Tutorial: Woran erkenne ich Spam, Phishing-, Virus- oder Trojaner-E-Mails?

Sicher kennen Sie dieses Problem, Sie legen sich irgendwo ein Mailpostfach an oder, wie im Falle der Beschäftigten und Studierenden an der Fachhochschule Münster, bekommen automatisch ein Mailkonto gestellt. Es vergeht einige Zeit, doch mit der Lebensdauer einer Mailadresse steigt auch die Wahrscheinlichkeit, ungebetene Mails zu erhalten. Dies ist im harmlosesten Fall nur lästige Werbung. Oft jedoch enthalten Mails auch Links zu Webseiten oder Dokumente als Anhänge, mit der gleichzeitigen Aufforderung diese möglichst sofort zu öffnen. Ohne genaue Prüfung können Sie sich dadurch z.B. Viren einfangen oder zum Spamversender werden.

In diesem Tutorial möchten wir Sie für dieses Thema sensibilisieren und Ihnen einige Methoden präsentieren, mit denen Sie legitime Mails leichter von solchen mit bösartigen Intentionen zu unterscheiden lernen.



Beispiele für eine verdächtige E-Mail




Ich habe eine verdächtige E-Mail erhalten

Am Anfang des Problems steht immer die mehr oder weniger verdächtig aussehende E-Mail. Ist es unerwünschte Werbung und klar als solche zu erkennen, dann ist der Papierkorb die schnellste und sicherste Lösung. Was aber, wenn die Werbung von einem Ihnen bekannten Absender stammt. Was ist, wenn der Vorgesetzte in schlechter Rechtschreibung dazu auffordert, das angehängte Excel Dokument zu öffnen. Was ist, wenn mir gesagt wird, dass meine Accounts gesperrt werden, wenn ich nicht sofort auf einer Webseite meine Daten bestätige? Was ist, wenn ich eine Million Dollar gewinne, wenn ich in den nächsten fünf Minuten auf einen Link drücke?

  1. Lassen Sie sich nicht zu einer unüberlegten Aktion drängen
    • SPAM-Mails haben oft das Ziel, Sie unter Androhung von Konsequenzen schnell zu einem Handeln zu bewegen.
      • Klicken Sie niemals ohne vorherige Prüfung auf enthaltene Links
      • Öffnen Sie niemals angehängte Dokumente ohne vorherige Prüfung
  2. Prüfen Sie die Schreibweise der Mail
    • SPAM ist oft in schlechter deutscher Rechtschreibung verfasst, einem typischen Indiz für einen Täuschungsversuch.
  3. Prüfen Sie die persönliche Anrede
    • Während legitime Absender Sie in der Anrede beim Namen nennen, greifen Spamversender oft auf unpersönliche Anreden zurück. Aber auch hier gibt es Ausnahmen. Spammer verwenden inzwischen oft den in E-Mail-Adressen verwendeten Namen. Ein „Hallo Nachname.Vorname“ oder „Sehr geehrter Herr ab123456“ sollte auch stutzig machen.
  4. Überprüfen Sie den Absender wie unten beschrieben




Überprüfung des Absenders

  1. Methode 1: Prüfung des Absenders durch prüfen der digitalen Signatur
  2. Methode 2: Prüfung des Absenders durch prüfen der Kopfdaten der Mail


Untersuchen Sie den Absender einer E-Mail genau. Zwar lassen sich Absender und E-Mail-Adresse von E-Mails fälschen. Es gibt aber verschieden Anzeichen die man hier prüfen kann.

  1. Passen der verwendete Name und die E-Mail-Adresse zusammen?
  2. Endet die Absenderadresse auf „@fh-muenster.de“?
  3. Ist Ihnen die Person bekannt?
  4. Hat der Absender eine korrekte digitale Signatur verwendet?
  5. Sind die Anhänge ungefährlich?


Methode 1 - Die digitale Signatur

Innerhalb der Mail-Infrastruktur der Hochschule können Zertifikate zum Verschlüsseln und digitalen Signieren von E-Mails eingesetzt werden. Ist eine Mail digital mit einem gültigen Zertifikat signiert, können Sie davon ausgehen, dass es sich um eine echte Mail handelt. Stimmen die E-Mail Adresse des Zertifikats und die des Absenders überein, gelten der Absender und die Inhalte der Mail als verifiziert. Die folgenden Bilder zeigen Ihnen, wie dies im Falle einer Mail aussehen würde, welche vom IT-Support der Datenverarbeitungszentrale versendet wurde:

  • Wenn Sie die Mail in Microsoft Outlook öffnen und diese signiert wurde, befindet sich rechts das hier mit (1) markierte Siegel.
    • Wird Ihnen hier kein Siegel, sondern ein Warn-Symbol angezeigt, stimmt etwas mit der E-Mail oder der Signatur nicht. Sie sollten den Inhalt dementsprechend genauer prüfen.
  • Doppelklicken Sie auf dieses Siegel und es öffnet sich ein kleines neues Fenster.
    • Die beiden E-Mail Adressen, hier grün mit (2) markiert, müssen identisch sein.
    • Im blau markierten Bereich (3) wird Ihnen die Gültigkeit der Signatur bestätigt.


  • Wenn Sie die Mail in Mozilla Thunderbird öffnen und diese signiert wurde, befindet sich rechts ein hier mit (1) markierter Briefumschlag.
    • Wird Ihnen hier ein Warn-Symbol angezeigt, stimmt etwas mit der E-Mail oder der Signatur nicht. Sie sollten den Inhalt dementsprechend genauer prüfen.
  • Doppelklicken Sie auf diesen Briefumschlag und es öffnet sich ein kleines neues Fenster.
    • Die beiden E-Mail Adressen, hier grün mit (2) markiert, müssen identisch sein.
    • Im blau markierten Bereich (3) wird Ihnen die Gültigkeit der Signatur bestätigt.



