Kann E-Mail-Spoofing verhindert werden?

Das E-Mail-Konto meiner Frau wurde gehackt und der Angreifer hat ihr Adressbuch erhalten. Ich weiß nicht, ob der Angriff auf ihren lokalen E-Mail-Client (Thunderbird unter Windows 7) oder auf den Server (bei GoDaddy gehostet) gerichtet war. In jedem Fall sind die Daten der Kontaktliste da draußen und ich kann das nicht rückgängig machen. Ich habe alle Passwörter, die aktualisierte Sicherheit usw. geändert und glaube nicht, dass es weitere Eingriffe gegeben hat.

Wer auch immer das getan hat, hat eine Menge Spam verschickt und dabei den Namen meiner Frau als "Absender" verwendet. Sie werden für eine Weile still, und dann wecke ich so oft ein paar Dutzend E-Mails von meiner Frau, die sie natürlich nicht wirklich gesendet hat , und jede andere Person in ihrem Adressbuch bekommt diese auch . Und weil ihr Adressbuch mit vielen toten Adressen gefüllt war, erhält meine Frau Hunderte von Bounceback-Nachrichten "Mail Delivery Failed" sowie Hunderte von E-Mails, die von der empfangenden Domain als Spam zurückgewiesen wurden. Die Leute in ihrer Kontaktliste werden wütend und es wird ein echtes Problem.

Ich habe GoDaddy danach gefragt und sie sagen, dass jede Person A eine E-Mail senden kann, um zu [email protected]behaupten, sie zu sein [email protected], und es gibt keine E-Mail-Infrastruktur , um zu überprüfen, ob Person A berechtigt ist, eine E-Mail von zu senden ccc.com. Infolgedessen kann ich absolut nichts dagegen tun, und dieser Spammer wird in der Lage sein, Menschen zu belästigen, den Ruf meiner Frau zu schädigen, ihre E-Mail auf eine schwarze Liste zu setzen usw., und es gibt keine Möglichkeit, dies zu stoppen .

Stimmt das, oder kann ich irgendetwas tun, um diese Spammer zu stoppen oder den Schaden zumindest zu mindern?

Es ist in der Tat sehr schwierig, das Problem des E-Mail-Spoofings auf allgemeine Weise zu lösen, da das Protokoll auf einfache und stark verteilte Weise entworfen wurde.

Die physikalische Brief-Analogie hält in diesem Beispiel ganz gut: Ich kann einen Brief in die Post stecken und darauf schreiben, dass er aus Ihrem Haus kommt; Ich muss nicht in dein Haus eingebrochen sein, um das zu tun, wirf es einfach in einen öffentlichen Briefkasten. Und wenn der Beitrag mit "Zurück zum Absender" markiert ist, wird er möglicherweise an Sie "zurückgeschickt", obwohl Sie ihn nicht geschrieben haben. Dasselbe gilt für E-Mails: Jeder kann eine Nachricht mit einer An und einer Von-Adresse an das System übermitteln. Der Server, von dem Sie E-Mails senden, ist möglicherweise nicht derselbe, an den Sie E-Mails empfangen, und es gibt keinen zentralen Dienst, der Ihre Identität überprüft, wenn Sie eine Nachricht in das System senden.

Es gibt zwei allgemeine Lösungsansätze:

Digitale Signaturen sind eine Möglichkeit, in eine Nachricht eine Art Signatur oder Siegel aufzunehmen, die nur der echte Absender erstellen kann (unter Verwendung eines privaten Schlüssels, den er niemals teilt). Der Empfänger kann dann die Signatur mit einem öffentlichen Schlüssel überprüfen, der mathematisch beweist, wer die Signatur erstellt hat (und dass sie mit dem empfangenen Text übereinstimmt).

Dies ist jedoch für Ihr Beispiel nicht sehr nützlich, da es die Zustellung der Nachrichten nicht verhindert und die Empfänger den öffentlichen Schlüssel oder einen überprüften Speicherort zum Abrufen des Schlüssels benötigen.

