Dies ist eine statische Kopie unseres alten Forums. Es sind keine Interaktionen möglich.
This is a static copy of our old forum. Interactions are not possible.

kritop

Junior Schreiberling

  • "kritop" is male
  • "kritop" started this thread

Posts: 223

Date of registration: Sep 22nd 2003

Location: Bochum

1

Tuesday, May 11th 2004, 10:21am

Virenmail von der Uni?

Eine Nachricht an Sie wurde vom McAfee antivirus plugin geloescht


Unten finden Sie Details, was gefunden wurde und den Nachrichtenkopf.
Zu Ihrem Schutz wurde die Originalnachricht geloescht.
Der Absender wurde benachrichtigt.

your_file.pif ist infiziert mit W32/Netsky.d@MM

Virus: 1
Trojaner: 0
Falschmeldung: 0
Tests: 0

Der Absender ist <dekanat@math.uni-hannover.de> (evtl. gefaelscht)

--- Nachrichtenkopf folgt: ---

Received: from [217.81.61.252] (HELO ish.de)
by mail-fe-01.mail01.ish.de (CommuniGate Pro SMTP 4.1.8)
with ESMTP id 26345712 for kritop@ish.de; Tue, 11 May 2004 00:08:22 +0200
From: dekanat@math.uni-hannover.de
To: kritop@ish.de
Subject: Re: Hi
Date: Tue, 11 May 2004 00:08:27 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0006_00005FA3.00005969"
X-Priority: 3
X-MSMail-Priority: Normal
Message-ID: <auto-000026345712@mail-fe-01.mail01.ish.de>
Wer es gelernt hat, sich von der Herrschaft des Ärgers zu befreien, wird das Leben viel lebenswerter finden. Bertrand Russel
  • Send private message

paradroid

Junior Schreiberling

Posts: 231

Date of registration: Feb 28th 2002

2

Tuesday, May 11th 2004, 10:41am

RE: Virenmail von der Uni?

Langsam wird's nervig: Nein, die Mail kam nicht von der Uni!

Quoted


Received: from [217.81.61.252] (HELO ish.de)
by mail-fe-01.mail01.ish.de (CommuniGate Pro SMTP 4.1.

217.81.61.252 ist offensichtlich keine Uni-IP (die fangen alle auf 130.75 an). Das From: Tag kann jedes Kind mit einer Telnet-Konsole fälschen. Und stell bitte die Absenderbenachrichtigung ab, das bringt überhaupt nix (weil alle Spammer/Würmer die Absender fälschen) und verursacht nur Traffic.

# transmission terminated #
  • Send private message

kritop

Junior Schreiberling

  • "kritop" is male
  • "kritop" started this thread

Posts: 223

Date of registration: Sep 22nd 2003

Location: Bochum

3

Tuesday, May 11th 2004, 11:00am

Sorry ist die erste die ich bekomm, ich weiß dass das jeder fälschen kann aber, dass es gerade von der Uni Hannover ist hat mich ziemlich verwundert. Jo das mit der IP hätte mir auffallen können...
Ist nicht mein Virenscanner ist vom Provider kann da ergo nicht viel tun.
Wer es gelernt hat, sich von der Herrschaft des Ärgers zu befreien, wird das Leben viel lebenswerter finden. Bertrand Russel

This post has been edited 1 times, last edit by "kritop" (May 11th 2004, 11:02am)

  • Send private message

Benjamin

Segelnder Alter Hase

  • "Benjamin" is male

Posts: 3,827

Date of registration: Oct 1st 2002

Location: Region Hannover

Occupation: Alumni

4

Tuesday, May 11th 2004, 12:06pm

RE: Virenmail von der Uni?

Quoted

Original von paradroid
Langsam wird's nervig: Nein, die Mail kam nicht von der Uni!

Quoted


Received: from [217.81.61.252] (HELO ish.de)
by mail-fe-01.mail01.ish.de (CommuniGate Pro SMTP 4.1.

