Mailadressen werden missbraucht um Spam / Viren / Trojaner zu verschicken

[RobDust 11]

Moin,

 

irgendwer will uns was böses, da gehen Mails mit Anhängen an unsere Kunden in Form von:

 

-------------------------
Betreff:

Unsere Rechnung

 

Guten Abend,

der letzte wie besprochen die Rechnung für den S&P Index und die Akquise. Ich hoffe, ihr hattet einen schönen, sonnigen Sonntag!

m.f.G

*echter Mitarbeitername*

---Tel. 001212542 mFax  12315531351351e-Mail: echterMitarbeitername@unsereDomain.de
-------------------------

 

Im vom EMailAdressFeld in der Mail: irgendeinName@unbekannteDomain.bo

 

uns im Namensfeld echterMitarbeitername@unsereDomain.de

 

Das suggeriert natürlich in dem Moment eine Mai von uns...........

Wie können wir uns dagegen schützen?
Heute sind wieder zahlreiche Anrufe eingegangen.

 

Wir haben zum Schutz (W10 Defender, Malwarebytes und Eset online Scanner und den Virenschutz bei 1und1 aktiv)
Keine Funde. + Superkomplizierte E-Mail Passworte

Ich bin mir 100% sicher, dass das Fake Mails sind..., Einfach mit nur unserem Namen davor und nicht über unser Poppostfach bei 1und1 gesendet (erkennt man ja auch im Header, irgendeinName@unbekannteDomain.bo)

 

Hilfe

[testperson 1.680]

Hi,

 

da dürfte auf eurer Seite nur das Setzen eines SPF (und ggfs. DMARC / DKIM) Records helfen. Das setzt aber auch vorraus, dass das Gegenüber diese auch prüft.

 

Gruß

Jan

[v-rtc 88]

Hallo,

 

das ist natürlich ziemlich b***d. Kannst Du mehr zum Mailsystem erzählen? So wie ich es sehe wird es gehosted?

Grüße

[gelöscht 0]

vor 2 Minuten schrieb testperson:

Hi,

 

da dürfte auf eurer Seite nur das Setzen eines SPF (und ggfs. DMARC / DKIM) Records helfen. Das setzt aber auch vorraus, dass das Gegenüber diese auch prüft.

 

Gruß

Jan

So ist es. Dürfte eher gar nichts mit eurem Mailsystem bzw. euren Passwörtern zu tun haben.

 

ASR

[NorbertFe 2.035]

Das hilft nicht. Die aktuellen Spams kommen nicht mit den eigenen Domains usw. rein, sondern haben als Envelope mail from eine vollkommen andere Adresse.

bearbeitet 14. November 2018 von NorbertFe

[RobDust 11]

So hab mal eine rausgefischt, diese ging angeblich von einer Kollegin zur nächsten

Received: from server.iguruhost.com ([75.98.173.72]) by mx.kundenserver.de
 (mxeue009 [212.227.15.41]) with ESMTPS (Nemesis) id 1MCaVH-XXXX-XXXX
 for <unsereMitarbeiterin@unsereDomain.de>; Wed, 14 Nov 2018 12:11:11 +0100
Received: from [165.49.37.231] (port=62302 helo=10.6.0.117)    by
 server.iguruhost.com with esmtpsa (TLSv1.2:ECDHE-RSA-XXX-XXX-SHA384:256)
    (Exim 4.89_1)    (envelope-from <Mail@gehacktesPostfachausdemAusland.com>)    id
 1gMt4e-XXXX-RR    for unsereMitarbeiterin@unsereDomain; Wed, 14 Nov 2018 07:11:10 -0400
Received: from SERVER1 (127.0.0.1) by SERVER1.unsereDomain.local (127.0.0.1) with
 Microsoft SMTP Server id 14.1.438.0; Wed, 14 Nov 2018 12:16:15 +0100
Received: by [SERVER1.unsereDomain.local (Microsoft Connector for POP3 Mailboxes)]
 id <"{XXXXX-XXXX-XXXX-XXXXX-XXXX}"@unsereDomain.local>; Wed, 14 Nov 2018
 12:16:15 +0100
From: "Name der Kollegin" <unsereAndereMitarbeitering@unsereDomain.de>
To: "unsereMitarbeiterin" <unsereMitarbeiterin@unsereDomain.de>
Subject: [SPAM?] Rechnung  CA824564-14 vom 14 November

 

----

Es wird dort ein Exchange eingesetzt, welcher via pop Connector abholt, wie man oben erkennen kann.
Die Postfächer liegen bei 1und1. Wie @NorbertFe schon sagt, envelope-from deutet daraufhin, dass es nicht von uns kommen kann???

