erfolgten Verlinkung aufs neue Profil löschte) ein altes, kaputtes Profil im Netz rum – und ein neues, jungfräuliches. Ich hatte bislang keine Zeit, die alten Einträge einzupflegen.

Wir erinnern uns kurz an die Einleitung… Ich habe mir die Zeit genommen. Nach dem Motto “Klotzen, nicht kleckern” entschied ich mich, im 3SEPO-Profil sämtliche Artikel aufzunehmen, die auch das 3SEPO-Blog bietet.

Das Problem dabei ist aber wohl, daß sich seit dem 17.01.2012 mittlerweile 93 Artikel im Blog befinden. Prompt war gut die Hälfte der Links plötzlich ein Verstoß gegen die Google-Richtlinien. Vermutlich wegen Spams.

Kurioserweise sind aber nicht die Einträge x-93 betroffen, sondern die Einträge 2-x, wobei x der insgesamt soundsovielte Eintrag vom 18.07.2012 ist…

Vorsichtshalber habe ich die Richtlinien noch mal überprüft.

01. Gefährliche / illegale Handlungen? NEIN!
02. Viren, Malware, schädlicher oder zerstörerischer Code? NEIN!
03. Haß oder Gewalt? NEIN!
04. Persönliche und vertrauliche Informationen? NEIN!
05. Phishing oder unerlaubter Zugriff auf fremde Konten? NEIN!
06. Kinderpornographie? NEIN!

07. Spam?
“Verbreiten Sie keinen Spam, einschließlich des Sendens von unerwünschten Werbeinhalten, oder unerwünschte oder Massenwerbemails. Fügen Sie Personen nicht wahllos und in unverhältnismäßiger Anzahl zu Ihren Kreisen hinzu.” Was ist denn bitteschön Spam? Aufeinanderfolgende Nachrichten? Ja – aber nur, wenn dadurch jemand belästigt wird. Niemand außerhalb meiner Kreise bekommt es mit; selbst wenn, sollte sich niemand davon belästigt fühlen, da dazwischen sicherlich hunderte andere Posts auftauchen – denn ein paar Posts von ein paar Usern dürften ja wohl anfallen. Gleiche oder ähnliche Nachrichten? Das trifft nicht zu. Und Werbung ist es auch nicht… Die Kreise von 3SEPO sind recht jungfräulich, wenn man mal von Fätt-Boys, DISEPO, EiTiCo und unseren privaten Profilen absieht. Daher die Frage: WEN stört da WAS konkret?

08. Manipulation von Ranking?
“Manipulieren Sie nicht Ranking oder Relevanz mithilfe von Techniken wie repetitiven oder irreführenden Suchbegriffen oder Metadaten.” Suchbegriffe oder Metadaten? Benutze ich kaum. Ich wollte lediglich eine Art Chronik anlegen. Selbst wenn man mir vorwerfen sollte, daß ich als Fätt-Boy auch bei EiTiCo klicke: Warum werden die +1-Buttons denn überhaupt auf Seiten mit dem gleichen Administrator eingeblendet? Doch warum stellt dann schon das Posten des Artikels einen Verstoß gegen die Richtlinien dar – und nicht erst das Klicken? Und vor allem: Was ist mit Klicks im Namen von HBZ Branse oder MK Barth, wenn ich deren Seite verwalte? Wenn Nachrichten von EiTiCo geteilt werden? Und “repetitiv” ist eigentlich nur, daß der Beitrag 2 mal erscheint: Einmal bei 3SEPO und einmal auf der jeweiligen “Sparten-Seite.” Was ist mit Beiträgen, die hundertmal geteilt werden? Das kann es also eigentlich alles nicht sein.

09. Sexuelles Material? Weiterleitung auf Porno-Seiten? NEIN!
10. Gewalttätiges Verhalten und Mobbing NEIN!
11. Identitätsdiebstahl? NEIN!
12. Falsche Profilnamen? NEIN!
13. Drogen, Medikamente, Alkohol, Tabakwaren, Feuerwerkskörper, Glücksspiel, Lotto, Wetten? NEIN!

Richtlinienverstoß bei Google+Na zum Glück kann ich ja eine Überprüfung beantragen… Für jeden Beitrag einzeln! Insofern ist der Spam-Vorwurf natürlich berechtigt – ich habe ja jetzt den Support gnadenlos zugespammt… ;o)

Mal sehen, was dabei rauskommt. Bei meinem Glück sicher nichts Gutes… Warten wir’s ab.

Globaler Klo-Komplex


Was fällt einem zu 12 Nullen ein? Manche mögen da an eine gewisse nordische Fußballmannschaft samt Trainer denken… Oder nach dem “Genuß” dieser Katzenbergschen Werbung (für 118000) auch an 12 Stullen… 

Irgendwie passend, daß ich deswegen gerade gedanklich beim Essen bin. Denn: Wer ein Fätt-Boys sein will, muß viel essen. Und als Folge dessen muß man sich notgedrungen auch entsprechend oft “notdürftig” entleeren. Was dabei für Zeit draufgeht – sagenhaft!

Jedenfalls – um zum Thema zurückzukommen – habe ich als richtig fätter Fätt-Boy mit exzessivem Freß- und (Entschuldigung!) Scheiß-Verhalten automatisch 6 nebeneinanderstehende Toilettenhäuschen a la Dixi- oder Plumps-Klo vor Augen… Von wegen “00″ an der Tür, falls das noch einer kennt. Kam damals gleich nach den ausgesägten Herzchen als Türschmuck für die Räumlichkeiten mit der löchrigen Sitzgelegenheit auf…

Das Thema “Scheiße” paßt also irgendwie zu unseren Nullen. Erst recht drängeln sich einem derartige fäkale Gedanken auf, wenn man nichtsahnend und gut gelaunt auf dem Höhepunkt eines stressigen Arbeitstages unpassenderweise gerade beim Essen oder Schlafen gestört wird, weil das Telefon bimmelt. Und schaut man dann aufs Display, reibt man sich unmittelbar danach die Augen: Zwölf Nullen!  000000000000 !!!

