1und1 Phishing

Dass die www.msxfaq.de schon seit vielen Jahren bei 1und1 gehostet ist, habe ich auf Technik hinter www.msxfaq.de schon früh beschrieben. Im großen Ganzen bin ich mit der Leistung und Funktion auch zufrieden. Sicher gehört ein großer Provider nicht immer zu den schnellsten Firmen hinsichtlich neuer Funktionen. So hat es schon recht lange gedauert, bis neue DNS-Einträge wie DMARC, SPF etc. möglich waren und mit DNSSEC sind andere kleinere Hoster auch etwas schneller. Neben der Webseite samt Domain betreibe ich natürlich auch meine "Familien-Postfächer" bei 1und1 und so sehe ich auch, wie gut der Spam und Phishing-Schutz meines Provider funktioniert. Ich will ja einen Vergleich zu NoSpamProxy haben.

1und1 Spoofing-Mail

Aber am 1. Mail 2019 ist halt eine Phishing-Mail durchgerutscht, die ich so nicht erwartet hätte. Das fordert mich angeblich "service@1und1.de" dazu auf, eine "Servicestornierungsanforderung" zu bestätigen. Die Mail ist für das geübte Auge schon schnell als Fälschung auszumachen, denn mitten im Text steht noch ein "Array" und auch der Hyperlink geht natürlich gar nicht auf 1und1.

Die Ziel-URL ist vermutlich schon wieder eine gehackte Wordpress-Seite und es dauert gar nicht lange, dass Google Chrome vor dieser URL warnt:

Auch Firefox nutzt die Datenbank von Chrome um vor solche URLs zu warnen

Nur Internet Explorer und Edge-Server lassen lassen mich direkt zugreifen und zeigen nach einer Umleitung auf eine weitere Domain die erwartete Anmeldeseite

Allerdings ist die so "einfach" gemacht, dass hier jedem Admin auffallen sollte, dass dies nicht 1und1 ist. Sie ist zwar auch per HTTPS verschlüsselt aber zumindest beim Blick auf die URL sollten alle Glocken klingeln. Diese umgeleitete URL wird von Chrome und Firefox ebenfalls schon als "schlecht" gelistet. Hoffen wir mal, dass der Anbieter das auch merkt und die Hintertür beseitigt.

SMTP-Header

Wie bei vielen Providern kann ich leider nicht den Envelope-From sehen sondern nur den "From", To" und hier auch mal den "Envelope-To". Auch die Informationen über die angewendeten Spamfilter sind leider nicht für mich decodierbar. Es ist zwar etwas mit BASE64, aber jeder Versuch den String nach dem "/w=:" zu decodieren ist fehlt geschlagen.

So bleibt nur die grüne Information, dass die Mail von der IP-Adresse 219.94.192.110 per SMTP direkt bei 1und1 eingeliefert wurde. Bitte den String "-machweg-" ignorieren

Hier noch mal der vollständige Header, wenn 1und1 den Inhalte von "X-UI-Filterresults" analysieren will. Soweit ich recherchieren konnte, steht das UI für "United-Internet".