Domänenbasierte Absenderüberprüfungssysteme wurden entwickelt, um Spam zu verhindern. Diese speichern Daten im DNS (Directory Lookup) für die Domain der Adresse (der Teil nach dem @), mit dem ein empfangendes System überprüfen kann, ob eine Mail legitim ist. Ein System, SPF , listet auf, welche Systeme E-Mails für diese Domain senden dürfen. Ein anderer, DKIM , speichert öffentliche Schlüssel, die ähnlich dem oben beschriebenen Ansatz der digitalen Signatur verwendet werden, jedoch zur Überprüfung des Übertragungssystems und nicht des tatsächlichen Absenders.

(Um die physische Brief-Analogie ein wenig zu überschätzen, sagt SPF öffentlich "Ich poste nur Briefe mit diesem Briefkasten", und DKIM sagt öffentlich "Ich sende immer Post von diesem Postamt, die ein manipulationssicheres Etikett für mich druckt ".)

Diese sind für Ihren Fall relevanter. Wenn Ihre Frau eine benutzerdefinierte Domain verwendet, wird bei einem geeigneten SPF- oder DKIM-Setup auf vielen Systemen unbemerkt Mail zurückgewiesen, die sie nicht selbst gesendet hat (oder als Spam markiert hat, ohne sie ihr zuzuschreiben) ). Es funktioniert jedoch nur auf Domänenebene, nicht auf der Ebene der einzelnen Adressen, und einige Empfängersysteme überprüfen die Datensätze möglicherweise nicht.

Es würde wahrscheinlich helfen, alle Live-Kontakte in ihrem Adressbuch per E-Mail zu kontaktieren und ihnen die Probleme mit E-Mail-Spam mitzuteilen. Und jetzt ist so gut wie jeder andere Zeitpunkt, um tote Kontakte von der Liste zu entfernen.

Die zukünftige Verwendung von PGP / GPG wäre eine nahezu perfekte Lösung für private Benutzer und Absender, um selbst zu überprüfen, ob eine E-Mail tatsächlich vom Absender gesendet wird, und um den Inhalt von Nachrichten zu verbergen oder zu verschlüsseln, sodass sie nur von gesehen werden der vorgesehene Empfänger. Obwohl PGP bereits seit Jahrzehnten verfügbar ist, ist es für jedermann nicht einfach, mit der Verwendung von PGP zu beginnen. Web-E-Mails (wie Google Mail usw.) erschweren es, die geheimen Teile für Sie wirklich geheim zu halten, und es ist dennoch einfach, sie zu verwenden von überall einsetzen ...

E-Mail-Authentifikation

Es gibt Dinge, die getan werden können, um sich bei E-Mail-Empfängern zu authentifizieren (zumindest einige, wie Yahoo & Google & andere, die " einen hohen Prozentsatz der Internet-E-Mail-Benutzer " repräsentieren - DMARC-FAQ ), die besagen, dass es sich tatsächlich um eine Nachricht aus Ihrer Domain handelt von Ihrer Domain. Sie verwenden DMARK, mit dem " ein Absender angibt, dass seine Nachrichten durch SPF und / oder DKIM geschützt sind, und einem Empfänger mitteilt, was zu tun ist, wenn keine dieser Authentifizierungsmethoden wie Junk oder Zurückweisung der Nachricht erfolgreich ist " - DMARC FAQ .

Ein Wechsel zu einer anderen E-Mail-Adresse könnte auch kurzfristig helfen, dann könnten Sie und alle anderen sicher alle weiteren Nachrichten der Spammer ignorieren / als Spam markieren. Aber auch wenn dies nicht Ihr Hauptanliegen ist, da es sich um "offensichtlich super-spammy Spam" handelt und niemand betrogen wird, möchten Sie wahrscheinlich verhindern, dass die "from:" - Zeile leicht gefälscht wird, da wenn immer genug Benutzer "markieren Als Spam "werden die geschäftlichen E-Mails Ihrer Frau von Spam-Filtern wahrscheinlich alle Nachrichten von dieser Adresse verworfen.

Die E-Mail-Authentifizierung soll den sendenden und empfangenden E-Mail-Servern dabei helfen, sicherzustellen, dass Nachrichten tatsächlich von dem gesendet werden, von dem sie sich gemeldet haben. Ich habe einige Informationen zu Google Mail gefunden, da es sich um eines der drei größten E-Mail-Unternehmen handelt, ist es wahrscheinlich ein guter Ausgangspunkt. Sogar das Wechseln von E-Mail-Anbietern zu einem bereits eingerichteten / authentifizierten Anbieter wie Google Mail für Unternehmen sollte hilfreich und möglicherweise einfacher sein, sollte aber nicht erforderlich sein, auch wenn sie nach Ihrer Antwort von GoDaddy möglicherweise nicht Ihr Traum-Host sind.

