Hat jemand eine aktuelle Phishing Mail zu einer Domain bekommen, auf die KEIN PTR zeigt?
Ja, bei allen bisherigen und aktuellen Wellen.
Ich verwende nur drei Domains im PTR, aber die Mails kommen auch für ein knappes Dutzend anderer Domains. SSL-Zertifikate haben die aber definitiv alle, auch wenn es teilweise nur Weiterleitungen auf andere Domains sind. 
Im Endeffekt wird es ein Mix aus mehreren Quellen sein.
Vielleicht probieren sie mittlerweile auch Wortlisten und Kombinationen bei den großen TLDs durch. Das würde ich jedenfalls diversen Akteuren, die Domainlisten verkaufen, durchaus zutrauen. Für eine grundlegende Prüfung reicht es ja DNS abzufragen, was vergleichsweise extrem kostengünstig ist und durch die Nutzung von verschiedenen Resolvern sehr gut verschleiert werden kann. 
Infiltrierte Browsererweiterungen sind Gerüchten zufolge auch eine nette Möglichkeit, um Domains zu sammeln, die nicht öffentlich auftauchen. Kompromittierte Postfächer bei Kommunikationspartner verraten auch reine E-Mail-Domains. Vielleicht war die Domain auch schon einmal vor mehreren Jahren registriert und aktiv. Es gibt so viele Möglichkeiten, wie Domains bekannt werden.
Ich bezweifle jedenfalls, dass die Versender von solchen Phishing-Kampagnen die Domainlisten selbst zusammentragen. Die kaufen die grundlegend bestimmt ein und filtern sie maximal anhand der A/AAAA-Records. Wobei es mich nicht wundern würde, wenn man die auch schon fix für ein ASN einkaufen kann. Dann haben die Phishing-Versender nur noch den Aufwand, das Zeug über fremde Server oder Postfächer zu verschicken.
Vermutlich ist @operations [d.h. [netcup] Lars S.] im Urlaub.
Oder hat alle Hände voll zu tun mit der Phishing-Welle, die garantiert zu zahlreichen Tickets im Support führt. 
So, jetzt glaube ich nicht mehr an Zufall. Ich habe jetzt innerhalb von 1 Stunde 3 Mails gezielt an alle meine Domains hier bei netcup bekommen. Gestern kam eine einzelne.
Alle an postmaster@* und daher erstmal durchgekommen. Auch wenn das frei zu findende Informationen sind (whois/dig) ist das schon merkwürdig. Woher sollte diese Information in dieser Ansammlung so kommen? Von der DENIC?
Wahrscheinlich aus den Certificate Transparency Logs. Oder alternativ (kostenpflichtige) dubiose Domainlisten, die es durchaus gibt. Sobald eine Domain registriert wurde und irgendwie verwendet wird (z.B. für HTTP oder als E-Mail-Domain), ist es nur eine Frage der Zeit, bis sie allgemein bekannt ist und in diversen Listen auftaucht.
Und danach werden sie halt gefiltert nach den Providern. Im aktuellen Fall wohl einfach anhand der A/AAAA-Records im DNS, ob diese auf Subnetze von netcup zeigen. Alles öffentliche Informationen, die keinen speziellen Zugriff erfordern. Die E-Mail-Adressen selbst sind sowieso einfach erraten, was bei Postmaster jetzt nicht so schwer ist.
Aber eigentlich gibt es dafür bereits einen Thread, in dem das schon mehrfach diskutiert wurde: https://forum.netcup.de/inform…52-phishing-e-mail-welle/
Bist Du Dir sicher, dass das nicht bereits in nf_nat.ko (CONFIG_NF_NAT=m) enthalten ist? Bei Debian sollte das jedenfalls verfügbar sein, wenn ich mir das Git-Repo so ansehe. 
Und ich bin mir ziemlich sicher, dass ich das auf 1-2 Debian Bookworm Systemen (mittels ISO installiert) ohne extra Verrenkungen verwende. Dort allerdings noch über ip6tables[-nft], was im Endeffekt aber unter der Haube keinen großen Unterschied machen sollte.
War das beim SCP sichtbar?
Das mit den Enten wird wohl in allen Bereichen konsequent durchgezogen 
Dito, aber bei Verwendung von desec.org/desec.io als Nameserver.
finnvweiss Offenbar doch keine Änderung ggü. früher, alles wie immer. Soeben trudelte auch bei mir eine E-Mail ein, bei einer Domain die über netcup registriert wurde, die jedoch die NS von deSEC verwendet und einen A/AAAA Record auf netcup IPs hat.
Und auch die reine Textmail ist nach wie vor "sauber", da die gefährlichen Links nur in der HTML-Version auftauchen. 
Bokommt ihr auch so einen Müll?
Nein, schon ewig nicht mehr. Die letzte große Welle war bei mir 2024.
Ich habe bei netcup aber auch nicht viele Domains liegen. Und die produktiv genutzten verwenden einen anderen NS, was die Erkennungsrate bei den bösen Akteuren drastisch reduzieren dürfte. 
Wie viele "Labels" kann man bei den Konversationen in der rechten Seitenleiste eigentlich anlegen?
Moderators
Ist 5 dort das aktuelle Limit? Oder bin ich blind und finde den Link für neue Labels nicht mehr?
Screenshot 2025-07-12 at 00-32-46 Konversationen - Seite 6 - netcup Kundenforum.png Screenshot 2025-07-12 at 00-33-43 Konversationen - Seite 6 - netcup Kundenforum.png
(Bezeichnungen der Labels vor dem Screenshot anonymisiert.)
Auch interessant: Deaktiviert man DNSSEC, fliegt die Domain komplett weg und ist nicht mehr auflösbar. Eh?
Es dauert ein wenig, bis die entsprechenden Änderungen bei den NS der TLD ankommen und alle Caches ungültig werden. Bis dahin glauben die Resolver bzw. Clients, dass DNSSEC aktiv ist, bekommen aber keine signierten Antworten mehr von den netcup NS und brechen deswegen ab.
Nach spätestens 24h sollte es wieder funktionieren, meistens geht es aber deutlich schneller innerhalb von 1-4 Stunden.
Die verschwindet dann mal ein paar Stunden oder länger? das ist ja übel bei wichtigen webseiten.
Dauerhaft, bis Du es bemerkst und im CCP das Häkchen bei DNSSEC entfernst, und bei Bedarf zwei Stunden später wieder aktivierst. Manchmal ist es auch schon von alleine weg, dann hilft sowieso nur erneut aktivieren.
Ich würde DNSSEC derzeit bei wichtigen Domains bei netcup nicht aktivieren. Und falls man DNSSEC zwingend benötigt (z.B. für TLSA-Records), nimmt man andere NS für die Domain. Viele im Forum verwenden dafür den kostenlosen Dienst von deSEC.io
was sind die bekannten Probleme mit DNSSec ?
Hauptproblem mit dem alten System: DNSSEC wird von alleine kaputt. Mal passiert das alle paar Wochen, dann wieder monate-/jahrelang nicht. Die Domain löst dann nicht mehr auf, wenn der Resolver DNSSEC validiert. Und selber bekommt man das nur durch Zufall oder durch ein eigenes Monitoring mit.
In welchem VLAN liegen denn die betroffenen vServer? (Sichtbar im SCP unter Statistik -> Netzwerk; es ist die öffentliche Schnittstelle gemeint, nicht das Cloud vLAN!)
Wenn es das 100er ist, könnte es auch damit zusammenhängen: https://forum.netcup.de/sonsti…A4ngste-thema/#post247494
Ich habe übrigens noch kein Ticket eröffnet, weil sich die Situation am WE gebessert hat. Wird wahrscheinlich am Montag wieder schlimmer
Auffällig ist ja, dass im 100er anscheinend ziemlich viele Server hänger. Bei mir sind es zwar nur 4, aber bei den anderen vlan sind es meist nur einer oder maximal 2.
Sieht ja schon nach vielen Kollisionen aus und ist sicher ein Hingucken von [netcup] Lars S. wert...
Ist wahrscheinlich das älteste (und ursprünglich einzige) VLAN bei netcup, noch vor der Anexia-Zeit mit zahlreichen neuen Subnetzen. Sofern man die rein "internen" VLANs nicht dazu rechnet.
Das Ticket kann ich jedenfalls doch erst morgen erstellen. Gerade als ich automatisiert einen MTR auf zahlreichen Systemen gestartet habe, der alles in schöne Textdateien packt, trat das Problem nicht mehr auf. Ist ja auch schon 19 Uhr, da geht's dem Netzwerk wieder gut.
Und ohne MTR wimmelt mich der 1st-Level sonst ja gleich ab…
Kann t-online eigentlich Mails über v6 empfangen?
Schau halt, ob deren MX überhaupt einen AAAA-Record hat. Du wirst überrascht sein
Ich habe hier seit ca. einer Woche Packet Loss im 1-2 stelligen Prozentbereich.
Hängt wirklich von der Tageszeit ab und betrifft mindestens vier vServer in diesem Netzwerkbereich. Ich mach nachher mal ein Ticket auf…
s1_gw-nc-nue.pngs1_gw-nc-vie.pngs2_gw-nc-nue.pngs2_gw-nc-vie.png
(Die Grafiken zeigen aber nur zwei vServer, von VIE und NUE aus überwacht.)
Was genau sind denn diese "echten VLANs"? Und was ist der Unterschied zum Cloud vLAN?
Das Cloud vLAN ist soweit ich weiß ein VXLAN, also in UDP-Pakete verpackt.
Die "echten" VLANs sind wahrscheinlich IEEE 802.1Q und dienen bei netcup (reine Spekulation meinerseits) intern zur Unterteilung des Netzwerks im RZ in verschiedene Bereiche. Sonst würden ja alle verfügbaren Subnetze im gleichen Netzwerk hängen, das wäre sehr unschön. So jedenfalls meine Vermutung
Oida, wieso passiert das immer wieder? 
Meine Session im SCP ist wahrscheinlich abgelaufen, der nächste Klick hat wohl bei netcup irgendeine Regel getriggert, die mich aussperrt. Außer PR_END_OF_FILE_ERROR ("Gesicherte Verbindung fehlgeschlagen") sehe ich in Firefox gar nichts mehr. Das passiert mir alle paar Tage/Wochen 
Temporärer Workaround am Client: sudo ip6tables -A OUTPUT -d "$(dig aaaa www.servercontrolpanel.de +short)" -j REJECT
Hille Es geht nicht ums Cloud vLAN, jedenfalls nicht primär.
Gemeint sind die echten VLANs von netcup bzw. Anexia im RZ. Also die öffentliche Schnittstelle der vServer
Ich aktualisiere meinen vorherigen Beitrag später nochmals mit allen Ergebnissen…
Hat noch jemand vServer im netcup-VLAN 100 in NUE? (VLAN-ID sichtbar im SCP unter Statistik » Netzwerk)
Ich habe hier seit ca. einer Woche Packet Loss im 1-2 stelligen Prozentbereich. Komischerweise scheint das aber nicht alle Verbindungen bzw. Netzwerkbereiche zu betreffen. IPv4 und IPv6 macht kaum einen Unterschied, es scheint aber stark tageszeitabhängig zu sein.
| Source | Destination | IPv4 Packet Loss (%) |
IPv6 Packet Loss (%) |
|---|---|---|---|
| [VIE] 3249 |
[VIE] 2001 |
0.0 | 0.0 |
| [VIE] 3249 |
[NUE] 174 | 0.0 | 0.0 |
| [VIE] 3249 | [NUE] 149 |
0.0 | 0.0 |
| [VIE] 3249 |
[NUE] 100 |
1.4 / 2.3 / 0.9 |
1.3 / 1.2 / 0.0 |
| [VIE] 3249 | Extern (Wien) |
0.0 | 0.0 |
| [VIE] 3249 | Extern (Google DNS) | 0.0 | 0.0 |
| [VIE] 2001 |
[VIE] 3249 | 0.0 | 0.0 |
| [VIE] 2001 | [NUE] 174 |
0.0 | 0.0 |
| [VIE] 2001 |
[NUE] 149 | 0.0 | 0.0 |
| [VIE] 2001 | [NUE] 100 |
0.0 / 0.0 / 1.0 |
1.3 / 1.0 / 1.1 |
| [VIE] 2001 | Extern (Wien) | 0.0 | 0.0 |
| [VIE] 2001 | Extern Google DNS) | 0.0 | 0.0 |
| [NUE] 149 | [VIE] 2001 | 0.0 | 0.0 |
| [NUE] 149 | [NUE] 3249 | 0.0 | 0.0 |
| [NUE] 149 | [NUE] 174 | 0.0 | 0.0 |
| [NUE] 149 |
[NUE] 100 |
1.3 / 1.2 / 0.8 |
1.3 / 1.0 / 0.0 |
| [NUE] 149 | Extern (Wien) |
0.0 | 0.0 |
| [NUE] 149 | Extern (Google DNS) | 0.0 | 0.0 |
| [NUE] 100 (ncLabs) | [VIE] 2001 |
1.1 | 0.8 |
| [NUE] 100 (ncLabs) | [NUE] 3249 | 1.2 | 0.0 |
|
[NUE] 100 (ncLabs) |
[NUE] 174 |
1.0 | 0.1 |
| [NUE] 100 (ncLabs) | [NUE] 149 |
0.7 | 0.8 |
| [NUE] 100 (ncLabs) |
[NUE] VLAN 100 |
1.2 / 0.1 |
0.0 / 0.1 |
| [NUE] 100 (ncLabs) | Extern (Wien) |
0.0 | 0.8 |
| [NUE] 100 (ncLabs) | Extern (Google DNS) |
0.1 | 0.0 |
|
[NUE] 100 |
[VIE] 3249 | 1.7 | 0.8 |
|
[NUE] 100 |
[VIE] 2001 |
0.0 | 1.1 |
| [NUE] 100 | [NUE] 174 |
1.4 | 2.4 |
| [NUE] 100 | [NUE] 149 |
1.2 | 1.4 |
|
[NUE] 100 |
[NUE] 100 |
0.1 / 0.1 |
2.6 / 0.1 |
|
[NUE] 100 |
Extern (Wien) |
1.5 | 0.0 |
| [NUE] 100 | Extern (Google DNS) |
0.9 | 0.0 |
| [NUE] 174 | [VIE] 3249 |
0.0 | 0.0 |
| [NUE] 174 | [VIE] 2001 |
(Wert folgt) | (Wert folgt) |
| [NUE] 174 | [NUE] 149 |
0.0 | 0.0 |
| [NUE] 174 |
[NUE] 100 |
1.3 / 1.4 / 1.1 |
1.4 / 2.6 / 0.9 |
| [NUE] 174 | Extern (Wien) |
0.0 | 0.0 |
| [NUE] 174 | Extern (Google DNS) | 0.0 | 0.0 |
(Hinweis: Ich habe mehrere vServer im VLAN 100, deshalb gibt es dort jeweils mehrere Werte. Messung über mehrere Stunden mit MTR.)
Falls irgendwer ähnliche Beobachtungen gemacht hat, gerne melden.
