Phisingmail von "Netcup"

Zitat von Brthld

...Bitte schnellstmöglich lösen! ...

Bei uceprotect gibt es nicht viel zu lösen.

Von Level3 kommt das gesamte Subnetz nur wieder runter, wenn die "impacts" die die da zählen, wieder unter den Grenzwert sinken.

Ein Delisting gibt es vorher nicht. (Auch nicht das für einzelne IPs, wofür sie Geld verlangen)

Der Support wird da auch nicht helfen können. Die Netze von netcup sind da immer mal wieder drauf.

(Das hat aber nix mit Phishing zu tun und gehört also eigentlich auch nicht in diesen Thread. Sorry)

Großartig. Klingt nach einer seriösen Seite.

Zitat von KB19

Und beim Webhosting wird das wohl eher nicht über diese Infrastruktur versendet?

Soweit mir bekannt, per DNS Abfrage auf relay.yourmailgateway.de raugefunden, wird über folgende Adressbereiche gesendet:

Zitat von Brthld

Meine Server-IP und Domain wurde gerade von Chrome als schädlich markiert - ich habe nachgeforscht:

Es liegt an dem Blacklisting bei UCEPROTECT-Level3 für komplett Netcup. Mein Server ist nicht daran "Schuld". Bitte schnellstmöglich lösen! Ich habe dem Support auch gerade schon eine Nachricht geschrieben.

pasted-from-clipboard.png

Ich bezweifel stark das Chrome eine Seite wegen UCEPROTECT als gefährlich angezeigt, jenes wird eher für Mails verwendet.

Da hat wohl jemand (bei dir oder auf den selben Server) Schadware gehostet.

Meine IP steht z.B. auch drauf aber keinen Meldung im Chrome

Spannend finde ich auch, dass https://de.ssl-tools.net/mailservers/netcup.de die Netcup Mailserver laut ssl-tools nicht erreichbar sind 😀 absichtlich blockiert?

und noch spannender finde ich den Hinweis auf https://www.ascio.de/reseller-services/hosted-email/ den Anbieter in der SPF Abfrage, da Netcup diese anscheinend einkauft. Naja. Ich plane gerade meine Mail-Konten zu Peer Heinlein zu transferieren.

Zitat von tom434

Ich bezweifel stark das Chrome eine Seite wegen UCEPROTECT als gefährlich angezeigt, jenes wird eher für Mails verwendet.

Da hat wohl jemand (bei dir oder auf den selben Server) Schadware gehostet.

Meine IP steht z.B. auch drauf aber keinen Meldung im Chrome

Ich zweifle auch etwas daran. Aber es ist schon ein sehr komischer Zufall.

Auf meinem eigenen Server (VPS), der die Domain nutzt, ist alles sauber und auf dem Webspace, der die Domain auch nutzt, auch.

Aber natürlich könnte evtl. jemand auf dem Webspace-Server irgendwas "böses" gemacht haben. Wie auch immer: doofe Geschichte. Lösungsansätze?

Zitat von Brthld

Ich zweifle auch etwas daran. Aber es ist schon ein sehr komischer Zufall.

Auf meinem eigenen Server (VPS), der die Domain nutzt, ist alles sauber und auf dem Webspace, der die Domain auch nutzt, auch.

Aber natürlich könnte evtl. jemand auf dem Webspace-Server irgendwas "böses" gemacht haben. Wie auch immer: doofe Geschichte. Lösungsansätze?

Support anschrieben - Webhsoting hat ja shared IPs also liegt wohl auf einer Webseite Schadware

Zitat von Geheftet09

Spannend finde ich auch, dass https://de.ssl-tools.net/mailservers/netcup.de die Netcup Mailserver laut ssl-tools nicht erreichbar sind 😀 absichtlich blockiert?

Die Seite ssl-tools.net scheint seit einiger Zeit nicht mehr richtig zu funktionieren. Ich bekomme da zumindest bei sehr vielen Mailservern "Ergebnisse unvollständig" (u.a. auch bei meinen, die ganz sicher nicht ssl-tools.net blockieren).

Falls, rein hypothetisch, Google Chrome die UCEPROTECT Listen für IRGENDWAS nutzen würde, dann würde das auf der UCEPROTECT Website auf der Startseite sicher in großer (64px), roter Schrift stehen. Google hat sicher andere Methoden um Schadsoftware-Sites zu finden als die in die Schweiz geflüchtete Firma, die diese Listen betreibt, danach zu fragen.

Auf der Liste steht jedes Netcup Netzwerk zu mindestens 30% der Zeit. Bis auf die Mailzustellung an ein paar bayrischen Behörden und Banken gibt es damit keine Probleme. Eine halbwegs seriöse Firma setzt so eine Liste ganz sicher nicht ein. Außer sie wissen es halt nicht besser, wodurch sie automatisch unseriös sind. Oder sie sind besonders schlau und setzen die Liste zur Arbeitsvermeidung ein. Keine Post = weniger Arbeit .

Zitat von Brthld

Meine Server-IP und Domain wurde gerade von Chrome als schädlich markiert - ich habe nachgeforscht:

Wo hast Du nachgeforscht? Auf der nachfolgenden Seite?

https://transparencyreport.google.com/safe-browsing/search

Das ist die einzige Stelle, die wirklich mehr verrät. Oder geht es um eine Sicherheitslösung eines Drittanbieters?

