Dorfwelt.de-Spam

Natürlich habe ich einen Virenscanner und mein PC ist vermutlich nicht infiziert, auch wenn dorfwelt.de mit das glauben machen will. Diese Werbung zeigt aber, wie professionalisiert Spammer mittlerweile arbeiten und es Spamfiltern sehr schwer machen. Und wie leicht sich auch namhafte Provider und Anbieter hier einspannen lassen und wenig dagegen übernehmen.

Die Spam-Mail

Die Werbemail selbst ist nicht sonderlich gut gemacht sondern sogar eher schlecht lesbar und erweckt schon damit keine Seriosität:

Ich habe mich aber mit der Mail doch etwas genauer beschäftigt, denn er nutzt z.B.: eine "De-Domain". Übrigens gibt es gerade wohl eine Welle mit ganz vielen Absender-Domains

Absender: Alexander Schmidt <contact@dinggadingga.com-invalid>
Betreff: Ihr Antivirenschutz ist abgelaufen!
Größe: 20,450

Absender: Martin Adler <contact@flawlesshairremover.net-invalid>
Betreff: Ihr Antivirenschutz ist abgelaufen!
Größe: 18,967

Absender: Mathias Sanger <contact@notborngreat.com-invalid>
Betreff: Ihr Antivirenschutz ist abgelaufen!
Größe: 16,070

Absender: Stephan Kastner <contact@avisionofhome.org-invalid>
Betreff: Ihr Antivirenschutz ist abgelaufen!
Größe: 20,182

Absender: Alexander Freitag <contact@theheartofavibrantcity.com-invalid>
Betreff: Ihr Antivirenschutz ist abgelaufen!
Größe: 11,907

Absender: Klaus Müller <contact@candycanemaster.com-invalid>
Betreff: Ihr Antivirenschutz ist abgelaufen!
Größe: 19,866

Absender: Klaudia Abendroth <akm@eraseandrewind.org-invalid>
Betreff: Verlängern Sie schnellstens Ihr Avira, Carius
Größe: 10,067

Es ist zwar schade, dass der Spammer hier die Mailadressen anderer Personen missbraucht, aber es ist jedem selbst überlassen, mit einem passenden SPF/DMARC-Eintrag dies zu unterbinden. Ein TXT-Record mit einem "-all" am Ende und den Einträgen des Mailservers ist wirklich kein Problem. Ich habe dennoch ein "-invalid" addiert, denn einige der Domains haben sogar ein "-all", was aber nichts hilft, wenn der Spammer die Domain nur beim "HeaderFrom" verwendet aber eine andere Domain beim "MailFrom".

Insofern ist es wichtig dass Sie nicht nur einen SPF-Record setzen, sondern auch per DMARC das Alignment vorgeben.

Header-Analyse

Die "From-Adresse" allein ist noch kein Qualitätsmerkmal, so dass ich mir erst mal den Header betrachtet habe.

Authentication-Results: spf=pass (sender IP is 51.195.26.108)
 smtp.mailfrom=dorfwelt.de; dkim=fail (body hash did not verify)
 header.d=dorfwelt.de;dmarc=pass action=none
 header.from=dorfwelt.de;compauth=pass reason=100
Received: from 51.195.26.108 by netatwork.cloud.nospamproxy.com via connector
  NSP Cloud-Connector (Tls12, Aes256, Sha384, DiffieHellmanEllipticKey384);
  Tue, 19 Jul 2022 01:02:22 GMT
From: "Avira" <info@dorfwelt.de>
To: frank.carius8@netatwork.de
Sender: info@dorfwelt.de
Reply-To: info@dorfwelt.de
Date: 19 Jul 2022 01:02:19 -0000
List-Unsubscribe: <https://a-trk.dorfwelt.de/ga/unsubscribe/xxxxxxxxxxxxxxxxxxxxx?confirmed=1>,
 <mailto:bounce-xxxxxxxxxxxxxxxxxxxx@dorfwelt.de>
X-CampaignID: s4:5532-xxxxxxxxxxxxxxxxx
Message-ID: <mid-xxxxxxxxxxx-20@dorfwelt.de>
X-Mailer-Info: 8.EGN1AjM.QN1MjM.xxxxxxxxxxxxxxxxx.UjNyYjN4kDM.QN1MDN

Aus dem Header kann ich Daten extrahieren:

  • Einliefernde IP-Adresse und "from":
    Die kann und wird ein Spamfilter gegen Blocklisten und SPF prüfen.
  • Unsubscribe-Links
    Der Spammer liefert sogar eine Unsubscribe-Funktion mit, damit der leichtsinnige Empfänger so melden kann, dass er die Mail gelesen hat und keine weiteren Mails  möchte. Das ist eine denkbar dumme Funktion damit die eigene Mailadresse sogar noch für den Weiterverkauf aufzuwerten.

Mit den Daten kann ich dann diverse Auswertungen fahren.

Analysen

Natürlich habe ich mal geschaut, ob der Spammer seine Domain schützt. Es gibt sogar einen DMARC-Eintrag, der aber als Policy ein "p=none" hat und auch keinen Wert auf ein Reporting legt. Eigentlich könnte ein Spamfilter schon hier den Absender abstrafen, denn wer einen DMARC-Eintrag setzt, möchte zukünftig vielleicht ein "P=reject" setzen und da hilft ein RUA-Eintrag schon weiter. Zumal der SPF-Record noch ein "~all" hat.

_dmarc.dorfwelt.de      text =  "v=DMARC1; p=none; sp=none;"
        dorfwelt.de     text =  "v=spf1 ip4:54.38.159.125 ip4:51.195.26.101 ip4:51.195.26.102 ip4:51.195.26.103 
                                        ip4:51.195.26.104 ip4:51.195.26.105 ip4:51.195.26.106 ip4:51.195.26.107 
                                        ip4:51.195.26.108 ip4:51.195.26.109 ip4:51.195.26.110 ~all"
        dorfwelt.de     text =  "google-site-verification=u-N3fmqRRN_ro8TjakXRU3BO-8C8n0SLDssNtWDJTOg"

Ein Telnet auf einen der Server liefert einen Mailserver

telnet 51.195.26.108 25
220 clickers1.mindelberg.info ESMTP service ready

Ein Zugriff auf www.mindelberg.info liefert ein "This domain ist expired" und der DNS-Registrar ist "namesilo.com".

Dennoch dürfte der Server bei OVH natürlich auch ohne die Domain weiter aktiv sein.

Der DNS-Server für die Domain "dorfwelt.de" liegt bei Cloudflare.

C:>nslookup -q=NS dorfwelt.de

dorfwelt.de     nameserver = amalia.ns.cloudflare.com
dorfwelt.de     nameserver = jacob.ns.cloudflare.com

Ein Zugriff auf eine "Webseite" unter "dorfwelt.de" oder "www.dorfwelt.de" ist nicht möglich, weil es einfach keinen A-Record gibt:

C:\>nslookup -q=A www.dorfwelt.de
*** www.dorfwelt.de wurde von fritz.box nicht gefunden: Non-existent domain.

Aber im Header ist noch eine URL zur "Unsubscribe"-Webseite. Die sollte ja funktionieren. Eine kurze Namensauflösung liefert auch IP-Adressen

Name:    a-trk.dorfwelt.de
Addresses:  2606:4700:3033::6815:1346
          2606:4700:3037::ac43:b99b
          172.67.185.155
          104.21.19.70

Dahinter steckt aber wieder ein Content Delivery Network

Das erkennen Sie auch beim Zugriff auf die Webseite, (Natürlich ohne Parameter), denn Cloudflare stellt auch das Zertifikat aus.

Wer nun aber Cloudflare bezüglich kontaktieren will, kann dies über ein Web-Formular, welches am Ende aber zwei Checkboxen immer aktiv hat.

Ich möchte definitiv nicht, dass meine Kontaktdaten an den "WebSite-Owner" weiter gegeben werden. Insbesondere, wenn Cloudflare nicht mal offenlegt, an wen die Daten weiter gegeben werden.

Cloudflare möchte wohl gar nicht über Missbrauch informiert werden und verdient ja Geld damit. Faktisch schützt es aber unseriöse Betreiber.

Die "Unsubscribe"-Zeile im Header enthält auch noch eine "Abmeldung per Mail". Die Adresse ist eine "Bounce-Adresse" mit einer eindeutigen ID. (<mailto:bounce-xxxxxxxxxxxxxxxxxxxx@dorfwelt.de>), so dass der Spammer wieder den Empfänger nachvollziehen kann. Er muss dazu natürlich einen Mailserver betreiben. Ein MX-Lookup liefert dazu:

dorfwelt.de     MX preference = 10, mail exchanger = viewesapps.com

Hier kommt eine weitere Domain zum Vorschein, die ebenfalls von Namesilo registriert und über Cloudflare bereitgestellt wird

Auf der Webseite findet sich auch nicht mehr:

Der Server scheint aber in UK zu stehen:

C:\>nslookup VIEWESAPPS.COM
Name:    VIEWESAPPS.COM
Address:  5.152.223.69

C:\>nslookup 5.152.223.69

Name:    h5-152-223-69.host.redstation.co.uk

Und natürlich sorgt der "Datenschutz" dafür, dass wir per WHOIS keine Information über mögliche Inhaber der Ansprechpartner der Domain erhalten sondern eigentlich nur die Registars, für die jede Abuse-Meldung aber eigentlich nur Zeit und damit Geld kostet.

NoSpamProxy

Basierend auf meiner Analyse haben auch meine Kollegen von NoSpamProxy sich diese Domains und die Methoden dahinter genauer angeschaut. Die Domain ist bei uns schon einige Zeit schon akriv

Hinsichtlich der "üblichen" Filter und Überprüfungen macht der Absender auch schon alles richtig:

SPF, DKIM und DMARC sind alle grün und da es nur ein Link ist, gibt es keine Malware und auch die einliefernde IP-Adresse löst per Reverse-DNS auf einen Host in der Domain auf.

Die schnelle Reaktion auf diese Welle kann über eine Erkennung der Link-URLs erfolgen, die einer Regel folgen und auch die dorfwelt.de-Domain kann man als Hersteller einer Spamlösung natürlich für sich und alle Kunden unseres 32Guards-Lösung entsprechend kennzeichnen. Über weitere Auswertungen haben vergleichbare URLs mit anderen Domains gefunden

Der Schadens-Vektor ist bei allen URLs dann wieder vergleichbar aber über die TrackingID wird sogar nachverfolgt, welcher Anwender geklickt hat:

hier ist auch gut zu sehen, dass es für eine Untersuchung der Links nicht reicht, den ersten Link zu prüfen sondern man eigentlich den Umleitungen bis zum finalen System folgen muss.

Zwischenstand

Ein einfacher Spanner hätte eine Domain bei OVH gekauft, den Server bestückt und seine Payload versendet. Wenn er aufgefallen wäre, dann hätte aber ein Provider sehr schnell den Stecker ziehen könnten. Hier aber verteilt der Spammer die verschiedenen Komponenten auf ganz viele Dienstleister, die von einander vermutlich nichts wissen

  • namehost.com registriert und verwaltet nur die Domains
    Eine Abuse-Meldung bringt nicht viel, weil der Besitz einer Domain erst mal nicht strafbar ist und der Verwalter keine sonstige Infrastruktur bereit stellt.
  • DNS-Server ist Cloudflare
    Ich vermute mal, dass Namehost oder der Spammer selbst über ein Portal bei Cloudflare selbst die Einträge verwaltet und auch viele "ehrliche" Firmen nutzen Cloudflare. Unschön ist, dass Cloudflare eine "Abuse"-Meldung scheinbar gar nicht selbst bearbeitet sondern an den "Webhoster" weitergibt ohne zu sagen, wer der Hoster ist.
  • Der WebServer wird durch Cloudflare als Reverse-Proxy "versteckt"
    Damit können Sie natürlich auch nicht den Hoster dahinter aktiv ansprechen, dass er Teil eines Spam-Netzwerks ist.
  • Der Unsubscribe-Mailserver ist in UK
    Wieder ein neuer Provider, bei dem der Spammer nur einen Host zum Empfang von Unsubscribe-Mails betreibt.

Die Verteilung der ganzen Komponenten auf viele Hoster und das Zwischenschalten von Registraren und Cloudflare als CDN macht es sehr aufwändig, wenn man als Spam-Empfänger hier Sand ins Getriebe streuen will, denn der Spammer hat sicher noch viele andere Server am Start und kann bei einer Abschaltung einer Komponente sehr schnell einfach auf andere vorbereitete Systeme umschwenken. Insofern können Sie sich eine Beschwerde auch sparen und maximal bei strafrechtlich relevanten Sachverhalten über eine Anzeige nachdenken. Aber selbst dann dürfte es schwer werden, die Quelle zu ermitteln und noch schwerer diese zur Rechenschaft zu ziehen.

Also bleibt wieder nur der Einsatz von leistungsfähigen Spamfiltern wie NoSpamProxy u.ä. Allein eine "de-Domain" ist auch keine Garantie mehr, dass es sich weniger wahrscheinlich um Spam handelt, denn über entsprechende Registrare im Ausland sind die Käufer gut geschützt und müssen auch keine ladungsfähige Adresse mehr in Deutschland haben.

Warum eigentlich nicht, liebes DENIC? Damit könnte .de sich ja von anderen Billigdomains positiv abheben.

Wobei, wenn sogar das NIC für die TLD "KÖLN" ihren Sitz in Wien hat, wundert mich hier auch nichts mehr. Eine geografische Zuordnung eines Internet-Service anhand der Länderdomain ist Geschichte.

Weitere Links