Jullie zijn me
net voor, ik heb precies dezelfde mail ontvangen en wilde iets vergelijkbaars gaan posten...
Vooraf: niet kwaadaardig maar wel ongelofelijk STOM.
Waarom? Omdat, precies zoals de TS aangeeft, alle links in de e-mail wijzen naar een domain dat ogenschijnlijk
niets met PostNL te maken heeft.
Ik probeer gebruikers "security-aware" te maken door ze erop te wijzen goed te letten op waar links naar wijzen
voordat je erop klikt. Omdat in dit geval alle links
niet naar een duidelijk te onderscheiden *.postnl.nl website wijzen is het enige juiste dat gebruikers met dergelijke mails zouden moeten doen:
1) Niet op links klikken;
2) De feitelijke verzender (e-mark) aanmelden als spammer en phisher;
3) De mail verder als waardeloos beschouwen en weggooien.Details voor de techneuten (mogelijk naar mijn e-mail adres herleidbare gegevens heb ik tussen accolades gezet):
In de mail zelf komen de volgend URL's voor:
Als u deze e-mail niet goed kunt lezen, klik dan hier voor de webversie.
-> http://subscriber.e-mark.nl/link{alfanumerieke_reeks}.html
Verdere uitleg kunt u lezen op deze pagina.
-> http://subscriber.e-mark.nl/link{alfanumerieke_reeks}.html
Afmelden
-> http://subscriber.e-mark.nl/link{alfanumerieke_reeks}.html
Als ik op de middelste link klik, gebeurt het volgende (relevante fragmenten uit Wireshark):
DNS Standard query 0x2493 A subscriber.e-mark.nl
DNS Standard query response 0x2493 A 89.234.18.152
HTTP GET /link{alfanumerieke_reeks}.html HTTP/1.1
Host: subscriber.e-mark.nl\r\n
HTTP HTTP/1.1 302 Found
location: http://www.postnl.nl/klantenservice?utm_source=emark&utm_medium=email&
utm_campaign=Waarschuwing+voor+besmette+e-mails\r\n
DNS Standard query 0x3fde A www.postnl.nl
DNS Standard query response 0x3fde CNAME postnl-af-tridion05.cloudapp.net A 23.97.135.13
HTTP GET /klantenservice?utm_source=emark&utm_medium=email&
utm_campaign=Waarschuwing+voor+besmette+e-mails HTTP/1.1
Host: www.postnl.nl\r\n
HTTP HTTP/1.1 301 Moved Permanently (text/html)
Location: /klantenservice/?utm_source=emark&utm_medium=email&utm_campaign=
Waarschuwing+voor+besmette+e-mails\r\n
HTTP GET /klantenservice/?utm_source=emark&utm_medium=email&
utm_campaign=Waarschuwing+voor+besmette+e-mails HTTP/1.1
Host: www.postnl.nl\r\n
HTTP HTTP/1.1 200 OK (text/html)
[...]
<title>Klantenservice | PostNL</title>\n
[...]
De website www.postn.nl wordt dus gehost bij cloudapp.net.
E-mail headers:
Return-Path: <bounce-{nummer}@dm.e-mark.nl>
Received: from m6.dm.e-mark.nl (m6.dm.e-mark.nl [82.94.210.180])
by mxdrop150.xs4all.nl (8.13.8/8.13.8) with ESMTP id s9HLdnmH001612
for <{mijn_email}@xs4all.nl>; Fri, 17 Oct 2014 23:39:50 +0200 (CEST)
(envelope-from bounce-794-853-276348F361949764@dm.e-mark.nl)
Received: from localhost.localdomain (localhost [127.0.0.1])
by m6.dm.e-mark.nl (Postfix) with ESMTP id 31CA029E84
for <{mijn_email}xs4all.nl>; Fri, 17 Oct 2014 23:39:49 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=e-mark.nl; h=to:from:reply-to:subject:date:
mime-version:content-type:list-unsubscribe; s=dm; bh={code}; b={code}
To: {mijn_email}@xs4all.nl
From: PostNL MijnPakket <postnlmijnpakket@info.postnl.nl>
Reply-To: PostNL MijnPakket <postnlmijnpakket@info.postnl.nl>
Subject: Waarschuwing voor besmette e-mails
Date: Fri, 17 Oct 2014 23:39:46 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="emarkb56936c630cd7b24d74babeba022fe17"
List-Unsubscribe: <http://subscriber.e-mark.nl/index.php?type=unsubscribe&
db=794V181&mailing=853V51351086&user={nummer}>,
<mailto:unsubscribe-{nummer}@dm.e-mark.nl>
Message-Id: <20141017213949.31CA029E84@m6.dm.e-mark.nl>
Envelope-To: {mijn_email}@xs4all.nl
Het
enige dat ik zeker weet over de afzender in een e-mail is dat mijn ISP het ontvangen heeft vanaf IP-adres 82.94.210.180.
Uit Whois info:
% Abuse contact for '82.94.210.0 - 82.94.210.255' is 'abuse@xs4all.nl'
inetnum: 82.94.210.0 - 82.94.210.255
netname: XS4ALL-CUST-686897
descr: Gidpro
country: NL
route: 82.92.0.0/14
descr: XS4ALL networking
origin: AS3265
Het gaat dus, toevallig (ik ben dat ook), om een klant van xs4all. Mocht je nog twijfelen, de kans dat het om een spammer gaat wordt daarmee ook kleiner. Maar dat wil niet zeggen dat dit soort mails niet tot spam kunnen leiden...
Ik gebruik verschillende e-mail aliasen, en de mail is verzonden naar een e-mail alias van mij dat ik eerder dit jaar op een PostNL website heb ikgevuld en dat al eerder door PostNL is gebruikt voor het verzenden van min of meer relevante e-mails.
Echter, PostNL maakt gebruik van wisselende partijen voor het verzenden van e-mails naar mij. Zo heb ik het afgelopen jaar e-mails verzonden
namens PostNL ontvangen via:
mail1.bemta14.messagelabs.com [193.109.254.111]
mailzgbach.mail.dmdelivery.com [91.197.72.138]
m3.dm.e-mark.nl [89.234.18.148] (zelfde bedrijf, echter IP-adres bij een ISP in Texas)
btsms.net [62.216.224.242]
tntinfo.eu [62.216.224.242]
PostNL heeft vrolijk mijn e-mail adres (alias in dit geval) aan al die partijen uitgedeeld, en "goed gebruik" voor dat soort partijen is om zo'n e-mail adres dan in hun database op te slaan. In elk geval zodat ik ooit nog kan aangeven te willen worden uitgeschreven van hun mails. Maar je kunt ook hele andere leuke dingen doen met een lange lijst e-mail adressen, die zijn namelijk geld waard!
De kans dat ik morgen een bijna identieke mail, echter met een link naar een malwaresite krijg, is een stuk groter dan nul vrees ik...