Von wo kommt meine eMail?

Der Absender einer eMail läßt sich fast genauso leicht fälschen wie der Absender auf einem Brief. SPAM oder Phishing eMail wird zunehmend mit den Namen von “Freunden” geschickt, die man ja mit relativ wenig Aufwand aus Sozialen, Netzwerken, Foren, Adressverzeichnissen usw erhalten kann. Hat man eine verdächtige eMail erhalten, sollte man sie sich in der Quelltext Ansicht ansehen.

Return-Path: <bounce@dylaide.com>
Delivery-Date: Sat, 19 Jan 2013 06:16:19 +0100
Received-SPF: pass (mxbap2: domain of dylaide.com 
designates 193.183.5.146 as permitted 
sender)client-ip=193.183.5.146; 
envelope-from=bounce@dylaide.com; helo=www2.dylaide.com;
Received: from www2.dylaide.com 
(www2.dylaide.com [193.183.5.146])

Dort findet man die IP Adresse sowohl des Absenders (Client) als auch des Servers. Ort (Location) der  IP Adresse prüfen. Für das gezeigte Beipiel erkennt man, dass die vorgetäuschte eMail aus Südamerika mit spanischem Text aus Schweden kommt. Das passt nicht zusammen! (Detaillierte eMail Analyse). Daraus sollte aber auch klar sein, dass mit jeder eMail, die ein Benutzer verschickt, seine IP Adresse dem Empfänger bekannt gemacht wird. Man sollte also keine eMails (auch wen es ein Protest gegen SPAM) ist an dubiose Adressen verschicken!

Abzocke mit IP Adresse – Dichtung und Wahrheit

Im Fernsehen werden immer wieder Fälle gezeigt, bei der unschuldige Internet Nutzer beschuldigt werden, illegal Files verteilt zu haben, Verträge geschlossen zu haben usw . Anknüpfungspunkt ist dabei immer die IP Adresse und eine Zeitmarke als Beweis für den Vertragsabschluss oder die illegale Nutzung. Nun findet man im Internet hinreichend seriöse Hinweise wie man sich in solchen Fällen verhalten soll.Vom Fernsehen erhält man diese leider nicht – da werden ja auch viele Krimis und relativ wenig Gottesdienste mit frommen Gläubigern übertragen.

Ganz so einfach wie das im Fernsehen dargestellt wird, ist die Lage bei Anzeigen über IP Adressen leider nicht immer. Da wird z.B. vom Reporter der Vater, ein typischer Nutzer mit Minimalkenntnissen interviewed, der Stein und Bein schwört, dass er z.B. keine Files illegal verschickt hat. Was auch sicher richtig ist. Oft steckt im Hintergrund aber ein Junior Hacker, der über WLAN tatsächlich an Tauschbörsen beteiligt war. Was der Vater nicht weiß ist, dass in einer typischen WLAN Installation alle PCs unter der gleichen IP Adresse surfen. Ist das WLAN nicht geschützt (oder gibt man den Zugriffsschlüssel an den Nachbarn) ist dieser auch mit der gleichen IP Adresse unterwegs.  Diese IP Adresse ändert sich nicht, wenn man den PC abschaltet und man sich neu mit dem Internet verbindet (das war früher mal so als es nur Wählverbindungen gab). Die IP Adresse ändert sich nur wenn man den WLAN Router ab- und wieder einschaltet. Mit dieser quasi festen IP Adressee kommt man meist auch ohne die gern zitierte “Man in the Middle Attacke” in die Klemme. Bei den Abzockern gibt es nämlich auch Profis, die nicht so schnell klein beigeben.

Die meisten Abzocker sind aber einfach dreist und versuchen es auf die billige Tour mal Geld von Unkundigen einzutreiben. Das ist ja auch außerhalb des Internets eine beliebte Geschäfsidee. Nun ist es relativ selten, dass der Abzocker an Namen und eMail Adresse über einen Strafantrag bei der Polizei kommt, wenn er nur die IP Adresse und eine Zeitmarke angibt. Valide IP Adressen und Zeitmarken kann sich jeder Anfänger-Hacker leicht besorgen indem er die bekannten IP Adressen Pools der Internet Provider (Telecom, Vodafone usw) durchprüft (z.B. mit PING oder IP Address Lookup). Das kann man relativ einfach mal selbst ausprobieren. Die Erfolgschance, dass eine zufällig ausgewählte IP Adresse aktiv ist, ist ziemlich hoch.