In der Hilfe von Google Mail zur E-Mail-Authentifizierung finden Sie einige Hinweise zum Senden von Domains:

Wenn Sie eine sendende Domain sind

Nachrichten mit DKIM-Signaturen verwenden einen Schlüssel zum Signieren von Nachrichten. Mit Kurzschlüsseln signierte Nachrichten können leicht gefälscht werden (siehe http://www.kb.cert.org/vuls/id/268267 ). Eine mit einem Kurzschlüssel signierte Nachricht ist daher kein Hinweis mehr darauf, dass die Nachricht ordnungsgemäß authentifiziert wurde. Um unsere Nutzer bestmöglich zu schützen, werden E-Mails, die mit weniger als 1024-Bit-Schlüsseln signiert sind, ab Januar 2013 als nicht signiert behandelt. Wir empfehlen allen Absendern, die kurze Schlüssel verwenden, dringend, auf RSA-Schlüssel mit einer Länge von mindestens 1024 Bit zu wechseln. Die Authentifizierung wird jedem E-Mail-Absender dringend empfohlen, um sicherzustellen, dass Ihre Nachrichten korrekt klassifiziert sind. Weitere Empfehlungen finden Sie in unseren Richtlinien für Massenversender .

Die Authentifizierung allein reicht nicht aus, um sicherzustellen, dass Ihre Nachrichten zugestellt werden können, da Spammer auch E-Mails authentifizieren können. Google Mail kombiniert Benutzerberichte und andere Signale mit Authentifizierungsinformationen, wenn Nachrichten klassifiziert werden.

Ebenso reicht die Tatsache, dass eine Nachricht nicht authentifiziert ist, nicht aus, um sie als Spam zu klassifizieren, da einige Absender ihre E-Mails nicht authentifizieren oder die Authentifizierung in einigen Fällen unterbrochen wird (z. B. wenn Nachrichten an Mailinglisten gesendet werden).

Weitere Informationen zum Erstellen einer Richtlinie zur Steuerung nicht authentifizierter E-Mails in Ihrer Domain.

Der letzte Link Nicht authentifizierte E-Mails von Ihrer Domain kontrollieren ist besonders relevant:

Um Spam und Missbrauch zu bekämpfen, verwendet Google Mail die E-Mail-Authentifizierung , um zu überprüfen, ob eine Nachricht tatsächlich von der Adresse gesendet wurde, von der sie anscheinend gesendet wurde. Im Rahmen der DMARC-Initiative können Domain-Inhaber mithilfe von Google festlegen, wie mit nicht authentifizierten Nachrichten umgegangen werden soll, die fälschlicherweise von Ihrer Domain stammen.

Was du tun kannst

Domaininhaber können eine Richtlinie veröffentlichen, die Gmail und anderen teilnehmenden E-Mail-Anbietern mitteilt, wie Nachrichten zu behandeln sind, die von Ihrer Domain gesendet, aber nicht authentifiziert wurden. Durch das Definieren einer Richtlinie können Sie Phishing bekämpfen , um Benutzer und Ihren Ruf zu schützen.

Erfahren Sie auf der DMARC-Website, wie Sie Ihre Richtlinie veröffentlichen , oder lesen Sie die Anweisungen für Google Apps-Domains .

Hier sind einige Dinge zu beachten:

• Sie erhalten täglich einen Bericht von jedem teilnehmenden E-Mail-Anbieter, damit Sie sehen können, wie oft Ihre E-Mails authentifiziert und wie oft ungültige E-Mails identifiziert werden.
• Möglicherweise möchten Sie Ihre Richtlinie anpassen, während Sie aus den Daten in diesen Berichten lernen. Sie können beispielsweise Ihre umsetzbaren Richtlinien von "Überwachen" über "Quarantäne" bis "Ablehnen" anpassen, wenn Sie sicherer werden, dass alle Ihre eigenen Nachrichten authentifiziert werden.
• Ihre Politik kann streng oder locker sein. Zum Beispiel veröffentlichen eBay und PayPal eine Richtlinie, nach der alle E-Mails authentifiziert werden müssen, damit sie im Posteingang einer anderen Person angezeigt werden. Gemäß ihrer Richtlinie lehnt Google alle Nachrichten von eBay oder PayPal ab, die nicht authentifiziert sind.

