Guten Tag,

ich bin aktuell stellvertretender Admin für einen Mailserver meiner Firma. Vor über einer Woche hat ein Spammer angefangen Spams zu verschicken mit einer unserer Mailadressen als Absender und auch den Header mit der Absender IP gefälscht. Doch schaut man sich den Header genauer an sieht, man dass der eigentliche Absender die IP 185.118.164.141 hatte. Unser Sicherheitsdienstleister Leitwerk hat ebenfalls bestätigt, dass die Mails nicht von uns stammen und Nachbesserungen an unserem SPF-Eintrag vorgeschlagen, welche inzwischen gemacht wurden. Diesen Montag hat nun die 2. Spam-Welle begonnen, nun von der IP 23.100.9.31 aus. Trotzdem sind wir erneut auf einigen Blacklists gelandet. Diesmal auf Spamcop, JunkEmailFilter und uceprotect. Besonders uceprotect macht uns riesige Probleme. Ich habe mich mit dieser Frage direkt über deren Kontaktformular an sie wenden wollen, doch meldet es beim Absenden immer es wäre nicht vollständig ausgefüllt. Da scheint ein Script fehlerhaft, oder ich übersehe etwas.

Folgend ein Header einer Spammail der 1. Welle:

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Return-Path: <susi-brewu [at] SPAMTRAP.INVALID>
X-Original-To: FORWARDER [at] MANITU-SPAMTRAP.INVALID
Delivered-To: poor [at] spamvictim.tld
Received: from mout-xforward.SPAMTRAP.INVALID: [ID filtered]
by gollum.manitu.net (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 31 Aug 2017 xx:xx:xx +0200 (CEST)
Received: from mail2.unsere-domain ([unsere-IP]) by mx-ha.SPAMTRAP.INVALID
(mxgmx017 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 31 Aug 2017 xx:xx:xx +0200
Received: from User (185.118.164.141) by owa.unsere-domain (192.168.20.231)
with Microsoft SMTP Server ID: [ID filtered]
X-CheckPoint: {59A7481B-A4-AA0DBE57-C0000000}
X-MAIL-CPID: [ID filtered]
X-Control-Analysis: str=0001.0A0C0206.59A74822.008B,ss=3,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0 ,cl=3,cld=1,fgs=0
Reply-To: <generaleseguross [at] groupmail.com>
From: <info [at] unsere-domain>
Subject: Gewinner
Date: Wed, 30 Aug 2017 xx:xx:xx -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0009_01C2A9A6.71C82E9A"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: [ID filtered]
To: Undisclosed recipients:;
X-Originating-IP: [185.118.164.141]
Envelope-To: <poor [at] spamvictim.tld>
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Hier noch ein Header der 2. Welle:

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Received: from
A1-destroyeR.txucwqwcedquzp2bt1attwsbkg.ax.internal.cloudapp.net
(23.100.9.31) by owa.unsere-domain (192.168.20.231) with Microsoft SMTP
Server (TLS) ID: [ID filtered]
Content-Type: multipart/mixed; boundary="===============0168328789=="
MIME-Version: 1.0
Subject: OFFIZIELLE...
To: Recipients <info [at] unsere-domain>
From: <info [at] unsere-domain>
Date: Mon, 11 Sep 2017 xx:xx:xx +0000
Reply-To: <generaleseguross [at] groupmail.com>
Message-ID: [ID filtered]
Return-Path: info [at] unsere-domain
X-Originating-IP: [23.100.9.31]
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Über Hilfe würde ich mich wirklich sehr freuen.

Viele Grüße

Ich will es mal nett formulieren: Sucht euch einen Dienstleister, der Ahnung hat.


