Wir kennen das ja alle, Mails mit dem Betreff “FBI: URGENT reply or go jail!”, “POLIZEI: Tauschbörse” etc. Im allgemeinen verschiebt man sowas ja direkt in den Spamordner. Die folgende Mail von heute Morgen war aber doch etwas verwirrend.


X-Account-Key: account2
X-UIDL: UID60118-1158173284
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: spahan00@mbx.unibas.ch
Received: from smtp2pub.unibas.ch (smtp2pub.unibas.ch [131.152.227.82])
by imap1.urz.unibas.ch (Postfix) with ESMTP id D168038C046
for ; Fri, 6 Mar 2009 09:45:24 +0100 (CET)
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AlgCAJZxsEnDkaC4mWdsb2JhbACCJiuRdDoBAQEBAQgLCgcRwh+ECAY
X-IronPort-AV: E=Sophos;i="4.38,313,1233529200";
d="scan'208,217";a="12532162"
Received: from relay2.lds.nrw.de ([195.145.160.184])
by smtp2pub.unibas.ch with ESMTP; 06 Mar 2009 09:45:24 +0100
Received: from gg43.gg.nrw.de (gw43.nrw.de [93.184.136.60])
by relay2.lds.nrw.de with ESMTP id n268jJMI002984
for ; Fri, 6 Mar 2009 09:45:19 +0100
Received: from gg43.gg.nrw.de (localhost [127.0.0.1])
by gg43.gg.nrw.de (8.14.0/8.14.0) with ESMTP id n268jYlP018798
for ; Fri, 6 Mar 2009 09:45:34 +0100 (CET)
Received: from MAILHUB1.nrw.de (10.64.112.141) by gg43.gg.nrw.de (smtprelay) with ESMTP Fri Mar 6 09:45:22 2009.
Received: from s564uxg0201.polizei.nrw.de (POLIZEI-MAILER [10.216.241.1])
by MAILHUB1.nrw.de with ESMTP id n268jAC0005480
for ; Fri, 6 Mar 2009 09:45:10 +0100
Received: from smtp-gw-1.polizei.nrw.de (unknown [1.4.112.69])
by s564uxg0201.polizei.nrw.de (Postfix) with ESMTP id 01C8F6F957
for ; Fri, 6 Mar 2009 09:56:59 +0100 (CET)
Received: from smtp-gw-1.polizei.nrw.de (localhost [127.0.0.1])
by smtp-gw-1.polizei.nrw.de (Postfix) with ESMTP id DEDF723CC5
for ; Fri, 6 Mar 2009 09:45:10 +0100 (CET)
Received: from S00PAABEX01.polizei.nrw.de (s00paabex01.polizei.nrw.de [1.1.20.228])
by smtp-gw-1.polizei.nrw.de (Postfix) with ESMTP id D399B23CC4
for ; Fri, 6 Mar 2009 09:45:10 +0100 (CET)
Received: from S00PAADEX02.polizei.nrw.de ([2.1.1.229]) by S00PAABEX01.polizei.nrw.de with Microsoft SMTPSVC(6.0.3790.2668);
Fri, 6 Mar 2009 09:45:10 +0100
Content-class: urn:content-classes:message
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01C99E37.DB7C750C"
X-MimeOLE: Produced By Microsoft Exchange V6.5
Subject: Internetzugang
Date: Fri, 6 Mar 2009 09:45:09 +0100
Message-ID: <45200EA5B54F7A4EB22907EC6E37ADF9114AFB@S00PAADEX02.polizei.nrw.de>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: Internetzugang
Thread-Index: AcmeN9tUNgsH6BsLT3W+IoEgm2d21w==
From: "Kuschwart, Herbert"
To:
X-OriginalArrivalTime: 06 Mar 2009 08:45:10.0493 (UTC) FILETIME=[DBCEE8D0:01C99E37]

This is a multi-part message in MIME format.

——_=_NextPart_001_01C99E37.DB7C750C
Content-Type: text/plain;
charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable

Sehr geehrter Herrr Spalinger,

=20

bei der Staatsanwaltschaft K=F6ln / Deutschland ist unter dem =
Aktenzeichen 119 UJs77/09 ein Ermittlungsverfahren wegen Betrug =
anh=E4ngig. Der Betrug wurde unter Verwendung des Internets ver=FCbt. Es =
konnte folgende IP-Adresse festgestellt werden:

=20

08.12.2008 =
um 19:38 UTC / 20:35:48 MEZ

IP =
88.198.56.140

=20

Lt. Auskunft der Fa. Hetzner Online AG, Gunzenhausen, geh=F6rt diese IP =
zu einem Rootserver, den Sie angemietet haben.=20

=20

Ich bitte Sie, mir die verantwortlichen Personaldaten f=FCr den oben =
genannten Internetzugang mitzuteilen.=20

=20

=20

Mit freundlichen Gr=FC=DFen

=20

Herbert Kuschwart

Regionalkommissariat

Telegrafenstra=DFe 35

42929 Wermelskirchen

Tel.: 02196/941441

Fax: 02196/94110441

Mail: herbert.kuschwart@polizei.nrw.de =
=20

=20

——_=_NextPart_001_01C99E37.DB7C750C
Content-Type: text/html;
charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable

xmlns:w=3D”urn:schemas-microsoft-com:office:word” =
xmlns=3D”http://www.w3.org/TR/REC-html40″>
charset=3Diso-8859-1″>


–>

style=3D’font-size:
12.0pt’>Sehr geehrter Herrr Spalinger,

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>bei der Staatsanwaltschaft K=F6ln / Deutschland ist unter dem
Aktenzeichen 119 UJs77/09 ein Ermittlungsverfahren wegen Betrug =
anh=E4ngig. Der
Betrug wurde unter Verwendung des Internets ver=FCbt. Es konnte folgende
IP-Adresse festgestellt werden:

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=
=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=
=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0 08.12.2008
um 19:38 UTC / 20:35:48 MEZ

style=3D’font-size:
12.0pt’>=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=
=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=
=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0=A0 IP
88.198.56.140

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>Lt. Auskunft der Fa. Hetzner Online AG, Gunzenhausen, geh=F6rt =
diese IP
zu einem Rootserver, den Sie angemietet haben. =

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>Ich bitte Sie, mir die verantwortlichen Personaldaten f=FCr den =
oben
genannten Internetzugang mitzuteilen.

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>

style=3D’font-size:
12.0pt’>Mit freundlichen Gr=FC=DFen


style=3D’font-size:12.0pt;font-weight:bold’>

t>

Roman”>
style=3D’font-size:12.0pt’>Herbert =
Kuschwart

style=3D’font-size:
10.0pt’>Regionalkommissariat

style=3D’font-size:
10.0pt’>Telegrafenstra=DFe 35

style=3D’font-size:
10.0pt’>42929 Wermelskirchen

style=3D’font-size:
10.0pt’>Tel.:  02196/941441

style=3D’font-size:
10.0pt’>Fax:   02196/94110441

style=3D’font-size:
10.0pt’>Mail:
href=3D”mailto:herbert.kuschwart@polizei.nrw.de”>
size=3D2 color=3Dblack> style=3D’font-size:10.0pt;color:black’>herbert.kuschwart@polizei.nrw.de span>

style=3D’font-size:
12.0pt’>


Folgende Gründe sprechen für die Echtheit:

  1. Heder: Die Mail stammt offensichtlich von der Domain polizei.nrw.de, die auf http://www.robtex.com/dns/www.polizei-nrw.de.html verweist, was die Domain der Polizei NRW ist.
  2. Keine Viren in der Mail (keine Anhänge)
  3. Herbert Kuschwart wohnt in Wermelskirchen
  4. Es giebt einen Wermelskirchen bei der Polizei NRW

Sollte die Mail echt sein ergeben sich mehrere Fragen:

  1. Wie authentiziert man Mails von Behörden, wenn diese nicht signiert sind?
  2. Was will Herbert Kuschwart von mir?
  3. Was meint Herbert Kuschwart mit “Internetzugang” ?

Ich habe die Polizei NRW angemailt und eine Bestätigung erbeten. Bis ich weitere Infos habe, werde ich mal nichts tun und abwarten.

update: Wie gedacht war die Mail echt. Heute morgen hat mich H. Kuschwart angerufen. Nach einer Erklärung meinerseits wegen des Anhangs (die pgp-Signatur), kam er dann zum Thema. Ob auf dem Server eine Anonymisierungssoftware abreitet?

Bisher hatte ich mit Tor nur mit Urheberrechtsverdrehern Probleme. Aber auf der Tor-Seite wird ja gesagt, dass sich früher oder später auch staatliche Ermittler melden würden.

Ich denke mal, dass ich nicht wirklich in Schwierigkeiten stecke. Herr Kuschwart wollte nicht mehr viel mehr Wissen, als ich ihm vom Tor-Node erzählt habe, er wird wohl wissen, dass da nichts zu finden ist.

Flattr this!

Comments are closed.