Was passiert wenn mir jemand einen Virus schickt

Mit einem Mailaccount von Graz4u.at sind Sie automatisch gegen Viren die per Mail gesendet werden geschützt.
Bitte nehmen Sie jedoch zur Kenntnis, dass wir ausdrücklich keine Garantie abgeben können, dass auch wirklich JEDER Virus erkannt wird!

Doppelt hält besser: Jeder User ist dazu angehalten auf seinem lokalen System zusätzlich selbst für Sicherheit zu sorgen.

Was aber passiert nun, wenn jemand versehentlich oder bewusst an Sie einen Virus verschickt?

In diesem Fall bekommen Sie als UserIn eine Mail mit cirka diesem Inhalt:

VIRUS GEFUNDEN

Der graz4u.at e-Mail-Virenscanner hat in einem e-Mail an Sie
folgenden Virus gefunden:

Suspect.Bredozip-zippwd-7

Der Absender
(from:)?@[85.176.46.97]
wurde moeglicherweise NICHT benachrichtigt!

Sollten Sie dieses e-Mail erwartet haben, setzen Sie sich bitte mit dem
Absender in Verbindung. Ansonsten ignorieren Sie einfach diese Info e-Mail.

Weitere Informationen oder Hilfe finden Sie auf http://www.graz4u.at/support.html
Bei weiteren Fragen leiten Sie uns dieses e-Mail mit Ihren Fragen weiter an support@graz4u.at

Mit freundlichen Gruessen,
Ihr graz4u.at Support Team, support@graz4u.at

____________________________________________________
Virenscanner und Spam-Filter @ mailex02.graz4u.at
(Quarantine-ID: , Queue-ID: , Mail-ID: NBH3VF1rf2Ky, Host: mailex02.graz4u.at, Size: 132855)

Sie können danach also selbst entscheiden, ob dies nur ein beliebiges Spammail mit einem Virus war, oder ob Ihnen etwa jemand eine ernst gemeinte Datei geschickt hat, die vom System als Virus klassifiziert wurde…

Die betroffene Mail mitsamt dem Anhang wird aber in jedem Fall gelöscht! Sollten Sie also auf diese Datei gewartet haben, bitten Sie den Absender die Datei selbst auf Viren zu prüfen und eventuell neu zu senden.
Sollten Sie Probleme mit einer Datei haben, von der Sie glauben, dass die Löschung unberechtigt ist, kontaktieren Sie und gerne unter support@graz4u.at

Oft kommt es aber zu einer anderen Frage: Anscheinend hat ein Bekannter einen Virus an Sie verschickt, aber wenn Sie diesen fragen, weiß er nichts davon bzw. findet auch keinen entsprechenden Eintrag in seinen Postausgang.

Die Lösung zu dieser Frage ist schwierig, denn zum Einen versuchen Spammer und Virenversender immer wieder Absender und Empfänger so zu kombinieren, dass der Empfänger die Mail möglichst vertrauensvoll öffnet, zum Anderen „bemerkt“ man es in der Regel nicht, wenn man selbst Viren versendet…

Sie können im Grunde davon ausgehen, dass fast alle Absender von Mails in denen sich Viren befinden gefälscht und somit in der Regel zu ignorieren sind.
Anders verhält es sich, wenn Sie bereits auf eine Datei warten und diese dann vom Scanner als Virus erkannt wird – in diesem Fall ist der Absender natürlich meist richtig und hat eventuell tatsächlich ein Virenproblem – in diesem Fall gilt der Text von etwas weiter oben.

 

DNSBL: mailpolice.com

graz4u.at hatte heute kurzzeitig Probleme mit einigen mail-Domains. Das Problem dabei war das DNSBL Service mailpolice.com! Dieses Service wurde ohne Vorwarung vom Netz genommen und an den Registrar „tucowsdomains.com“ zurückgegeben. Da aber tucows einen „catch-all“ auf abgelaufene Domains setzt und diese auf ihren eigenen Werbe-Webserver umleitet, werden dadurch auch alle Anfragen an diese RBL positiv beantwortet (das Ergebnis der DNS Abfrage ist die IP des tucows Webservers) und somit ALLE Domains automatisch geblockt! In diesem Fall ist also die „Werbe Konfiguration“ von tucows kontraproduktiv!
Wir haben sie bereits auf diesen Fehler aufmerksam gemacht und warten im Moment noch auf eine Antwort!

Dieses Posting soll anderen Admins helfen, da mit Sicherheit recht viele Mailserver-Betreiber das gleiche Problem haben werden.

Lösung des Problems ist: Entfernen der RBL mailpolice.com aus der MailServer Konfiguration!    