Received: from User (185.118.164.141) by owa.unsere-domain (192.168.20.231)
with Microsoft SMTP Server ID: [ID filtered]

Hier sieht man, dass bei der Konfiguration einiges im Argen liegt.
1) Korrekt ist es wohl, dass der "Absender" des Spams eben User (185.118.164.141) ist. Allerdings nimmt euer Mailserver die Mails an und leitet diese weiter. Ihr seID: [ID filtered]
2) by owa.unsere-domain (192.168.20.231) - Eine interne IP-Adresse kann dort stehen, wenn auch der Rest interne Adressen sind. Wenn in der Zeile eine Mail von extern angenommen wird, sollte an dieser Stelle auch die externe Mail-Adresse des Servers stehen (aber das ist Kleinkram)

Ich bin kein Outlook/Exchange-Fachmann, aber ihr solltet den Account von "User" sperren bzw. das Kennwort zurücksetzen. Und damit sollte sich das erledigt haben.

Interessante Theorie, aber einen Benutzer User gibt es bei uns nicht.

Schöne Märchen hier - man kann Absender IPs nicht "spoofen".... Und bei der geballten Kompetenz von 'Admin' & Dienstleister wundert mich der Spam nicht....

Offenes Relay bedeutet, mal untechnisch gesprochen, dass _jeder_ über euren Mailserver Mails versenden kann. Einen User "user" braucht es hingegen gerade eben nicht...
Schau dir mal den SMTP-Test von mxtoolbox an und gebe dort mal testweise deinen Mailserver ein: https://mxtoolbox.com/diagnostic.aspx

SMTP-Test:
SMTP Open Relay OK - Not an open relay.

Habe auch im Exchange Verfolgungsprotokoll-Explorer geschaut, es gingen keine zu den Spamnachrichten passenden Mails raus.

Received: from
A1-destroyeR.txucwqwcedquzp2bt1attwsbkg.ax.internal.cloudapp.net
(23.100.9.31) by owa.unsere-domain (192.168.20.231) with Microsoft SMTP
Server (TLS) ID: [ID filtered]

So kann das terchnisch kaum stimmen, oder hast Du die echte(n) erste(n) Received-Zeile(n) des Empfängers einer solchen Mail weggelassen?
Wenn die ersten Zeilen fehlen führst Du die Leser hier doch nur auf den Holzweg, anonymisieren ist ja gut aber weglassen macht das Verständnis unmöglich.

Fakt ist:

Entweder kamen die Mails über den Mailserver des Erstellers (wahlweise als Open Relay oder einen Nutzer, ggf. auch ein Mailskript) oder die Header wurden nicht sinnwahrend gekürzt/anonymisiert.

Es macht wirklich den Eindruck, dass euer Mailsystem an irgendeiner Stelle undicht ist. Auch wenn ihr kein simples offenes Relay habt, gibt es viele andere Möglichkeiten, z.B. gehackte Passwörter usw. Ich kenne mich mit Exchange nicht aus, daher kann ich nicht wirklich begründet vermuten, was da noch alles sein könnte, bei den von mir administrierten Postfix-Systemen sind es entweder gephishte Mail-Accounts oder unsichere PHP-Skripte, die ein mehr oder weniger ahnungsloser "Webmaster" installiert hat, wenn mal Spam versendet wird. Aber das kann ich in den Logs alles zuverlässig finden.

Auf jeden Fall landen IP-Adressen in aller Regel nur dann in Blacklists, wenn Spam-Mails wirklich direkt von diesen Adressen kam. Da ihr in mehrere Blacklists geraten seit, die sicher nicht irgendwelche Adressen aus möglicherweise gefälschten Headern, sondern nur die echte Client-Adresse eintragen, kann man mit extrem hoher Sicherheit sagen, dass der Spam über euren Server gegangen ist. Nicht-wahrhaben-wollen hilft da nicht.

Ich weiß nicht, was die Leute von eurem Sicherheitsdienstleister genau untersucht haben, haben sie nur Logfiles angeschaut oder auch das Netzwerk auf merkwürdige ausgehende Connections untersucht?

hoppala

Danke für eure Hinweise!
Hat sich als User-"ich kann mir komplizierte Passwörter nicht merken"-Problem rausgestellt -.-

Ggf. den User rekalibrieren (https://www.getdigital.de/LART-Netzwerkpeitsche-CAT5-o-Nine-Tails.html).
Die Feldspulen neigen bei manchen Anwendern zur Verschiebung.

Den Tipp, werde ich ganz besonders beherzigen :goodgame: