DeutschePost.de-Spam

Gleich zwei identische Mails haben sich in mein Postfach verirrt, die aufgrund der verwendeten Domains dann noch auffallen und ich mal etwas genauer nachgeschaut habe.

Zollgebühren

In einem relativ fehlerarmen Deutsch werden ich angeblich von der Deutschen Post angeschrieben, dass ich für ein Paket die Mehrwertsteuer zu bezahlen hätte. Genaugenommen wäre es ja die "Einfuhrumsatzsteuer", was aber weniger bekannt ist.

Ich bin natürlich sehr sicher, dass der "Zoll Kundendienst" nicht mit einer "deutschepost.de"-Adresse die Mails versendet und deutsche Behörden und Firmen nutzen sicher keine englische Schreibweise für "contact". Die Mail ist schon sehr einfach als Spam zu durchschauen.

Header und IP

Ein Blick in den SMTP-Header zeigt auch sehr schnell, dass sich der Spammer zwar Mühe gegeben hat, z.B. indem er auch die MessageID stimmig aussehen lässt, aber die Source-IP-Adresse, die hier von "kundenserver.de" protokolliert wird, kann er halt nicht fälschen.

Return-Path: <www-data@deutschepost.de>
Authentication-Results:  kundenserver.de; dkim=none
Received: from deutschepost.de ([185.149.109.190]) by mx.kundenserver.de
 (mxeue009 [212.227.15.41]) with ESMTP (Nemesis) id 1MWSqJ-1o4ae01VT1-00XpUT
 for <spambox1@carius.de>; Wed, 13 Jul 2022 05:56:11 +0200
Received: by deutschepost.de (Postfix, from userid 33) id C12C5FD834; Wed, 13 Jul 2022 02:49:01 +0000 (UTC)
Date: Wed, 13 Jul 2022 02:35:02 +0000
To: spambox1@carius.de
From: "Deutschepost.de" <noreply@deutschepost.de>
Subject: Generaldirektion Zoll und indirekte Steuern
Message-ID: <b859fdd23a4403d85aac1719c0bc751c@deutschepost.de>
Content-Transfer-Encoding: 8bit
Envelope-To: <spambox1@carius.de>
X-Spam-Flag: NO
X-UI-Filterresults: notjunk:1;V03:K0:UjFpL0yORV4=:

Die einliefernde IP-Adresse 185.149.109.190 hat natürlich nichts mit der Post zu tun. per NSLookup löst sie auf eine Adresse in UK auf.

Name:    b9956dbe.reverse.layershift.co.uk
Address:  185.149.109.190

Das komplette Subnetz gehöärt zum Provider https://www.layershift.com/, der u.a. Webseiten und virtuelle Server bereitstellt.

Einen freundlichen Hinweise auf die abuse-Adresse habe ich zukommen lassen, auch wenn das wohl eher ein Tropen auf den heißen Stein sein dürfte. Aber es gibt ja zwei Domains in der Mail, die ich mir genauer angeschaut habe

deutschepost.de

Wen Sie sich den Absender anschauen und die Adresse https://deutschepost.de ansurfen, dann landen sie tatsächlich bei der "Deutsche Post DHL Group" mit ordentlichem Zertifikat. Da stelle ich mir natürlich direkt die Frage, wie jemand mit dem mehr oder minder "gutem Namen" der Post eine Mail versenden kann. Ein Blick auf SPF,DKIM, DMARC über mxtoolbox.com sollte schnell Klarheit bringen:


Quelle: https://mxtoolbox.com/SuperTool.aspx?action=spf%3adeutschepost.de&run=toolpage

Hier steht also nur ein "SoftFail", d.h. ein Empfänger, der nur SPF auswertet, wird diese Mail nicht zwingend ablehnen. Die Spam-Mail war nicht DKIM signiert und da ich auch sonst keine E-Mail der richtigen "Deutschen Post" vorliegen habe, kann ich nicht prüfen, ob DKIM genutzt würde.

Über den DMARC-Eintrag veröffentlicht die "Deutsche Post" aber schon, dass Sie eigentlich ein "p=reject" hätte. Sie schreibt aber bei SPF kein Alignment vor.

Das würde aber alles nur funktionieren, wenn der Empfänger auch DMARC auswerten und entsprechend unterstützen würde. Hier war IONOS der Empfänger und es gibt durchaus viele Hinweise, wie ich per DMARC meine bei IONOS gehostete Domain sichern kann:

DMARC hilft natürlich nicht, wenn der Empfänger den Eintrag nicht auswertet:

Liebe "Deutsche Post". Ist es so schwer, ein SPF:-all parallel zum DMARC p=reject zu setzen?

zollpay.de

Die zweite Domain zollpay.de ist recht unspektakulär und gibt sich nicht mal den Anschein, dass Sie etwas mit dem Zoll zu tun haben könnte:

Der Name verweist auf eine IPv4 und IPv6-Adresse, der per Reverse Lookup auf "ba.zollpay.de" auflöst.

