Spamemails mit original Absender werden immer mehr. Wie kann man diese E-Mails ab besten filtern?

[magicpeter 11]

Moin,

wir kommen immer mehr E-Mails zugestellt, dessen Absender genauso aussehen wir unsere echte Absenderadresse.

 

Gibt es eine Möglichkeit diese gefälschten Absenderemails abzufangen und zu löschen?

[cj_berlin 1.315]

Wie meinst Du "genauso aussehen" genau? Falsche SMTP-Adresse aber "richtiger" Anzeigename?

[mikro 67]

Moin,

 

ein paar mehr Information wären klasse.

Gruß mikro

[magicpeter 11]

vor 35 Minuten schrieb cj_berlin:

Wie meinst Du "genauso aussehen" genau? Falsche SMTP-Adresse aber "richtiger" Anzeigename?

Ja, genau. Die die SMTP-Adresse und der NAME sind korrekt, aber die E-Mail ist nicht von unserem Server verschickt worden.
Unsere E-Mail Adressen sind alle auf der Homepage im Internet zusehen.

vor 30 Minuten schrieb mikro:

Moin,

 

ein paar mehr Information wären klasse.

Gruß mikro

Was genau brauchst du?

Wir haben einen Eingen Exchange 2019 Server CU11. Alle unsere Mitarbeiter nutzen Outlook 2019 auf einen Windows 10 PC.

[cj_berlin 1.315]

OK, wenn die SMTP-Domain wirklich eure ist, dann müsstet ihr euren SPF Record mal auf Vordermann bringen  

[magicpeter 11]

vor 3 Minuten schrieb cj_berlin:

OK, wenn die SMTP-Domain wirklich eure ist, dann müsstet ihr euren SPF Record mal auf Vordermann bringen  

OK, danke

Jetzt bekommen wir auf immer wieder :
 

Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen:

p.muellerk@domain.com
Die eingegebene E-Mail-Adresse konnte nicht gefunden werden. Überprüfen Sie die E-Mail-Adresse des Empfängers, und versuchen Sie, die Nachricht erneut zu senden. Wenn das Problem weiterhin besteht, wenden Sie sich an Ihren E-Mail-Administrator.

 

Da wurde einfach an die richtige E-Mail Adresse ein k angefügt. 

 

 

[cj_berlin 1.315]

Wie gesagt, wenn euer Mail-Gateway den SPF Record prüft und die Mails von falschen Servern auch wirklich verwirft, dürfte es  die Mails in Exchange gar nicht geben.

 

[magicpeter 11]

Vielleicht hilft uns das ja weiter:

 

Diagnoseinformationen für Administratoren:

Generierender Server: MAILSERVERXXXX.xxxxxx.local

c.muellerk@xxxxxx.com
Remote Server returned '550 5.1.10 RESOLVER.ADR.RecipientNotFound; Recipient not found by SMTP address lookup'

Ursprüngliche Nachrichtenköpfe:

Received: from MAILSERVERXXXX.xxxxxx.local (192.168.30.xxx) by

MAILSERVERXXXX.xxxxxx.local (192.168.30.xxx) with Microsoft SMTP Server

(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id

15.2.986.14; Wed, 9 Mar 2022 10:41:10 +0100

Received: from smtprelay.b.hostedemail.com (64.98.42.63) by

MAILSERVERXXXX.xxxxxx.local (192.168.30.xxx) with Microsoft SMTP Server

(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.986.14

via Frontend Transport; Wed, 9 Mar 2022 10:41:10 +0100

X-Received: from ip-109-090-097-018.um36.pools.vodafone-ip.de by GP-A592C96B15D6.LAN31B32AB7.NET (RS Unified Firewall); Wed, 09 Mar 2022 09:41:10 -0000

Received: from omf30.b.hostedemail.com (10.5.19.248.rfc1918.com [10.5.19.248])

by smtprelay04.b.hostedemail.com (Postfix) with ESMTP id F18EA1003CD16

for <c.muellerk@xxxxxx.com>; Wed,  9 Mar 2022 09:41:08 +0000 (UTC)

Received: from [HIDDEN] (Authenticated sender: geneed@netins.net) by omf30.b.hostedemail.com (Postfix) with ESMTPA id 4DBF75DD2

for <c.muellerk@xxxxxx.com>; Wed,  9 Mar 2022 09:41:08 +0000 (UTC)

Date: Wed, 9 Mar 2022 10:41:07 +0100

To: <c.muellerk@xxxxxx.com>

From: =?iso-8859-1?Q?Oliver_MAIER= <o.maier@xxxxxx.com>

Reply-To: Oliver Maier <m2022blessings@gmail.com>

Subject: Bitte Reagieren Schnell.