Mehr über DMARC

DMARC.org wurde gegründet, um es E-Mail-Absendern zu ermöglichen, nicht authentifizierte E-Mails zu beeinflussen, indem sie ihre Einstellungen in einer auffindbaren und flexiblen Richtlinie veröffentlichen. Außerdem können teilnehmende E-Mail-Anbieter Berichte bereitstellen, damit Absender ihre Authentifizierungsinfrastruktur verbessern und überwachen können.

Google nimmt zusammen mit anderen E-Mail-Domains wie AOL, Comcast, Hotmail und Yahoo! Mail. Darüber hinaus haben Absender wie die Bank of America, Facebook, Fidelity, LinkedIn und Paypal bereits Richtlinien für Google und andere Empfänger veröffentlicht, die befolgt werden sollen.

Weitere Informationen finden Sie in diesem Beitrag im offiziellen Google Mail-Blog .

Andere hilfreiche Links:

• Richten Sie Google Mail so ein, dass E-Mails unter Verwendung Ihres eigenen Domainnamens gesendet / empfangen werden
• Übernehmen Sie die Kontrolle über Ihre E-Mail-Adresse

Was getan werden kann, hängt davon ab, über wie viel Infrastruktur Sie die Kontrolle haben und ob Sie Ihren eigenen Domain-Namen verwenden oder einfach eine Adresse unter einer Domain haben, die von jemand anderem kontrolliert wird.

Wenn Sie eine eigene Domain haben, können Sie problemlos zu einer neuen E-Mail-Adresse unter derselben Domain wechseln. Außerdem können Sie DNS-Einträge einrichten, um der Welt mitzuteilen, dass alle E-Mails von Ihrer Domain digital signiert werden sollen. (SPF, DKIM und DMARC sind die Begriffe, nach denen gesucht werden muss, wenn Sie diesen Ansatz wählen möchten.)

Sie können nicht davon ausgehen, dass alle diese Signaturen überprüfen. Selbst wenn Sie DNS-Einträge einrichten, die darauf hinweisen, dass E-Mails von Ihrer Domain signiert werden müssen, gibt es immer noch Missbraucher, die behaupten, von Ihrer Domain zu stammen, und Empfänger, die diese nicht signierten E-Mails akzeptieren.

Wenn Sie die Domäne nicht kontrollieren, ist das Ändern der E-Mail-Adresse nicht so einfach und Sie haben nur geringen Einfluss darauf, ob DNS-Einträge verwendet werden, um die Möglichkeit zu beschränken, die Domäne in ausgehenden E-Mails zu fälschen.

Das Problem mit Spam-Nachrichten, bei denen eine gefälschte Quelladresse verwendet wird und die dazu führen, dass Bounces wieder an die legitime Adresse zurückkehren, ist zumindest im Prinzip leicht zu lösen.

Sie können die Message-IDvon Ihnen gesendeten E-Mails aufzeichnen . Alle Bounces müssen Message-IDirgendwo die der Originalnachricht enthalten - andernfalls ist das Bouncen sowieso völlig nutzlos, da Sie dann wissen, welche Nachricht zurückgeschickt wurde. Jede zurückgesendete Nachricht, die keine Message-IDzuvor gesendete enthält , kann direkt an den Spam-Ordner gesendet oder zum Empfangszeitpunkt zurückgewiesen werden (was den schönen Vorteil hat, das Problem einen Schritt näher an die Quelle heranzuführen).

Bounces können von anderen E-Mails durch die MAIL FromAdresse unterschieden werden. Bounces haben immer eine leere MAIL FromAdresse, andere E-Mails haben nie eine leere MAIL FromAdresse.

Wenn MAIL Fromalso leer ist - und das DATAnicht enthält, was Message-IDSie zuvor gesendet haben, kann die Mail sicher abgelehnt werden.

Das ist das Prinzip. Es ist etwas schwieriger, es in die Praxis umzusetzen. Zuallererst kann die Infrastruktur für ausgehende und eingehende E-Mails unterschiedlich sein, was es für die Infrastruktur für eingehende E-Mails problematisch macht, immer über alles Bescheid zu wissen, Message-IDwas die Infrastruktur für ausgehende E-Mails durchlaufen hat.

