Undersöka konstigt mail

[skalman65]

Har för andra gången fått ett mail som skall ha skickats från mig själv till mig själv.

Bägge gångerna med ett bifogat dokument, tog bort mailet första gången men funderar nu på vad det kan vara
Min tanke var först att det var något virus el dyligt.
Men har nu börjat fundera på om det kan vara någon info från något program.

Men min fråga är då hur jag på säkraste sätt öppnar bifogad fil, för att inte riskera att utsätta datorn (med 15.10) för någon yttre påverkan.

Eller är det med all säkerhet bara någon form av skräp som bara är att delita.

[JoWa]

Vilken e-posttjänst använder du?

Vad är det för typ av dokument som är bifogat?

[Gunnar Hjalmarsson]

Jag får massor av skräppost (med bilagor) där min egna adress är fejkad som avsändaradress. Har aldrig öppnat någon sådan bilaga, och planerar inte göra det heller.

[skalman65]

Det är ett telia konto, den bifogade filen heter Dokument(1).doc
Använder mig av thunderbird

Att skräppost ramlar in mellan varvet är jag med på, men att få det med min egen adress har jag inte varit med om tidigare, så är det verkligen möjligt att fejka detta?

[JoWa]

Det är därför det är så viktigt med autentisering, men Telia använder inte det, så det är svårt att verifiera vem som är den verkliga avsändaren. Skräp.

I Gmail visas ett frågetecken för avsändaren, vilket betyder att Gmail inte har kunnat verifiera att e-brevet (från en känd avsändare) sändes från telia.com.

Säkraste sättet att öppna MS Office-dokument torde vara Redigering av Office-filer, men det allmänna rådet är förstås att inte öppna bifogade filer från okända avsändare.

[Osprey]

Jag har fått de där också och det är virus eller spam, har inte brytt mig om att ta reda på vilket.

Antingen är det ett dokument som heter Document(1).doc, vilket tidigare nämnts, eller också är det ett javascript med extension .js. Word-dokumentet innehåller säkert några makro com gör konstigheter och javascriptet innehåller med största sannolikhet också något "konstigt"...

Jag skulle tro att de är rätt ofarliga att öppna under Linux om man nu är nyfiken, men jag har inte brytt mig om det eftersom det är så solklart att det är virus/spam...

[johanre]

Från mail headern går det oftast att utläsa den egentliga källan till mailet. Alla mail klienter - som jag känner till - låter dig se headern, även om vissa gör det lättare än andra.

Skickat från min D6603 via Tapatalk

[skalman65]

Då är jag är jag tillbaka på ruta ett, att det bara är ett skräpmail och inget annat


Men för att lära mig något, nyfiken som man är, så googlade jag vidare om mailheadern.

Från mail headern går det oftast att utläsa den egentliga källan till mailet. Alla mail klienter - som jag känner till - låter dig se headern, även om vissa gör det lättare än andra.

hittade lite info om hur jag får fram source list för mailet.

där bla denna info stod, är det det ip numret i texten som är intressant för att se var det är skickat från?

Kod: Markera allt

From - Wed Apr  6 17:25:21 2016
X-Account-Key: account1
X-UIDL: 8404
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                
Original-Recipient: rfc822;
Received: from 115.108.20.98.static-bangalore.vsnl.net.in ([115.108.20.98])
	by cmsmtp with SMTP
	id nn87a9iC9KvqYnn88aSGa7; Wed, 06 Apr 2016 15:06:27 +0200
X-Spam-Verdict: Suspect
Subject: Document(1)

I sådana fall har mailet kommit från Maharashtra i Indien
tror inte vi känner någon där....

[JoWa]

Bangalore är en stad i Indien, men jag antar man kan modifiera hela innehållet meddelandets källkod.

Det är etablerade metoder för autentisering, som SPF och DKIM, som krävs för säker verifiering av avsändarens domän. Nästa steg är att avsändaren signerar med t.ex. PGP, men det är omständligare, än så länge.

I december använde 94 % av e-posten som kom till Gmail någon form av autentisering (källa). Telia (som sänder via skanova.net) hör alltså inte till dessa 94 %.

[johanre]

Nu har du iofs klippt lite i texten (fullt förståeligt), men, jo, mailservern som har skickat mailet har en IP adress tillhörande en indisk ISP. Det behöver inte nödvändigtvis vara så att sändaren av mailet finns i Indien, bara att datorn med den IP addressen är servern som har släppt iväg mailet. Du kan anmäla till ISPen att detta har skett. Däremot är det tyvärr inte så sannolikt att du får respons...

Skickat från min D6603 via Tapatalk

[Gunnar Hjalmarsson]

Kommandot

whois 115.108.20.98

ger dig lite kontaktuppgifter. Verkar vara en ganska stor internetleverantör, men liksom Johan tror jag sannolikheten är liten att de svarar om du väljer att klaga.

[Gunnar Hjalmarsson]

I december använde 94 % av e-posten som kom till Gmail någon form av autentisering (källa). Telia (som sänder via skanova.net) hör alltså inte till dessa 94 %.

Det senare är inte helt sant. Jag använder Telia för att sända mejl, men har också en (mycket försummad) internetserver, och i många av mejlen jag skickar anger jag egna adresser med egen domän som avsändare. Och då har jag SPF-autentisering.

Kod: Markera allt

$ dig @ns1.linode.com gunnar.cc txt | grep -iA 1 'answer section'
;; ANSWER SECTION:
gunnar.cc.		86400	IN	TXT	"v=spf1 ip4:81.224.0.0/12 ip4:195.67.224.0/19 a a:fiordland.canonical.com -all"

Men jag hör nog till undantagen. Och enligt stjärnorna på Telias kundsupport så går det inte att göra som jag gör (och har gjort i många år).

[JoWa]

Det som ligger i min inkorg har du inte kostat på någon SPF.

Authentication-Results: mx.google.com;
spf=neutral (google.com: [IP borttaget] is neither permitted nor denied by best guess record for domain of …@…) smtp.mailfrom=…@…

[Gunnar Hjalmarsson]

Det som ligger i min inkorg har du inte kostat på någon SPF.

Nä, men jag har förmodligen använt min @ubuntu.com-adress då, och jag har inte tillgång till DNS för den domänen... @ubuntu.com är bara en alias, och jag gissar att autentisering inte är möjligt i det fallet.

Skickade just ett mejl från min privata adress. Det borde göra skillnad.

[JoWa]

Ja, det var skillnad.

Received-SPF: pass (google.com: domain of …@… designates [IP borttaget] as permitted sender) client-ip=[IP borttaget];
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of …@… designates [IP borttaget] as permitted sender) smtp.mailfrom=…@…