Auszug aus dem WHIOS zu der Domain mailpolice.com:

Domain name: MAILPOLICE.COM

Registrant:
Nebularis Information Systems Inc
374-900 Greenbank Road
Ottawa, ON K2J 4P6
CA

Administrative Contact:
E-Mail Security, MailPolice  hostmaster@mailpolice.com
374-900 Greenbank Road
Ottawa, ON K2J 4P6
CA
613-843-9358    Fax: 613-825-7758

Technical Contact:
E-Mail Security, MailPolice  hostmaster@mailpolice.com
374-900 Greenbank Road
Ottawa, ON K2J 4P6
CA
613-823-6752    Fax: 613-825-7758

Registrar of Record: TUCOWS, INC.
Record last updated on 18-Jun-2010.
Record expires on 14-Jun-2010.
Record created on 14-Jun-2002.

(Hier ist ersichtlich, dass die Domain am 14. Juni abglaufen ist. Heute, am 18. Juni, hat vermutlich tucows das „catch-all“ gesetzt. Dadurch ist der Fehler entstanden!)

 


Test einer nicht existierenden Phantasie Domain: fuffi.test.me.redir.rhs.mailpolice.com (diese KANN gar nicht gelistet sein)

dig fuffi.test.me.redir.rhs.mailpolice.com

; <<>> DiG 9.3.5-P1 <<>> fuffi.test.me.redir.rhs.mailpolice.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26534
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;fuffi.test.me.redir.rhs.mailpolice.com.        IN A

;; ANSWER SECTION:
fuffi.test.me.redir.rhs.mailpolice.com. 86400 IN A 69.64.155.19

;; Query time: 144 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Fri Jun 18 11:57:42 2010
;; MSG SIZE  rcvd: 72

(das Ergebnis ist die IP von tucows, es müsste aber korrekterweise „keine“ als Antwort kommen, das bedeutet dann eben „nicht gelistet“. Die gleiche Antwort kommt aber bei allen Domains die nachgefragt werden. Somit sind auch alle automatisch immer geblockt!)

Warnung vor Spammails: Gefälschte Twitter-Info

Zur Zeit sind vermehrt Spam-Mails im Umlauf die sehr stark an e-Mails von Twitter angelehnt sind. Der Absender ist „twitter-discover-<ihre-twitter-email>@postmaster.twitter.com“ somit erscheint es einem noch nicht sofort verdächtig zu sein, wenn man aber genauer schaut, sieht man, dass die „Reply-To“ Adresse auf irgendeine andere, sehr wohl verdächtige e-Mail Adresse, zeigt.
Es sind auch alle Links in der e-Mail typische Phishing Fallen! Klicken Sie NICHT auf Links in der Mail!

Unsere Filter erkennen & markieren die Fake Twitter e-Mails als Spam.

Gateway-Problem bei pptp Verbindung

Wenn man mit Windows ein PPTP-VPN erstellt, hat man meist das Problem das nach dem erfolgreichen Verbinden mit dem Server der ganze Traffic über die pptp-VPN-Verbindung getunnelt wird. Also auch jegliche Internetseiten-Aufrufe im Browser und diverse andere Datentransfers über das VPN geleitet werden. Das wirklich Unangenehme dabei ist aber, dass alle Anfragen zum VPN-Server geschickt werden und erst von dort aus dann ins Internet weitergeleitet werden. Dieses Verhalten kann zwar für ein Firmennetz von Vorteil sein (es wird dann der Firmeninterne Proxy, Viren-Scanner, Firmen-Firewall-Schutz, usw. wirksam) aber es leidet die Downloadgeschwindigkeit gewaltig.

Um dies zu ändern öffnen Sie einfach die Eigenschaften der PPTP-VPN-Verbindung und aktivieren das Tab (Karteireiter) „Netzwerk“

In diesem Dialog wählen Sie das „Internetprotokoll (TCP/IP)“ Element aus und klicken auf „Eigenschaften“

Es öffnet sich dann folgender Dialog in dem Sie auf „Erweitert…“ klicken

Somit öffnet sich der Dialog in dem Sie die Änderung machen können:

In den Dialog „Erweiterte TCP/IP Einstellungen“ ist standardmäßig das das „Hackerl“ bei „Standardgateway für das Remotenetzwerk verwenden“ gesetzt. Klicken Sie es weg und bestätigen alle offenen Dialoge mit „OK“.

Von nun an werden nur mehr Anfragen die für das Firmennetz bestimmt sind über das VPN übertragen, alle anderen Anfragen und Downloads gehen direkt über Ihre eigene Internetverbindung ins Internet und nicht mehr zuerst über das VPN und erst dann ins Internet.

Diese Einstellung bewirkt einen „split-tunnel“ Effekt, bekannt von CISCO-VPNs.

 

ACHTUNG: Diese Einstellung entspricht möglicherweise nicht den Sicherheitseinstellungen Ihrer Firmen-Richtlinien! Fragen Sie bitte zuerst Ihren Firmen-Administrator ob Sie diese Änderung gefahrlos für Sie und das Firmen-Netzwerk ist!