SPAM mal wieder

Heute kam wieder SPAM im Postfach an; der Betreff der E-Mail war mal „DHL Express Notification for shipment {fehlerhafte alphanumerische Zeichenfolge}”, mal „Re: DHL Express Notification for shipment {fehlerhafte alphanumerische Zeichenfolge}”. Aber auch die E-Mail selbst ist primitiv und enthält Fehler:

DHL Express Tracking Notification: Mon, 15 Jan 2012 13:55:20 +0100
Custom. Reference: 34-82344455282268227
Parcel Tracking Number: 15-M54D3F4N2O
Pickup Date: Mon, 15 Jan 2012 13:55:20 +0100
Service: AIR
Pieces: 2

Mon, 15 Jan 2012 13:55:20 +0100 - Clearance processing complete
PLEASE REFER TO ATTACHED FILE FOR DETAILED INFORMATION.
Shipment status may also be obtained from our Internet site in USA under
http://track.dhl-usa.com or Globally under http://www.dhl.com/track

Please do not reply to this email 

This is an automated application used
only for sending proactive notificationsThanks,

DHL Express International.

Der Fehler ist offensichtlich, denke ich. Aber es kommt noch besser, nämlich im Nachrichtenkopf, auch Header genannt:

From: "DHL Express"
...
Subject: DHL Express Notification for shipment  81649254710803053MKP0
Date: Mon, 15 Jan 2012 13:55:20 +0100

Abenteuerlich ist eigentlich gar nicht die SPAM-Mail an sich, sondern die Tatsache, dass kein Mail Transfer Agent (MTA) über das Datum gestolpert ist. Offensichtlich wird beim Konvertieren des lesbaren Datums in eine für den Rechner verträgliche Form der Name des Wochentages schlicht nicht berücksichtigt. Und da diverse Rechner auf dem Transporweg beteiligt gewesen sind, ist diese Ignoranz in der Implementierung der stdlib zu vermuten, und zwar auf allen gängigen Plattformen. Das ist schon wirklich bedenklich, zeigt es doch, dass Eingaben nicht ausreichend validiert werden.

Eingeliefert wurde die E-Mail auf meinem Server von einem System namens 16.Red-80-59-155.staticIP.rima-tde.net, das erste System, welches das richtige Datum eingetragen hat. Die anderen Received-Header sind Fälschungen und wurden (offensichtlich) per Hand erstellt. Die Fälschungen der vermeintlich beteiligten SMTP-Server sind jedoch mit Liebe zu Detail vorgenommen, denn für die angegebenen Domain-Namen erhält man eine statische IP, wodurch die Verschleierung noch besser wird. Wäre da nur nicht der fehlende Blick auf den Kalender gewesen…

Ach ja, wie oft bei SPAM-Mails ist auch hier ein Attachment vorhanden. Das darf natürlich wie üblich nicht geöffnet, sondern nur gelöscht werden. Aber das ist der geneigten Leserschaft ja ohnehin klar…

Advertisements

Über hinrich7

Noch nix...
Dieser Beitrag wurde unter Lumpensammlung abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s