Jump to content

E-Mails werde abgefangen / Schadsoftware


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe aktuell folgendes Problem:

Unsere Struktur: Client Office 2016 --> Exchange Server 2016 --> Smarthost

 

Einige unsere Benutzer erhalten Spam-Mails von verschiedenen unbekannten Absendern. (Enthallten ist eine Zip Datei .. mit dem Hinweis: bitte öffnen mit folgendem Passwort ... 

 

Das komische dabei ist, die Spam Mails enthalten alten Schriftverkehr. 

Heißt zum Beispiel: "xyz@xyz.de  & Max@Mustermann.de" schreiben sich gegenseitig E-Mails. Die Spam Mails beinhaltet dann genau diesen Schriftverkehr,und es sieht so aus als hätte Max@Mustermann.de "xyz" einfach nur geantwortet. 

Erkennbar ist der Schwindel daran das die Domain anders ist. bsp.: Max@Kolk4349.com

 

Es sind einige Benutzer, die davon Betroffen sind und es werden verschiedene Schriftverkehre verwendet. Also nicht nur Gespräche mit der Domain @mustermann.de sondern verschiedene. 

 

Rein logisch macht es ja kein Sinn das unser Exchange Server / oder die Clients gehackt wurden oder infiziert sind, da man sonst ja keine Schadsoftware mehr versenden brauche auf genau diese Clients & Server.

Was logischer klingt, ist das der Smarthost gehackt oder infiziert wurde, und die dritte Person davon den Schriftverkehr hat. 

Jedoch streitet der Smarthost es ab und meint es wäre technisch unmöglich etc. etc. etc.

 

Hat jemand andere Ideen und Anhaltspunkte, die ich prüfen könnte um das Probleme zu beheben ?

(Smarthost ändern kann wegen Weihnachten Urlaub etc. erst in paar Wochen getestet werden. ) 

 

Vielen Dank und schöne Feiertage euch :) 

Link zu diesem Kommentar

Da hat sich irgendwer Emotet eingefangen. Im Zweifel derjenige, an dem die ursprüngliche Mail mal geschickt wurde. Der Virus greift auf Outlook zu und versendet dort enthaltende Mails erneut und ergänzt sie um ein einen wichtigen Anhang, Schützen kann man sich, in dem man alle Dateianhänge herausfiltert die folgenden Bedingungen  entsprechen: Ausführbarer Code (auch in Archiven). Office-Dateien mit Makros (auch in Archiven).

Dazu gibt es am Markt entsprechende Lösungen.

 

Update: Der Virus verwendet dann zum Versenden von Mails gehackte SMTP-Konten. Gern bei irgendwelchen Web-Hostern. Die bieten ja auch meist den Empfang und den Versand von Mails an.

Wir hatten auch mal einen Fall bei dem ältere Mails von uns wieder den zu uns zurück fanden. Jeweils mit validen Absendern, deren SMTP-Konten gehackt oder "abgephisht" waren. 

 

bearbeitet von zahni
Link zu diesem Kommentar

Und, gibt's Neuigkeiten?
Ich könnte Dir nun recht aktuelle Vorfälle melden, die ich in den letzten Monaten erfahren musste.
Schadsoftware (nach über einem Jahr kamen Mails an, die sich auf eine Kommunikation von vor 1,5 jahren bezog), "abgephiste" Zugänge für O365 OWA Konten, Domains die mit unserem ähnlich klingenden Namen registriert wurden und diese Mails dann an Kunden gingen...
Backscatter wo nur ein "länder blocking" half und so weiter...
Wir werden echt gut geärgert :D
In vielen Fällen halfen mir Gateway Logs und E-Mail Header.
Den Receive Connector gut zu konfigurieren ist ja schon viel wert...

bearbeitet von heuchler
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...