Dorfwelt.de-Spam
Natürlich habe ich einen Virenscanner und mein PC ist vermutlich nicht infiziert, auch wenn dorfwelt.de mit das glauben machen will. Diese Werbung zeigt aber, wie professionalisiert Spammer mittlerweile arbeiten und es Spamfiltern sehr schwer machen. Und wie leicht sich auch namhafte Provider und Anbieter hier einspannen lassen und wenig dagegen übernehmen.
Die Spam-Mail
Die Werbemail selbst ist nicht sonderlich gut gemacht sondern sogar eher schlecht lesbar und erweckt schon damit keine Seriosität:
Ich habe mich aber mit der Mail doch etwas genauer beschäftigt, denn er nutzt z.B.: eine "De-Domain". Übrigens gibt es gerade wohl eine Welle mit ganz vielen Absender-Domains
Absender: Alexander Schmidt <contact@dinggadingga.com-invalid> Betreff: Ihr Antivirenschutz ist abgelaufen! Größe: 20,450 Absender: Martin Adler <contact@flawlesshairremover.net-invalid> Betreff: Ihr Antivirenschutz ist abgelaufen! Größe: 18,967 Absender: Mathias Sanger <contact@notborngreat.com-invalid> Betreff: Ihr Antivirenschutz ist abgelaufen! Größe: 16,070 Absender: Stephan Kastner <contact@avisionofhome.org-invalid> Betreff: Ihr Antivirenschutz ist abgelaufen! Größe: 20,182 Absender: Alexander Freitag <contact@theheartofavibrantcity.com-invalid> Betreff: Ihr Antivirenschutz ist abgelaufen! Größe: 11,907 Absender: Klaus Müller <contact@candycanemaster.com-invalid> Betreff: Ihr Antivirenschutz ist abgelaufen! Größe: 19,866 Absender: Klaudia Abendroth <akm@eraseandrewind.org-invalid> Betreff: Verlängern Sie schnellstens Ihr Avira, Carius Größe: 10,067
Es ist zwar schade, dass der Spammer hier die Mailadressen anderer Personen missbraucht, aber es ist jedem selbst überlassen, mit einem passenden SPF/DMARC-Eintrag dies zu unterbinden. Ein TXT-Record mit einem "-all" am Ende und den Einträgen des Mailservers ist wirklich kein Problem. Ich habe dennoch ein "-invalid" addiert, denn einige der Domains haben sogar ein "-all", was aber nichts hilft, wenn der Spammer die Domain nur beim "HeaderFrom" verwendet aber eine andere Domain beim "MailFrom".
Insofern ist es wichtig dass Sie nicht nur einen SPF-Record setzen, sondern auch per DMARC das Alignment vorgeben.
Header-Analyse
Die "From-Adresse" allein ist noch kein Qualitätsmerkmal, so dass ich mir erst mal den Header betrachtet habe.
Authentication-Results: spf=pass (sender IP is 51.195.26.108) smtp.mailfrom=dorfwelt.de; dkim=fail (body hash did not verify) header.d=dorfwelt.de;dmarc=pass action=none header.from=dorfwelt.de;compauth=pass reason=100 Received: from 51.195.26.108 by netatwork.cloud.nospamproxy.com via connector NSP Cloud-Connector (Tls12, Aes256, Sha384, DiffieHellmanEllipticKey384); Tue, 19 Jul 2022 01:02:22 GMT From: "Avira" <info@dorfwelt.de> To: frank.carius8@netatwork.de Sender: info@dorfwelt.de Reply-To: info@dorfwelt.de Date: 19 Jul 2022 01:02:19 -0000 List-Unsubscribe: <https://a-trk.dorfwelt.de/ga/unsubscribe/xxxxxxxxxxxxxxxxxxxxx?confirmed=1>, <mailto:bounce-xxxxxxxxxxxxxxxxxxxx@dorfwelt.de> X-CampaignID: s4:5532-xxxxxxxxxxxxxxxxx Message-ID: <mid-xxxxxxxxxxx-20@dorfwelt.de> X-Mailer-Info: 8.EGN1AjM.QN1MjM.xxxxxxxxxxxxxxxxx.UjNyYjN4kDM.QN1MDN
Aus dem Header kann ich Daten extrahieren:
- Einliefernde IP-Adresse und "from":
Die kann und wird ein Spamfilter gegen Blocklisten und SPF prüfen. -
Unsubscribe-Links
Der Spammer liefert sogar eine Unsubscribe-Funktion mit, damit der leichtsinnige Empfänger so melden kann, dass er die Mail gelesen hat und keine weiteren Mails möchte. Das ist eine denkbar dumme Funktion damit die eigene Mailadresse sogar noch für den Weiterverkauf aufzuwerten.
Mit den Daten kann ich dann diverse Auswertungen fahren.
Analysen
Natürlich habe ich mal geschaut, ob der Spammer seine Domain schützt. Es gibt sogar einen DMARC-Eintrag, der aber als Policy ein "p=none" hat und auch keinen Wert auf ein Reporting legt. Eigentlich könnte ein Spamfilter schon hier den Absender abstrafen, denn wer einen DMARC-Eintrag setzt, möchte zukünftig vielleicht ein "P=reject" setzen und da hilft ein RUA-Eintrag schon weiter. Zumal der SPF-Record noch ein "~all" hat.
_dmarc.dorfwelt.de text = "v=DMARC1; p=none; sp=none;" dorfwelt.de text = "v=spf1 ip4:54.38.159.125 ip4:51.195.26.101 ip4:51.195.26.102 ip4:51.195.26.103 ip4:51.195.26.104 ip4:51.195.26.105 ip4:51.195.26.106 ip4:51.195.26.107 ip4:51.195.26.108 ip4:51.195.26.109 ip4:51.195.26.110 ~all" dorfwelt.de text = "google-site-verification=u-N3fmqRRN_ro8TjakXRU3BO-8C8n0SLDssNtWDJTOg"
Ein Telnet auf einen der Server liefert einen Mailserver
telnet 51.195.26.108 25 220 clickers1.mindelberg.info ESMTP service ready
Ein Zugriff auf www.mindelberg.info liefert ein "This domain ist expired" und der DNS-Registrar ist "namesilo.com".
Dennoch dürfte der Server bei OVH natürlich auch ohne die Domain weiter aktiv sein.
Der DNS-Server für die Domain "dorfwelt.de" liegt bei Cloudflare.
C:>nslookup -q=NS dorfwelt.de dorfwelt.de nameserver = amalia.ns.cloudflare.com dorfwelt.de nameserver = jacob.ns.cloudflare.com
Ein Zugriff auf eine "Webseite" unter "dorfwelt.de" oder "www.dorfwelt.de" ist nicht möglich, weil es einfach keinen A-Record gibt:
C:\>nslookup -q=A www.dorfwelt.de *** www.dorfwelt.de wurde von fritz.box nicht gefunden: Non-existent domain.
Aber im Header ist noch eine URL zur "Unsubscribe"-Webseite. Die sollte ja funktionieren. Eine kurze Namensauflösung liefert auch IP-Adressen
Name: a-trk.dorfwelt.de Addresses: 2606:4700:3033::6815:1346 2606:4700:3037::ac43:b99b 172.67.185.155 104.21.19.70
Dahinter steckt aber wieder ein Content Delivery Network
Das erkennen Sie auch beim Zugriff auf die Webseite, (Natürlich ohne Parameter), denn Cloudflare stellt auch das Zertifikat aus.
Wer nun aber Cloudflare bezüglich kontaktieren will, kann dies über ein Web-Formular, welches am Ende aber zwei Checkboxen immer aktiv hat.
Ich möchte definitiv nicht, dass meine Kontaktdaten an den "WebSite-Owner" weiter gegeben werden. Insbesondere, wenn Cloudflare nicht mal offenlegt, an wen die Daten weiter gegeben werden.
Cloudflare möchte wohl gar nicht über Missbrauch informiert werden und verdient ja Geld damit. Faktisch schützt es aber unseriöse Betreiber.
Die "Unsubscribe"-Zeile im Header enthält auch noch eine "Abmeldung per Mail". Die Adresse ist eine "Bounce-Adresse" mit einer eindeutigen ID. (<mailto:bounce-xxxxxxxxxxxxxxxxxxxx@dorfwelt.de>), so dass der Spammer wieder den Empfänger nachvollziehen kann. Er muss dazu natürlich einen Mailserver betreiben. Ein MX-Lookup liefert dazu:
dorfwelt.de MX preference = 10, mail exchanger = viewesapps.com
Hier kommt eine weitere Domain zum Vorschein, die ebenfalls von Namesilo registriert und über Cloudflare bereitgestellt wird
Auf der Webseite findet sich auch nicht mehr:
Der Server scheint aber in UK zu stehen:
C:\>nslookup VIEWESAPPS.COM Name: VIEWESAPPS.COM Address: 5.152.223.69 C:\>nslookup 5.152.223.69 Name: h5-152-223-69.host.redstation.co.uk
Und natürlich sorgt der "Datenschutz" dafür, dass wir per WHOIS keine Information über mögliche Inhaber der Ansprechpartner der Domain erhalten sondern eigentlich nur die Registars, für die jede Abuse-Meldung aber eigentlich nur Zeit und damit Geld kostet.
