Sicherheit - Gefährliche E-Mails erkennen

Hinweis:
Diese Anleitung gilt nur für Landauer Kennungen!


Dieser Artikel beschreibt eine Vorgehensweise, wie Sie E-Mails, die ein Sicherheitsrisiko darstellen, erkennen können.

Sollte auch nur eine dieser Prüfungen einen Verdacht wecken, muss die Mail direkt als Anhang an spam(at)uni-landau.de geschickt
werden. Sollten Sie die verdächtige E-Mail einfach weiterleiten, wird der Quelltext verändert und wir können Ihnen keine Auskunft
über die Herkunft der E-Mail geben.

Anleitungen, wie eine E-Mail als Anhang versendet werden kann, finden Sie unter folgenden Links:

Thunderbird

Outlook

Apple Mail

 

Die Vorgehensweise besteht aus einer logischen Prüfung, einer Textprüfung, der Prüfung des Quelltextes, sowie der Domainprüfung.

 

Logische Prüfung

Die logische Prüfung zielt auf die Sinnhaftigkeit der E-Mail ab. Grundsätzlich ist nach dem Öffnen einer E-Mail immer zuerst die Frage zu stellen:
Ergibt es Sinn, dass ich eine solche E-Mail erhalte?

Fragen, die man sich in diesem Zusammenhang stellen sollte sind beispielsweise:

1. Bin ich Kundin/Kunde des Unternehmens?

2. Wird eine korrekte und konkrete Anrede verwendet?

3. Werden persönliche Daten abgefragt?

4. Sind korrekte Logos und Adressen vorhanden? (Bei Buttons: mit der Maus darüberfahren zeigt am unteren Bildschirmrand die Adresse an -> Stimmt diese mit dem Absender überein?)

5. Ist die Absenderadresse korrekt?

Zur Veranschaulichung werden hier zu jeder Prüfung zwei Beispiele gezeigt.

Beispiel 1:

Wie man unschwer erkennen kann, handelt es sich hierbei um eine sogenannte „Phishing“-Mail, die darauf abzielt Passwörter zu „fishen“, indem Mailempfänger dazu verleitet werden, eine Seite aufzurufen und dort ihr Passwort einzugeben.

 

Beispiel 2:

Das zweite Beispiel scheint bereits sehr viel authentischer. Die logische Prüfung scheint hier im ersten Moment ein positives Ergebnis zu zeigen.
Lediglich die Kopfzeile weckt möglicherweise einen Verdacht, dass es sich hier um eine Mail handelt die Schadsoftware auf einen Rechner
transportieren soll. Dementsprechend muss eine weitere Prüfung erfolgen.

 

Textprüfung

Die Textprüfung zielt auf die Untersuchung des Textes ab. Hier ist sowohl Rechtschreibung, wie auch Grammatik von Relevanz. Die meisten E-Mails mit einer bösartigen Intention werden von automatisierten Programmen übersetzt und beinhalten häufig Rechtschreib- wie auch Grammatikfehler. Auch Umlaute wie ä, ö und ü stellen für solche Programme Probleme dar. Da diese Fehler meist sehr Auffällig sind, lassen sich Massenspammails dadurch einfach über einschlägige Suchmaschinen finden (Beispielsweise Google).

Das Vorgehen ist wie folgt:

1. Den Text auf Fehler überprüfen, die nicht auf Tippfehler oder einfach mangelnde Orthografiekenntnisse zurückzuführen sind.

2. Das Hauptthema des Textes in Google eingeben.

Zur Veranschaulichung wird hier auch Beispiel 1 nochmal gezeigt:

Beispiel 1:

Eine Googlesuche ergibt:

Auch hier ist erneut sehr schnell ersichtlich: Es handelt sich offensichtlich um einen Betrugsversuch. Dass es nicht immer so einfach ist zeigt hier
erneut Beispiel 2:

 

Beispiel 2:

Eine Googlesuche ergab keine Treffer.

Hier zeigt sich: Das Niveau von Phishing- oder Schadmails unterscheidet sich massiv und kann sehr authentische Züge annehmen.

Um nun herauszufinden, ob es sich bei Beispiel 2 um einen Betrugsversuch handelt, kann die Quelltextprüfung durchgeführt werden.

 

Quelltextprüfung

Wie der Quelltext für eine Mail angezeigt werden kann ist hier in der Kurzform dargestellt:

Thunderbird: E-Mail auswählen -> „Mehr“ -> „Quelltext anzeigen“

Outlook: E-Mail mit einem Doppelklick öffnen -> „Datei“ -> „Eigenschaften“

Apple Mail: E-Mail auswählen -> Darstellung -> E-Mail -> “Reine Datei“

SOGo: E-Mail auswählen -> „drei Punkte“ -> „Nachrichten Quelltext“

 

Ausführliche Anleitungen zu den Programmen finden sich hier:

SOGo

Thunderbird

Outlook

Apple Mail

 

Der Quelltext einer E-Mail gibt Aufschluss über den tatsächlichen Absender und den Server von dem die E-Mail gesendet wurde. Auch wenn der Absender einer E-Mail im ersten Moment korrekt zu sein scheint, kann es sich um ein sogenanntes „Spoofing“ handeln. Bei dem der Angreifer suggeriert ein anderer Absender zu sein.

