Solved
Ständig Phishing Mails vom gleichen Absender
8 months ago
Hallo,
wir haben das Problem, dass wir Phishing -Mails von augenscheinlich unserer eigenen Domain erhalten.
Und zwar sendet uns aktuell vermehrt die Adresse wordpress@unsere-domain.de Spamnachrichten.
Unsere Webseite basiert auf Wordpress, aber uns ist nirgendwo diese Mail-Adresse bekannt.
Ebenso haben wir im Outlook versucht diese Adresse zu blocken, dennoch kommen immer wieder Mails davon durch.
Ich habe so ein wenig die Vermutung, dass die oben genannte Adresse im Outlook zwar angezeigt wird, aber im Hintergrund doch eine andere Absender-Adresse versteckt ist. Selbst wenn ich die Adresse anwähle um mir mehr Informationen anzeigen zu lassen, erhalte ich nicht mehr Informationen.
Habt ihr Ideen, wie ich diesen Spam umgehen kann?
Haben wir hier eine Sicherheitslücke?
Gibt es da Schwachstellen im Wordpress?
Bin ich mit meinem Anliegen bei euch überhaupt richtig?
Wir hosten die Domain über die Telekom. Mailverkehr läuft aber über Office365 und mit entsprechenden Record-Einträgen etc.
Über ein wenig Hilfe wäre ich euch sehr dankbar.
Liebe Grüße
Metallbau Niemann
274
8
This could help you too
in
72
0
4
in
378
0
3
in
578
0
1
8 months ago
Wenn ihr auf Outlook setzt .. kann ich euch SPAMfighter empfehlen.
Funktioniert ganz super.
Sicherheitslücke würde ich erstmal nicht annehmen, dafür kommt sowas viel zu häufig vor.
Die Masche ist nicht neu .. die Spamer nutzen eigene E-Mail Server und schreiben den Empfänger auch in den Absender.
Sowas lösen kannst du, wenn du eure Domain zusätzlich mit SPF absicherst UND sagst was im Fehlerfall passieren soll.
Hier halt einfach wählen, dass bei einer gescheiterten SPF Prüfung die E-Mail auch als Schlechtfall behandelt werden soll. (Fail)
https://www.spf-record.de/syntax#mechanisms
Der Empfänger checkt also den SPF, prüft ob der Mailserver berechtigt war für eure Domain was zu verschicken (in dem Fall ja nein) und weiß das er beim Schlechtfall die Mail einfach in die Tonne kloppen soll.
Risiko: Wenn ihr beim SPF einen Fehler macht, könnten eure Mails überall nicht mehr ankommen. Also schön aufpassen bei der Konfiguration des SPF Eintrags.
0
8 months ago
Hallo @Metallbau.Niemann ,
hier können Sie mal schauen, ob Sie was in den erweiterten Informationen erkennen:
https://support.microsoft.com/de-de/office/anzeigen-von-internetnachrichtenheadern-in-outlook-cd039382-dc6e-4264-ac74-c048563d212c
Viele Grüße,
Coole Katze
0
Accepted Solution
accepted by
8 months ago
wir haben das Problem, dass wir Phishing -Mails von augenscheinlich unserer eigenen Domain erhalten.
Deine Vorstellungen zu diesem Thema basieren auf falschen Annahmen über den Mailversand. Zunächst einmal kann man jede beliebige Mailadresse als Absender konfigurieren. Das entspricht dem Vorbild, der „Gelben Post“. Nimm einen Brief, schreibe als Absender die Adresse des Bundeskanzlers darauf, adressiere diesen an dich und wirf ihn ein. Die Post liefert dir dann nach einigen Tagen einen Brief des Bundeskanzlers.
Bei der Einlieferung einer Mail durch den Mailserver des Senders beim Server des Empfängers werden die Daten des Empfängers und die des Senders in einem Dialog zwischen den Maschinen übermittelt.
