Message-ID manipulierbar?
Andreas Meyer
anmeyer at mailbox.org
So Nov 1 21:53:14 CET 2015
Hallo!
Max Grobecker <max.grobecker at ml.grobecker.info> schrieb am 01.11.15 um 13:55:06 Uhr:
> Moin Andreas,
>
>
> Am 31.10.2015 um 20:14 schrieb Andreas Meyer:
>
> > [...] wobei die Message-ID immer
> > als Absender die Domaine des Architekten beinhaltet und im CC immer
> > wieder ein paar dieser bekannt gegebenen Email-Adressen stehen.
>
> Das ist durchaus üblich - ob das Standard ist weiß ich gerade nicht aus dem Kopf.
> Was dir aber in dem Fall weiterhilft ist der Received-Header, von dem erfährst du nämlich welcher Server
> die Mail bei dir resp. deinem Anbieter eingekippt hat.
>
> Die werden von unten nach oben gelesen, wobei für dich dann der erste Header interessant ist,
> der von deinen eigenen Mailserver bzw. Anbieter gesetzt wurde.
Ja, die hatte ich mir angeschaut und der erste Eintrag war von einer
toplevel-Domaine .za, ich habe die Email jetzt nicht mehr zur Verfügung.
Verwunderlich, dass dann die Domaine des Architekten in der Message-ID
auftaucht.
> Meistens werden dazu gestohlene Zugangsdaten anderer Mailserver verwendet, die dann auch tragischerweise
> keine Absenderverifikation machen. Oder es sind irgendwelche Lücken in Webapplikationen, über die dann solche Mails
> rausgedrückt werden können.
Ist dieses Windows Live Mail nicht auch eine Webapplikation? Da hat
einer der CC-Empfänger wohl einen Trojaner onboard, der sich munter
bedient.
Grüße
Andreas
Mehr Informationen über die Mailingliste Postfixbuch-users