Außerdem kann im Quelltext überprüft werden, ob die E-Mail über andere Server weitergeleitet wurde oder ob die Antwortadresse
möglicherweise manipuliert wurde.

Zusammengefasst sind folgende Bezeichnungen relevant:

„Return-Path“: Hierbei handelt es sich um die Adresse an die eine Antwort geschickt wird. Sie sollte mit dem Absender übereinstimmen.

„Recived“-Zeilen: Unter „Recived“ sind folgende Informationen zu sehen:

Erster Eintrag: Der „Zustellungsserver“, im Fall der Universität Koblenz-Landau ist dies nsmtp.uni-koblenz.de

Zwischeneinträge: Hier würden ggf. Weiterleitungen vermerkt werden, die dazu dienen sollen am Ende die Identität des Absenders zu
verschleiern.

Letzter Eintrag: Der Server von dem die Mail geschickt wurde. (from X.X.X.XX. ([….]) by servername.com.). Hier ist vor allem verdächtig, wenn zum
einen mehrere Adressen vorhanden sind oder ein großer Leerraum zwischen Adressen vorhanden ist.

Dieser Schritt der Prüfung mag komplex erscheinen, ist aber anhand eines Beispiels relativ konkret nachvollziehbar. Die Schritte zur Prüfung sind hier:

1. „Return-Path“ überprüfen

2. Von welchem Server wurde die Mail versendet?

3. Wurde die Mail weitergeleitet?

4. Gibt es mehr als einen Absender? Sind Auffälligkeiten bei der Absendereingabe vorhanden?

In der Mail ist zu erkennen:

1. Der "Return-Path" ist verdächtig, da er nicht mit dem vorgegebenen Absender übereinstimmt.

2. Der Server von dem die E-Mail stammt ist ebenfalls verdächtig.

3. Die Mail wurde mehrfach weitergeleitet.

4. In der Absenderzeile sind Auffälligkeiten vorhanden. (Große Menge an Leerzeichen).

 

Eine weitere Möglichkeit die Sicherheit von Mails zu garantieren, ist die sogenannte DKIM-Signatur. DKIM steht für „Domain Keys Identified Mail“. Diese ist ein Hinweis auf den Server, von dem die E-Mail gesendet wurde. Sämtliche Mails der Universität Koblenz-Landau sind mit einer solchen Signatur versehen.

Die DKIM-Signatur ist im Quelltext unter „DKIM-Signature“ zu finden. Sollte eine E-Mail vorgeben, vom Server der Universität Koblenz-Landau zu stammen, aber keine Signatur tragen, ist von einem Spam- oder Phishingversuch auszugehen.

Beispiel 2 gibt vor, von einer Universitätsmailadresse geschickt worden zu sein, trägt aber keine DKIM-Signatur. Auch das ist ein klares Indiz für eine verdächtige Mail! Bitte beachten Sie hierbei, dass die DKIM-Signatur lediglich das authorisierte Absenden der E-Mail von unseren Servern verifiziert, nicht jedoch die Integrität des Absenders. Ein Angreifer mit einem "geklauten" Passwort kann authentifiziert über unsere Server E-Mails versenden, die eine DKIM-Signatur enthalten.

 

Domainprüfung

Eine weitere Möglichkeit eine E-Mail auf mögliche Spamangriffe zu testen, ist die Domainprüfung.

Im Quelltext wird eine Domain als Sender angegeben. Sollten Sie sich Zweifel an der Authentizität einer Mail haben, können Sie diese Domain auf den Seiten https://virustotal.com oder via https://whois.com auf Schadware und auf den Besitzer der angegebenen Domain überprüfen.

 

Um die Sicherheit des E-Mailverkehrs zu gewährleisten, empfiehlt das URZ die Einrichtung von Nutzerzertifikaten zur Verschlüsselung und
Signierung von E-Mails. Eine Anleitung dazu ist hier zu finden.


RZ Service-Center Landau

IT-Support für Beschäftigte & Studierende

Kontakt

Gebäude: EIII
Raum: 48
Etage: EG
76829 Landau

Öffnungszeiten

Montag - Donnerstag
09:00 - 11:00 Uhr

Montag - Donnerstag
12:30 - 16:00 Uhr

Freitag
09:00 - 13:00 Uhr