[NorbertFe 2.035]

Wer freiwillig nen POPConnector einsetzt, kann ja schon froh sein, wenn er die INfo überhaupt erhält. Und wie man sieht ist ein POP-Konto beim Provider noch lange kein Grund keinen Spam zu erhalten. ;) Und ja es ist wie ich sage, denn ich seh den Kram aktuell bei sehr vielen Kunden im Log. :)

[RobDust 11]

ist auch ein kunde... wenn ich von "uns" rede  Und ja andere Kunden haben das auch, dieser aber sehr extrem, so dass ich mir da mal Gedanken machen möchte/muss!

 

den pop connector können wir gerne in nem anderem Thread "auseinander nehmen" würd gern hier bei der Sache bleiben.

bearbeitet 14. November 2018 von RobDust

[Nobbyaushb 1.471]

Um beim Thema zu bleiben - habt ihr eine Webseite, auf der die Mailadressen der Kollegen ggf. im Klartext zu lesen sind?

2te Idee - jemand hat eure Mailadressen verkauft...

[RobDust 11]

no  waren auch nie drauf... Aber guter Hinweis, haben welche wo die Adressen tatsächlich drauf sind.

 

Mailadressen verkauft... kann ich weder bejahen noch beneinen....

[NorbertFe 2.035]

Nein, das ist garantiert nicht die Webseite. Es macht auch wenig Sinn, sich darüber den Kopf zu zerbrechen, denn Fakt ist, die Mailadressen sind unterwegs, genauso wie eben bekannte "Verknüpfungen". Wie genau die zustande kommen oder kamen, kann man als der Empfänger von diesem Mist in den allerwenigsten Fällen plausibel nachvollziehen. Dazu gibts genügend Möglichkeiten, die wenigsten damit dürften mit gezielter Ausspähung zu tun haben.

 

Bye

Norbert

 

PS: Ja POPConnectoren sind vielleicht ein anderes Thema, aber gerade bei Spam sind sie im Allgemeinen eben ein großes Hindernis, welches nicht zu weniger Spam führt. Das war der Grund, warum ich das mal angeführt hatte.

[testperson 1.680]

Am 14.11.2018 um 12:48 schrieb NorbertFe:

Das hilft nicht. Die aktuellen Spams kommen nicht mit den eigenen Domains usw. rein, sondern haben als Envelope mail from eine vollkommen andere Adresse.

Genau da würde doch DMARC helfen.

 

RFC5321 (Envelope Mail From) -> SPF

RFC5322 (From) -> DMARC

 

Aus https://technet.microsoft.com/de-de/library/mt734386(v=exchg.150).aspx:

Zitat

In diesem Transkript lauten die Absenderadressen wie folgt:

• „E-Mail von“-Adresse (5321.MailFrom): phish@phishing.contoso.com

• „Von“-Adresse (5322.From): security@woodgrovebank.com

Wenn Sie SPF konfiguriert haben, führt der empfangende Server eine Prüfung der Absenderadresse „phish@phishing.contoso.com“ durch. Wenn die Nachricht aus einer gültigen Quelle der Domäne „phishing.contoso.com“ stammt, besteht sie die SPF-Prüfung. Da der E-Mail-Client nur die Absenderadresse anzeigt, sieht der Benutzer, dass diese Nachricht von „security@woodgrovebank.com“ stammt. Wenn nur SPF verwendet wird, wird die Gültigkeit von „woodgrovebank.com“ nicht authentifiziert.

 

Wenn Sie DMARC verwenden, führt der empfangende Server auch eine Prüfung der Absenderadresse durch. Wenn im obigen Beispiel ein DMARC-TXT-Eintrag für „woodgrovebank.com“ vorhanden ist, besteht die Absenderadresse die Prüfung nicht.

 

[NorbertFe 2.035]

Ja, sicher aber selbst spf ist ja schon nicht sooooo aktiv in der Verbreitung. Da wird das mit dmarc sicher noch länger dauern. ;) und dann müssen die Empfänger eben auch noch selbst ein Interesse am Schutz ihrer Domain haben. Sie haben aber meist nur ein Interesse daran, keinen Spam von anderen zu bekommen. ;)

 

bye

norbert