Methode 2 - Prüfung der Kopfdaten einer Mail

Ist eine Mail nicht digital signiert, können Sie die Kopfdaten einer E-Mail prüfen, um den Verlauf einer E-Mail nachzuvollziehen. Hierbei handelt es sich um eine technische Ansicht der Mail, bei der Ihnen die Route einer E-Mail vom Absender bis in Ihr Postfach angezeigt wird. Da bei SPAM-Mails häufig der Absender gefälscht ist und die Mail in Wirklichkeit gar nicht von den Servern stammt, von der sie vorgibt zu sein, haben Sie einen deutlichen Anhaltspunkt zur Erkennung einer Täuschung. Hier helfen Ihnen die Kopfzeilen der Mail. Die folgenden Bilder zeigen Ihnen, wie Sie sich die Kopfzeilen anzeigen lassen können.
Sobald Sie auch nur den kleinsten Zweifel an der Echtheit einer E-Mail haben oder unverlangt Anhänge zugeschickt bekommen, sollten Sie die Anhänge genauer prüfen.

  1. Stimmt das Ende des Dateinamens mit dem Dateityp überein? Word-Dateien habe keine „.exe“-Endung.
  2. Ausführbare Dateien (Datei-Endungen wie .exe, .scr, .bat, etc) sollten mit besonderer Vorsicht behandelt werden.
  3. Grundsätzlich ist es sinnvoll Dateien erst zu speichern und mit einem Online-Virenscanner wie https://virustotal.com zu prüfen bevor man sie öffnet. Auch ein lokaler Virenscanner kann einen geschickten Virus eventuell übersehen.


  • Öffnen Sie die Mail und drücken Sie dann oben links auf „Datei“.
  • Drücken Sie dann auf „Eigenschaften“ (1).
  • Sie finden die Kopfzeilen in dem markierten Bereich innerhalb des neuen Fensters (2).


  • Öffnen Sie die Mail.
  • Drücken Sie auf „Mehr“ (1) und dann auf „Quelltext anzeigen“ (2).


  • Die Kopfzeilen werden folgendermaßen interpretiert…
    • Ganz unten, hier in blau markiert, befindet sich der Inhalt der Mail. Dies ist für die Analyse uninteressant.
    • Die interessante Wegverfolgung, hier in rot markiert, wird von unten nach oben gelesen.
      • (1) → Der absendende Server von dem die Mail initial abgesendet wurde.
        • (2) → Ein Zwischenserver über den die Mail geleitet wurde.
        • (3) → Ein Zwischenserver über den die Mail geleitet wurde.
        • (4) → Ein Zwischenserver über den die Mail geleitet wurde.
      • (5) → Der Zielserver mit Ihrem Mailkonto, auf den die Mail letztendlich zugestellt wurde.
  • Ein besonderes Augenmerk sollten Sie hier auf den rot markierten Bereich mit der Nummer (1) legen, den des Servers, von dem aus die Mail abgesendet wurde. Hier in diesem Beispiel ist die Domain „otrs.fh-muenster.de“ angegeben, was korrekt ist, denn die Mail wurde vom OTRS Ticketsystem der DVZ versendet. Auch stimmt die Domain „otrs.fh-muenster.de“ mit der Domain des Absenders „it-support@fh-muenster.de“ in der E-Mail überein. Bei SPAM ist dies fast nie der Fall. Dort finden Sie dann beispielsweise Domains von Yahoo, Google, AOL, GMX oder Web.de usw.




Wie sollte ich nun weiter vorgehen?

Haben Sie eine SPAM-Mail identifiziert, stellt sich nach dem Löschen die Frage: Muss ich sonst noch etwas tun? Sollten Sie die Person informieren, welche für SPAM als falscher Absender missbraucht wird? Ist es eine gute Idee den IT-Support in Kenntnis zu setzen? Muss ich andere Personen vielleicht vorwarnen?

  • Sollte ich den Absender informieren, das in seinem Namen Mails versendet werden?
    • Dies würden wir nur bedingt empfehlen. Auch wenn es, im Falle des Versands von SPAM über Fremdserver wahrscheinlich nicht möglich ist den Spamversand zu stoppen, können Sie den Absender in Kenntnis setzen. Bedenken Sie aber, dass der Absender üblicherweise für mehrere tausend E-Mails missbraucht wurde. Vermutlich möchte er nicht von jeder Person darüber informiert werden - insbesondere, wenn einfach nur seine Absenderadresse gefälscht wurde.
  • Sollte ich den IT-Support der Datenverarbeitungszentrale oder die IT-Sicherheit über SPAM informieren?
    • Dies ist eigentlich nicht notwendig. Gegen SPAM von Fremdservern betreibt die Datenverarbeitungszentrale einen Filter, welcher die meisten ungebetenen Mails bereits aussortiert. Falls der massenhafte Versand von SPAM über eine FH-Mailadresse erfolgt, erkennen die Systeme der DVZ dies automatisch und die zu der E-Mail Adresse zugehörende FH-Kennung wird für die E-Mail Dienste gesperrt. Grundsätzlich steht der IT-Support [it-support@fh-muenster.de] oder das Team der IT-Sicherheit [it-security@fh-muenster.de] aber natürlich gerne zur Verfügung, wenn Sie Zweifel an der Echtheit einer E-Mail haben.
Navigation
  • Datenverarbeitung
    • Piwik
Drucken/exportieren
QR-Code
QR-Code allgemein:tutorials:s:spam:uebersicht (erstellt für aktuelle Seite)