OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
Django
Django
Mi Sep 23 13:16:41 CEST 2015
HI Uwe!
Am 23.09.2015 um 12:02 schrieb Uwe Drießen:
> Der ging durch weil Mail komplett als TEXT kam.
Ahhh, Mist, hab da ein paaar Zeilen zu viel aus der ursprungsmail
entfernt, da fehlt die Zeile "Content-Type: multipart/report"
> Da ist kein Anhang im eigentlichen Sinne dran
In der Mail an Dich, ja. Ich hab grad nochmal die original-Message gegen
das Kundensystem gefeuert. Die eMail geht durch - hier die betreffenden
AMaViS-Einträge:
Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) Checking:
wlXsNvE0AKTf
[217.91.103.190] <> -> <django at nausch.org>
Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) p004 1
Content-Type:
multipart/report
Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) p001 1/1
Content-Type:
text/plain, size: 7331 B, name:
Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) p002 1/2
Content-Type:
message/delivery-status, size: 323 B, name:
Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) p003 1/3
Content-Type:
message/rfc822, size: 25542 B, name:
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) bounce
rescued by domain
(DSN), <> -> <django at nausch.org>, date: Tue, 8 Sep 2015 12:39:15 +0200,
from:
"Johnston, Gottlieb and Dick
i" <django at nausch.org>, message-id: <Nk1qZ8XjlJCTRXCCBUrGJfF2M at sskm.de>,
return-path: django at nausch.org
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) mangling NO:
0 (was:
disclaimer), discl_allowed=0, <> -> <django at nausch.org>
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) spam-tag, <> ->
<django at nausch.org>, No, score=-2.6 tagged_above=-1000.0 required=6.31
tests=[BAYES_00=-1.9, RCVD_IN_DNSWL_LOW=-0.7
] autolearn=unavailable
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) FWD from <> ->
<django at nausch.org>,BODY=7BIT 250 2.0.0 from
MTA(smtp:[172.25.10.169]:10025): 250
2.0.0 Ok: queued as 340983FC73
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) Passed CLEAN
{RelayedInbound}, [217.91.103.190]:52482 [104.47.125.50] <> ->
<django at nausch.org>, Message-ID: <Nk1qZ8XjlJCTRXCCBUrGJ
fF2M at sskm.de>, mail_id: wlXsNvE0AKTf, Hits: -2.6, size: 39915, queued_as:
340983FC73, 22714 ms
O.K. der 3te Teil ist der interessanteste Abschnitt:
Content-Type: message/rfc822, size: 25542 B,
In diesem Abschnitt hat der Spam'er den Trojaner geschickt als
Content-Type: multipart/mixed mit 2 Teilen gepackt:
--------%<--------%<--------%<--------%<--------%<--------%<--------%<
Content-Type: multipart/mixed;
boundary="vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o"
--vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="utf-8"; format=flowed
Good day,
Please check out the edits of contract 2416653517. Pay your particular
attention to
paragraphs 148.76 and 159.17.
Until this contract isn't signed, an amount won't be remitted. If you
have any questions, please mail or call me on my additional number 612740.
Miss Julian Beier
phone: 1-941-576-7683
Johnston, Gottlieb and Dicki
--vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o
X-Attachment-Id: B7mxfTCt8eXysAWQJlV
Content-Type: application/zip; name="contract Urban Trail#SOjk7K7.zip"
Content-Disposition: attachment; filename="contract Urban Trail#SOjk7K7.zip"
Content-Transfer-Encoding: base64
UEsDBBQAAAAIAAcRYUAcLpC+tj4AAAB8AAAoAAAAYWdyZWVtZW50IG9mIDA4IFNlcCAyMDE1IENh
c3BlciBXYXlzLmV4Ze29CXgc1ZUoXLIWCwOB/AFbkh0QMmRIBPS+gR3ceq7uqu3jSW3N1V1fu+
N5jYI/zA0fOMZvJmsk9gYJg4eyYJS9gk22A7wSwmrGYxwQGDbXCCJUsg6b5T1a1Wy9jJvHnv//55
3+8r3763bt177jnnnrV6scW3BWvBMKwNuxRDCMM2sBdQNmB/uWyB+pkr0Z7JcXHLjqwRbzgauc
4UiuN51NhbL+RG/Qn0ym8r0BujdbSPZGkr2aAUdvIkXRN1y84uoFGDYthplb2rF115zULowdxi5p
ubBl2TWAEobdWB+8tF5769ix/WUYVkcX8K+Xn9UuftDewt5eXNeYWb9cKGkMu7alRszx68DRP8f
....
--------%<--------%<--------%<--------%<--------%<--------%<--------%<
Tja, dummer Weise erkennt wohl AMaVis nur den ersten Teil (Text) und
nicht den zweiten Teil Content-Type: application/zip (attachment). Die
MUAs beim unbedarften User widerum zeigen *beide Teile*, also den Text
und das Attachment n und somit ist ratzfaz der Trojaner dort wo ihn
"Klaus der Spammer" haben wollte, beim unbedarften User.
Du bekommst gleich nochmal 'ne pers. Post mit weiteren Details.
Deine Hinweise, waren aber schon mal Gold wert! muchos gracias!
Servus
Django
--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
Mehr Informationen über die Mailingliste Postfixbuch-users