Received: from www1700.sakura.ne.jp ([219.94.192.110]) by mx.kundenserver.de
 (mxeue009 [212.227.15.41]) with ESMTPS (Nemesis) id 1MSrny-1hCZXl0xpe-00UWMB
 for <frank-machweg-@carius.de>; Wed, 01 May 2019 15:05:12 +0200
Received: from www1700.sakura.ne.jp (localhost [127.0.0.1])
	by www1700.sakura.ne.jp (8.15.2/8.15.2) with ESMTP id x41D58Fk013799
	for <frank-machweg-@carius.de>; Wed, 1 May 2019 22:05:08 +0900 (JST)
	(envelope-from comechatto@www1700.sakura.ne.jp)
Received: (from comechatto@localhost)
	by www1700.sakura.ne.jp (8.15.2/8.15.2/Submit) id x41D58Vl013798;
	Wed, 1 May 2019 22:05:08 +0900 (JST)
	(envelope-from comechatto)
From: "1&1 Internet" <service@1und1.de>
To: <frank-machweg-@carius.de>
Subject: Service Stornierung
Date: Wed, 1 May 2019 15:05:08 +0200
Message-ID: <201905011305.x41D58Vl013798@www1700.sakura.ne.jp>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_00D3_01D5012E.481F6C80"
X-Mailer: Microsoft Outlook 16.0
X-Spam-Flag: NO
X-UI-Filterresults: notjunk:1;V03:K0:EcaoZfLd4/w=:nUwQNXTLDNeoVMM5D0a4+Hj6gT
 6a4csu8aC6wtlOr5R/SI5OUZizwuuooyUbhZbz6IxPHG/3mDo4rLEe7SZkDEc3YEsSLoPoGkZ
 XQVuEgkQbpPIWXt1wAAZC501mLXHo5rMNynEB7vmJgXQvhXMVjANAkuMVAhlLS8WSBvtPsf4Q
 VIq/NdmuUIN6SuQ7lGpFcT7CZNWNGwsDs266p1BzTXeboxlESfJDVVrJc/6SfsraBYQEODwvh
 G0IqP/iq9hVReR1VqgqTz23TH/HqW55LN6S8MLoZsipBouf7vamEZtnufmWKBU6NehhVwxZ1J
 9IhuJf784WI8D58JiaCk3TDy8jhTccflXJ6gQ3cAHnduO6jtzKVY2u/uWjp1r6mByCWawbPY8
 PYNJ1gT41pBtsPeWkHBFuda/xJ5A42DnXQAZnL0D5dAjXYyQ7vNItV5micnrjAKglOzXC73Ub
 OwFO1thIjBdzx7KJVVVUbo9tSDdYFIHM/yN9MPUa719zG0J1X/83+dn/V75DZm4UkNSw67f+1
 muMeUwuV9TAFGI1S5zZCPtjBRJp8fVMYESwwLSteVM5I1akIMGl8ECnteSuK4EJTTEN/pbGnO
 bPGrGny+OMszTb47+bjxl7uxvFL9SsNGjkJZnwBwgnrUsuRaMgfjpUAatOop8G1ZtIwv+4kWl
 1dOPXllx0OHyP+4PbfFqJJLhlaoOMC05g58dPjJymdcKN+6H/L0ot7AdPAcRVw/jTOlTIrdW0
 Od0rHbs12Dk7S01sXXbo3UfnyyTuYv7LdDscx0F9QjXdnexRgtpYuVbgPyTNfW6Bv8M/VstQ8
 vrPPudoX4we1YWrspKUcQvYktoJs/Ks/o8IXM7TkuADPV5wZvk8MFK/eNhySVg2xn9q/Oh8bw
 paQAUCtHRtvIPn+uIHduFpYLZefs5KkJP7fpWhiNZR+SuG3uGyw0QGTMAGRZUms3wdPYf9Fdw
 X9KVdBgNVINMAnIsRshMbwHjSzS1krD98MicgmYCqmYoLkFyADGSFQ+11TOcEELCnDl2NWbzs
 LGDe60aTlVjdAeOZ+UUMk4fyfFkvypj4rMP6UZ+OtGyuqrMbjvxDZThhRfm9DeoiPSWDQ94eF
 kQ2QkPhDru18Xao5C9qhxM0z2rc4ZlM9AuWVWlzsbXPgam8PTDN6QKrrFVeizZvLEX7BWPknA
 0DxHUIR+Y42IN2aqyBGDlAXRh3CQOjrQzv++KBte6Iyd7I0dKZXODwD7pNAz6dVKxsGdA8yM6
 xgIZQN5diZNMQMt5m8gozGYEHiH8B2S5rEE6sqQ/H+z1lf11Wm+TJSvHrg7UW9XpHhbeYbjbH
 IzCvxxsCqBL5fCN7wQhQrRHUsQS7w1xUvebJ7IQJJa7XFzkpJRzetwVCaDKCRw+inIQf4n0d/
 a7BEe/xIJxNgUQVAoPvJEjWZXGo56lHJdMv4AuyeauHgRwZfC4pcQqSPiPn33a0w0TSdj4T/z
 tZ7zc38Eqiz6+x9dkrNYqIEPcPH4TpPgXTsxA3LB0i2B+Rsa21F5pToKCChBNnHIOjTs65srk
 +2XNEBQqvnKRSoqneXiYaQY7bOK1DjM3apzWmn+AJ1982TA254HqZwXkY8JdJ+q3Zdr/22eMW
 9EbNT8PXMuY1nYVWxRf0QRIVN2jQ95o1GlHlL4RQP9pSikEIjB2P+j7JtP1qc3oqtZb3ERGcG
 9ifRZiATK0SG1FzUkjKwm97Aa0owXFc/10juMHnzvg6AQ==
Thread-Index: AQJbuIlyhJ3i3jBu3vaAEJ0npmWH0A==

Auf der anderen Seite meldet sich bei einem "TELNET 219.94.192.110 25" auch ein SMTP-Server, der auf ein EHLO auch antwortet. Der Versuch selbst eine Mail über das Relay zu senden gibt aber die Information preis, dass dieser Mailserver wohl "SMTP after POP" unterstützt.

Ein legitimer Nutzer muss sich vorher per POP3 oder IMAP4 anmelden, so dass die Client-IP dann als "vertrauenswürdig" genutzt werden kann um auch den Versand per SMTP zu erlauben, Früher war dies ein gängiges Verfahren aber heute ist dies nicht mehr sicher. Vor allem die vielen DSLite-Anschlüsse, Mobilfunk-Verbindungen etc., bei denen mehrere Kunden vom Provider hinter einer gemeinsamen öffentlichen IP-Adresse verborgen werden (Stichwort: Carrier Grade NAT) öffnen so ein Scheunentor für Angreifer. In dem Fall ist es aber ein shared WebServer, auf dem ein Admin den Sendmail nicht im Griff hat. Genau darauf können Sie beim Ansurfen der Webseite (mit Übersatzung von Google) schließen.

Insofern ist das eine Spam/Phishing-Mail viel viele andere auch.

Spoofing Mail Variante 2

Und einen Tag später dann noch eine zweite Mail, die diesmal aber noch etwas perfekter ist. Zuerst sieht sie aus wie eine normale 1und1-Mail zur jährlichen Stammdatenpflege.

Aber hier ist einiges Unstimmig. Schon die Absenderadresse sollte jeden Empfänger skeptisch machen. Die beiden Links zum 1&1 Domain Center oder der Hilfe ist ebenso vergiftet.  Interessant ist aber der Link unter "Check Contact Details". Da hat der Spammer wohl geschlafen und eine sehr alte Mail als Vorlage genutzt, die noch auf eine URL von 1und1 verweist. Dahinter gibt es tatsächlich eine Webseite, zu der aber das Zertifikat nicht mehr passt.

Das Zertifikat ist auf domains-center.1and1.ca ausgestellt und läuft in weniger als einem Monat auch noch ab:

Da muss ich mich schon fragen, wer bei 1und1 für diese Konstruktion zuständig ist. Wenn ich die Warnung absichtlich ignoriere, dann komme ich auf verification.ionos.info um die vom Provider schon unkenntlich gemachten Inhaberdaten der Domain zu prüfen. Aber anscheinend kümmert sich niemand um den geordneten Rückbau von Webseiten und Diensten.

Auch hier zeigt aber der Header, dass die Mail wieder von extern gekommen ist: (Bitte den String "-machweg-" entsprechend wegdenken, damit dummer Spammer es nicht allzu leicht mit dem Einsammeln einer Mailadresse habe"

Received: from mail-s79.mailgun.info ([184.173.153.207]) by
 mx.emig.kundenserver.de (mxeue009 [212.227.15.40]) with ESMTPS (Nemesis) id
 1MKJEV-1h2lqe221P-00LxZN for <lync-machweg-@msxfaq.de>; Thu, 02 May 2019 18:41:23
 +0200
Received: from facebook.com (comercials-sales.com [46.165.225.41]) by
 mxa.mailgun.org with ESMTP id 5ccb1db2.7f84eb5fd1f0-smtp-out-n01; Thu, 02
 May 2019 16:41:22 -0000 (UTC)
From: "1&1 IONOS Ltd." <support@ionos.de>
Sender: <support=ionos.de@mg.emotion-lab.org>
To: <lync-machweg-@msxfaq.de>
Subject: Check WHOIS Data of Your Domain(s)
Date: Thu, 2 May 2019 18:47:20 +0200
Message-ID: <20190502164122.1.DBEBB49A7EA39454@mg.emotion-lab.org>
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="----=_NextPart_000_01A4_01D50266.129B3920"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: AQFnz0fftcxJ/jCuJAomxO9bDQkJMg==
DKIM-Signature: a=rsa-sha256; v=1; c=relaxed/relaxed; d=mg.emotion-lab.org; q=dns/txt; s=mx; t=1556815283; h=Content-Type: Date: Subject: To: From: MIME-Version: Message-Id: Sender; bh=cTWAcLcZJvPe/nn8ezYkOtGSiaq5aTV3LMHKyRbQp6w=; b=au+AwsWjGbGOYyjQ4NhDpm3tOeXqF2NJItY7XmaH/KHCntVR1+/qP8RQ6OLcD6pKVQG0a6iC 1UBzqe8gZANSS6a9EEzheUmfzwHefO9nPxIN4URvZ2Md9VRNpanWBDXm3KXnX6nhaoCMhQDe G1rM0/h28Bzkc+9N6K1HnEUZrdI=
X-MS-TNEF-Correlator: <20190502164122.1.DBEBB49A7EA39454@mg.emotion-lab.org>
X-Mailgun-Sending-Ip: 184.173.153.207
X-Mailgun-Sid: WyI1ZTFmZiIsICJseW5jQG1zeGZhcS5kZSIsICI1MGMyMiJd

Meldung ist keine Stornierung!

Nachdem ich die Seite über Twitter gemeldet habe, hat sehr schnell auch 1und1 darauf reagiert und um den vollständigen Header der Mails für weitere Untersuchungen gebeten.

Also habe ich die Header extrahiert und per Mail wie gewünscht an support@ gesendet

Aber quasi auf den Fuß kam dann direkt folgende Mail zurück:

Schrecksekunde, den mein Vertrag läuft sei 19991 und ich will gar nicht weg. In der Mail stand aber überhaupt keinen Hinweis auf was sich die Stornierung bezieht. Nach ca. 20Min in der 0800er Warteschleife konnten wir auch telefonisch nicht klären, was hier von wem und wann storniert worden sein soll. Sollte sich der Bot an der Mail mit Headers im Anhang verschluckt und ins falsche Fach der Antworten gegriffen haben? Warten wir mal ab, wie sich die Sacher weiter entwickelt.

Fehlender Schutz bei 1und1

Irritiert bin ich aber davon, dass die Spam-Filter von 1und1 hier nicht zuschlagen. Ich würde erwarten, dass niemand mit einer "FROM-Adresse" meiner eigenen Firmendomain von extern meine Kunden erreichen darf. Im Firmenumfeld ist es ganz normal, dass ich auf dem Spamfilter alle Mails blocke, die von extern an mich gesendet werden und vorgeben ein Absender aus meinem Domain-Bereich zu sein. So ein Filter sollte nicht nur auf den "Envelope-From" wirken sondern eben auch auf das Feld "From", welches der Anwender sieht. Überspitzt könnte man sich sogar erlauben alle Mails von externen anonymen Einlieferern zumindest als Spam zu kennzeichnen, die im mit URLs aus dem eigenen Domainbereich arbeiten.

Wenn nur wenige Promille dieser Mails von einem unvorsichtigen Admin übersehen werden und einige davon auch noch die gültigen Anmeldedaten eingeben, dann haben die Täter schon wieder einen "Vertrag" gekapert und können damit weitere virtuelle Webserver oder Webseiten kaufen, Daten verändern oder die Domain übertragen und erst gegen Lösegeld wieder rausrücken. Wenn in den Vertrag auch noch eine SQL-Datenbank mit Kundendaten hinterlegt ist oder in Skripten weitere Anmeldeinformationen zu anderen Diensten vorliegen, dann ist das schon sehr nahe am Jackpot.

Insofern bin ich schon etwas erschrocken, dass mein Provider keine Mails als Spam erkennt, in denen so plump die Domain des Providers in der Absenderadresse erscheint. Vielleicht hätte ja schon ein passender DMARC-Record gereicht, der auch die "FROM"-Adresse in die Überprüfung mit einbezieht um solche Versuche im Keim zu ersticken.

Weitere Links