Zitat von KB19

Wo hast Du nachgeforscht? Auf der nachfolgenden Seite?

https://transparencyreport.google.com/safe-browsing/search

Exakt. Dort habe ich jetzt auch verstanden was genau das Problem ist.

Google sagt

Zitat

Die Website XYZ enthält schädliche Inhalte, einschließlich Seiten, die

• Versuchen, Besucher zu verleiten, personenbezogene Daten zu teilen oder Software herunterzuladen

Letztlich konnte ich jetzt dann noch weiter raus finden was es war:

Ein URL-Short-Link, der zum direkten Download einer ZIP-Datei führte. Dort enthalten sind Projekt-Dateien für eine 3D-Animationssoftware - natürlich frei von Viren. Der Short-Link war in Tutorial-Videos bei YouTube eingebunden und vermutlich hat Google den Link jetzt mal geprüft und dann Alarm geschlagen. Deshalb wurde auch eines der Videos Offline genommen (ich bekam eine Mail, habe ich aber gerade erst gesehen). Manchmal muss man nur 1 + 1 zusammen zählen und nicht zu kompliziert denken (IP vom Server auf ner Blacklist und so).

Jedenfalls hab ich den Link jetzt auf eine extra Seite geführt, wo man nochmal aktiv auf "Download" klicken muss. Damit sollte das Problem dann auch erledigt sein (wenn Google die Prüfung abgeschlossen hat). Sorry für die falschen Schlüsse in dem Fall. Manchmal ist es auch was ganz banales - was schon jahrelang so online war.

Zitat von Geheftet09

und noch spannender finde ich den Hinweis auf https://www.ascio.de/reseller-services/hosted-email/ den Anbieter in der SPF Abfrage, da Netcup diese anscheinend einkauft. Naja.

Wenn Tucows Domain Robot für die generischen Domains E-Mails verschickt, um bspw. Inhaberwechsel von Domains zu verifizieren, und als Absender mail@netcup.de verwendet wird, müssen diese Mailserver natürlich auch bei Netcup im SPF Record stehen. So what?

Zitat von nexus

Die neue IP (5.9.66.182) ist dem roten H jetzt auch gemeldet. Mal sehen, wie lange die noch sendet...

pasted-from-clipboard.png

Diese IP wurde vom roten H anscheinend noch nicht gesperrt und spammt weiter.

Screenshot_2023-04-22-00-23-21-39_69738a090b59888d6f9e64a3ebfe2c88.jpg

Meine Domainkunden kriegen auch diese Phishing Emails und fragen rück.. Interessant ist, dass die Mails einen Link auf die Netcup Seite haben.

Dort ist eine 404, aber Netcup könnte eine Infoseite über dieses Phishingmail dort anlegen und aufklären.

Zitat von friend_of_root

Meine Domainkunden kriegen auch diese Phishing Emails und fragen rück.. Interessant ist, dass die Mails einen Link auf die Netcup Seite haben.

Dort ist eine 404, aber Netcup könnte eine Infoseite über dieses Phishingmail dort anlegen und aufklären.

Wie, da verlinkt jemand auf Webhosting bei netcup?

Zitat von charmin.armin

Wie, da verlinkt jemand auf Webhosting bei netcup?

Nein auf die offizielle Seite: https://www.netcup.eu/support/a/support-code

Zitat von nexus

Die neue IP (5.9.66.182) ist dem roten H jetzt auch gemeldet. Mal sehen, wie lange die noch sendet...

pasted-from-clipboard.png

Diese IP wurde jetzt vom roten H gesperrt.

IMG_20230422_234904.jpg

Angeblich wurden die Emails direkt zugestellt auf Office365. Auf Google Workspace definitiv nicht, dort gingen sie in den Spam.

Lustig wäre es schon, wenn manchmal Emails von Netcup nicht zugestellt werden können an MS, aber der Phishingoperator schafft es

Zitat von friend_of_root

Angeblich wurden die Emails direkt zugestellt auf Office365. Auf Google Workspace definitiv nicht, dort gingen sie in den Spam.

Lustig wäre es schon, wenn manchmal Emails von Netcup nicht zugestellt werden können an MS, aber der Phishingoperator schafft es

Ist doch kein Problem. Solange er aus einem Netz sendet, das nicht übermäßig viel Spam produziert und deshalb bei MS nicht geblockt ist. Google geht wahrscheinlich intelligenter vor, schaut sich Header und Inhalte an. Mit Problemen bei Mail an Google ist mir persönlich auch wesentlich weniger bekannt aus Kundenkreisen und persönlicher Erfahrung. Technisch war an der Mail auch einiges richtig, nur der gefakete Anzeigename und die Inhalte passten mit der Absenderadresse nicht zusammen. Und das rote H spammt halt wohl normalerweise im Schnitt nicht so viel wie netcup. Damit meine ich natürlich die jeweiligen Kunden, nicht die Firmen selbst.

Ich habe soeben eine neue Art Mail erhalten von netcup(punkt)news mit dem Betreff "Achtung, Phishing-Mails im Namen von netcup im Umlauf"

Die Links in der Mail führen auch zu irgendeiner Subdomain von netcup(punkt)news

Oder ist das tatsächlich eine Domain von Netcup?