Du kannst in Outlook die Eigenschaften einer Mail anzeigen lassen und siehst dann die sogenannten Headerzeilen. Diese enthalten deutlich mehr Informationen als den angezeigten Namen und den Betreff. U. a. ist der vollständige Transportweg enthalten (Zeilen mit „received from“) an denen du, von unten nach oben gelesen, sehen kannst, welche Stationen mit welcher IP beteiligt waren.
Es empfiehlt sich eigene Spambekämpfungsmaßnahmen zu ergreifen, da die der Telekom und von Microsoft nicht individuell sind.
1
Answer
from
8 months ago
Moin @Metallbau.Niemann!
Bin ich mit meinem Anliegen bei euch überhaupt richtig?
Auf jeden Fall & wir können uns hier ja einfach verabreden, um dann über die Themen zu quatschen.
Kann den tollen Antworten hier allerdings kein Puzzlestück hinzufügen, dass das Bild verändert. Ganz toll finde ich, wie @mboettcher es aufgedröselt und erklärt hat. Dankeschön an dich. 
Greetz
Stefan D.
Unlogged in user
Answer
from
8 months ago
Hallo an alle,
vielen Dank für die Einsatzbereitschaft und eure Antworten. Diese sehen sehr vielversprechend aus.
@CyberSW: SPF Records wurden bei uns bereits gesetzt, allerdings muss ich hier im Detail noch einmal prüfen, wie die Konfiguration im Detail aussieht.
Bitte gebt mir ein wenig Zeit, um eure Antworten auswerten zu können.
Bei Bedarf komme ich auch sehr gern auf das Angebot von @Stefan D. zurück - ich möchte aber immer erst gern selber versuchen die Lösung herbeizuführen, alles nach dem Prinzip "learning by doing".
Tatsächlich konnte ich dadurch, wenn auch etwas langsamer, viele Erkenntnisse in der IT gewinnen.
Ich melde mich auf jeden Fall noch einmal und werde meine Ergebnisse mitteilen.
Liebe Grüße
Metallbau Niemann
3
Answer
from
8 months ago
@Metallbau.Niemann
vielen Dank für die Einsatzbereitschaft und eure Antworten. Diese sehen sehr vielversprechend aus.
Gerne & ist auch ein umfangreiches Thema nimm dir da die Zeit, die du brauchst, um dich da zurecht zu finden.
Ich melde mich auf jeden Fall noch einmal und werde meine Ergebnisse mitteilen.
Freue mich darauf, wenn du dein neues Wissen dann hier mit uns teilst.
Hab' weiterhin einen wundervollen Start in die neue Woche. ☀️
Greetz
Stefan
Answer
from
8 months ago
SPF Records wurden bei uns bereits gesetzt, allerdings muss ich hier im Detail noch einmal prüfen, wie die Konfiguration im Detail aussieht.
Macht das mal
Viele konfigurieren den SPF immer erstmal mit "~all" eben weil dann nicht viel passiert, wenn der Eintrag falsch ist. Oftmals wird dann aber vergessen ihn zu ändern.
Die besser Konfiguration ist "-all" um zu sagen, dass alle E-Mails die nicht von den angegebenen Mailservern kommen, zurückgewiesen werden sollen.
Heißt die User bekommen die nicht zu sehen, weil der Mailserver die direkt verwirft.
Answer
from
8 months ago
Hallo an alle und noch einmal vielen Dank,
@CyberSWder SPF Eintrag wurde mir von Outlook vorgegeben und sieht wie folgt aus:
"v=spf1 include:spf.protection.outlook.com -all"
@mboettcherdiese sogenannten erweiterten Headerzeilen habe ich tatsächlich gesucht und konnte ich mittels dem link von @Coole Katze mehr oder weniger anzeigen lassen...denk ich...
Ich bin dem Link gefolgt und habe mir die Internetkopfzeilen in den Eigenschaften anzeigen lassen. Demnach scheint die Mail in Wirklichkeit von der Domain "mail.ru" zu kommen? Es macht zwar den Anschein, dass es von unserer Domain aus gesendet wurde, aber da sind wir wieder bei dem "Deutsche Postbrief Prinzip".
Jetzt komm ich aber zu meinem Problem:
ich kann "mail.ru" sperren, ich erhalte aber auch die gleichen Spam-Mails mit Absender "gmail.com" oder "yahoo.com".
Die Domains möchte ich ungern sperren.
Habt ihr eine Idee, wie ich diesen Spam in Griff kriegen kann? Würde da Spam-Fighter helfen, @CyberSW ?
Im Prinzip brauche ich einen Filter, der alle Mails mit kyrillischer Schrift sperrt. 😛
Oder alternativ alle IP-Adressen ablehnen, die Mails aus dem Ausland versendet haben. Ich glaube aber das stellt sich schwierig dar, wenn ich die Internetkopfzeilen durchlese steht irgendwo "send from IP 80.xxx.xx.xx" - damit durchaus deutscher IP Adressen Bereich.
Wenn ich darf würde ich gern mal die ersten Internetkopfzeilen senden und würde gern mal eure Meinung dazu haben wollen, ob ich das jetzt so richtig analysiert habe.
Hier die Internetkopfzeile von einer Spam-Mail mit Domain: mail.ru
Vielleicht fällt euch sonst noch etwas interessantes auf?
Received: from FR2P281MB1686.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d10:8e::8) by
FR2P281MB0091.DEUP281.PROD.OUTLOOK.COM with HTTPS; Mon, 26 Aug 2024 15:12:39
+0000
Received: from FR0P281CA0198.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d10:ad::8) by
FR2P281MB1686.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d10:8e::8) with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.7897.24; Mon, 26 Aug 2024 15:12:38 +0000
Received: from FR2PEPF000004F0.DEUP281.PROD.OUTLOOK.COM
(2603:10a6:d10:ad:cafe::f9) by FR0P281CA0198.outlook.office365.com
(2603:10a6:d10:ad::8) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.7918.14 via Frontend
Transport; Mon, 26 Aug 2024 15:12:38 +0000
Authentication-Results: spf=none (sender IP is 80.150.6.143)
smtp.mailfrom=hosting.telekom.de; dkim=none (message not signed)
header.d=none;dmarc=none action=none
header.from=niemann-metallbau.de;compauth=pass reason=702
eReceived-SPF: Non (protection.outlook.com: hosting.telekom.de does not
designate permitted sender hosts)
Received: from tld.t-online.de (80.150.6.143) by
FR2PEPF000004F0.mail.protection.outlook.com (10.167.240.37) with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.7918.13 via Frontend Transport; Mon, 26 Aug 2024 15:12:38 +0000
Received: from unknown (unknown [172.20.30.52])
by c4avsmail04.aul.t-online.de (Postfix) with QMQP id 7C0AE31E44
for <info@niemann-metallbau.de>; Mon, 26 Aug 2024 17:12:37 +0200 (CEST)
X-CM4all-Account-ID: HTO01FLQZHNG
Received: from PID=408295 UID=33333 with QMQP
To: info@niemann-metallbau.de
Subject: =?UTF-8?B?0LbQtdGB0YLQutC+0LUg0L/QvtGA0L3QviDQsdC10YHQv9C70LDRgtC90L4=?=
Date: Mon, 26 Aug 2024 15:12:37 +0000
From: ThomasAdels <wordpress@niemann-metallbau.de>
Reply-To: azanovaliliia36037@mail.ru
Message-ID: <PwgWxyd8LblGWOck1qGDDd6YLZkufwLNQUaMDHXf9k@www.niemann-metallbau.de>
X-Mailer: PHPMailer 6.5.0 (https://github.com/PHPMailer/PHPMailer)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Spam: Yes
Return-Path: anonymous@hosting.telekom.de
X-MS-Exchange-Organization-ExpirationStartTime: 26 Aug 2024 15:12:38.2963
(UTC)
X-MS-Exchange-Organization-ExpirationStartTimeReason: OriginalSubmit
X-MS-Exchange-Organization-ExpirationInterval: 1:00:00:00.0000000
Unlogged in user
Answer
from
Unlogged in user
Ask
from