E-Mails mit falscher Empfängeradresse

21. Mai 2014 um 18:02 Uhr von Sabine Becker

Es sieht schon etwas seltsam aus: Man erhält eine E-Mail (üblicherweise Spam), aber der Empfänger im „To:“ („An:“) ist gar nicht die eigene Mailadresse. Wie kann das sein?

Eigentlich ganz einfach: Bei einer E-Mail gibt es zwei Empfänger. Der eine wird dem empfangenden Mailserver bei der Einlieferung mitgeteilt, die andere steht im sogenannten Mail-Header, also quasi im Briefkopf der E-Mail. Das ist genauso, wie wenn ich auf einen Briefumschlag (ohne Fenster natürlich) schreibe, der Brief sei für Lieschen Müller, aber in den Brief setze ich ins Anschriftenfeld den Namen Hans Maier. Der Postbote wird den Brief bei Lieschen Müller einwerfen, sofern sie an der Adresse einen Briefkasten hat; was innen steht, sieht er ja nicht. Genauso geht es einem Mailserver, der hier Briefkasten und Postbote in einem spielt. Genauer:

Bei den meisten Mailservern ist heute die Funktion „catch all“ (nimm alles an, was irgendeinen Usernamen innerhalb Deiner Domains hat) abgeschaltet. Ein nicht im Mailserver eingetragener Username unter einer eingetragenen Domain kann daher eigentlich keine E-Mails empfangen. Wenn jemand hier eine Mail an schnuckiputz@nerd4u.eu einliefert, wird sie direkt abgelehnt und kommt gar nicht erst ins Mailsystem. (Und jetzt bin ich mal gespannt, wieviele Harvester diese Adresse abgreifen und es trotzdem versuchen. ;-))

Ich habe gerade aktuell wieder so einen Fall. Der Header der Mail sieht im Wesentlichen so aus:

Received: from ns405145.ip-37-187-136.eu
          (3wchat.com [37.187.136.103])
	by seewind.atari-frosch.de (Postfix)
          with ESMTP id 0DE9E25344
	for <webmaster@atari-frosch.de>;
          Wed, 21 May 2014 16:55:24 +0200 (CEST)
Received: from [37.187.136.103]
        by ns405145.ip-37-187-136.eu id rxj1cT2r1E8OlRIj;
        Wed, 21 May 2014 16:55:25 +0200
Message-ID: <003e01cf7504$b12eff80$0200a8c0@ns405145.ip-37-187-136.eu>
From: "Virginia" <hypsy@ip-37-187-136.eu>
To: <taavichandra@atari-frosch.de>
Subject: Re: Rechnung und Umweltschutz.
Date: Wed, 21 May 2014 16:55:25 +0200

Der Host mit der IP 37.187.136.103 und dem angeblichen Namen 3wchat.com lieferte eine Mail ein und behauptete gegenüber meinem Mailserver, diese Mail sei für webmaster@. Dieser Account existiert natürlich, weil ich unter derselben Domain ja auch ein Webangebot laufen habe.

In der Mail selbst bzw. im Header der Mail wird der webmaster-Account dann allerdings nicht mehr erwähnt. Hier heißt es nun, die Mail soll an den User-Account taavichandra@ zugestellt werden. Hätte der einliefernde Host direkt an taavichandra@ eingeliefert, so wäre die Mail vom „Briefkasten“ gar nicht erst angenommen worden, weil der Mailserver diesen Usernamen nicht kennt. (Der Postbote hätte den Brief nicht bei Hans Maier einwerfen können, weil der nicht am Briefkasten steht, und den Brief zurückgehen lassen.)

Probiert haben das allerdings vorher diverse Hosts, zum Beispiel der hier, wie man im Log des Mailservers sehen kann:

May 20 04:53:14 seewind postfix/smtpd[23531]: NOQUEUE:
  reject: RCPT from server.myonlinevideodating.com[192.81.169.130]:
  550 5.1.1 : Recipient address 
  rejected: User unknown in local  recipient table;
  from=<i1bjan@myonlinevideodating.com>
  to=<taavichandra@atari-frosch.de> proto=ESMTP
  helo=<server.myonlinevideodating.com>

Auch 37.187.136.103 probierte das mehrfach, auch mit anderen, bei mir nicht existierenden Usernamen – und ziemlich intensiv, und fing sich natürlich lauter Bounces ein.

Also wollte man es eben auf anderem Wege versuchen. Die Spammer hoffen dabei wohl darauf, daß der Username lokal im System existieren könnte, ohne von außen per Mail erreichbar zu sein, auch wenn die Wahrscheinlichkeit äußerst gering ist. Aber bei Spam macht es ja üblicherweise die Masse.

Der Verteiler des Mailservers stellt nun also fest: Da war ja noch der andere Empfänger, der auf dem Umschlag stand. Nehmen wir doch den!

May 21 16:55:25 seewind postfix/pipe[5321]: 0DE9E25344:
  to=<[interner Username]@[intern].atari-frosch.de>,
  orig_to=<webmaster@atari-frosch.de>, relay=dovecot,
  delay=0.42, delays=0.36/0.01/0/0.05, dsn=2.0.0, status=sent
  (delivered via dovecot service)

Die Mail landet nun also auf dem webmaster-Account. Der Mailclient (hier: icedove = Thunderbird) sortiert diese Mail dann in den allgemeinen Posteingang für diesen Account ein. Angezeigt wird sie für den Empfänger taavichandra@; daß sie ursprünglich mal an webmaster@ gegangen war, ist an der Stelle nur noch im Header erkennbar, aber nicht in dem Bereich der Mail, den man sich üblicherweise anzeigen läßt.

Und so bekommt Hans Maier doch noch den Brief über den Briefkasten von Lieschen Müller, auch wenn er das gar nicht will.

Der „Trick“ klappt übrigens auch mit Mailadressen außerhalb der eigenen Domain. So könnte als Empfänger im „To:“-Header genauso eine beliebige GMX- oder GMail-Adresse usw. eingetragen sein. Solange dem Mailserver am „Briefkasten“ erzählt wird, die Mail sei für einen lokal vorhandenen Account, wird sie angenommen und verarbeitet, egal was hinterher im „To:“ steht. Letztendlich muß dann der Mailclient sehen, wo er das einsortiert.

Dieser Eintrag wurde am 21. Mai 2014 um 18:02 verfaßt und unter Spam abgelegt. Sie können alle Antworten auf diesen Eintrag via RSS 2.0 verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website aus setzen.

Kommentieren