NoSpamProxy
Basierend auf meiner Analyse haben auch meine Kollegen von NoSpamProxy sich diese Domains und die Methoden dahinter genauer angeschaut. Die Domain ist bei uns schon einige Zeit schon akriv
Hinsichtlich der "üblichen" Filter und Überprüfungen macht der Absender auch schon alles richtig:
SPF, DKIM und DMARC sind alle grün und da es nur ein Link ist, gibt es keine Malware und auch die einliefernde IP-Adresse löst per Reverse-DNS auf einen Host in der Domain auf.
Die schnelle Reaktion auf diese Welle kann über eine Erkennung der Link-URLs erfolgen, die einer Regel folgen und auch die dorfwelt.de-Domain kann man als Hersteller einer Spamlösung natürlich für sich und alle Kunden unseres 32Guards-Lösung entsprechend kennzeichnen. Über weitere Auswertungen haben vergleichbare URLs mit anderen Domains gefunden
Der Schadens-Vektor ist bei allen URLs dann wieder vergleichbar aber über die TrackingID wird sogar nachverfolgt, welcher Anwender geklickt hat:
hier ist auch gut zu sehen, dass es für eine Untersuchung der Links nicht reicht, den ersten Link zu prüfen sondern man eigentlich den Umleitungen bis zum finalen System folgen muss.
Zwischenstand
Ein einfacher Spanner hätte eine Domain bei OVH gekauft, den Server bestückt und seine Payload versendet. Wenn er aufgefallen wäre, dann hätte aber ein Provider sehr schnell den Stecker ziehen könnten. Hier aber verteilt der Spammer die verschiedenen Komponenten auf ganz viele Dienstleister, die von einander vermutlich nichts wissen
- namehost.com registriert und verwaltet
nur die Domains
Eine Abuse-Meldung bringt nicht viel, weil der Besitz einer Domain erst mal nicht strafbar ist und der Verwalter keine sonstige Infrastruktur bereit stellt. - DNS-Server ist Cloudflare
Ich vermute mal, dass Namehost oder der Spammer selbst über ein Portal bei Cloudflare selbst die Einträge verwaltet und auch viele "ehrliche" Firmen nutzen Cloudflare. Unschön ist, dass Cloudflare eine "Abuse"-Meldung scheinbar gar nicht selbst bearbeitet sondern an den "Webhoster" weitergibt ohne zu sagen, wer der Hoster ist. - Der WebServer wird durch Cloudflare als
Reverse-Proxy "versteckt"
Damit können Sie natürlich auch nicht den Hoster dahinter aktiv ansprechen, dass er Teil eines Spam-Netzwerks ist. - Der Unsubscribe-Mailserver ist in UK
Wieder ein neuer Provider, bei dem der Spammer nur einen Host zum Empfang von Unsubscribe-Mails betreibt.
Die Verteilung der ganzen Komponenten auf viele Hoster und das Zwischenschalten von Registraren und Cloudflare als CDN macht es sehr aufwändig, wenn man als Spam-Empfänger hier Sand ins Getriebe streuen will, denn der Spammer hat sicher noch viele andere Server am Start und kann bei einer Abschaltung einer Komponente sehr schnell einfach auf andere vorbereitete Systeme umschwenken. Insofern können Sie sich eine Beschwerde auch sparen und maximal bei strafrechtlich relevanten Sachverhalten über eine Anzeige nachdenken. Aber selbst dann dürfte es schwer werden, die Quelle zu ermitteln und noch schwerer diese zur Rechenschaft zu ziehen.
Also bleibt wieder nur der Einsatz von leistungsfähigen Spamfiltern wie NoSpamProxy u.ä. Allein eine "de-Domain" ist auch keine Garantie mehr, dass es sich weniger wahrscheinlich um Spam handelt, denn über entsprechende Registrare im Ausland sind die Käufer gut geschützt und müssen auch keine ladungsfähige Adresse mehr in Deutschland haben.
Warum eigentlich nicht, liebes DENIC? Damit könnte .de sich ja von anderen Billigdomains positiv abheben.
Wobei, wenn sogar das NIC für die TLD "KÖLN" ihren Sitz in Wien hat, wundert mich hier auch nichts mehr. Eine geografische Zuordnung eines Internet-Service anhand der Länderdomain ist Geschichte.