Sowas nehm ich i.d.R. erst gar nicht her.
Weil du dich in der IT auskennst und bei solchen Aliassen mit Spam rechnest. Die Geschäftsstelle unseres Vereins hat z. B. info@, ich selber habe auf meiner privaten Mail (seit rund 13 Jahren) mail@
Sowas nehm ich i.d.R. erst gar nicht her.
Weil du dich in der IT auskennst und bei solchen Aliassen mit Spam rechnest. Die Geschäftsstelle unseres Vereins hat z. B. info@, ich selber habe auf meiner privaten Mail (seit rund 13 Jahren) mail@
Zur Zeit beobachte ich in den Serverlogs gezielte Suchen nach existierenden Aliasen. Bzw nach Aliasen an oder über die sich Mail per Relay - vermutlich Spam - versenden lässt. Besonders häufig aus Russland oder anderen (teils ehemaligen) Ostblockstaaten, aber teilweise auch woanders her. Wobei es ja nun für Spammer heutzutage kein Problem mehr ist, sich im Ausland einen Server zu mieten und keine ru- oder su-Domain zu verwenden. Die sind heutzutage international . Habe hier gerade im Log 20 Versuche mit unterschiedlichen Aliassen von einem Absender mit ru-Domain, aber von einer chinesischen IP. Ein anderer sendet von einer cz-Domain mit koreanischer IP. Ebenfalls 20 Versuche, teils mit gängigen Aliasen, teils mit zufällig erscheinenden Aliasen. Will da jetzt ein Russe den Chinesen die Sache in die Schuhe schieben oder umgekehrt? Das selbe Spiel auch mit ru-Domain und nordvietnamesischer IP.
5x am Mi, 12.07.2023: Verlängerung fehlgeschlagen...
Die Spam-Mail kommt angeblich von: Netcup 'contact@campusfinances.fr'
Klickt man den Link Erneuern..., zeigt dieser nach: http:\\950f025690a.ferraoeferrao.pt\?id=...meine Webseite...
und wird umgehend weitergeleitet auf: http:\\236dea2a.garrafeiravip.com\?512da&id=...meine Webseite...
Dort wünscht man sich die Überweisung eines Geldbetrages per Kreditkarte.
Vllt. kann man auch in Escudos bezahlen?
Alles anzeigen5x am Mi, 12.07.2023: Verlängerung fehlgeschlagen...
Die Spam-Mail kommt angeblich von: Netcup 'contact@campusfinances.fr'
Klickt man den Link Erneuern..., zeigt dieser nach: http:\\***.ferraoeferrao.pt\?id=...meine Webseite...
und wird umgehend weitergeleitet auf: http:\\***.garrafeiravip.com\?512da&id=...meine Webseite...
Dort wünscht man sich die Überweisung eines Geldbetrages per Kreditkarte.
Vllt. kann man auch in Escudos bezahlen?
Du hast hoffentlich nicht auf die (Sub)Domänen geklickt und dich dadurch als potentielles Opfer gezeigt? PS: hab dem Zitat *** verpasst
Zur Zeit beobachte ich in den Serverlogs gezielte Suchen nach existierenden Aliasen.
"Zur Zeit"? Ich beobachte das seit ich Mailserver betreibe (seit vielen vielen Jahren). Gehört zum "Hintergrundrauschen".
Übrigens ein Grund, nur einen DNS Namen auf einer Domain für MX Records mehrerer anderer Domains zu verwenden: diese Suche passiert bei mir ausschließlich auf der Domain, auf die auch der MX Record lautet.
Hat man also mail.domain.tld für domain1.tld, domain2.tld, domain3.tld als MX Record eingetragen, kommen solche "Suchen" nur auf @domain.tld vor. Hat man dann auf dieser Domain GAR KEINE Mailboxen, können die Angreifer noch so lange suchen.
Dieser Screenshot in Kombination mit der Kreditkarten-Ankündigung kann für Laien ja gar nicht gut gehen...
Ich hab mail@ für meine Privatmail
But whyyyy? Prime Target für Spamsucher.
Klingt gut. Und der Spamschutz von Mailboks.org ist top
"Zur Zeit"? Ich beobachte das seit ich Mailserver betreibe (seit vielen vielen Jahren). Gehört zum "Hintergrundrauschen".
Übrigens ein Grund, nur einen DNS Namen auf einer Domain für MX Records mehrerer anderer Domains zu verwenden: diese Suche passiert bei mir ausschließlich auf der Domain, auf die auch der MX Record lautet.
