Ergebnis 1 bis 10 von 13

Thema: IP und Absender spoofing führt zu bounce mails und blacklisting

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Neues Mitglied
    Registriert seit
    12.09.2017
    Beiträge
    6

    Standard IP und Absender spoofing führt zu bounce mails und blacklisting

    Guten Tag,

    ich bin aktuell stellvertretender Admin für einen Mailserver meiner Firma. Vor über einer Woche hat ein Spammer angefangen Spams zu verschicken mit einer unserer Mailadressen als Absender und auch den Header mit der Absender IP gefälscht. Doch schaut man sich den Header genauer an sieht, man dass der eigentliche Absender die IP 185.118.164.141 hatte. Unser Sicherheitsdienstleister Leitwerk hat ebenfalls bestätigt, dass die Mails nicht von uns stammen und Nachbesserungen an unserem SPF-Eintrag vorgeschlagen, welche inzwischen gemacht wurden. Diesen Montag hat nun die 2. Spam-Welle begonnen, nun von der IP 23.100.9.31 aus. Trotzdem sind wir erneut auf einigen Blacklists gelandet. Diesmal auf Spamcop, JunkEmailFilter und uceprotect. Besonders uceprotect macht uns riesige Probleme. Ich habe mich mit dieser Frage direkt über deren Kontaktformular an sie wenden wollen, doch meldet es beim Absenden immer es wäre nicht vollständig ausgefüllt. Da scheint ein Script fehlerhaft, oder ich übersehe etwas.

    Folgend ein Header einer Spammail der 1. Welle:

    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
    Return-Path: <susi-brewu@SPAMTRAP.INVALID>
    X-Original-To: FORWARDER@MANITU-SPAMTRAP.INVALID
    Delivered-To: FORWARDER@MANITU-SPAMTRAP.INVALID
    Received: from mout-xforward.SPAMTRAP.INVALID (mout-xforward.SPAMTRAP.INVALID [82.165.159.12])
    by gollum.manitu.net (Postfix) with ESMTP id 1AC8F79207A
    for <FORWARDER@MANITU-SPAMTRAP.INVALID>; Thu, 31 Aug 2017 20:16:19 +0200 (CEST)
    Received: from mail2.unsere-domain ([unsere-IP]) by mx-ha.SPAMTRAP.INVALID
    (mxgmx017 [212.227.15.9]) with ESMTPS (Nemesis) id 1M7bhv-1dr3Rl0dhN-0083iD
    for <susi-brewu@SPAMTRAP.INVALID>; Thu, 31 Aug 2017 20:16:16 +0200
    Received: from User (185.118.164.141) by owa.unsere-domain (192.168.20.231)
    with Microsoft SMTP Server id 14.2.247.3; Thu, 31 Aug 2017 01:20:01 +0200
    X-CheckPoint: {59A7481B-A4-AA0DBE57-C0000000}
    X-MAIL-CPID: 30104665C72DC72407D2835D26D562D5
    X-Control-Analysis: str=0001.0A0C0206.59A74822.008B,ss=3,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0 ,cl=3,cld=1,fgs=0
    Reply-To: <generaleseguross@groupmail.com>
    From: <info@unsere-domain>
    Subject: Gewinner
    Date: Wed, 30 Aug 2017 16:20:01 -0700
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_0009_01C2A9A6.71C82E9A"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
    Message-ID: <75913c41-3874-4592-a56a-036ec007c8c4@ex.unsere-domain.local>
    To: Undisclosed recipients:;
    X-Originating-IP: [185.118.164.141]
    Envelope-To: <susi-brewu@SPAMTRAP.INVALID>
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

    Hier noch ein Header der 2. Welle:

    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
    Received: from
    A1-destroyeR.txucwqwcedquzp2bt1attwsbkg.ax.internal.cloudapp.net
    (23.100.9.31) by owa.unsere-domain (192.168.20.231) with Microsoft SMTP
    Server (TLS) id 14.2.247.3; Mon, 11 Sep 2017 17:10:01 +0200
    Content-Type: multipart/mixed; boundary="===============0168328789=="
    MIME-Version: 1.0
    Subject: OFFIZIELLE...
    To: Recipients <info@unsere-domain>
    From: <info@unsere-domain>
    Date: Mon, 11 Sep 2017 15:09:55 +0000
    Reply-To: <generaleseguross@groupmail.com>
    Message-ID: <4985ba81-504e-4e06-9dc3-7f76430c2929@ex.unsere-domain.local>
    Return-Path: info@unsere-domain
    X-Originating-IP: [23.100.9.31]
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

    Über Hilfe würde ich mich wirklich sehr freuen.

    Viele Grüße

  2. #2
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.469

    Standard

    Ich will es mal nett formulieren: Sucht euch einen Dienstleister, der Ahnung hat.

    Received: from User (185.118.164.141) by owa.unsere-domain (192.168.20.231)
    with Microsoft SMTP Server id 14.2.247.3; Thu, 31 Aug 2017 01:20:01 +0200
    Hier sieht man, dass bei der Konfiguration einiges im Argen liegt.
    1) Korrekt ist es wohl, dass der "Absender" des Spams eben User (185.118.164.141) ist. Allerdings nimmt euer Mailserver die Mails an und leitet diese weiter. Ihr seid also zwar nicht der Absender der Mails, aber betreibt einen offenen Relay, über den scheinbar gespammt werden kann. (Oder einer eurer Nutzer spammt einfach)
    2) by owa.unsere-domain (192.168.20.231) - Eine interne IP-Adresse kann dort stehen, wenn auch der Rest interne Adressen sind. Wenn in der Zeile eine Mail von extern angenommen wird, sollte an dieser Stelle auch die externe Mail-Adresse des Servers stehen (aber das ist Kleinkram)

    Ich bin kein Outlook/Exchange-Fachmann, aber ihr solltet den Account von "User" sperren bzw. das Kennwort zurücksetzen. Und damit sollte sich das erledigt haben.
    Dieser Beitrag wurde 3.956.584 mal editiert, zum letzten Mal von TillP: Morgen 22:42

  3. #3
    Neues Mitglied
    Registriert seit
    12.09.2017
    Beiträge
    6

    Standard

    Interessante Theorie, aber einen Benutzer User gibt es bei uns nicht.

  4. #4
    Mitglied Avatar von TheDoctor
    Registriert seit
    26.09.2009
    Ort
    bei mich
    Beiträge
    443

    Standard

    Schöne Märchen hier - man kann Absender IPs nicht "spoofen".... Und bei der geballten Kompetenz von 'Admin' & Dienstleister wundert mich der Spam nicht....
    „Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.“ (Albert Einstein)

  5. #5
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.674

    Standard

    Offenes Relay bedeutet, mal untechnisch gesprochen, dass _jeder_ über euren Mailserver Mails versenden kann. Einen User "user" braucht es hingegen gerade eben nicht...
    Schau dir mal den SMTP-Test von mxtoolbox an und gebe dort mal testweise deinen Mailserver ein: https://mxtoolbox.com/diagnostic.aspx
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  6. #6
    Neues Mitglied
    Registriert seit
    12.09.2017
    Beiträge
    6

    Standard

    SMTP-Test:
    SMTP Open Relay OK - Not an open relay.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen