Message-ID manipulierbar?

Daniel Gompf tech at kdmails.de
Sa Okt 31 21:07:32 CET 2015


Hallo Andreas

Am 31.10.2015 um 20:14 schrieb Andreas Meyer:
> Hallo!
> 
> Max Grobecker <max.grobecker at ml.grobecker.info> schrieb am 31.10.15 um 19:36:59 Uhr:
> 
>> An sich willst du nicht die Message-ID auswerten (die wird vom Client gesetzt und ist daher wenig vertrauenswürdigt)
>> sondern man will die Queue-ID auswerten resp. verfolgen, die Postfix generiert und die an jedem Received-Header dranklebt.
>>
>> Außerdem sollte man mit der Message-ID nicht rumspielen, da sie manchmal Teil von DKIM-Signaturen ist und man
>> damit dann früher oder später zuverlässig derartige Signaturen zerstört.
> 
> Ich dank' euch allen für die Tips! Konkret geht es um einen sendenden
> Server, auf den ich keine Einfluss habe. Ich hatte gehofft, das ich
> aufgrund der Message-ID auf den Host schließen kann. Aber das ist
> natürlich Unsinn bei genauerer Überlegung, da wie gesagt alle Header
> manipulierbar sind.
> 
> Ein befreundeter Architekt hat kürzlich über sein Windows Live Mail in
> einer Email an mich im CC ca. 25 Empfänger eingetragen (über diese Indiskretion
> lasse ich ich jetzt hier nicht aus) und seit dieser Zeit kommt immer wieder
> mal Mist in Form von Pishingmails durch, wobei die Message-ID immer
> als Absender die Domaine des Architekten beinhaltet und im CC immer
> wieder ein paar dieser bekannt gegebenen Email-Adressen stehen.
> 
> Ich weis nicht, wie sowas zustande kommt. Ein Automatismus kann das nur
> schwerlich sein, oder? Gibt es einen Trojaner, der sowas macht?

Ich hatte vor einiger Zeit das Glück so etwas mal sehr schön beobachten
zu können.

Das Adressbuch und wahrscheinlich auch einige Metadaten oder andere
Daten zum Kommunikationsverhalten sind von dem Webmail-Konto  eines
Bekannten gezogen wurden.
Seit dem geistern immer wieder E-Mail von ihm herum auch mit je ca. 20
Empfängern, allerdings kommen die von irgendwelchen Bots nicht aus
seinem Konto.

Interessant war die Auswahl der Empfängerlisten, die sahen nicht
zufällig aus, sie passten meistens recht gut zusammen. Hin und wieder
änderte sich der Text-Anteil im From-Header wobei die Adresse im
From-Header immer gleich blieb.

> 
> Grüße
> 
>   Andreas
> 



Mehr Informationen über die Mailingliste Postfixbuch-users