Hat man also mail.domain.tld für domain1.tld, domain2.tld, domain3.tld als MX Record eingetragen, kommen solche "Suchen" nur auf @domain.tld vor. Hat man dann auf dieser Domain GAR KEINE Mailboxen, können die Angreifer noch so lange suchen.
Maybe or may not be. Ich weiss nur, dass keine der Domains, die da abgesucht werden, einen anderen MX-Eintrag hat als ausschliesslich den Servernamen (FQDN) des Mailservers. Das mag die Angreifer bisher abgehalten haben, weil es hier erst seit relativ kurzer Zeit passiert. Das stört die Angreifer, die sich derzeit in meinen Logs verewigen aber offensichtlich überhaupt nicht. Sie scheitern aber alle daran, dass sie entweder keinen Reverse-DNS Eintrag haben oder dieser nicht auf ihre IP auflöst bzw gleich gar nicht auflöst (NXDOMAIN). Also z.B.
NOQUEUE: reject: RCPT from unknown[115.239.177.131]: 450 4.7.25 Client host rejected: cannot find your hostname
Ich habe gerade eine neue Art dieser E-Mails bekommen:
Genau die kam bei mir auch gerade rein.
Lustigerweise mit der gleichen "Rechnungsnummer".
Hallo Zusammen,
diese neue Variante habe ich gerade auch erhalten..
So sieht das aktuell aus:
nc-2496474 02.07.2023 Dein Domainname als auserkorenes Betrugsopfer... 14.49 Euro
Der Link führt zu einer Adresse in Singapur - via Link einer Portugal-Domain. Und dann noch per http . Die haben einfach keinerlei Ehrgefühl, diese Betrüger...
Dito, mit der gleichen Rechnungsnummer und Betrag.
Ja, peinlich peinlich, da habe ich wohl schon 7 Jahre nichts mehr bezahlt für die Domain, weil die kostet jährlich nur 1,68€. Muss schon sagen, netcup ist sehr geduldig und schickt nicht gleich nach 5 Jahren eine Mahnung raus . Ich zahle trotzdem nicht, die Mail ging nicht an meine Kontaktadresse. Also ich habe nichts bekommen
Klingt gut. Und der Spamschutz von Mailboks.org ist top
Der Spamschutz ist zu gut bzw nicht flexibel genug einstellbar. Ich musste meine Berichte von logwatch an eine andere Mailadresse senden lassen, weil er sie gelegentlich als Spam erkannt und abgewiesen hat, wegen der Inhaltsfilter, die es eigentlich nur in geringem Maße geben soll. Eine Whitelist, mit der ich solche Probleme auf meinem Server vor dem Umzug der Maildomain auf einfache Weise geregelt habe, gibt es dort ja nicht. Aber ansonsten bin ich da durchaus zufrieden.
Alles anzeigen5x am Mi, 12.07.2023: Verlängerung fehlgeschlagen...
Die Spam-Mail kommt angeblich von: Netcup 'contact@campusfinances.fr'
Klickt man den Link Erneuern..., zeigt dieser nach: http:\\950f025690a.ferraoeferrao.pt\?id=...meine Webseite...
und wird umgehend weitergeleitet auf: http:\\236dea2a.garrafeiravip.com\?512da&id=...meine Webseite...
Dort wünscht man sich die Überweisung eines Geldbetrages per Kreditkarte.
Vllt. kann man auch in Escudos bezahlen?
Den hatte ich auch mehrmals die Tage.
Was ein trauriger menschlicher Abschaum, diese Scammer.
Kann ein Spam- oder Phishing-Versender auch die Message-ID einer Mail fälschen oder ist eine Message-ID, endend auf ".netcup.net" ein sicheres Indiz dafür, dass die Mail von einem Netcup-Server ausging? Und wie ist das mit der "From"-Adresse? Der Anzeigename läßt sich ja frei wählen. Aber auch die Mailadresse?
Die Message-ID ist ein frei wählbarer Header, genauso der From-Header.
Beim From-Header kann aber DMARC helfen, sofern die vermeintliche Absender-Domain das gesetzt hat und der Empfänger-Server es überprüft.
Die nächste Runde ist wohl eingeläutet. Heute Abend kam eine Mail in altbewährter Form mit Betreff "Dringende Aktivierung erforderlich - Ihr Domainname xxxxxxx.de ist abgelaufen".