• DKIM

    From Torsten Bamberg@1:15/0 to Alle on Sun Aug 13 02:04:07 2017
    Hallo zusammen,

    leicht verwundert habe ich diese eMail hier aus einem der eMail-Postf„cher herausgefischt.

    Interessant ist, das diese Werbungsfirma emarsys.net den DKIM Hash von der HVB-Unicredit verwendet, die Zieladressen stimmig sind, es allerdings keine Anforderung von den Nutzern des Postfachs an die emarsys.net gegeben hat.
    Ergo, dkim wird auch gef„lscht, oder wie darf ich das verstehen?

    Zum Verst„ndnis:

    - Die Zieladresse habe ich mit XXX@XXXXXXX.de unkenntlich gemacht.
    - 8of9.domain.de ist der DNS des lokalen SMTPd
    - postfix/amavisd-new/spamassassin laufen hier lokal via unix-socket auf 8of9.domain.de
    - imap/pop3 laufen ber cyrus imapd via unix-socket auf 8of9.domain.de
    - pop3 Client ist Mozilla Thunderbird
    - ja, wir sind Kunden der HVB Unicredit
    - nein, amavisd-new nebst spamassassin hat die Mail nicht mokiert, und somit auch nicht markiert


    =##= Anfang "dkim.txt" =##=
    From - Sat Aug 12 02:18:46 2017
    X-Account-Key: account3
    X-UIDL: 1492117904.136
    X-Mozilla-Status: 0001
    X-Mozilla-Status2: 00000000
    X-Mozilla-Keys:
    Return-Path: <www5@xpressus.emarsys.net>
    Received: from deliver ([unix socket])
    by localhost (Cyrus 3.0.1) with LMTPA;
    Fri, 11 Aug 2017 14:00:46 +0200
    X-Cyrus-Session-Id: localhost-44322-1502452846-3-15488829798715047063
    X-Sieve: CMU Sieve 3.0
    Received: from 8of9.domain.de (localhost [127.0.0.1])
    by 8of9.domain.de (Postfix) with ESMTP id 1333414E51E0;
    Fri, 11 Aug 2017 14:00:46 +0200 (CEST)
    X-Virus-Scanned: amavisd-new at domain.de
    Authentication-Results: 8of9.domain.de (amavisd-new); dkim=pass (1024-bit key)
    header.d=news.unicredit.de
    Received: from 8of9.domain.de ([127.0.0.1])
    by 8of9.domain.de (8of9.domain.de [127.0.0.1]) (amavisd-new, port 10024)
    with LMTP id Cp-2mubQGBlM; Fri, 11 Aug 2017 14:00:43 +0200 (CEST) Received: from uspmta172245.emarsys.net (uspmta172245.emarsys.net [195.54.172.245])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
    (No client certificate requested)
    by 8of9.domain.de (Postfix) with ESMTPS id F144C14E5185
    for <XXX@XXXXXXX.de>; Fri, 11 Aug 2017 14:00:40 +0200 (CEST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=key2; d=news.unicredit.de;
    h=To:Subject:From:MIME-Version:List-Id:List-Unsubscribe:Content-Type:Content-t

    ransfer-encoding:Message-ID:Date; i=noreply@news.unicredit.de;
    bh=KMNjA6wJHgTamfBjidTy+x8LZKB5E97ptqwXVctqaJg=;
    b=H5scjSkZtn/gZuO0f3CpbtqtVw5CPz4+McUnkyxnVEEPinvx03X6i5abqv1D7KsAw9fL0fX74Wm1
    0Kd4IdoaclLuh/Aa0WNy7NIRnS3NgkpVKn2lf17M7C3DRxKXlV9WFm1uMfTXyRUwADEAqB4G/DED
    X6lSwCVl5kgayccA0BI=
    Received: from (10.33.0.185) by uspmta172245.emarsys.net id hhme6m16nmc2 for <XXX@XXXXXXX.de>; Fri, 11 Aug 2017 14:00:39 +0200 (envelope-from <www5@xpressus.emarsys.net>)
    To: XXX@XXXXXXX.de
    Subject: Ihre E-Mail-Adresse =?UTF-8?Q?f=C3=BCr=20das=20HVB=20Direct=20B=40nking?=
    =?UTF-8?Q?=20Postfach?=
    X-Mailer: class SMTPMail
    From: "Elektronisches Postfach Ihrer HVB" <noreply@news.unicredit.de> MIME-Version: 1.0
    List-Id: 754488923 <Elektronisches Postfach Ihrer HVB>
    X-EMarSys-Identify: 754488923_1947440_7256
    X-EMarSys-Environment: www5
    X-Report-Abuse: Please report abuse here: abuse-report@emarsys.com X-CSA-Complaints: whitelist-complaints@eco.de
    List-Unsubscribe: <mailto:list-unsubscribe+754488923_1947440_7256_0IYI9yNPkU@emarsys.net>, <https://list-unsubscribe.eservice.emarsys.net/api/unsubscribe/754488923_194744
    0_7256_0IYI9yNPkU>
    Content-Type: text/plain; charset=utf-8
    Content-transfer-encoding: quoted-printable
    Message-ID: <0.1.7.29C.1D312997343F6C2.0@uspmta172245.emarsys.net>
    Date: Fri, 11 Aug 2017 14:00:39 +0200


    Sehr geehrte Kundin,
    sehr geehrter Kunde,
    =20
    vielen Dank, dass Sie sich vor kurzem in Ihrem Direct B@nking f=C3=BCr
    unsere Postfachbenachrichtigung registriert haben.=20
    Wir haben Ihre Daten erfolgreich erfasst und werden Sie demn=C3=A4chst =C3= =BCber
    die Einstellung neuer Mitteilungen/Dokumente in Ihrem Pers=C3=B6nlichen Postfach unterrichten.=20
    =20
    *** BITTE BEACHTEN SIE ***
    Dies ist eine automatisch versendete Nachricht.
    Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

    Mit freundlichen Gr=C3=BC=C3=9Fen=20
    Ihre HypoVereinsbank
    =##= Ende "dkim.txt" =##=

    Bye/2 Torsten

    ... MAILBOX: Up 01d 03h 47m (BTUp2V1.5)
    --- GoldED+ 1.1.5-17
    # Origin: DatenBahn BBS Hamburg (2:240/5832)
    * Origin: Region 15 HQ (1:15/0)
  • From Markus Reschke@1:15/0 to Torsten Bamberg on Sun Aug 13 08:08:28 2017
    Hi Torsten!

    2017-08-13 02:04 schrieb Torsten Bamberg an Alle:

    Interessant ist, das diese Werbungsfirma emarsys.net den DKIM Hash
    von der HVB-Unicredit verwendet, die Zieladressen stimmig sind, es allerdings keine Anforderung von den Nutzern des Postfachs an die emarsys.net gegeben hat.
    Ergo, dkim wird auch gefälscht, oder wie darf ich das verstehen?

    Die sind wohl ein Dienstleister für die HVB-Unicredit und haben deren privaten Schlüssel für DKIM, bzw. HVB-Unicredit hat den öffenlichen Teil vom Schlüssel im DNS eingetragen.

    cu,
    Markus

    ---
    # Origin: *** theca tabellaria *** (2:240/1661)
    * Origin: Region 15 HQ (1:15/0)