Name:    zollpay.de
Addresses:  2403:fd40:1002:f001::4f6
          103.161.133.146

Dieses Subnetz verweist auf einen Provider in "Malaysia".


https://ipinfo.io/AS132372/103.161.133.0/24

Der deutsche Zoll wird sicher das ein oder andere Problem mit Touristen aus diesem Land haben aber die Webseite wird dort eher nicht zu finden sein. Die Webseite ist auch netzwerktechnisch im asiatischen Raum angesiedelt und nutzt kein Content Delivery Netzwerk, wie eine HTTP-Messung zeigt:

PS C:\> (measure-command {Invoke-WebRequest zollpay.de}).TotalMilliseconds
957,6451

Auch ein Traceroute zeigt einige Sprünge in der Latenzzeit, was ein Hinweise auf lange Übertragungen ist.

C:\> tracert -4 zollpay.de
Routenverfolgung zu zollpay.de [103.161.133.146] über maximal 30 Hops:

  1     1 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2     8 ms     6 ms     5 ms  100.124.1.18
  3     6 ms     5 ms     8 ms  100.127.1.131
  4     7 ms     7 ms     5 ms  100.127.1.132
  5     7 ms     8 ms     8 ms  185.22.46.129
  6     *       16 ms     *     100ge0-69.core2.ams1.he.net [184.104.194.209]
  7     *       42 ms    28 ms  ipv4.decix-frankfurt.core1.fra1.he.net [80.81.192.172]
  8    18 ms    20 ms    18 ms  100ge5-1.core1.zrh2.he.net [184.105.65.29]
  9    21 ms    21 ms     *     100ge0-35.core2.zrh3.he.net [72.52.92.130]
 10     *        *       22 ms  100ge0-35.core2.gva1.he.net [184.104.193.134]
 11    30 ms    27 ms    37 ms  100ge16-2.core1.mrs1.he.net [184.104.193.125]
 12     *        *        *     Zeitüberschreitung der Anforderung.
 13   160 ms   160 ms   158 ms  103.119.234.53
 14   160 ms   159 ms   161 ms  ba.zollpay.de [103.161.133.146]

Die erten 4 Hops sind das Carrier Grade NAT von Deutsche Glasfaser um dann über das Backbone von Hurricane.net (https://he.net/) zum Zielprovider. Leider sind solche Messungen nicht zuverlässig, um die Qualität dieser Domains bei einem Spamfilter-Prozess zu bewerten.

Einschätzung

Die Mail ist zwar so nicht schlecht gemacht und enthält relativ wenig Inhalte, an der sich ein Spamfilter stören könnte. Aber würde die deutschepost den SPF-Eintrag strenger setzen, wäre solch ein "Markenmissbrauch" deutlich erschwert. Zumal es leider noch viele Provider gibt, die DMARC beim Empfang nicht auswerten. Ein Schutz ist es aber aber nicht, denn dann können die Spammer ja andere Domains verwenden.

Mich wundert eigentlich, dass Sie nicht gleich als "zollpay.de" versenden, da ihnen diese Domain ja gehört. Damit stellt sich die Frage, welchen Vertrauensvorschuss eine DE-Domain noch haben darf, wenn die Verifikation der Inhaber und Kontrolle auf Namensmissbrauch so lax gehandhabt wird. Da wird in der EU drauf Wert gelegt, dass vor jeglicher Nutzung von Cookies eine Rückfrage kommt und jede Webseite mit einem Impressum versehen ist. Auch die DENIC-Vorgaben sind zumindest auf dem Papier durchaus vorhanden:

Sofern es sich bei dem Domaininhaber oder einem Mitinhaber nicht um eine natürliche Person handelt, ist die vollständige Firma (mit Rechtsformzusatz) anzugeben. Im übrigen müssen die Straßenanschrift und die E-Mail-Adresse des Domaininhabers, bei Mitinhaberschaft aller Mitinhaber, mitgeteilt werden; die Angabe einer Postfachadresse genügt nicht.
https://www.denic.de/domains/de-domains/domainrichtlinien/

Allerdings lohnt sich schon der Aufwand kaum, den Inhaber ausfindig machen zu wollen. Ich habe das in einem anderen Fall, siehe DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?, betrieben und selbst mit deutschen Adressen kam an Ende nicht viel heraus. Spam ist störend, produziert Kosten aber das Risiko für einen Spammer ist quasi minimal wenn er nicht gerade mit Mord und Totschlag droht. Vielleicht ist es es auch gerade gut, da es ansonsten Produkte wie NoSpamProxy u.a. gar nicht geben müsste.

Weitere Links