Entschuldigt die Störung. Habt ihr heute auch Post von Microsoft bekommen? Folgende Mail landete heute in meinem Posteingang:

Lieber Microsoft-Kunde,

wir freuen uns Ihnen mitteilen zu dürfen,daß wir Ihnen zum bestehenden Sicherheitsproblem bzgl. Internet Explorer 9 und Firefox 3.x einen Update-Patch bereitstellen können. Kompatibel mit Windwos XP / VISTA und Windows 7.

Ihren Patch finden Sie unter:

http://www.microsoft-updates.de/web_update.exe

oder auf http://www.microsoft-updates.de/

Update for Windows XP, VISTA, WIN7

Installation:

1. Downloaden Sie den Update-Patch

2. Update-Patch ausführen durch Doppelklick oder Rechtsklick/öffnen 3. Nach der Installation starten Sie Ihr Betriebssystem neu.

Mit freundlichen Grüßen

Steve Lipner

Director of Security Assurance

Microsoft Corp.

Der erfahrene User von heute merkt natürlich sofort, dass dies ein kläglicher Versuch ist, uns dazu zu bewegen, irgendwelche Schadprogramme auf unserem Computer zu installieren. Was genau sich hinter dem Programm web_update.exe versteckt, weiß ich nicht und will es auch gar nicht wissen. Es ist aber ganz sicher kein Sicherheitsupdate von Microsoft.

All diejenigen, die hinter dieser Mail eine lobenswerte Aktion von Microsoft für unsere Internetsicherheit sehen, sollten vielleicht mal weiterlesen.

Wer mit etwas Skepsis im Internet unterwegs ist, dem könnten an der Mail mehrere Dinge aufgefallen sein:

  1. Woher hat Microsoft meine Mail-Adresse?
  2. Warum informiert Microsoft per Mail über Sicherheitsupdates, wo es doch Windows Update seit Windows 2000 gibt?
  3. Warum sollte Microsoft einen Patch für einen Konkurenzbrowser (Mozilla Firefox) veröffentlichen?
  4. Der größte Softwarehersteller verschickt sicherlich keine Mails mit Rechtschreib- und Grammatikfehlern.

Allein diese Punkte verdeutlichen, dass hier nicht Microsoft am Werk war und das diese Mail eine plumpe Fälschung ist.

Es gibt aber noch eine andere Möglichkeit um die Echtheit einer Mail zu prüfen. Schon mal etwas von der Nachrichtenkopfzeile oder Internetkopfzeile einer Mail gehört. Diese Kopfzeile hat jede Mail. Hier wird dokumentiert, woher die Mail stammt, welchen Weg die Mail über welche Mailserver genommen hat, wann sie versandt wurde, und und und.

Ihr könnt die Kopfzeile wie folgt aufrufen (hier am Beispiel von Outlook 2010):

Öffnet die Mail mit einem Doppelklick. Klickt auf Datei und wählt dann den Button Eigenschaften

Nun seht ihr im unteren Bereich die Kopfzeile

Sieht auf den ersten Blick etwas verwirrend aus, oder?

Das Interessante ist die Herkunft der Mail. Unter dem Punkt Received tragen sich die Mailserver ein, welche die Mail durchlaufen hat. Der letzte Mailserver in der Kette steht oben. Das ist derjenige, von dem ihr die Mail abgerufen habt, also in der Regel euer Webhoster. Der letzte Received-Eintrag unten zeigt uns den Mailserver, von dem die Mail versandt wurde.

Received: from hr-cac51d326be0 (unknown [92.241.165.69])	by v21169.1blu.de (Postfix) with ESMTP	for <meine@mailadresse.de>; Tue,  7 Dec 2010 15:59:22 +0000 (UTC)

Anhand der IP-Adresse können wir nun mal schauen, ob wirklich Microsoft hinter der Mail steckt. Unter der Internetadresse

http://www.utrace.de

starten wir eine Whois-Abfrage.

Mit folgendem Ergebnis:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '92.241.164.1 - 92.241.165.255'

inetnum:        92.241.164.1 - 92.241.165.255
netname:        NET-2x4
descr:          2x4.ru network
country:        RU
admin-c:        UDF667-RIPE
tech-c:         UDF667-RIPE
status:         ASSIGNED PA
mnt-by:         RU-WEBALTA-MNT
source:         RIPE # Filtered

person:         Pavel Ivanov
address:        Sound & Vision House, Francis Rachel Str.
address:        Victoria, Mahe, Seychelles
remarks:        ***************************************
remarks:        Virtual and shared hosting, Windows Linux FreeBSD
remarks:        Virtual private Servers (VPS/VDS), Dedicated Servers
remarks:        Protected managed hosting solutions, DDOS protection systems
remarks:        Satellite CPC/VSAT telecomunications
remarks:        Wireless links services.
remarks:        English and Russian Sales contact: ICQ 758291
remarks:        ***************************************
abuse-mailbox:  abuse@2x4.ru
remarks:        West Europe customers office & NOC
phone:          +44 20 3286 6617
remarks:        East Europe customers office & NOC
phone:          +7 495 657-90-57
mnt-by:         IDEAL-MNT
nic-hdl:        UDF667-RIPE
source:         RIPE # Filtered

% Information related to '92.241.160.0/19AS41947'

route:          92.241.160.0/19
descr:          Wahome IP's =)
origin:         AS41947
mnt-by:         RU-WEBALTA-MNT
mnt-routes:     GIGABASE-MNT
mnt-routes:     RU-WEBALTA-MNT
source:         RIPE # Filtered

Betreiber des Mailservers, von dem die Mail versandt wurde, ist 2×4.ru Network aus Russland, die offensichtlich nichts mit Microsoft zu tun haben.

Ihr seht, Gefahren lauern auch bei vermeintlichen hilfreichen Mails. Öffnet Links in Mails wirklich nur dann, wenn ihr den Absender kennt oder ihr euch sicher seit, dass der Link in Ordnung ist.