Schon damit kann man einen Angriff auf den Geldbeutel vieler Benutzer starten. Nur mit Nachweis einer IP Adresse kann man viele Benutzer aber nicht mehr schrecken. Wirksamer ist es, wenn der Abzocker nicht nur die IP Adresse mit Zeitmarke sondern auch noch die eMail Adresse und den richtigen Namen anführt. Damit der Abzocker die eMail Adresse zu einer IP Adresse erhält muss man nicht unbedingt ein Formular auf einer Webseite ausfüllen. Es reicht schon, wenn man eine eMail von irgendwo herbekommt. Im eMail Header steht nämlich die IP Adresse und natürlich die eMail Adresse des Absenders. Man sollte sich bewußt sein, dass man mit jeder eMail seine IP Adresse verschickt! Hat man dann dummerweise auch noch eine eMail Adresse mit dem richtigen Namen z.B. egidius.laschmeier@gmx.de dann hat der Abzocker wirklich leichtes Spiel..

Mit einer relativ einfachen Methode kann man sich recht effektiv gegen IP Adressen Übergriffe schützen. Man wechselt die IP Adresse täglich indem man z.B. mit einer Zeitschaltuhr den WLAN Router um 2 Uhr Nachts für 5 Minuten abschaltet. Dann besorgt der Router sich beim Einschalten automatisch eine neue IP Adresse. Damit erschwert man die Suche nach eMail Adressen bei bekannter IP Adresse.

Will man sich professionell gegen die Identifikation über die IP Adresse schützen muss man einen Anonymisiserungsservice z.B. TOR (auch auf Android Handy) oder kommerziell SaveMyAss oder VPN4All  für etwa 80 $ /Jahr verwenden. Mit der dabei verwendeten Proxy Technik kann man sich auch hinter einem Server in einem anderen Land verstecken. Steht ein Server z.B. in Deutschland kann sich dahinter ein Hacker aus Moldawien verbergen oder umgekehrt. Positiv kann man diesen Service aber auch nutzen, wenn Youtube z.B. die Anzeige von bestimmten Videos in Deutschland sperrt (hoch lebe die GEMA). Da geht man einfach über einen Proxy als Amerikaner ins Web.

PS Es ist meist nicht empfehlenswert bei Streitigkeiten ums Internet einen Anwalt aufzusuchen. Die Rechtslage ist nämlich von den Abzockern juristisch abgeklärt. Es geht ja um technische Sachverhalte. Da haben übliche Juristen keine Ahnung. Gute Internet Juristen sind für Privatleute aber zu teuer. Es gilt die Regel: Mit Anwalt muss man immer bezahlen (den eigenen) ohne Anwalt sehr wahrscheinlich nicht. In echten Notfällen wendet man sich besser an die Verbraucherzentralen.

Wie kommt meine IP Adresse auf die SPAM Blacklist?

Gerät die eigene IP Adresse auf eine SPAM Blacklist, so kann das einige unangenehme Folgen haben z.B. dass eMail Nachrichten vom Server des Empfängers nicht akzeptiert werden. Mit Blacklist Check kann man überprüfen ob die eigene IP Adresse auf einer der vielen SPAM Blacklists auftaucht.  Bei einer Prüfung tauchte meine IP Adresse, die ich dynamisch aus dem ARCOR IP-Pool bekommen habe auf den SPAM Blacklists von Spamhaus und  Barracuda auf.

Nun könnte es durchaus sein, dass von dieser IP Adresse aus in der Vergangenheit SPAM versendet wurde  und die Adresse “verbrannt” ist. Betroffen sind dann aber Benutzer, die in Zukunft diese IP Adresse von ARCOR zugewiesen bekommen. ARCOR sollte prüfen ob die IP Adressen im IP-Pool OK sind, bevor sie an andere Kunden vergeben werden.

