Phishing Mails von der FAZ?
Kann das sein? Habe heute eine Phishing Mail von mail.faz.net bekommen. Ähnlich wie die hier: http://zy0.de/q/46.163.116.28
Wurde deren Mailserver gehackt?
Jochen
Am 18.06.2017 um 07:52 schrieb Joachim Fahrner:
Kann das sein? Habe heute eine Phishing Mail von bekommen. Ähnlich wie die hier: http://zy0.de/q/46.163.116.28
Wurde deren Mailserver gehackt?
Jochen
Hi , ist noch frueh evtl vergugg ich mich, aber mail.faz.net gibts bei mir grade nicht und der MX von faz.net ist auch ein anderer also wenn da was gehacked wurde hat man das system aus dem netz/dns genommen
dig mail.faz.net
; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> mail.faz.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 47764 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;mail.faz.net. IN A
;; AUTHORITY SECTION: faz.net. 645 IN SOA dns.voerde.globvill.de. hostmaster.globvill.de. 2017061601 86400 7200 604800 900
;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Sun Jun 18 09:06:18 CEST 2017 ;; MSG SIZE rcvd: 110
dig -t mx faz.net
; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> -t mx faz.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45921 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;faz.net. IN MX
;; ANSWER SECTION: faz.net. 900 IN MX 110 mail-cust3.eu.lambdanet.net. faz.net. 900 IN MX 50 mailx.faz.net.
dig mailx.faz.net
; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> mailx.faz.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30248 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;mailx.faz.net. IN A
;; ANSWER SECTION: mailx.faz.net. 900 IN A 51.255.44.26
dig mail-cust3.eu.lambdanet.net
; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> mail-cust3.eu.lambdanet.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46613 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;mail-cust3.eu.lambdanet.net. IN A
;; ANSWER SECTION: mail-cust3.eu.lambdanet.net. 86400 IN A 80.86.168.150
Best Regards MfG Robert Schetterer
Am 2017-06-18 09:10, schrieb Robert Schetterer:
Hi , ist noch frueh evtl vergugg ich mich, aber mail.faz.net gibts bei mir grade nicht und der MX von faz.net ist auch ein anderer also wenn da was gehacked wurde hat man das system aus dem netz/dns genommen
hmmm.... einen reverse pointer gibts noch
$ host 46.163.116.28 28.116.163.46.in-addr.arpa domain name pointer mail.faz.net.
Am 2017-06-18 09:19, schrieb Joachim Fahrner:
Am 2017-06-18 09:10, schrieb Robert Schetterer:
Hi , ist noch frueh evtl vergugg ich mich, aber mail.faz.net gibts bei mir grade nicht und der MX von faz.net ist auch ein anderer also wenn da was gehacked wurde hat man das system aus dem netz/dns genommen
hmmm.... einen reverse pointer gibts noch
$ host 46.163.116.28 28.116.163.46.in-addr.arpa domain name pointer mail.faz.net.
Gut möglich, dass es mail.faz.net nie gegeben hat. Der jetzige MX heisst mailx.faz.net und ist von OVH in Frankreich gehostet. Der mit der Phishing Mail ist bei Host Europe gehostet. Hab grad mal meine Konfig gecheckt und festgestellt, dass ich nur ein reject_invalid_helo_hostname drin hatte, aber kein reject_unknown_helo_hostname. Hab das gleich mal nachgebessert.
Jochen
On 18.06.2017 09:10, Robert Schetterer wrote:
dig -t mx faz.net
dig -t mx faz.de
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.2 <<>> -t mx faz.de ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46358 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION: ;faz.de. IN MX
;; ANSWER SECTION: faz.de. 21600 IN MX 45 mailserver2.faz.de. faz.de. 21600 IN MX 45 mailserver1.faz.de.
;; AUTHORITY SECTION: faz.de. 86400 IN NS dns.globvill.de. faz.de. 86400 IN NS dns.voerde.globvill.de.
;; ADDITIONAL SECTION: dns.voerde.globvill.de. 75927 IN A 212.20.160.2 dns.voerde.globvill.de. 75927 IN AAAA 2001:40b8::21
;; Query time: 141 msec ;; SERVER: 172.23.1.11#53(172.23.1.11) ;; WHEN: Sun Jun 18 10:50:31 2017 ;; MSG SIZE rcvd: 176
Am 18.06.2017 um 10:51 schrieb Walter H.:
On 18.06.2017 09:10, Robert Schetterer wrote:
dig -t mx faz.net
dig -t mx faz.de
um faz.de gings aber nicht ...
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.2 <<>> -t mx faz.de ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46358 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION: ;faz.de. IN MX
;; ANSWER SECTION: faz.de. 21600 IN MX 45 mailserver2.faz.de. faz.de. 21600 IN MX 45 mailserver1.faz.de.
;; AUTHORITY SECTION: faz.de. 86400 IN NS dns.globvill.de. faz.de. 86400 IN NS dns.voerde.globvill.de.
;; ADDITIONAL SECTION: dns.voerde.globvill.de. 75927 IN A 212.20.160.2 dns.voerde.globvill.de. 75927 IN AAAA 2001:40b8::21
;; Query time: 141 msec ;; SERVER: 172.23.1.11#53(172.23.1.11) ;; WHEN: Sun Jun 18 10:50:31 2017 ;; MSG SIZE rcvd: 176
Best Regards MfG Robert Schetterer
On 18.06.2017 07:52, Joachim Fahrner wrote:
Kann das sein? Habe heute eine Phishing Mail von mail.faz.net bekommen. Ähnlich wie die hier: http://zy0.de/q/46.163.116.28
außer ein Outdated browser kommt hier nichts ...
Am 18.06.2017 um 12:33 schrieb Walter H.:
On 18.06.2017 07:52, Joachim Fahrner wrote:
Kann das sein? Habe heute eine Phishing Mail von mail.faz.net bekommen. Ähnlich wie die hier: http://zy0.de/q/46.163.116.28
außer ein Outdated browser kommt hier nichts ...
Also bei mir sieht das so aus: Screenshot
participants (3)
-
Joachim Fahrner -
Robert Schetterer -
Walter H.