Darüber hinaus bestehen einige Anbieter darauf, Bounces zu senden, die nicht dem gesunden Menschenverstand entsprechen. Zum Beispiel habe ich Anbieter gesehen, die Bounces gesendet haben, die keinerlei Informationen über die ursprünglich zurückgesendete E-Mail enthielten. Meine beste Empfehlung für solche nutzlosen Bounces ist, sie als Spam zu behandeln, auch wenn sie von einem ansonsten legitimen Mailsystem stammen.

Denken Sie daran, dass jeder, der die Liste der E-Mail-Adressen erhalten hat, eine beliebige Adresse als Quelladresse und eine beliebige Adresse als Zieladresse angeben kann. Wenn Sie also keine zusätzlichen Informationen haben, können Sie nicht sicher sein, ob das Leck auch auf Ihrem eigenen System aufgetreten ist. Es kann jeder Ihrer Kontakte sein, der die Liste der Adressen einschließlich Ihrer durchgesickert ist.

Je mehr Sie herausfinden können, welche Adressen in der Liste der durchgesickerten Adressen enthalten sind und welche nicht, desto besser können Sie feststellen, woher sie stammen. Möglicherweise haben Sie dies bereits getan und sind zu dem Schluss gekommen, dass das Leck von Ihrer Kontaktliste herrühren muss, da keiner Ihrer Kontakte alle Adressen gekannt hätte, die als durchgesickert bestätigt wurden.

Mein Ansatz besteht darin, für jeden Kontakt, mit dem ich kommuniziere, meine eigene Domain und eine separate E-Mail-Adresse unter dieser Domain zu verwenden. Ich füge das Datum der ersten Kommunikation mit dem Kontakt in die E-Mail-Adresse ein, sodass es so aussehen könnte, als [email protected]würde ich heute eine E-Mail an einen neuen Kontakt schreiben. Dieser Ansatz ist natürlich nicht jedermanns Sache, aber für mich hilft es sicherlich zu wissen, wer genau eine Liste von E-Mail-Adressen durchgesickert hat, bei denen eine von mir eingetragen ist. Das bedeutet auch, dass ich die einzelnen Adressen so schließen kann, dass nur die Person, die meine Adresse preisgegeben hat, ihre Kontaktinformationen für mich aktualisieren muss.

Ja und nein.

Nichts hindert mich daran, eine E-Mail mit Ihrer Adresse als Absender zu schreiben. Dies unterscheidet sich nicht von normaler Papierpost, bei der ich auch eine Zieladresse auf der Vorderseite des Umschlags und eine (beliebige!) Rücksendeadresse auf der Rückseite des Umschlags anbringen kann.

Sie können jedoch eine digitale Signatur hinzufügen, um zu beweisen, dass Sie der Absender sind (siehe Antwort von PGP und Xen). E-Mail-Anbieter beginnen auch damit, Sicherheitsüberprüfungen für die Kommunikation zwischen E-Mail-Servern durchzuführen. (Siehe TLS - Transport Layer Security). Aber Mail baut auf den alten Protokollen auf, in denen sich alle gut benommen und gut zusammengearbeitet haben. Es war nicht für die große böse Welt konzipiert.

Sie nähern sich dies falsch.

Nach Jahren in der Computerreparaturbranche kann ich Ihnen sagen, dass es sehr unwahrscheinlich ist, dass hier ein "Hacking" stattgefunden hat. Es ist weitaus wahrscheinlicher, dass der Computer Ihrer Frau einen Virus enthält und dieser Virus auf das Thunderbird-Adressbuch zugreift.

Dies ist ziemlich häufig. Normalerweise sendet der Virus die E-Mails direkt vom infizierten Computer. Wenn Sie den Virus entfernen, werden die Spam-E-Mails gestoppt. Sie "fälschen" nicht die E-Mail-Adresse Ihrer Frau, sondern die E-Mail-Adresse Ihrer Frau.

Das Ändern von E-Mail-Adressen, wie von einem anderen Benutzer vorgeschlagen, ist sehr unwahrscheinlich. Insbesondere, wenn Sie sie auf demselben Computer in Thunderbird eingeben.

