Jump to content
Sign in to follow this  
RobDust

Mailadressen werden missbraucht um Spam / Viren / Trojaner zu verschicken

Recommended Posts

Moin,

 

irgendwer will uns was böses, da gehen Mails mit Anhängen an unsere Kunden in Form von:

 

-------------------------
Betreff:

Unsere Rechnung

 

Guten Abend,

der letzte wie besprochen die Rechnung für den S&P Index und die Akquise. Ich hoffe, ihr hattet einen schönen, sonnigen Sonntag!

m.f.G

*echter Mitarbeitername*

---Tel. 001212542 mFax  12315531351351e-Mail: echterMitarbeitername@unsereDomain.de
-------------------------
 
Im vom EMailAdressFeld in der Mail: irgendeinName@unbekannteDomain.bo
 
uns im Namensfeld echterMitarbeitername@unsereDomain.de
 
Das suggeriert natürlich in dem Moment eine Mai von uns...........
Wie können wir uns dagegen schützen?
Heute sind wieder zahlreiche Anrufe eingegangen.
 
Wir haben zum Schutz (W10 Defender, Malwarebytes und Eset online Scanner und den Virenschutz bei 1und1 aktiv)
Keine Funde. + Superkomplizierte E-Mail Passworte
Ich bin mir 100% sicher, dass das Fake Mails sind..., Einfach mit nur unserem Namen davor und nicht über unser Poppostfach bei 1und1 gesendet (erkennt man ja auch im Header, irgendeinName@unbekannteDomain.bo)
 
Hilfe :-)

Share this post


Link to post
Share on other sites

Hi,

 

da dürfte auf eurer Seite nur das Setzen eines SPF (und ggfs. DMARC / DKIM) Records helfen. Das setzt aber auch vorraus, dass das Gegenüber diese auch prüft.

 

Gruß

Jan

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb testperson:

Hi,

 

da dürfte auf eurer Seite nur das Setzen eines SPF (und ggfs. DMARC / DKIM) Records helfen. Das setzt aber auch vorraus, dass das Gegenüber diese auch prüft.

 

Gruß

Jan

So ist es. Dürfte eher gar nichts mit eurem Mailsystem bzw. euren Passwörtern zu tun haben.

 

ASR

Share this post


Link to post
Share on other sites

Das hilft nicht. Die aktuellen Spams kommen nicht mit den eigenen Domains usw. rein, sondern haben als Envelope mail from eine vollkommen andere Adresse.

Edited by NorbertFe

Share this post


Link to post
Share on other sites

So hab mal eine rausgefischt, diese ging angeblich von einer Kollegin zur nächsten :D

Received: from server.iguruhost.com ([75.98.173.72]) by mx.kundenserver.de
 (mxeue009 [212.227.15.41]) with ESMTPS (Nemesis) id 1MCaVH-XXXX-XXXX
 for <unsereMitarbeiterin@unsereDomain.de>; Wed, 14 Nov 2018 12:11:11 +0100
Received: from [165.49.37.231] (port=62302 helo=10.6.0.117)    by
 server.iguruhost.com with esmtpsa (TLSv1.2:ECDHE-RSA-XXX-XXX-SHA384:256)
    (Exim 4.89_1)    (envelope-from <Mail@gehacktesPostfachausdemAusland.com>)    id
 1gMt4e-XXXX-RR    for unsereMitarbeiterin@unsereDomain; Wed, 14 Nov 2018 07:11:10 -0400
Received: from SERVER1 (127.0.0.1) by SERVER1.unsereDomain.local (127.0.0.1) with
 Microsoft SMTP Server id 14.1.438.0; Wed, 14 Nov 2018 12:16:15 +0100
Received: by [SERVER1.unsereDomain.local (Microsoft Connector for POP3 Mailboxes)]
 id <"{XXXXX-XXXX-XXXX-XXXXX-XXXX}"@unsereDomain.local>; Wed, 14 Nov 2018
 12:16:15 +0100
From: "Name der Kollegin" <unsereAndereMitarbeitering@unsereDomain.de>
To: "unsereMitarbeiterin" <unsereMitarbeiterin@unsereDomain.de>
Subject: [SPAM?] Rechnung  CA824564-14 vom 14 November

 

----

Es wird dort ein Exchange eingesetzt, welcher via pop Connector abholt, wie man oben erkennen kann.
Die Postfächer liegen bei 1und1. Wie @NorbertFe schon sagt, envelope-from deutet daraufhin, dass es nicht von uns kommen kann???