217.81.61.252 ist offensichtlich keine Uni-IP (die fangen alle auf 130.75 an). Das From: Tag kann jedes Kind mit einer Telnet-Konsole fälschen. Und stell bitte die Absenderbenachrichtigung ab, das bringt überhaupt nix (weil alle Spammer/Würmer die Absender fälschen) und verursacht nur Traffic.


Es kann doch auch ein jeder, der ein bissle Ahnung hat (z.B. auch ein Wurm) sich eigene Received und andere Header-Daten ausdenken und reinschreiben. Die sind doch genauso fälschungsunsicher.
Oder irr ich mich nun :rolleyes:
Es gibt nur eine bessere Sache als auf dem Wasser zu sein: Noch mehr auf dem Wasser sein.
  • Send private message

denial

Erfahrener Schreiberling

  • "denial" is male

Posts: 394

Date of registration: Feb 18th 2003

Location: Göttingen

Occupation: Linux Coder (ex Mathe SR Inf Student)

5

Tuesday, May 11th 2004, 12:26pm

RE: Virenmail von der Uni?

Quoted

Original von metalhen
Es kann doch auch ein jeder, der ein bissle Ahnung hat (z.B. auch ein Wurm) sich eigene Received und andere Header-Daten ausdenken und reinschreiben. Die sind doch genauso fälschungsunsicher.
Oder irr ich mich nun :rolleyes:

Bei Spam werden hin und wieder ein paar gefakete Received Header mitgeschickt die dann hinter den richtigen stehen. Der Zeile vom eigenen MX Server kann man aber vertrauen.
  • Send private message

paradroid

Junior Schreiberling

Posts: 231

Date of registration: Feb 28th 2002

6

Tuesday, May 11th 2004, 2:57pm

RE: Virenmail von der Uni?

Quoted

Original von denial

Quoted

Original von metalhen
Es kann doch auch ein jeder, der ein bissle Ahnung hat (z.B. auch ein Wurm) sich eigene Received und andere Header-Daten ausdenken und reinschreiben. Die sind doch genauso fälschungsunsicher.
Oder irr ich mich nun :rolleyes:

Bei Spam werden hin und wieder ein paar gefakete Received Header mitgeschickt die dann hinter den richtigen stehen. Der Zeile vom eigenen MX Server kann man aber vertrauen.

Genau. Außerdem sehen die gefaketen Received meistens ziemlich Panne aus, die kann man oft schon an Syntaxfehlern erkennen. Dazu kommt, das es kaum noch relaying gibt, d.h. der Rechner, der die Mail an deinen MX liefert ist meist auch der Urheber (wie hier auch der Fall).

@Kritop: Wenn der Filter bei deinem Provider läuft kannst du natürlich nicht viel machen. Sorry, wenn ich ein bißchen heftig reagiert habe, aber ich habe schon in so vielen Foren Meldungen wie "Ihr habt mir einen Virus geschickt!" gelesen, da hat mich das bei der Informatik einfach etwas geschockt.

# transmission terminated #
  • Send private message

kritop

Junior Schreiberling

  • "kritop" is male
  • "kritop" started this thread

Posts: 223

Date of registration: Sep 22nd 2003

Location: Bochum

7

Tuesday, May 11th 2004, 6:45pm

schon okay :-) Hatte deshalb auch nen "?" dahinter geschrieben...
Wer es gelernt hat, sich von der Herrschaft des Ärgers zu befreien, wird das Leben viel lebenswerter finden. Bertrand Russel
  • Send private message

denial

Erfahrener Schreiberling

  • "denial" is male

Posts: 394

Date of registration: Feb 18th 2003

Location: Göttingen

Occupation: Linux Coder (ex Mathe SR Inf Student)

8

Tuesday, May 11th 2004, 9:38pm

Naja, manchmal kann man schon Rückschlüsse auf den Absender ziehen, z.B. wenn als offensichtlich gefakete Adresse die der kleinen Schwester benutzt wurde und der sendende Rechner eine AOL IP Adresse hatte...
Es gab auch mal Würmer die im HELO den Windows Rechnernamen benutzt haben.
Würmer die den in Outlook Express eingestellten SMTP Server benutzt haben hinterließen bei T-Online Kunden den wirklichen Absender im Header.
  • Send private message