[Postfixbuch-users] [OT] Fuer Autohaeuser - mobile.de + phishing

Robert Felber r.felber at ek-muc.de
Di Sep 4 08:05:01 CEST 2007 

On Tue, Sep 04, 2007 at 12:25:46AM +0200, nighthawk wrote:
> On 9/4/07, Uwe Driessen <driessen at fblan.de> wrote:
> > Philipp Wollermann schrieb:
> >> Könnte ja evtl. ein interner Server sein, der erst über einen weiteren
> >> internen MX raus ins Netz sendet.. dann wäre er tatsächlich nicht
> >> aufzulösen.
> >
> > Was mich halt brennend interessiert ist wie Postfix das ganze gesehen hat.
> > Das da im Header so einiges nicht koscher ist ist klar aber wer hat die Mail
> > eingekippt?
> > Oder wurde der interne Maildienst von Mobile Überlistet/gehackt dann müsste
> > sich Mobile schnellstens was einfallen lassen.
> 
> Sieht man doch - oder täusche ich mich jetzt?
> 
> Received: from mail.mobile.de (mail46-1.mobile.de [194.50.69.2])
> 	by robtone.ek-muc.de (Postfix) with ESMTP id 3EB27C398D
> 	for <info at kuttendreier.de>; Mon,  3 Sep 2007 21:06:08 +0200 (CEST)
> 
> Was mich verwundert ist diese Zeile:
> 
> Delivered-To: ah-e-kuttendreier at mobile.de
> 
> Kann ich da auch eine Mail hinschreiben und mobile.de leitet die an
> info at kuttendreier.de weiter? Das wäre in der Tat haarsträubend..

Ja. Aber wir blocken forwarded ah-e-kuttendreier mail die als Absender keine
mobile.de Adresse hat bzw nicht von "gaengigen" providern kommt (sender).

Sep  4 02:06:56 <mail.info> fpsvr1z150 postfix/smtpd[42532]: NOQUEUE: reject: RCPT from mail46.mobile.de[194.50.69.1]: 554 5.7.1 <iapsdnn at 247media.com>: Sender address rejected: Mobile.de does not do Sender-Checks and permits spam. Mobile.de does not permit to publish real E-Mail addresses. We must assume you are a spammer. You can reach us at info at kuttendreier.de - Bitte benutzen Sie info at kuttendreier.de; from=<iapsdnn at 247media.com> to=<info at kuttendreier.de> proto=ESMTP helo=<mail.mobile.de>



Die Jungs kippten die Mail aus dem OP ganz "Normal" ueber ein Kontaktformular
ein. 
Die benutzen auch keine Hacks oder weiss der Geier, die kippen da ganz simple
bisschen Text und nen Link rein.

Hintergrund vermute ich jetzt: geklaute Autos ueber falsche Flagge verticken.
Wer also bei mobile.de Autos kaufen will, sollte sich SEHR genau den
Kontakt zu dem Fahrzeug ansehen. Es ist nie und nimmer gegeben, dass der dort
gelistete Kontakt auch koscher ist - sprich - den richtigen Kontakt sollte
man sich besser ergooglen als den Daten dort zu vertrauen.



-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany

Mehr Informationen über die Mailingliste Postfixbuch-users