E-Mail von der TU Graz?

Sie denken, Sie hätten eine E-Mail mit Spam oder Malware etc. von der TU Graz bekommen?
Natürlich ist das möglich, aber es ist ziemlich unwahrscheinlich. Bis zu diesem Zeitpunkt waren fast alle E-Mails (also der Absender) gefälscht.

Hat sich jemand beschwert, Sie hätten ihm eine E-Mail mit Spam oder Viren gesendet?
Natürlich könnte Ihr Rechner mit „Malicious Code“ oder Malware (= Viren, Trojaner, Wurm, …) infiziert sein und von Ihnen Mails unbemerkt senden, wahrscheinlicher ist aber, daß auf einem anderen System Ihre E-Mail Adresse als Absenderadresse angegeben wird (das Fälschen der Absenderadresse ohne digitale Signatur ist sehr einfach!).

Auch wenn Sie eine E-Mail bekommen, bei der Sie nicht sicher sind, ob sie tatsächlich von der TU kommt: analysieren Sie (wenn möglich) selbst den Header (s. u.) oder fragen Sie Ihren EDV-Beauftragten. Dieser kann bei Unsicherheit auch beim Postmaster nachfragen: Ein Mal zu viel gefragt schadet weniger als ein Mal zu viel Daten weiter gegeben!


Sie scheinen selbst der Absender zu sein?

In Wellen passiert es immer wieder, daß bei Spam-E-Mails als Absender Adressen der TU Graz mißbraucht werden, dabei kommt es natürlich auch vor, daß solche E-Mails auch an die TU Graz versandt werden und Sie sich scheinbar selbst E-Mails geschickt haben.
Abgesehen davon, daß Sie diese E-Mails wie unten beschrieben analysieren können, können Sie natürlich auch Filter definieren, die diese E-Mails - falls die Anzahl störend hoch ist - automatisch löschen.
Diese Filter können Sie entweder in Ihrem lokalen E-Mail-Client, besser aber serverseitig (Studierende/Alumni per Webmail, Bedienstete mittels OWA) definieren:

Spamfilter
 

top

Beispiel eines Teils eines E-Mail-Headers

Beispiel für eine gefälschte E-Mail

Received: from [some rgendeine IP adresse] (helo=irgendwas.tugraz.at)
 by irgendein Rechner with smtp (irgendein MTA)
…
Received: from irgendein anderer Server ([irgendeine andere Adresse]) 
 by irgendein anderer Rechner with …
Reply-To: <irgendeinnamenummer@irgendwas.tugraz.at>
Date: …
Message-ID: <irgendeine (ungültige) Message-ID>
From: <irgendeinnamenummer@irgendwas.tugraz.at>
To: <ihre@mail.adresse>
…

Beispiele für echte E-Mails der TU Graz

Die untersten Received:-Zeilen im Header sollten dann aussehen wie in den folgenden Beispielen.

Gesendet über Exchange

intern
Received: from MBX00n.tugraz.local (129.27.x.y) by MBX00n.tugraz.local
 (129.27.x.y) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.1.1466.3 via Mailbox
 Transport; Mon, 7 Jan 2019 09:13:37 +0100
Received: from MBX00n.tugraz.local (129.27.x.y) by MBX00n.tugraz.local
 (129.27.48.76) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.1.1466.3; Mon, 7 Jan 2019
 09:13:36 +0100
Received: from MBX00n.tugraz.local ([fe80::2861:8e5:5ef1:50a0]) by
 MBX00n.tugraz.local ([fe80::2861:8e5:5ef1:50a0%3]) with mapi id
 15.01.1466.003; Mon, 7 Jan 2019 09:13:36 +0100

extern
Received: from exchange.tugraz.at (exchangelg.tugraz.at [129.27.2.220])
	by mailrelay.tugraz.at (Postfix) with ESMTPS id 43Yq2G5T7lz3wGN
	for <Ihre Adresse>; Tue,  8 Jan 2019 11:56:38 +0100 (CET)
…
Received: from MBX00n.tugraz.local (129.27.x.y) by MBX00n.tugraz.local
 (129.27.48.76) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.1.1466.3; Tue, 8 Jan 2019
 11:56:38 +0100
Received: from MBX00n.tugraz.local ([fe80::a006:9678:a370:a44b]) by
 MBX00n.tugraz.local ([fe80::a006:9678:a370:a44b%2]) with mapi id
 15.01.1466.003; Tue, 8 Jan 2019 11:56:38 +0100

Gesendet über den SMTP-Server

Received: from wo.auch.immer (wo.auch.immer [a.b.c.d])
	by mailrelay.tugraz.at (Postfix) with ESMTPSA id 43YpF30Lpjz1DDZ1
	for <Ihre Adresse>; Tue,  8 Jan 2019 11:20:54 +0100 (CET)

Gesendet über einen Server der TU Graz

Received: from server.tugraz.at (server.tugraz.at [129.27.x.y])
	by mrelay.tugraz.at (Postfix) with ESMTPSA id 43Y78w4wTKz2XXls
	for <Ihre Adresse>; Mon,  7 Jan 2019 09:00:00 +0100 (CET)
…
Received: by server.tugraz.at (irgendein MTA, from userid nnn)
	id 5B1F0AA2216; Mon,  7 Jan 2019 09:00:00 +0100 (CET)

top

Den Header der gefäschten E-Mail genauer untersuchen

  • Die From:- (und eventuelle Return-path:-)Zeilen können mit fast jedem E-Mail-Client gefälscht werden, solange DKIM (RFC 4871) oder SPF etc. bzw. digitale E-Mail-Signatur nicht weit verbreitet ist.
  • In der ersten Received:-Zeile sehen Sie, daß der Name „irgendwas.tugraz.at“ mit dem helo-Befehl gesetzt wurde, das ist nur dann notwendig, wenn der Name gefälscht wurde. Aber auch wenn Sie kein helo sehen - überprüfen Sie bitte die IP-Adresse.
    Der IP-Bereich der TU Graz („TUGnet“) ist 129.27.*.
  • Die letzte Received:-Zeile im Header (also vor dem Inhalt, in dem natürlich ebenfalls Received: als Text stehen kann!) zeigt Ihnen (falls sie nicht ebenfalls gefälscht ist, was aber relativ schwierig ist), wo die E-Mail tatsächlich herstammt - Sie sollten den Postmaster oder das Abuse-Team dieses System kontaktieren und uns damit verschonen, weil wir nichts dagegen tun können!

top

Warum wird das überhaupt zugestellt?

Wir verwenden unterschiedliche Methoden um Spam bereits vor der Annahme durch unsere Server abzulehnen, wenn unsere Server eine E-Mail aber angenommen haben, dann stellen wir die E-Mail auch zu - dazu sind wir nach TKG verpflichtet! Sie können dann aber solche E-Mails durch serverseitige Filter automatisch löschen lassen.

top

Zuständigkeit

Leider sind wir gegenüber  Spammern und Würmer/Viren auf anderen Systemen, welche vorgeben Angehörige der TU Graz zu sein, eigentlich machtlos.

From:-Zeilen und Servernamen können sehr leicht gefälscht werden, überprüfen Sie daher bitte immer den gesamten Header und fordern Sie Ihren Provider auf schwarze Listen zu verwenden.

Sollten Sie eine E-Mail mit einer persönlichen Beschwerde erhalten haben, so weisen Sie den Beschwerdeführer darauf hin, daß er den Header der E-Mail untersuchen soll. Wenn Sie den Header der Ursprungsmail zur Verfügung haben, dann können Sie sich natürlich auch selbst beim Provider des echten Absenders beschweren.

top