Email SPAM erkennen

Spam ist ein wohl nie endendes Problem. So manche Spam Nachricht ist sehr kreativ und auf den ersten Blick nicht als Spam zu erkennen.
An Beipiel Outlook zeige ich, wie man den Mail-Header näher untersucht.

Es kam also diese offensichtliche SPAM auf meinem Konto an:

Man sieht in dieser „Normal-Ansicht“ nur, dass etwas mit der Adresse nicht stimmen kann. Dies erstmal unabhängig von Inhalt der völlig sinnlosen Nachricht.

ACHTUNG: Was wir jetzt machen ist nur ok, wenn diese Email rein Text-basiert ist und es keine Anhänge gibt.

Durch Doppelklick auf die Mail öffnet sich bei Outlook die Nachricht in einem neuen Fenster. Von dort kann man dann die technischen Inhalte (Header) näher betrachten.

Dann oben Links auf „Datei“, dort dann „Eigenschaften“:


Jetzt kopiert man sich am besten den ganzen Internetkopfzeilen Text in einen Editor (ich bevorzuge Notepad++):
Der folgende Block lässt auch schon vorab ohne nähere Erläuterung einiges erkennen.

  • Wer ist der tatsächliche Sender
  • Welcher Mailserver hat diese Mail gesendet
  • Welche Ziel Mail-Adresse würde adressiert
  Return-Path: <amryfarah30401@gmail.com>
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on c199.server.host

X-Spam-Level:

X-Spam-Status: No, score=-0.1 required=5.0 tests=DKIM_SIGNED,DKIM_VALID,

    DKIM_VALID_AU,DKIM_VALID_EF,FREEMAIL_ENVFROM_END_DIGIT,FREEMAIL_FROM,
    HTML_MESSAGE,RCVD_IN_MSPIKE_H2,SPF_PASS autolearn=ham
    autolearn_force=no version=3.4.2
X-Original-To: info@itconsulting-wolfinger.de
Delivered-To: web199p8@c199.server.host

X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 CL_IP_EQ_HELO_IP=-2 (check from: .gmail. - helo: .mail-lj1-f195.google. - helo-domain: .google.) FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -7

Received: from mail-lj1-f195.google.com (mail-lj1-f195.google.com [209.85.208.195])

    (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))

    (No client certificate requested)

    by c199.server.host (Postfix) with ESMTPS id 28C3853F0BA4

    for <info@itconsulting-wolfinger.de>; Sat, 27 Apr 2019 16:36:13 +0200 (CEST)

Received: by mail-lj1-f195.google.com with SMTP id b12so4310131lji.4

for <info@itconsulting-wolfinger.de>; Sat, 27 Apr 2019 07:36:13 -0700 (PDT)

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;

d=gmail.com; s=20161025;

h=mime-version:from:date:message-id:subject:to;

bh=d7A70ZbszadoEmPOoGjA6cud3XB0DC9wE1EZu4aYT70=;

b=pLB1neZd54nGgqRncTWzUyDD3GUVy2PKYMEck1DDsYAm1a0a9VGni5Wd3N4YllVFvt

mbnQ+HCYbX3hpFq7U0OflTljzyKyd8bvjzxoUFsVV0yKfcMGChlLiZvSaw3KrhsaSrtI

iVXjTy+ye35L5yTkCh2yaqio95dyF4cSkrwhkCSN3fbe1n6suHG3Y3SIS+C9f8YPhhX8

mQb69tAx0+QmpX/mBmxFxL5pu3xnJn6+1m/pzhmHfXCRAeIzP20wrSYP/wjjrtoCKwEe

91P/XORQYCmXfrrHe/jAZoOGaS4jvToSrrhTRHkOgObmuY1NuaRO9T8tX8Cafu354Amy

qdAA==

X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;

d=1e100.net; s=20161025;

h=x-gm-message-state:mime-version:from:date:message-id:subject:to;

bh=d7A70ZbszadoEmPOoGjA6cud3XB0DC9wE1EZu4aYT70=;

b=HcYXADaDfX/BkBU1GecXaiLoOXDXZbhR3+H4pX/6p9dMjwc4B6/yfKF2xYIoOObbWE

4U1hBNMWrw+DPwL1snUmfpI7n8/oAsb91Pd+nn5hvAQr0C/WXakrIHl2UfLpiZAb8VB+

MfRjMX+vR+94gVu2W4hi03fZ2D3coSmht2oerXv6bLCJxFEn4LMItim/09AAxS9Tf3LX

DAvNF0E5XLYbQMEjolz3IJTG7V5LFqM8NM7PyDR9QHPsLSkJLRBQjCm7SPFwA+pxore0

hCrm7Yyc5fqVIr0S9bgy/aOjmPJ7UE0naUkcE0qyVNG45bjhwy3Ksb2EX5uJXK+ranwd

L/Wg==

X-Gm-Message-State: APjAAAU3wbFIqgRkzYaHebHD3HMP/hdlszFArFRyLIK5Cr/5K/HhY5Tr

    TjxXYVXB9rsbgMvr4dp8lTC1iktQ2DmoB2PPaJw=

X-Google-Smtp-Source: APXvYqw2nKiQlgJFnS7ErslAxxjXzI4t8GnPb+w/DgcCNCQ5IDO/pkuWq0+xjrdW3269Aa2mXVnaN5nC2fEl4auhR0c=

X-Received: by 2002:a2e:5b5c:: with SMTP id p89mr27239636ljb.177.1556375772523;

Sat, 27 Apr 2019 07:36:12 -0700 (PDT)

MIME-Version: 1.0

From: Mariam <mariammriam1@gmail.com>

Date: Sat, 27 Apr 2019 21:35:56 +0700

Message-ID: <CACFLruZMz_awex5+4+hm6t+XRTuk2UTa5KFLaFoRRxDd=JN7VA@mail.gmail.com>

Subject: Hi

To: undisclosed-recipients:;

Content-Type: multipart/alternative; boundary="0000000000000f0626058783f9fb"

Im nächsten Artikel werde ich diesen Steuerkopf (Header) genauer unter die Lupen nehmen.

Vorab jedoch setze ich diese Absenderadresse auf SPAM (Junk Email –> Sperren):