Dipl. Elektroing. Hans-Joachim Otto - www.2o2t.de

Elektronik-Tipps vom Sachverständigen

23.02.2022 19:10

E-Mail-Sicherheit

Allgemeines

Sie erhalten eine Mail mit eher dubiosem Inhalt und fragen sich, was es damit auf sich hat.

Dieser Artikel soll Hilfestellungen geben, Spam-Mails zu erkennen und richtig zu reagieren.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Beispiel 1

Ein bekanntes Beispiel eindeutiger Spam-Mails aus dem Herbst 2021 hat folgenden Inhalt:

Auch wenn diese Spam-Thematik hier eindeutig ist, lässt sich an diesem Beispiel das Grundprinzip der Spam-Erkennung gut nachvollziehen.

1. Hinweis:

mein Name ist nicht "Daniel Knoopmann".

2. Hinweis:

schaut man sich den Kopf der Mail an, dann erkennt man eine Mail-Adresse, die nichts mit der Bank zu tun hat.

Dazu ein Sonderzeichen („U“ mit „´“)

3. Hinweis:

schiebt man die Maus auf den Link (roter Bereich "Weiter zur Umstellung") ohne darauf zu klicken, dann wird ein Link angezeigt, der sicher nicht zur Bank gehört.

Hier noch mal vergrößert:

Weitere Aufschlüsse gibt der Inhalt der Mail, der normalerweise nicht sichtbar ist.

Dazu klickt man mit der rechten Maus-Taste auf die Mail - bei den üblichen Mail-Programmen wie Outlook, Thunderbird und emClient. Im Untermenü wählt man „Seitenquelltext anzeigen“.

Das ist dann der Inhalt und die wirkliche Struktur einer Mail, wie sie übertragen wird.

Im Quell-Text der Mail sind die verschiedenen Stufen der Übertragung enthalten, jedes System der Übertragungskette vermerkt hier von wem man die Mail erhalten hat und an wen diese weitergeleitet wurde.

Dabei ist die Leseweise von unten nach oben. Vor dem Inhalt (als solcher in der Regel einfach zu erkennen) stehen die Ersteller- und Ausgangs-Transportinformationen:

Die Angabe „amazonses.com“ verleitet uns zur Google-Suche.

Es handelt sich also um einer der Amazon-Web-Dienste, mit dem Massen-Mails verschickt werden können.

Damit ist auch klar, dass der Mail-Server meines Providers (smtpin.rzone.de) den Absender als regulären Dienst erkennt, damit werden ja auch „echte“ Werbe-Mails verschickt.

Man hat sich in diesem Fall also gar nicht die Mühe gemacht, eine individuelle Ansprache des Empfängers der Mails vorzunehmen.

Maßnahme

Also sofort in den Spam-Ordner verschieben. Es ist wichtig, dass dies über das entsprechende Menü des Mail-Programms erfolgt, damit das Programm sich diese Adresse als Spam merkt (Blacklist).

Würde man die Mail einfach nur löschen, wäre kein Lerneffekt des Mail-Programms verbunden. Außerdem könnte man im Nachhinein nicht nachsehen, ob es bereits ähnliche Spams gab.

Beispiel 2

Eine schon etwas perfidere Variante ist die Mail, dass der Versand einer Mail gescheitert sei. Man kennt das selbst, wenn man sich bei einer Mail-Adresse vertippt hat. Eine solche Mail kommt dann vom eigenen Mail-Provider.

Die Mail wurde von einer Adresse: "MAILER-DAEMON@banana.fellow.co.jp" versendet. Hat also nichts mit meinem Mail-Provider Strato zu tun.

Es soll wohl die eingebettete Mail  angeklickt werden.

Maßnahme

Wie zuvor in den Spam-Ordner verschieben.

Beispiel 3

Ein Freund hat das Problem, dass er regelmäßig und zu gleichen Zeiten eine Mail bekommt, dass ein Mail-Versand gescheitert sei. Ist das nun Spam? Oder hat jemand das Mail-Konto gehackt?

Der Quelltext dieser dubiosen Mail wird auch mitgeschickt und ermöglicht damit schnell eine Diagnose:

Der Absender war demnach die eigene FritzBox mit der eigenen IP-Adresse.

Der Freund hatte im Menü seiner FritzBox unter „System“ – „Push Service“ eingestellt, dass bestimmte Zustände per Mail mitgeteilt werden sollen. Allerdings war die Empfänger-Adresse falsch eingegeben worden.

Der Nachrichten-Quelltext kann also auch in einem solchen Fall sehr hilfreich sein!

Beispiel 4

Die Betreff-Zeile der Mail sagt: „Dein sevDesk wurde gesperrt & letzte Mahnung“

Ich habe kein sevDesk-Konto, aber es könnte ja jemand sich für mich ausgegeben haben (Identitätsdiebstahl).

