DeutschePost.de-Spam
Gleich zwei identische Mails haben sich in mein Postfach verirrt, die aufgrund der verwendeten Domains dann noch auffallen und ich mal etwas genauer nachgeschaut habe.
Zollgebühren
In einem relativ fehlerarmen Deutsch werden ich angeblich von der Deutschen Post angeschrieben, dass ich für ein Paket die Mehrwertsteuer zu bezahlen hätte. Genaugenommen wäre es ja die "Einfuhrumsatzsteuer", was aber weniger bekannt ist.
Ich bin natürlich sehr sicher, dass der "Zoll Kundendienst" nicht mit einer "deutschepost.de"-Adresse die Mails versendet und deutsche Behörden und Firmen nutzen sicher keine englische Schreibweise für "contact". Die Mail ist schon sehr einfach als Spam zu durchschauen.
Header und IP
Ein Blick in den SMTP-Header zeigt auch sehr schnell, dass sich der Spammer zwar Mühe gegeben hat, z.B. indem er auch die MessageID stimmig aussehen lässt, aber die Source-IP-Adresse, die hier von "kundenserver.de" protokolliert wird, kann er halt nicht fälschen.
Return-Path: <www-data@deutschepost.de> Authentication-Results: kundenserver.de; dkim=none Received: from deutschepost.de ([185.149.109.190]) by mx.kundenserver.de (mxeue009 [212.227.15.41]) with ESMTP (Nemesis) id 1MWSqJ-1o4ae01VT1-00XpUT for <spambox1@carius.de>; Wed, 13 Jul 2022 05:56:11 +0200 Received: by deutschepost.de (Postfix, from userid 33) id C12C5FD834; Wed, 13 Jul 2022 02:49:01 +0000 (UTC) Date: Wed, 13 Jul 2022 02:35:02 +0000 To: spambox1@carius.de From: "Deutschepost.de" <noreply@deutschepost.de> Subject: Generaldirektion Zoll und indirekte Steuern Message-ID: <b859fdd23a4403d85aac1719c0bc751c@deutschepost.de> Content-Transfer-Encoding: 8bit Envelope-To: <spambox1@carius.de> X-Spam-Flag: NO X-UI-Filterresults: notjunk:1;V03:K0:UjFpL0yORV4=:
Die einliefernde IP-Adresse 185.149.109.190 hat natürlich nichts mit der Post zu tun. per NSLookup löst sie auf eine Adresse in UK auf.
Name: b9956dbe.reverse.layershift.co.uk Address: 185.149.109.190
Das komplette Subnetz gehöärt zum Provider https://www.layershift.com/, der u.a. Webseiten und virtuelle Server bereitstellt.
- IP range details 185.149.108.0/22 AS205072 ยท Layershift
Limited
https://ipinfo.io/AS205072/185.149.108.0/22
Einen freundlichen Hinweise auf die abuse-Adresse habe ich zukommen lassen, auch wenn das wohl eher ein Tropen auf den heißen Stein sein dürfte. Aber es gibt ja zwei Domains in der Mail, die ich mir genauer angeschaut habe
deutschepost.de
Wen Sie sich den Absender anschauen und die Adresse https://deutschepost.de ansurfen, dann landen sie tatsächlich bei der "Deutsche Post DHL Group" mit ordentlichem Zertifikat. Da stelle ich mir natürlich direkt die Frage, wie jemand mit dem mehr oder minder "gutem Namen" der Post eine Mail versenden kann. Ein Blick auf SPF,DKIM, DMARC über mxtoolbox.com sollte schnell Klarheit bringen:
Quelle:
https://mxtoolbox.com/SuperTool.aspx?action=spf%3adeutschepost.de&run=toolpage
Hier steht also nur ein "SoftFail", d.h. ein Empfänger, der nur SPF auswertet, wird diese Mail nicht zwingend ablehnen. Die Spam-Mail war nicht DKIM signiert und da ich auch sonst keine E-Mail der richtigen "Deutschen Post" vorliegen habe, kann ich nicht prüfen, ob DKIM genutzt würde.
Über den DMARC-Eintrag veröffentlicht die "Deutsche Post" aber schon, dass Sie eigentlich ein "p=reject" hätte. Sie schreibt aber bei SPF kein Alignment vor.
Das würde aber alles nur funktionieren, wenn der Empfänger auch DMARC auswerten und entsprechend unterstützen würde. Hier war IONOS der Empfänger und es gibt durchaus viele Hinweise, wie ich per DMARC meine bei IONOS gehostete Domain sichern kann:
- DMARC-Record für eine Domain konfigurieren
https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/dmarc-record-fuer-eine-domain-konfigurieren/ - DMARC: Missbrauch der Mail-Domäne rechtzeitig erkennen
https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/dmarc-erklaert/
DMARC hilft natürlich nicht, wenn der Empfänger den Eintrag nicht auswertet:
Liebe "Deutsche Post". Ist es so schwer, ein SPF:-all parallel zum DMARC p=reject zu setzen?
zollpay.de
Die zweite Domain zollpay.de ist recht unspektakulär und gibt sich nicht mal den Anschein, dass Sie etwas mit dem Zoll zu tun haben könnte:
Der Name verweist auf eine IPv4 und IPv6-Adresse, der per Reverse Lookup auf "ba.zollpay.de" auflöst.