Message-ID: <e26daa9b45fec8ecfb934b4addf721f4@www.beiarlaks.no>

X-Priority: 3

X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version ]

MIME-Version: 1.0

Content-Transfer-Encoding: 8bit

Content-Type: text/plain; charset="iso-8859-1"

X-Rspamd-Queue-Id: 4DBF75DD2

X-Spam-Status: No, score=8.41

X-Stat-Signature: p66jetrcba4k8iy5proq6ay4nffghs1a

X-Rspamd-Server: rspamout01

X-Session-Marker: 67656E656564406E6574696E732E6E6574

X-Session-ID: U2FsdGVkX19I+g6avFmDQab1eVZbQLBlRMzjk2iq/Po=

X-HE-Tag: 1646818868-644523

Return-Path: o.maier@xxxxxx.com

 

 

Hat jemand eine Idee?

Könnte es sein das

X-Mailer: PHPMailer (phpmailer.sourceforge.net)

Hier ein PHPMailer am werken ist?

 

 

 

"X-Mailer. Das Header-Feld "X-Mailer" enthält Informationen zur Software, die zum Versenden der Nachricht benutzt wurde. Übliche Angaben sind der Name und die Versionsnummer der Software, aber auch der URL oder sonstige Angaben sind möglich."

 

bearbeitet 9. März 2022 von magicpeter

[cj_berlin 1.315]

Moin,

 

Du musst unterscheiden:

• den NDR bekommt ihr, weil es den Empfänger c.muellerk@euredoma.in bei euch nicht gibt
• das wird aber erst dadurch möglich, dass euer Server die Mail von Absender o,maier@euredoma.in vom Server smtprelay04.b.hostedemail.com akzeptiert

Am ersten Sachverhalt kannst Du nichts ändern, dem zweiten müsst ihr mit dem SPF Record begegnen UND einem Mail-Gateway, der den Record prüft und Mails, die von falschen Servern kommen, bereits im SMTP-Dialog (nach dem MAIL FROM:) ablehnt.

bearbeitet 9. März 2022 von cj_berlin

[magicpeter 11]

vor 9 Minuten schrieb cj_berlin:

Moin,

 

Du musst unterscheiden:

• den NDR bekommt ihr, weil es den Empfänger c.muellerk@euredoma.in bei euch nicht gibt
• das wird aber erst dadurch möglich, dass euer Server die Mail von Absender o,maier@euredoma.in vom Server smtprelay04.b.hostedemail.com akzeptiert

Am ersten Sachverhalt kannst Du nichts ändern, dem zweiten müsst ihr mit dem SPF Record begegnen UND einem Mail-Gateway, der den Record prüft und Mails, die von falschen Servern kommen, bereits im SMTP-Dialog (nach dem MAIL FROM:) ablehnt.

Danke dir, dann werde ich mich einmal darum kümmern.

Aber, wenn jetzt ein Kunde von uns diese E-Mail bekommst und entsprechende Überprüfung des SPF in seinem Mailserver / Client nicht integriert hat kommen diese E-Mails weiter bei ihm an oder?
Unterbinden können wir das nicht oder?

 

X-Mailer: PHPMailer (phpmailer.sourceforge.net)

Ist hier ein PHPMailer am Werk?

[mikro 67]

vor 2 Minuten schrieb magicpeter:

Danke dir, dann werde ich mich einmal darum kümmern.

Aber, wenn jetzt ein Kunde von uns diese E-Mail bekommst und entsprechende Überprüfung des SPF in seinem Mailserver / Client nicht integriert hat kommen diese E-Mails weiter bei ihm an oder?
Unterbinden können wir das nicht oder?

 

X-Mailer: PHPMailer (phpmailer.sourceforge.net)

Ist hier ein PHPMailer am Werk?

Ja, sieht ganz so aus...

 

vor 2 Minuten schrieb magicpeter:

 

[cj_berlin 1.315]

Nö, am sendenden Ende könnt ihr nur für den korrekten SPF Record sorgen. Auswerten muss ihn dann der Empfänger.

Könnt ja anfangen, alle Mails zu signieren und euren Kunden mitteilen, dass Mails ohne Signatur definitiv nicht von euch sind...

[NorbertFe 2.034]

Und wenn du schon beim Thema SPF bist, dann klär auch gleich noch DKIM und DMARC mit. Mit passendem Reporting hat man ganz guten Einblick in seinen Mailflow und schläft ruhiger. ;)

[cj_berlin 1.315]

vor 8 Minuten schrieb NorbertFe:

 und schläft ruhiger. ;)

...oder auch nicht - kommt auf den Inhalt des Reports an  

[NorbertFe 2.034]

stimmt.