Neue Masche: E-Mail-Spam mit Subdomains?

Mir fällt auf, dass E-Mail-Spam neuerdings zunehmend von Absenderadressen mit zwei-buchstabigen Third-Level-Domains (3LD) kommt, während der Accountnahme unverfänglich „info“ oder „support“ o.ä. lautet, also z.B. „support@ho.poliklinikavitalis.com“. Ich bin dazu übergegangenen, meine Blacklists mit Einträgen zu füttern wie in diesem Fall „.poliklinikavitalis.com“, also mit Punkt vor dem Namen der Domäne. Falls es tatsächlich seriöse E-Mails von poliklinikavitalis.com gäbe, würden sie nicht abgefangen. Falls allerdings der Betreiber von poliklinikavitalis.com seine seriösen E-Mails von mail.poliklinikavitalis.de absendet, würden sie abgefangen.

Der Trend zu 3LD scheint irgendwie immer mehr Fahrt aufzunehmen. Früher gab’s eigentlich nur www als 3LD. Jetzt scheint 3LD immer häufiger zu werden.

Erste Frage: Welche Pros & Cons gibt’s sicherheitstechnisch gesehen bei 3LD?

Zweite Frage: Ist es sinnvoll den Spam-Filter mit Einträgen im Format .domain.tld zu füttern, also mit Punkt vorm Namen der Domäne?

das ist nicht wirklich neu, sondern die Angreifer berücksichtigen dass viele Domänen keine vernünftige SPF- und DMARC-Policy für Subdomänen haben. Mehr dazu in einem Vortrag von mir.

Hallo,

relativ passend: Wie schaffe ich es am einfachsten und schnellsten E-Mailadressen auf die Listen der Spammer zu bekommen? Hat da jemand eine Idee?

Nur interessehalber: In welchem Szenario könnte das einem legitem Zweck dienen?

Um mit den Spammails den eigenen Spamfilter automatisiert zu trainieren. Stichwort: Spamtrap.

Ah sorry, es geht um eigene Adressen. Dann habe das falsch verstanden.

Ja, hatte ich nicht expliziet geschrieben. Ich habe eine schöne Liste mit generierten E-Mailadressen auf denen ich massenweise Spam empfangen möchte. Und auch nichts anderes, also keine Newsletter, sondern genau den Müll, den jeder Mailanbieter richtigerweise ausfiltert.

Aber wo bekommt man den Müll freiwillig her? Wo grasen die Spammer die Adressen ab?

Da habe ich trotz langjähriger Erfahrung mit eigenen und E-Mail-Servern von Dritten keine pauschale Empfehlung. Es gibt da nach meiner Einschätzung auch kein Patentrezept.

Von mir persönlich oder im Zusammenhang mit Projekten gibt es viele Adressen offen und scrapebar im Netz und in Programmdateien, öffentlichen Profilen (z.B. bei den großen Codehosting-Plattformen) und auf Webseiten. Ganz selten geht auf einer dieser Adressen Spam ein (wirklich einstellige Mengen oder gar 0 im Jahr). Am ehesten noch an info@- und mail@-Adressen die es unter den Domains z.T. nichtmal gibt

Daneben habe ich noch nie Spam auf Mailboxen bei mailbox.org und posteo.de erhalten. Ebenfalls sehr wenig geht erfahrungsgemäß auf Mailboxen bei Webpaketen von Hetzner, OVH und lokalen KMU-Rechenzentren ein.

Zuverlässig und kübelweise erhalte ich Spam nur in meinem -weitgehend ungenutzten- GMX-Account. Ebenso ein ebenfalls kaum genutzter uralter Yahoo-Account. Das ist aber auch klar und deren Geschäft.

Bzgl. Dritter die mich wegen Spamproblemen konsultieren kann man pauschal sagen, das diejenigen, die sehr umtriebig sind und alle möglichen hippen Dienste nutzen, auch am meisten Spam erhalten.

Also Personen, die alles so machen wie man es im TV sehen kann, was als sehr modern angesehen wird („bin technisch auf der Höhe der Zeit“) und / oder im Konsum-Mainstream agieren.

Sie alle bekommen viel Spam, leiden unter Phishing-Versuchen und kommen aus der Nummer aufgrund von „Eine Adresse für alles“, Klarnamen, Registrierungen überall und sonstiger bestimmungsgemäßer Gebrauch kaum noch raus.

Es könnte also durchaus sein, dass großzugiges gezieltes Verteilen einer einzigen der Adressen hin zu einer gut vernetzten Fake-Identität sinnvoller ist.

Nachtrag zum direkten Thema selbst:

@vatolin Das habe ich auch in letzter Zeit verstärkt beobachtet. Teilweise wird da auch über kompromittierte Webserver / CMS realer Firmen versendet.

Der Antwortpost liefert wie üblich nur einen Link auf eine pauschale und umfangreiche Link- und Dokumentensammlung auf der persönlichen Webseite des Autors. Da kann man nur hoffen, dass man dort eventuell nach entsprechender Sondierung und Lesezeit irgendwo eine Beschreibung findet

Ungeachtet dessen sehe ich analog @Joachim eine Lösung in einer stärkeren Gewichtung und Prüfung der SPF-Einträge im Zusammenspiel mit anderen Parametern wie DKIM, usw.