Nanü? Geht man ran, hört man entweder gar nichts – oder ein paar Sekunden Stille und danach “Good bye” - oder (wenn man selbst nichts von sich gibt) eine Folge zaghafter bis energischer “Hello”s in schönstem außengeländisch. Ich vermute, daß es sich um indisches/pakistanisches “Engländisch” handelte. ;o)

Zumindest die Anrufe, die von Teilnehmern in GB oder der Schweiz entgegengenommen wurden, erwiesen sich - sofern das Sabbel-Äffchen am anderen Ende loslegte – als englischsprachige Ohr-Abkau-Versuche.

Die Typen geben sich wohl als (Microsoft-)IT-Supporter aus und versuchen dann im Gespräch, das angerufene Opfer davon zu überzeugen, das es einen Virus auf dem Rechner hätte. Und wahrscheinlich ist man dann so nett und “hilft” dem vermeintlich armen Opfer mittels Ammyy.com-Fernwartungssoftware. Spätestens danach ist das Worst-Case-Szenario von der Schadsoftware dann wohl bittere Realität.

Was lernen wir daraus? Nach Großbritannien und der Schweiz ist jetzt Deutschland an der Reihe; denn die mindestens schon seit 2008 nach diesem Muster operierende, cyberkriminelle Kack-Mafia hat es derzeit scheinbar auf arme, dumme Scheißerchen im beschaulich schönen, kleinen Barth abgesehen. Man geht hier nämlich auf Dummenfang, indem man eine Barther Nummer nach der anderen anruft. Und je nachdem, ob sich kraftvolle Männerstimmen oder die Stimmchen von ahnungslosen Hausmütterchen melden, hört man was – oder eben auch nicht. Zumindest ist das eine mögliche Erklärung für das unterschiedliche Telefonierverhalten. Junge Kerle sind doch etwas computer-affiner als Frauen in den Wechseljahren (und sei es auch nur wegen der sogenannten “Ballerspiele”) – daher kann man ersteren vielleicht doch nicht ganz so leicht so viel gequirlte Scheiße erzählen …

Zumindest muß es ja einen triftigen Grund geben, daß mal was gesagt wird und mal nicht. Ist mir aber auch, gelinde gesagt, scheißegal. Ich will dieses Scheiß-Pack nicht in meiner (Telefon-)Leitung haben – egal, ob nun geschwiegen oder geredet wird. Höchstens im Abflußrohr…

Ich habe da doch glatt so einen kleinen virtuellen Spülkasten von AVM… *lol*
Dank dieser sogenannten FRITZ!Box habe ich dieses Gesch(m)eiß gleich zur Klo-Frau  umgeleitet. Und da dieser Job ja auch ganz hervorragend von Männern gemacht werden kann, sind die Anrufe von der Latrinen-Mafia bei Telefon-Paul (071150885524) gut aufgehoben.

So – ich muß jetzt erst einmal aufs Klo. Kein Wunder – bei dem Thema…

Weitere Infos:
Link (!!!)LinkLinkLinkLink- Link - Link

Umzug der Nigerianer


Die Nigeria-Connection muß wohl umbenannt werden. Mittlerweile kommt der Müll nämlich aus Togo. Oder die Typen haben in der Haupstadt Lomé eine Zweigstelle eröffnet… ;-)

Heute fand ich folgendes im Nachrichtenbereich meines Facebook-Accounts:

Dear Olaf Hilgendorf,

I am Tony Jude Attorney to Late Mr. Luwing Hilgendorf, who worked with Shell Development Company in Lome-Togo. On the 1st of June 2009, my client, his wife and only daughter were involved in a car accident while visiting a neighbouring country. I need your assistance urgently in repatriating the fund valued US$7.5 Million, left behind by my late client.

For more details and clarification, contact me through my email address: (barr.tonyjudetg2000@gmail.com)

Tony Jude Esq.

Als Berufspessimist glaube ich prinzipiell nicht an das große Los – aber anstatt den Dreck gleich zu löschen, befragte ich Freund Google, ob die E-Mail-Adresse im Netz in Beschwerde-Posts geprellter Opfer auftaucht… Und was fand ich?

Na?

Auf dieser Seite erblickte ich folgendes:

Dear Marcia E. Pimentel,

I am Tony Jude Attorney to Late Mr. Luwing Pimentel, who worked with Shell Development Company in Lome-Togo. On the 1st of June 2009, my client, his wife and only daughter were involved in a car accident while visiting a neighbouring country. I need your assistance urgently in repatriating the fund valued US$7.5 Million, left behind by my late client.

For more details and clarification, contact me through my email address: (barr.tonyjudetg2000@gmail.com)

Tony Jude Esq.

Was fällt uns auf, und was lernen wir daraus?
• der seltene Name Luwing kommt häufig vor
• die Shell Development Company hat massenhaft Leute verloren
• in Togo gibt es schon Autos
• am 01.06.2009 gab es dort ein Massensterben
• wenn man Luwing heißt, ist die häufigste Todesursache ein Autounfall
• Frau und Tochter kommen auch beim Sterben ums Leben und erleben ihren Tod nicht
• wenn man Luwing heißt, besitzt man 7,5 Mio US-Dollar

Es gibt garantiert Leute, die auf den Schrott dieser Ratten hereinfallen…
Ich jedenfalls nicht.
Fazit: Einfach löschen – fertig!