Guten Tag,

ich bin aktuell stellvertretender Admin für einen Mailserver meiner Firma. Vor über einer Woche hat ein Spammer angefangen Spams zu verschicken mit einer unserer Mailadressen als Absender und auch den Header mit der Absender IP gefälscht. Doch schaut man sich den Header genauer an sieht, man dass der eigentliche Absender die IP 185.118.164.141 hatte. Unser Sicherheitsdienstleister Leitwerk hat ebenfalls bestätigt, dass die Mails nicht von uns stammen und Nachbesserungen an unserem SPF-Eintrag vorgeschlagen, welche inzwischen gemacht wurden. Diesen Montag hat nun die 2. Spam-Welle begonnen, nun von der IP 23.100.9.31 aus. Trotzdem sind wir erneut auf einigen Blacklists gelandet. Diesmal auf Spamcop, JunkEmailFilter und uceprotect. Besonders uceprotect macht uns riesige Probleme. Ich habe mich mit dieser Frage direkt über deren Kontaktformular an sie wenden wollen, doch meldet es beim Absenden immer es wäre nicht vollständig ausgefüllt. Da scheint ein Script fehlerhaft, oder ich übersehe etwas.

Folgend ein Header einer Spammail der 1. Welle:

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Return-Path: <susi-brewu@SPAMTRAP.INVALID>
X-Original-To: FORWARDER@MANITU-SPAMTRAP.INVALID
Delivered-To: FORWARDER@MANITU-SPAMTRAP.INVALID
Received: from mout-xforward.SPAMTRAP.INVALID (mout-xforward.SPAMTRAP.INVALID [82.165.159.12])
by gollum.manitu.net (Postfix) with ESMTP id 1AC8F79207A
for <FORWARDER@MANITU-SPAMTRAP.INVALID>; Thu, 31 Aug 2017 20:16:19 +0200 (CEST)
Received: from mail2.unsere-domain ([unsere-IP]) by mx-ha.SPAMTRAP.INVALID
(mxgmx017 [212.227.15.9]) with ESMTPS (Nemesis) id 1M7bhv-1dr3Rl0dhN-0083iD
for <susi-brewu@SPAMTRAP.INVALID>; Thu, 31 Aug 2017 20:16:16 +0200
Received: from User (185.118.164.141) by owa.unsere-domain (192.168.20.231)
with Microsoft SMTP Server id 14.2.247.3; Thu, 31 Aug 2017 01:20:01 +0200
X-CheckPoint: {59A7481B-A4-AA0DBE57-C0000000}
X-MAIL-CPID: 30104665C72DC72407D2835D26D562D5
X-Control-Analysis: str=0001.0A0C0206.59A74822.008B,ss=3,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0 ,cl=3,cld=1,fgs=0
Reply-To: <generaleseguross@groupmail.com>
From: <info@unsere-domain>
Subject: Gewinner
Date: Wed, 30 Aug 2017 16:20:01 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0009_01C2A9A6.71C82E9A"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <75913c41-3874-4592-a56a-036ec007c8c4@ex.unsere-domain.local>
To: Undisclosed recipients:;
X-Originating-IP: [185.118.164.141]
Envelope-To: <susi-brewu@SPAMTRAP.INVALID>
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Hier noch ein Header der 2. Welle:

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Received: from
A1-destroyeR.txucwqwcedquzp2bt1attwsbkg.ax.internal.cloudapp.net
(23.100.9.31) by owa.unsere-domain (192.168.20.231) with Microsoft SMTP
Server (TLS) id 14.2.247.3; Mon, 11 Sep 2017 17:10:01 +0200
Content-Type: multipart/mixed; boundary="===============0168328789=="
MIME-Version: 1.0
Subject: OFFIZIELLE...
To: Recipients <info@unsere-domain>
From: <info@unsere-domain>
Date: Mon, 11 Sep 2017 15:09:55 +0000
Reply-To: <generaleseguross@groupmail.com>
Message-ID: <4985ba81-504e-4e06-9dc3-7f76430c2929@ex.unsere-domain.local>
Return-Path: info@unsere-domain
X-Originating-IP: [23.100.9.31]
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Über Hilfe würde ich mich wirklich sehr freuen.

Viele Grüße