Message-ID manipulierbar?

Andreas Meyer anmeyer at mailbox.org
So Nov 1 21:53:14 CET 2015


Hallo!

Max Grobecker <max.grobecker at ml.grobecker.info> schrieb am 01.11.15 um 13:55:06 Uhr:

> Moin Andreas,
> 
> 
> Am 31.10.2015 um 20:14 schrieb Andreas Meyer:
> 
> > [...] wobei die Message-ID immer
> > als Absender die Domaine des Architekten beinhaltet und im CC immer
> > wieder ein paar dieser bekannt gegebenen Email-Adressen stehen.
> 
> Das ist durchaus üblich - ob das Standard ist weiß ich gerade nicht aus dem Kopf.
> Was dir aber in dem Fall weiterhilft ist der Received-Header, von dem erfährst du nämlich welcher Server
> die Mail bei dir resp. deinem Anbieter eingekippt hat.
> 
> Die werden von unten nach oben gelesen, wobei für dich dann der erste Header interessant ist,
> der von deinen eigenen Mailserver bzw. Anbieter gesetzt wurde.

Ja, die hatte ich mir angeschaut und der erste Eintrag war von einer
toplevel-Domaine .za, ich habe die Email jetzt nicht mehr zur Verfügung.

Verwunderlich, dass dann die Domaine des Architekten in der Message-ID
auftaucht.

> Meistens werden dazu gestohlene Zugangsdaten anderer Mailserver verwendet, die dann auch tragischerweise
> keine Absenderverifikation machen. Oder es sind irgendwelche Lücken in Webapplikationen, über die dann solche Mails
> rausgedrückt werden können.

Ist dieses Windows Live Mail nicht auch eine Webapplikation? Da hat
einer der CC-Empfänger wohl einen Trojaner onboard, der sich munter
bedient.

Grüße

  Andreas



Mehr Informationen über die Mailingliste Postfixbuch-users