Schaut man sich den Quelltext an, dann wird wieder ein Massen-Mailversender (sendgrid.net, einfach bei Google suchen nach „wer ist sendgrid.net“) erkennbar. Bestsrv hat ähnliche Ambitionen.

Spätestens beim Sichten der Link-Adresse bei „jetzt einloggen“ wird klar, dass dort eine Fake-Website aufgebaut worden ist:

https://app.sevdesk-service.de.immobilienbewertung-schumacher.de/info/sev.htm

Derartige Links liest man immer von rechts nach links. Die Domain ist in Deutschland registriert „.de“. Dann wird es aber mit „immobilienbewertung-schumacher“ äußerst dubios. Diese Website ist „bald verfügbar“.

Der „Login-Link“ verweist auf einen Website-Editor bei 1&1.

Man hat hierzu also Unterseiten (Subdomains) eingerichtet (app.sevdesk-service.de), um hierüber Fake-Seiten erreichbar zu machen.

Es ist also alles ein Betrugsversuch.

E-Mail-Signaturen und Verschlüsselung

Wie kann man jetzt erreichen, dass der Empfänger einer Mail auch sicher sein kann, dass der Absender „echt“ ist, ohne im Nachrichten-Quelltext zu forschen?

Hierzu gibt es Signaturen.

Grundlagen und Funktionen

Dazu braucht man erst einmal ein Zertifikat, welches man bei einer Zertifizierungsstelle beantragen kann. Ich nutze ein S/MIME-Zertifikat, da hierbei die Mail-Adresse durch eine zertifizierte Stelle verifiziert wird.

Ich habe meines für die Mail sv@sv2020.de bei Sectigo (früher Comodo) über einen der deutschen Vertriebspartner (19€ pro Jahr in der Basis-Version ohne Signaturkarte) bezogen.

Bei der Erstellung einer neuen Mail zeigt mir dann das Mail-Programm (hier emClient) an, dass standardmäßig signiert wird. Mit dem Schloss-Symbol wird die Verschlüsselung eingeschaltet.

Bei einer versendeten Mail wird angezeigt, dass sie signiert wurde:

Diese Information erscheint auch beim Empfänger.

Dieser kann jetzt den Link „signiert“ anklicken und erhält dann die Informationen zum Inhaber des Zertifikats:

Unter „Zertifikatsdetails“ gibt es noch weitere Informationen:

Diese Basis-Signatur ist auf jeden Fall sinnvoll. Für die Generierung des Zertifikats ist ein privater Schlüssel notwendig, der im eigenen Rechner erzeugt wird und stets geheim bleiben muss.

Um jetzt die Identität zu fälschen, müsste ein „neues“ Zertifikat generiert werden, das aber fest mit der Mail „sv@sv2020.de“ verknüpft ist. Dazu müsste ein Dritter die Zugangsdaten des betreffenden Postfaches besitzen und dann entsprechend missbrauchen.

Verschlüsselung

Ein Zertifikat (das entspricht in anderer Bezeichnungsweise einem „öffentlichen Schlüssel“) ermöglicht die Verschlüsselung von Mails.

Der Empfänger kann eine mit dem öffentlichen Schlüssel (Zertifikat) verschlüsselte Mail nur mit seinem privaten (geheimen) Schlüssel entschlüsseln.

Das ist genauso einfach wie das Signieren. Man merkt gar nicht mehr, dass verschlüsselt wird.

Software-Erfordernisse

Die üblichen Mail-Programme wie Outlook, Thunderbird und emClient sind die optimale Basis für Signaturen und Verschlüsselung. Die entsprechenden Programm-Module sind standardmäßig vorhanden.

Der private Schlüssel (meist mit Dateiendung „.pfx“) wird im entsprechenden Menü importiert. Dann wird nur noch eingestellt, dass das Zertifikat (*.cer-datei) immer mitgesendet wird.

Bei Android-Endgeräten kann beispielsweise die App „FairEmail“ die gleiche Funktion erfüllen. Die pfx-Datei überträgt man mittels USB-Kabel auf das Endgerät und importiert sie dann in die App.

Bei Apple-Endgeräten ist diese Funktionalität bereits standardmäßig im System und im Mail-Programm enthalten. Die Zertifikate werden in „Einstellungen – Allgemein – VPN und Geräteverwaltung“ angezeigt.

Der Transfer kann z.B. über eine Mail mit entsprechendem Anhang erfolgen, da Apple eher restriktiv die Übertragung von Dateien über eine lokale kabelgebundene Datenverbindung vorsieht.

WIE man einen Schlüssel bzw. ein Zertifikat generiert ist in den Anleitungen bei den verschiedenen Vertriebspartnern ausführlich beschrieben.