[sage] Ursache für korrelierte Adressen in Spam-Mails?

[Dr. Dieter Braun]

Am 17.12.2015 um 21:47 schrieb Peer Heinlein:
> Am 17.12.2015 um 17:47 schrieb Martin Schulte:
>
>
>> Kann ich davon ausgehen, dass im obigen Beispiel das Listenmitglied von
>> einem Virus befallen ist, der dann das Adressbuch oder Mailboxen ausliest?
> Klar, weil:
>
> a) ein Großteil des Spams eben nunmal von vireninfizierten
> Privat/Botnetz-PCs kommt
>
> b) der Spammer ja doof wäre, würde er nicht die auf dem System
> vorhandenen Mailadressen (Adressbücher) abgreifen und nutzen
>
> c) eben wegen diesem Zusammenhang der Spam auch besser
> ankommt/durchkommt und damit mehr Cash verdient wird.
>
> Peer

Das war füher einmal so, ist es m. E. aber inzwischen leider nicht mehr. 
Leider lernen auch die Spammer dazu. Inzwischen gibt es Spam-Mails, die 
kaum noch von Originalen zu unterscheiden sind - leider muss ich mich 
immer öfter damit rumschlagen, wobei die lieben Kolleginnen und Kollegen 
meist erst dann zu mir kommen, wenn schon etwas passiert ist.  8-(

Die Spammer stellen inzwischen selber verstärkt Korrelationen zwischen 
Mailadressen und potentiellen Adressaten her. Fragt mich nicht, wie die 
das genau machen - ich bin nicht in diesem Business tätig.

Es gibt eine Möglichkeit um festzustellen, ob wirklich der Rechner des 
angeblichen Absenders infiziert ist oder nicht. Schaut euch die 
"Received:"-Einträge im Header an, die können nur sehr bedingt und vor 
allem nur für die allerersten Schritte vom Absender aus gefälscht werden.

Zeigen die Received-Einträge einen lückenlosen Pfad zum wirklichen 
Absender auf, so dürfte ihr/sein Rechner infiziert sein. Zeigen die 
Received-Einträge nach wenigen Schritten (vom Empfänger aus), dass die 
Mail von irgendwo anders her oder aus dem Fantasialand kommt, haben die 
Spammer die Korrelation anders ausarbeiten können. Dann gibt's 'ne gute 
Chance, dass mit dem Rechner des Absenders alles OK ist.

Beste Grüße,
Dieter