Phisingmail von "Netcup"

  • Moin Community,


    das Phising scheint wohl auch auf andere Art weiterzugehen.


    phising.png


    Message headers:


    Der admin.netcup.eu link im Body führt natürlich zu einer anderen Domain

    Code
    725caff5.giourosbikes.gr/?id=MEINEDOMAIN

    Moderatoren gibt es eine Offizielle Stelle bei euch wo man sowas melden kann?


    EDIT: Die Mail flattert alle 30 min mit einer anderen alias Mail bei mir ein.

  • Für den Netblock würde ich abuse@zenlayer.com und Domain domains@cretaforce.gr anschreiben, DNS wäre auch noch eine Möglichkeit und weggeschickt wird vom Marktbegleiter (reagiert vermutlich am schnellsten, der arme Fahrradhändler weiß wahrscheinlich gar nicht, wie ihm geschieht;)


    Abuse contact info: abuse@hetzner.com

    Code
    inetnum:         88.198.0.0 - 88.198.15.255


    Whois IP 156.59.195.150

    Updated 1 second ago

    % [whois.apnic.net]

    % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html


    % Information related to '156.59.0.0 - 156.59.255.255'


    % Abuse contact for '156.59.0.0 - 156.59.255.255' is 'email@zenlayer.com'


    temp.jpg

    Einmal editiert, zuletzt von charmin.armin () aus folgendem Grund: Subdomain meldet Connection timed out

  • Moderatoren gibt es eine Offizielle Stelle bei euch wo man sowas melden kann?


    EDIT: Die Mail flattert alle 30 min mit einer anderen alias Mail bei mir ein.

    Vielen Dank für eure Meldungen!
    Ihr könnt uns über die E-Mail informieren, indem ihr uns die E-Mail inkl. Header an abuse@netcup.de weiterleitet. Bitte beachtet, dass wir ohne Header der E-Mail diese nicht verwerten können. Bitte sendet Sie uns die E-Mail ausschließlich inkl. Header. E-Mail-Programme bieten dazu in der Regel eine Option, den „Quelltext“ der Nachricht anzeigen zu lassen. Ihr könnt die E-Mail auch als .eml-Datei speichern und als Anhang mit kurzer Erläuterung an uns schicken. Dies ermöglicht es uns, die Nachricht zu untersuchen und Schutzmaßnahmen für unsere Kunden zu ergreifen.

  • Ja, versenden könnten sie die Mail vielleicht, aber jeder vernünfig konfigurierte Mailserver würde die Mail abweisen wegen des SPF-Eintrags der Domain netcup.de, um das zu vermeiden, müssten sie auch von einer der dafür authorisierten IPs senden. Und da ist hoffentlich keine IP dabei, auf die Webhostings-Kunden Zugriff haben.

  • Die Spam Versender sollten sich mal ein Netcup Webhosting zulegen, dann könnten Sie auch als mail@netcup.de versenden 😉 mit ip aus dem Netcup Netzwerk

    Du wirst kaum eine IP-Adresse aus diesem Bereich haben 8o


    Code
    "v=spf1 ip4:212.123.34.96/28 ip4:212.123.36.25 ip4:188.65.77.204 ip6:2a03:4000:0:1::e1aa mx ip4:212.123.41.224/28 include:_spf.hostedemail.com  -all"
    "v=spf1 ip4:216.40.44.0/24 ip4:216.40.42.17 ip4:216.40.42.19 ip4:216.40.42.27 ip4:216.40.42.28/31 ip4:64.98.42.0/24 ip4:64.98.36.17 ip4:64.98.36.19 ip4:64.98.36.27 ip4:64.98.36.28/31 ip4:64.98.47.0/24 ip4:64.98.36.30 ip4:216.40.34.9 ~all"


    Das meiste stammt von EPAG/Ascio/Tucows, dem Domainregistrar im Hintergrund für einige TLDs. Die einzige zu Anexia bzw. netcup gehörenden IP-Adresse ist 188.65.77.204 und durch das "MX" natürlich alles hinter smtp.netcup.net bzw. backupmx-fra1.netcup.net. Und beim Webhosting wird das wohl eher nicht über diese Infrastruktur versendet?

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

    Gefällt mir 1 Haha 1
  • Ja, versenden könnten sie die Mail vielleicht, aber jeder vernünfig konfigurierte Mailserver würde die Mail abweisen wegen des SPF-Eintrags der Domain netcup.de, um das zu vermeiden, müssten sie auch von einer der dafür authorisierten IPs senden. Und da ist hoffentlich keine IP dabei, auf die Webhostings-Kunden Zugriff haben.

    OT aber weil ich heute so eine Antwort vom Marktbegleiter auf meine Frage, warums standardmäßig Neutral bei SPF setzen, erhalten habe :D


    "Das ist einfach unsere eigene Präferenz weil wir nicht wollen das fehlerhafte SPF Einträge den Mailversand der Kunden einschränken."

  • Ja, versenden könnten sie die Mail vielleicht, aber jeder vernünfig konfigurierte Mailserver würde die Mail abweisen wegen des SPF-Eintrags der Domain netcup.de, um das zu vermeiden, müssten sie auch von einer der dafür authorisierten IPs senden. Und da ist hoffentlich keine IP dabei, auf die Webhostings-Kunden Zugriff haben.

    Hi Zusammen,


    so, gerade mal von einem Webhosting Paket probiert. Kam ohne Probleme bei meinem Exchange direkt bei Microsoft an, nicht als SPAM markiert.


    Liegt aber auch vielleicht daran, dass Netcup.de keine DMARC Richtlinie veröffentlicht hat, da bringt dir dann weder ein Fail beim SPF noch beim DKIM etwas.


    Wenn Bedarf besteht, dann füge ich natürlich auch noch die E-Mail Header nach.


    Bildschirmfoto 2023-04-20 um 16.50.26.pngBildschirmfoto 2023-04-20 um 16.55.52.png

  • Meine Server-IP und Domain wurde gerade von Chrome als schädlich markiert - ich habe nachgeforscht:

    Es liegt an dem Blacklisting bei UCEPROTECT-Level3 für komplett Netcup. Mein Server ist nicht daran "Schuld". Bitte schnellstmöglich lösen! Ich habe dem Support auch gerade schon eine Nachricht geschrieben.


    pasted-from-clipboard.png