Laden Sie es herunter und führen Sie es Combofixauf dem Computer Ihrer Frau aus.

http://www.bleepingcomputer.com/download/combofix/

Anweisungen zur Ausführung finden Sie unter: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Laden Sie es im Wesentlichen herunter, führen Sie es als Administrator aus (Rechtsklick -> Als Administrator ausführen), klicken Sie auf OK / Ja / Weiter, um zu den Eingabeaufforderungen zu gelangen, und gehen Sie dann für 30 Minuten bis zu einer Stunde. Es wird für eine lange Zeit ausgeführt und startet den Computer wahrscheinlich neu (stellen Sie sicher, dass Sie sich erneut anmelden, damit er weiter funktioniert).

Sie werden wissen, dass dies erledigt ist, wenn ein Vollbild-Notizblock mit einer Reihe von Texten geöffnet ist. Schließen Sie es, starten Sie es erneut, und Sie haben wahrscheinlich Ihr Problem gelöst ... nur die Zeit wird es zeigen.

Hier gibt es zwei Probleme. Ihre spezielle Frage zur Validierung von E-Mail-Absendern und was kann ich tun, wenn E-Mails in Ihrem Namen gesendet werden?

Leider ist es eine einfache Sache, die From:Adresse in einer E-Mail zu fälschen, und das ist alles, was es braucht. Es gibt zwar Möglichkeiten, E-Mails so einzurichten, dass der Absender überprüft werden kann (z. B. die in anderen Antworten erwähnte Difital-Signatur), sie werden jedoch nicht allgemein verwendet. Wenn die gestohlenen Kontakte Ihrer Frau viele zufällige Verbindungen, einmalige Clients, Mailinglisten usw. enthielten, ist dies ein Nichtstarter: Wenn die Empfänger die gefälschten E-Mails als problematisch empfinden, müssen sie als letztes aufgefordert werden, spezielle Software zu installieren auf ihren Computern.

Das bringt uns zu dem, was sie kann. Gestohlene Adressen werden von Spammern häufig als Deckung verwendet, und die meisten Leute wissen, dass sie offensichtlichen Spam ignorieren, der vorgibt, von einem Bekannten zu stammen. Wenn das alles ist, ist die Lösung eindeutig, dass Ihre Frau eine neue E-Mail erhält, vorzugsweise eine, die leicht von der alten zu unterscheiden ist. Wenn möglich, kombinieren Sie es mit einer anderen Schreibweise des vollständigen Namens, z. B. fügen Sie einen zweiten Vornamen oder eine Berufsbezeichnung hinzu. Benachrichtigen Sie dann alle Personen in ihrer Kontaktliste und verwenden Sie die alte E-Mail nicht mehr, sondern überwachen Sie sie weiterhin auf eingehende Nachrichten von Personen, die das Memo verpasst haben.

Schwieriger wird es, wenn Sie glauben, dass jemand Ihre Frau gezielt angreift, versucht, sich als sie auszugeben, ihren Ruf schädigt usw. In diesem Fall wird eine neue E - Mail vom Angreifer schnell angenommen (da Ihre Frau sie nicht behält) Geheimnis). Aber das ist eine Brücke, die man überqueren kann, falls es jemals dazu kommen sollte (was ich für unwahrscheinlich halte).

Wie Freeman sagte ... lassen Sie alle normalen E-Mail-Korrespondenten wissen, dass alle zukünftigen E-Mails von ihr den Ausdruck haben werden, den er erwähnt hat, oder etwas Ähnliches.

Einige meiner regelmäßigsten Kontakte wissen, dass, wenn ich ihre Nachrichten öffnen soll, sie in der E-Mail etwas sagen müssen, das kein Spammer jemals erfahren würde, zum Beispiel "Ja, Dennis, das ist wirklich ______ und Ihr Hund heißt ______" sag ihnen etwas ähnliches. Ist das ein Ärger? Vielleicht ist es eher ein kleiner Ärger.

Wenn nun jeder SPF einführen würde, wäre das eine große Hilfe.

Es ist vielleicht nicht ideal, aber wenn ich Sie wäre, würde ich mein Konto schließen und ein neues Konto eröffnen. Allen meine neue Adresse mitteilen und die alte auf die schwarze Liste setzen.