Jump to content

Mailadressen werden missbraucht um Spam / Viren / Trojaner zu verschicken


RobDust
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

irgendwer will uns was böses, da gehen Mails mit Anhängen an unsere Kunden in Form von:

 

-------------------------
Betreff:

Unsere Rechnung

 

Guten Abend,

der letzte wie besprochen die Rechnung für den S&P Index und die Akquise. Ich hoffe, ihr hattet einen schönen, sonnigen Sonntag!

m.f.G

*echter Mitarbeitername*

---Tel. 001212542 mFax  12315531351351e-Mail: echterMitarbeitername@unsereDomain.de
-------------------------
 
Im vom EMailAdressFeld in der Mail: irgendeinName@unbekannteDomain.bo
 
uns im Namensfeld echterMitarbeitername@unsereDomain.de
 
Das suggeriert natürlich in dem Moment eine Mai von uns...........
Wie können wir uns dagegen schützen?
Heute sind wieder zahlreiche Anrufe eingegangen.
 
Wir haben zum Schutz (W10 Defender, Malwarebytes und Eset online Scanner und den Virenschutz bei 1und1 aktiv)
Keine Funde. + Superkomplizierte E-Mail Passworte
Ich bin mir 100% sicher, dass das Fake Mails sind..., Einfach mit nur unserem Namen davor und nicht über unser Poppostfach bei 1und1 gesendet (erkennt man ja auch im Header, irgendeinName@unbekannteDomain.bo)
 
Hilfe :-)
Link zu diesem Kommentar

So hab mal eine rausgefischt, diese ging angeblich von einer Kollegin zur nächsten :D

Received: from server.iguruhost.com ([75.98.173.72]) by mx.kundenserver.de
 (mxeue009 [212.227.15.41]) with ESMTPS (Nemesis) id 1MCaVH-XXXX-XXXX
 for <unsereMitarbeiterin@unsereDomain.de>; Wed, 14 Nov 2018 12:11:11 +0100
Received: from [165.49.37.231] (port=62302 helo=10.6.0.117)    by
 server.iguruhost.com with esmtpsa (TLSv1.2:ECDHE-RSA-XXX-XXX-SHA384:256)
    (Exim 4.89_1)    (envelope-from <Mail@gehacktesPostfachausdemAusland.com>)    id
 1gMt4e-XXXX-RR    for unsereMitarbeiterin@unsereDomain; Wed, 14 Nov 2018 07:11:10 -0400
Received: from SERVER1 (127.0.0.1) by SERVER1.unsereDomain.local (127.0.0.1) with
 Microsoft SMTP Server id 14.1.438.0; Wed, 14 Nov 2018 12:16:15 +0100
Received: by [SERVER1.unsereDomain.local (Microsoft Connector for POP3 Mailboxes)]
 id <"{XXXXX-XXXX-XXXX-XXXXX-XXXX}"@unsereDomain.local>; Wed, 14 Nov 2018
 12:16:15 +0100
From: "Name der Kollegin" <unsereAndereMitarbeitering@unsereDomain.de>
To: "unsereMitarbeiterin" <unsereMitarbeiterin@unsereDomain.de>
Subject: [SPAM?] Rechnung  CA824564-14 vom 14 November

 

----

Es wird dort ein Exchange eingesetzt, welcher via pop Connector abholt, wie man oben erkennen kann.
Die Postfächer liegen bei 1und1. Wie @NorbertFe schon sagt, envelope-from deutet daraufhin, dass es nicht von uns kommen kann???

Link zu diesem Kommentar

Nein, das ist garantiert nicht die Webseite. Es macht auch wenig Sinn, sich darüber den Kopf zu zerbrechen, denn Fakt ist, die Mailadressen sind unterwegs, genauso wie eben bekannte "Verknüpfungen". Wie genau die zustande kommen oder kamen, kann man als der Empfänger von diesem Mist in den allerwenigsten Fällen plausibel nachvollziehen. Dazu gibts genügend Möglichkeiten, die wenigsten damit dürften mit gezielter Ausspähung zu tun haben.

 

Bye

Norbert

 

PS: Ja POPConnectoren sind vielleicht ein anderes Thema, aber gerade bei Spam sind sie im Allgemeinen eben ein großes Hindernis, welches nicht zu weniger Spam führt. Das war der Grund, warum ich das mal angeführt hatte.

Link zu diesem Kommentar
Am 14.11.2018 um 12:48 schrieb NorbertFe:

Das hilft nicht. Die aktuellen Spams kommen nicht mit den eigenen Domains usw. rein, sondern haben als Envelope mail from eine vollkommen andere Adresse.

Genau da würde doch DMARC helfen.

 

RFC5321 (Envelope Mail From) -> SPF

RFC5322 (From) -> DMARC

 

Aus https://technet.microsoft.com/de-de/library/mt734386(v=exchg.150).aspx:

Zitat

In diesem Transkript lauten die Absenderadressen wie folgt:

  • „E-Mail von“-Adresse (5321.MailFrom): phish@phishing.contoso.com

  • „Von“-Adresse (5322.From): security@woodgrovebank.com

Wenn Sie SPF konfiguriert haben, führt der empfangende Server eine Prüfung der Absenderadresse „phish@phishing.contoso.com“ durch. Wenn die Nachricht aus einer gültigen Quelle der Domäne „phishing.contoso.com“ stammt, besteht sie die SPF-Prüfung. Da der E-Mail-Client nur die Absenderadresse anzeigt, sieht der Benutzer, dass diese Nachricht von „security@woodgrovebank.com“ stammt. Wenn nur SPF verwendet wird, wird die Gültigkeit von „woodgrovebank.com“ nicht authentifiziert.

 

Wenn Sie DMARC verwenden, führt der empfangende Server auch eine Prüfung der Absenderadresse durch. Wenn im obigen Beispiel ein DMARC-TXT-Eintrag für „woodgrovebank.com“ vorhanden ist, besteht die Absenderadresse die Prüfung nicht.

 

Link zu diesem Kommentar

Ja, sicher aber selbst spf ist ja schon nicht sooooo aktiv in der Verbreitung. Da wird das mit dmarc sicher noch länger dauern. ;) und dann müssen die Empfänger eben auch noch selbst ein Interesse am Schutz ihrer Domain haben. Sie haben aber meist nur ein Interesse daran, keinen Spam von anderen zu bekommen. ;)

 

bye

norbert

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...