Share this post


Link to post
Share on other sites

Wer freiwillig nen POPConnector einsetzt, kann ja schon froh sein, wenn er die INfo überhaupt erhält. Und wie man sieht ist ein POP-Konto beim Provider noch lange kein Grund keinen Spam zu erhalten. ;) Und ja es ist wie ich sage, denn ich seh den Kram aktuell bei sehr vielen Kunden im Log. :)

Share this post


Link to post
Share on other sites

ist auch ein kunde... wenn ich von "uns" rede :-) Und ja andere Kunden haben das auch, dieser aber sehr extrem, so dass ich mir da mal Gedanken machen möchte/muss!

 

den pop connector können wir gerne in nem anderem Thread "auseinander nehmen" ;-) würd gern hier bei der Sache bleiben.

Edited by RobDust

Share this post


Link to post
Share on other sites

Um beim Thema zu bleiben - habt ihr eine Webseite, auf der die Mailadressen der Kollegen ggf. im Klartext zu lesen sind?

2te Idee - jemand hat eure Mailadressen verkauft... :eye2:

Share this post


Link to post
Share on other sites

no :-) waren auch nie drauf... Aber guter Hinweis, haben welche wo die Adressen tatsächlich drauf sind.

 

Mailadressen verkauft... kann ich weder bejahen noch beneinen....

Share this post


Link to post
Share on other sites

Nein, das ist garantiert nicht die Webseite. Es macht auch wenig Sinn, sich darüber den Kopf zu zerbrechen, denn Fakt ist, die Mailadressen sind unterwegs, genauso wie eben bekannte "Verknüpfungen". Wie genau die zustande kommen oder kamen, kann man als der Empfänger von diesem Mist in den allerwenigsten Fällen plausibel nachvollziehen. Dazu gibts genügend Möglichkeiten, die wenigsten damit dürften mit gezielter Ausspähung zu tun haben.

 

Bye

Norbert

 

PS: Ja POPConnectoren sind vielleicht ein anderes Thema, aber gerade bei Spam sind sie im Allgemeinen eben ein großes Hindernis, welches nicht zu weniger Spam führt. Das war der Grund, warum ich das mal angeführt hatte.

Share this post


Link to post
Share on other sites
Am 14.11.2018 um 12:48 schrieb NorbertFe:

Das hilft nicht. Die aktuellen Spams kommen nicht mit den eigenen Domains usw. rein, sondern haben als Envelope mail from eine vollkommen andere Adresse.

Genau da würde doch DMARC helfen.

 

RFC5321 (Envelope Mail From) -> SPF

RFC5322 (From) -> DMARC

 

Aus https://technet.microsoft.com/de-de/library/mt734386(v=exchg.150).aspx:

Zitat

In diesem Transkript lauten die Absenderadressen wie folgt:

  • „E-Mail von“-Adresse (5321.MailFrom): phish@phishing.contoso.com

  • „Von“-Adresse (5322.From): security@woodgrovebank.com

Wenn Sie SPF konfiguriert haben, führt der empfangende Server eine Prüfung der Absenderadresse „phish@phishing.contoso.com“ durch. Wenn die Nachricht aus einer gültigen Quelle der Domäne „phishing.contoso.com“ stammt, besteht sie die SPF-Prüfung. Da der E-Mail-Client nur die Absenderadresse anzeigt, sieht der Benutzer, dass diese Nachricht von „security@woodgrovebank.com“ stammt. Wenn nur SPF verwendet wird, wird die Gültigkeit von „woodgrovebank.com“ nicht authentifiziert.

 

Wenn Sie DMARC verwenden, führt der empfangende Server auch eine Prüfung der Absenderadresse durch. Wenn im obigen Beispiel ein DMARC-TXT-Eintrag für „woodgrovebank.com“ vorhanden ist, besteht die Absenderadresse die Prüfung nicht.

 

Share this post


Link to post
Share on other sites

Ja, sicher aber selbst spf ist ja schon nicht sooooo aktiv in der Verbreitung. Da wird das mit dmarc sicher noch länger dauern. ;) und dann müssen die Empfänger eben auch noch selbst ein Interesse am Schutz ihrer Domain haben. Sie haben aber meist nur ein Interesse daran, keinen Spam von anderen zu bekommen. ;)

 

bye

norbert

 

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...