Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13

Thema: IP und Absender spoofing führt zu bounce mails und blacklisting

  1. #1
    Neues Mitglied
    Registriert seit
    12.09.2017
    Beiträge
    6

    Standard IP und Absender spoofing führt zu bounce mails und blacklisting

    Guten Tag,

    ich bin aktuell stellvertretender Admin für einen Mailserver meiner Firma. Vor über einer Woche hat ein Spammer angefangen Spams zu verschicken mit einer unserer Mailadressen als Absender und auch den Header mit der Absender IP gefälscht. Doch schaut man sich den Header genauer an sieht, man dass der eigentliche Absender die IP 185.118.164.141 hatte. Unser Sicherheitsdienstleister Leitwerk hat ebenfalls bestätigt, dass die Mails nicht von uns stammen und Nachbesserungen an unserem SPF-Eintrag vorgeschlagen, welche inzwischen gemacht wurden. Diesen Montag hat nun die 2. Spam-Welle begonnen, nun von der IP 23.100.9.31 aus. Trotzdem sind wir erneut auf einigen Blacklists gelandet. Diesmal auf Spamcop, JunkEmailFilter und uceprotect. Besonders uceprotect macht uns riesige Probleme. Ich habe mich mit dieser Frage direkt über deren Kontaktformular an sie wenden wollen, doch meldet es beim Absenden immer es wäre nicht vollständig ausgefüllt. Da scheint ein Script fehlerhaft, oder ich übersehe etwas.

    Folgend ein Header einer Spammail der 1. Welle:

    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
    Return-Path: <susi-brewu@SPAMTRAP.INVALID>
    X-Original-To: [Link nur für registrierte Mitglieder sichtbar. ]D
    Delivered-To: [Link nur für registrierte Mitglieder sichtbar. ]D
    Received: from mout-xforward.SPAMTRAP.INVALID (mout-xforward.SPAMTRAP.INVALID [82.165.159.12])
    by gollum.manitu.net (Postfix) with ESMTP id 1AC8F79207A
    for <FORWARDER@MANITU-SPAMTRAP.INVALID>; Thu, 31 Aug 2017 20:16:19 +0200 (CEST)
    Received: from mail2.unsere-domain ([unsere-IP]) by mx-ha.SPAMTRAP.INVALID
    (mxgmx017 [212.227.15.9]) with ESMTPS (Nemesis) id 1M7bhv-1dr3Rl0dhN-0083iD
    for <susi-brewu@SPAMTRAP.INVALID>; Thu, 31 Aug 2017 20:16:16 +0200
    Received: from User (185.118.164.141) by owa.unsere-domain (192.168.20.231)
    with Microsoft SMTP Server id 14.2.247.3; Thu, 31 Aug 2017 01:20:01 +0200
    X-CheckPoint: {59A7481B-A4-AA0DBE57-C0000000}
    X-MAIL-CPID: 30104665C72DC72407D2835D26D562D5
    X-Control-Analysis: str=0001.0A0C0206.59A74822.008B,ss=3,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0 ,cl=3,cld=1,fgs=0
    Reply-To: < [Link nur für registrierte Mitglieder sichtbar. ]>
    From: <info@unsere-domain>
    Subject: Gewinner
    Date: Wed, 30 Aug 2017 16:20:01 -0700
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_0009_01C2A9A6.71C82E9A"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
    Message-ID: <75913c41-3874-4592-a56a-036ec007c8c4@ex.unsere-domain.local>
    To: Undisclosed recipients:;
    X-Originating-IP: [185.118.164.141]
    Envelope-To: <susi-brewu@SPAMTRAP.INVALID>
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

    Hier noch ein Header der 2. Welle:

    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
    Received: from
    A1-destroyeR.txucwqwcedquzp2bt1attwsbkg.ax.internal.cloudapp.net
    (23.100.9.31) by owa.unsere-domain (192.168.20.231) with Microsoft SMTP
    Server (TLS) id 14.2.247.3; Mon, 11 Sep 2017 17:10:01 +0200
    Content-Type: multipart/mixed; boundary="===============0168328789=="
    MIME-Version: 1.0
    Subject: OFFIZIELLE...
    To: Recipients <info@unsere-domain>
    From: <info@unsere-domain>
    Date: Mon, 11 Sep 2017 15:09:55 +0000
    Reply-To: < [Link nur für registrierte Mitglieder sichtbar. ]>
    Message-ID: <4985ba81-504e-4e06-9dc3-7f76430c2929@ex.unsere-domain.local>
    Return-Path: info@unsere-domain
    X-Originating-IP: [23.100.9.31]
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

    Über Hilfe würde ich mich wirklich sehr freuen.

    Viele Grüße

  2. #2
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.492

    Standard

    Ich will es mal nett formulieren: Sucht euch einen Dienstleister, der Ahnung hat.