Name: zollpay.de Addresses: 2403:fd40:1002:f001::4f6 103.161.133.146
Dieses Subnetz verweist auf einen Provider in "Malaysia".
https://ipinfo.io/AS132372/103.161.133.0/24
Der deutsche Zoll wird sicher das ein oder andere Problem mit Touristen aus diesem Land haben aber die Webseite wird dort eher nicht zu finden sein. Die Webseite ist auch netzwerktechnisch im asiatischen Raum angesiedelt und nutzt kein Content Delivery Netzwerk, wie eine HTTP-Messung zeigt:
PS C:\> (measure-command {Invoke-WebRequest zollpay.de}).TotalMilliseconds 957,6451
Auch ein Traceroute zeigt einige Sprünge in der Latenzzeit, was ein Hinweise auf lange Übertragungen ist.
C:\> tracert -4 zollpay.de Routenverfolgung zu zollpay.de [103.161.133.146] über maximal 30 Hops: 1 1 ms 1 ms 1 ms fritz.box [192.168.178.1] 2 8 ms 6 ms 5 ms 100.124.1.18 3 6 ms 5 ms 8 ms 100.127.1.131 4 7 ms 7 ms 5 ms 100.127.1.132 5 7 ms 8 ms 8 ms 185.22.46.129 6 * 16 ms * 100ge0-69.core2.ams1.he.net [184.104.194.209] 7 * 42 ms 28 ms ipv4.decix-frankfurt.core1.fra1.he.net [80.81.192.172] 8 18 ms 20 ms 18 ms 100ge5-1.core1.zrh2.he.net [184.105.65.29] 9 21 ms 21 ms * 100ge0-35.core2.zrh3.he.net [72.52.92.130] 10 * * 22 ms 100ge0-35.core2.gva1.he.net [184.104.193.134] 11 30 ms 27 ms 37 ms 100ge16-2.core1.mrs1.he.net [184.104.193.125] 12 * * * Zeitüberschreitung der Anforderung. 13 160 ms 160 ms 158 ms 103.119.234.53 14 160 ms 159 ms 161 ms ba.zollpay.de [103.161.133.146]
Die erten 4 Hops sind das Carrier Grade NAT von Deutsche Glasfaser um dann über das Backbone von Hurricane.net (https://he.net/) zum Zielprovider. Leider sind solche Messungen nicht zuverlässig, um die Qualität dieser Domains bei einem Spamfilter-Prozess zu bewerten.
Einschätzung
Die Mail ist zwar so nicht schlecht gemacht und enthält relativ wenig Inhalte, an der sich ein Spamfilter stören könnte. Aber würde die deutschepost den SPF-Eintrag strenger setzen, wäre solch ein "Markenmissbrauch" deutlich erschwert. Zumal es leider noch viele Provider gibt, die DMARC beim Empfang nicht auswerten. Ein Schutz ist es aber aber nicht, denn dann können die Spammer ja andere Domains verwenden.
Mich wundert eigentlich, dass Sie nicht gleich als "zollpay.de" versenden, da ihnen diese Domain ja gehört. Damit stellt sich die Frage, welchen Vertrauensvorschuss eine DE-Domain noch haben darf, wenn die Verifikation der Inhaber und Kontrolle auf Namensmissbrauch so lax gehandhabt wird. Da wird in der EU drauf Wert gelegt, dass vor jeglicher Nutzung von Cookies eine Rückfrage kommt und jede Webseite mit einem Impressum versehen ist. Auch die DENIC-Vorgaben sind zumindest auf dem Papier durchaus vorhanden:
Sofern es sich bei dem Domaininhaber oder einem Mitinhaber nicht um eine
natürliche Person handelt, ist die vollständige Firma (mit Rechtsformzusatz)
anzugeben. Im übrigen müssen die Straßenanschrift und die E-Mail-Adresse des
Domaininhabers, bei Mitinhaberschaft aller Mitinhaber, mitgeteilt werden; die
Angabe einer Postfachadresse genügt nicht.
https://www.denic.de/domains/de-domains/domainrichtlinien/
Allerdings lohnt sich schon der Aufwand kaum, den Inhaber ausfindig machen zu wollen. Ich habe das in einem anderen Fall, siehe DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?, betrieben und selbst mit deutschen Adressen kam an Ende nicht viel heraus. Spam ist störend, produziert Kosten aber das Risiko für einen Spammer ist quasi minimal wenn er nicht gerade mit Mord und Totschlag droht. Vielleicht ist es es auch gerade gut, da es ansonsten Produkte wie NoSpamProxy u.a. gar nicht geben müsste.
Weitere Links
- Spam und UCE - Filter: SPF, SenderID
- DMARC
- DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?
- NoSpamProxy
- DeNIC
https://www.denic.de/domains/de-domains/domainrichtlinien/ - https://he.net/
- DMARC-Record für eine Domain konfigurieren
https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/dmarc-record-fuer-eine-domain-konfigurieren/ - DMARC: Missbrauch der Mail-Domäne rechtzeitig erkennen
https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/dmarc-erklaert/