Nur in seltenen Fällen wird es zu Problemen führen, wenn die zur Zeit benutzte IP Adresse auf einer der vielen SPAM Blacklists auftaucht z.B. wenn eine wichtige eMail nicht akzeptiert wird. Dann sollte man sich eine neue IP Adresse vom Internet Provider zuweisen lassen. Das erreicht man meist wenn man den Router (Netgear, Linksys usw) kurz ausschaltet und dann wieder einschaltet. Wenn man im Privathaushalt die IP Adresse des Routers sowie Benutzername und Passwort kennt, kann man den Router auch über das Netzwerk vom Arbeitsplatz aus zurück setzen und spart sich den Gang in den Keller.

Website – unerwünschte Besucher

Betreibt man eine offene Website wie z.B. eine Sharepoint Site, die für anonyme Besucher zugelassen ist, so stellen sich bald erwünschte und unerwünschte Besucher ein. Zunächst ist es positiv wenn Suchmaschinen von Google, Microsoft, Yahoo oder anderen die Website finden und auch registrieren. Nur so werden Benutzer Ihre Website finden. Leider finden sich bald auch Besucher ein, deren Motive man nicht kennt oder die Angriffe auf die Website starten. Sharepoint 2010 liefert recht nützliche Web Analytics Websiteberichte, in denen die Besucher der angemeldeten Benutzer mit Benutzernamen und unbekannte Besucher mit der IP Adresse verzeichnet sind.

Man sollte sich diese Websiteberichte von Zeit zu Zeit ansehen und verdächtige IP Adressen überprüfen z.B. mit Project Honey Pot , das Adressen von Spam Servern (aber auch IP-Adressen von Benutzern deren Adressen missbraucht werden) registriert.  Man kann auch überprüfen aus welchem Land die Zugriffe erfolgen. Tauchen da vermehrt Zugriffe aus Island auf, ist das in der Regel kein Anzeichen, dass ein Islander an ihr Geld will, sondern dass ein Besucher über den Opera Mini Proxy in Island auf die Site zugegriffen hat. Nimmt die Zahl der Spam Zugriffe überhand sollte man geeignete Gegenmaßnahmen treffen.

Online Durchsuchung erschwert – aber Online Schnüffeln erlaubt

Das Bundesverfassungsgericht hat einige Richtlinien für die Online Untersuchung aufgestellt, die eigentlich ganz vernüftig sind. Unvernünftig ist aber wohl, dass im Internetzeitalter die Länder Gesetze hierfür erlassen. Welches Gesetz gilt nun wenn der Ermittler in Nordrhein-Westfalen sitzt, der Online zu Durchsuchende in Baden-Württemberg wohnt und sein Server in USA oder gar in Liechtenstein steht? 

Viele Sachverständige halten die Online Durchsuchung sowieso für sinnlos (wohl deshalb wird sie von der Politik so eifrig verfolgt!). Wesentlich wichtiger ist jedoch die Überwachung des Online Datenverkehrs. Mit Hilfe der IP Adresse des Benutzers kann man ja wunderbare Profile erstellen. Google Analytics analysiert die Besucher einer Website hinsichtlich Häufigkeit der Besuche, Interessen,  geografische Verteilung usw . Es ist deshalb manchmal durchaus angebracht, anonym im Netz zu arbeiten. Audit my PC ist eine recht gute Einstiegswebsite mit Erklärungen und Online Tools zum Thema Schutz der Privatsphäre im Internet. Interessant ist z.B. die Einführung in die Auswertung der Internen IP Adresse. Anonymizer Services werden kostenfrei und billig für 5 €/Monat (Steganos) angeboten. Die Lösungen unterscheiden sich in der Geschwindigkeit und in der Transparenz des Proxy Servers – nicht alle Web Dienste werden von allen Anbietern unterstützt.  Auf alle Fälle sollte man gewerbliche Anonymizer Services vor dem Kauf mit allen persönlichen Anwendungen testen.