    Received: from User (185.118.164.141) by owa.unsere-domain (192.168.20.231)
    with Microsoft SMTP Server id 14.2.247.3; Thu, 31 Aug 2017 01:20:01 +0200
    Hier sieht man, dass bei der Konfiguration einiges im Argen liegt.
    1) Korrekt ist es wohl, dass der "Absender" des Spams eben User (185.118.164.141) ist. Allerdings nimmt euer Mailserver die Mails an und leitet diese weiter. Ihr seid also zwar nicht der Absender der Mails, aber betreibt einen offenen Relay, über den scheinbar gespammt werden kann. (Oder einer eurer Nutzer spammt einfach)
    2) by owa.unsere-domain (192.168.20.231) - Eine interne IP-Adresse kann dort stehen, wenn auch der Rest interne Adressen sind. Wenn in der Zeile eine Mail von extern angenommen wird, sollte an dieser Stelle auch die externe Mail-Adresse des Servers stehen (aber das ist Kleinkram)

    Ich bin kein Outlook/Exchange-Fachmann, aber ihr solltet den Account von "User" sperren bzw. das Kennwort zurücksetzen. Und damit sollte sich das erledigt haben.
    Dieser Beitrag wurde 3.956.584 mal editiert, zum letzten Mal von TillP: Morgen 22:42

  3. #3
    Neues Mitglied
    Registriert seit
    12.09.2017
    Beiträge
    6

    Standard

    Interessante Theorie, aber einen Benutzer User gibt es bei uns nicht.

  4. #4
    Mitglied Avatar von TheDoctor
    Registriert seit
    26.09.2009
    Ort
    bei mich
    Beiträge
    443

    Standard

    Schöne Märchen hier - man kann Absender IPs nicht "spoofen".... Und bei der geballten Kompetenz von 'Admin' & Dienstleister wundert mich der Spam nicht....
    „Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.“ (Albert Einstein)

  5. #5
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Offenes Relay bedeutet, mal untechnisch gesprochen, dass _jeder_ über euren Mailserver Mails versenden kann. Einen User "user" braucht es hingegen gerade eben nicht...
    Schau dir mal den SMTP-Test von mxtoolbox an und gebe dort mal testweise deinen Mailserver ein: [Link nur für registrierte Mitglieder sichtbar. ]
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  6. #6
    Neues Mitglied
    Registriert seit
    12.09.2017
    Beiträge
    6

    Standard

    SMTP-Test:
    SMTP Open Relay OK - Not an open relay.

  7. #7
    Neues Mitglied
    Registriert seit
    12.09.2017
    Beiträge
    6

    Standard

    Habe auch im Exchange Verfolgungsprotokoll-Explorer geschaut, es gingen keine zu den Spamnachrichten passenden Mails raus.

  8. #8
    Mitglied
    Registriert seit
    02.11.2010
    Ort
    Lübeck
    Beiträge
    324

    Standard

    Received: from
    A1-destroyeR.txucwqwcedquzp2bt1attwsbkg.ax.internal.cloudapp.net
    (23.100.9.31) by owa.unsere-domain (192.168.20.231) with Microsoft SMTP
    Server (TLS) id 14.2.247.3; Mon, 11 Sep 2017 17:10:01 +0200
    So kann das terchnisch kaum stimmen, oder hast Du die echte(n) erste(n) Received-Zeile(n) des Empfängers einer solchen Mail weggelassen?
    Wenn die ersten Zeilen fehlen führst Du die Leser hier doch nur auf den Holzweg, anonymisieren ist ja gut aber weglassen macht das Verständnis unmöglich.
    Oo:..

  9. #9
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.492

    Standard

    Fakt ist:

    Entweder kamen die Mails über den Mailserver des Erstellers (wahlweise als Open Relay oder einen Nutzer, ggf. auch ein Mailskript) oder die Header wurden nicht sinnwahrend gekürzt/anonymisiert.
    Dieser Beitrag wurde 3.956.584 mal editiert, zum letzten Mal von TillP: Morgen 22:42

  10. #10
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    595

    Standard

    Es macht wirklich den Eindruck, dass euer Mailsystem an irgendeiner Stelle undicht ist. Auch wenn ihr kein simples offenes Relay habt, gibt es viele andere Möglichkeiten, z.B. gehackte Passwörter usw. Ich kenne mich mit Exchange nicht aus, daher kann ich nicht wirklich begründet vermuten, was da noch alles sein könnte, bei den von mir administrierten Postfix-Systemen sind es entweder gephishte Mail-Accounts oder unsichere PHP-Skripte, die ein mehr oder weniger ahnungsloser "Webmaster" installiert hat, wenn mal Spam versendet wird. Aber das kann ich in den Logs alles zuverlässig finden.

    Auf jeden Fall landen IP-Adressen in aller Regel nur dann in Blacklists, wenn Spam-Mails wirklich direkt von diesen Adressen kam. Da ihr in mehrere Blacklists geraten seit, die sicher nicht irgendwelche Adressen aus möglicherweise gefälschten Headern, sondern nur die echte Client-Adresse eintragen, kann man mit extrem hoher Sicherheit sagen, dass der Spam über euren Server gegangen ist. Nicht-wahrhaben-wollen hilft da nicht.

    Ich weiß nicht, was die Leute von eurem Sicherheitsdienstleister genau untersucht haben, haben sie nur Logfiles angeschaut oder auch das Netzwerk auf merkwürdige ausgehende Connections untersucht?

    hoppala

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen