Hallo Guteantworter,
ich habe vorhin eine ziemlich gut gefälschte Phishing-Mail "von 1&1" erhalten (wo ich tatsächlich mein Mailkonto habe). Natürlich erkenne ich solche Phishing-Mails, bevor ich wo draufklicke und das Unheil seinen Lauf nähme. Die Absender-Emailadresse wurde hier auch gefälscht, was ja relativ leicht ist (....@online.de gehört wirklich zu 1&1). Mich würde jetzt interessieren, wie man im Header der Mail unten die echte Absender-Email-Adresse rausfinden? Ich hab den Header unten reinkopiert. Aber erstmal ein Screenie der Phishing-Mail, echt gut gefälscht:
Hier der Header, wichtig: meine eigene Mailadresse hab ich durch XXXXXXXXX@onlinehome.de ersetzt!:
Return-Path: <info@online.de>
Received: from mout.kundenserver.de ([212.227.126.131]) by mx.emig.kundenserver.de (mxeue109 [217.72.192.66]) with ESMTPS (Nemesis) id 1N7AuA-1g7R2N1CzE-017Oo9 for <XXXXXXXXX@onlinehome.de>; Wed, 18 Jul 2018 14:08:27 +0200
Received: from vm8FB89F2 ([82.165.247.108]) by mrelayeu.kundenserver.de (mreue003 [212.227.15.129]) with ESMTPSA (Nemesis) id 0M9tPw-1fmJko3a6y-00B0F7 for <XXXXXXXXX@onlinehome.de>; Wed, 18 Jul 2018 14:08:26 +0200
From: "1&1 Kundenservice" <info@online.de>
Subject: Sperrung Ihres EMail-Kontos
To: <XXXXXXXXX@onlinehome.de>
Content-Type: multipart/alternative; boundary="l5PAjtdPcLYe2mrvJKnO3TU7MR1E=_c2kL"
MIME-Version: 1.0
Reply-To: <info@online.de>
Date: Wed, 18 Jul 2018 12:08:26 +0000
Message-Id: <1826201807081278D6962314$8D0FEDAE6E@VMFBF>
X-Provags-ID: V03:K1:zZZTmHx8uVng/yTMm1+4U1RM9tpBTGwrO5YoEGztVTs85kj+Ji1 L+MUrzJTSRfXi7S14vwPhIfmNs2J2hVA2lSshVyUiZ92ipYw6og/ZgcbmFlUZvdvQN3l5to EzN2wSepQ2HoOZ0IGBd/ec/FlOD5OlRJ5SRhV9EL6IpKbb1ALaiTuyVPEnzTrYweId18wAp hoSJhO8PaKps4UUg5KXOA==
X-UI-Out-Filterresults: notjunk:1;V01:K0:YhnxCXaOUaI=:z+Nzvwl0sNOYaSRLiUrPPP 7cLCGoqPQoUkxRRGGYLQbdpoqJVZmygXqqUhIp5DSiFHNA1ix8h2v5ZaCd/QElDyroA2e/h70 kMZOotctvTV/6MMhKuDJNKVmT2KKxVZlPG8CaL0UQpJvWePJYxKJogq26Nm3mCoi8INO1kVDt 9YKlIESjqqbU7dqw2ftz36JqpYf6K1/DN+oeworv+PAX6snVC7fqkGKeKMMroDdFBHmLb7M95 lW5Uc6a/xP0OA5x63QoAIlLbeZB44q+B89gsZ3xsjzf+wKCjUcMBzJ3Df3ZMuudKKBb75ZSEP 9pVzO3yBCd/1OhBxEJdgbi81rfUSlSRebkia5ptlrMlZGWpjsU0y0hHJCyMkozSZcYAQXHdNz xL6SqoMLSGjdVPBSyoCIvaEQou5bc7eKCHK7Yr5jzBP39+pMPGuAXeMyk3vpTlIb/PhqtRs6a KvBM5qnEhd0FsKMq8Vs/WhP8XjaDQTuDiIxPbdOf/f7/4jpSBy3fOrWSfi3jSv8nxBAyuKv3S
Envelope-To: <XXXXXXXXX@onlinehome.de>
X-UI-Filterresults: notjunk:1;V01:K0:QnO6CgTCILM=:XddXNS6hxcnwTryY8Ls5o5KkpJ mu5bGszkz1NF9UsS+GnTjKjEEgzkwgx6WKbTGuXKq3WtJ8okvQGO4Bp8fikh2tnypAckwVUbp lZEsqMV/cDpPsV4CHUc7qoc3tB5m8X75pL3xnRo5LzEnpH/584910tioCyQ3DeN0RhdC8gWM6 fnyh1jEatVKfUcL5iZ7ZQxEiQ15MvKOPZpILYMYff2jOZ0AlY4EQmk0tM9QHdcLKmWrbbWQ9O d4rkQK2zfFTxFAstp/HZsB7G3Z59ETMZhgvmVQ38M1a/Za5Uuux8saIa0Hra11rNbM0goEvoC QXXrzH4N62P2/89LVpudom6JkbV4LNhs91isH3NhJkXygKgWplx7SZxBsYkWy/ER5SkVZoW9T r4fgGz5yJOK+q+s6jBAUG3m4PZm5sejNmRz/H9jZh/6C7TYHLhm5YbG21n7Bu89iBRRCMNtGL 6LepNVEHcUrKBgcp2tOYVmAv5nAHQnkNO/TMt/tIiIA80J2bwQYz/PGuJbARVcsSKeDYH9oLq
Es gibt einen Gutschein Code aus Zahlen und Buchstaben den ich bei der DB App oder online eingeben kann, oder es gibt einen Button "direkt einlösen" (welcher wahrscheinlich Teil meines Misstrauens ist😅)
Ist vermutlich schon echt, hatte aber schon öfters Spam Mails bekommen wo der Absender legit aussah. Und als ich nach DB Aktionsgutschein gesucht habe habe ich nichts gefunden, keine Erwähnung dass jemand sowas schonmal bekommen hat oder so.