Was tun gegen Mail-Spoofing?

  • Salut :)

    Ich bekomme regelmäßig Erpressungsmails mit der eigenen Mailadresse als Pseudo-Absender. Da steht dann im Header z.B.

    Quote


    received from 177-73-8-130.hipernet.inf.br (177-73-8-130.hipernet.inf.br [177.73.8.130]) by mxf98d.netcup.net (Postfix) with ESMTP id F14AC120CD9 for <studies@pegacore.de>; Thu, 4 Apr 2019 00:27:53 +0200 (CEST)
    received-SPF: mxf98d; dkim=none header.i=studies@pegacore.de; spf=softfail (sender IP is 177.73.8.130) smtp.mailfrom=studies@pegacore.de smtp.helo=177-73-8-130.hipernet.inf.br

    Kann ich das irgendwie unterbinden? Die eigene Adresse möchte ich eigentlich nicht in die Spamliste aufnehmen :/
    Bei "Chip" steht als HInweis irgendwas von ""Sender Policy Framework", man solle den Mailprovider fragen.
    Danke schon mal

  • Hay,

    ---

    spf=softfail (sender IP is 177.73.8.130) smtp.mailfrom=studies@pegacore.de smtp.helo=177-73-8-130.hipernet.inf.br

    ---


    "Sender Policy Framework

    Hast Du bereits spf (oben) ist gleich Sender Policy Framework. Aber Du musst es bei Deiner Domain schärfer einstellen. Du hast einen spf=softfail, d.h. irgendwo muss in Deinen DNS-Einstellungen (die Du im CCP bei der Domain verwaltest) einen TXT Eintrag mit dem Inhalt ungefähr


    v=spf1 +a +mx +a:pegacore.de ~all


    mach aus dem ~all hinten ein -all und es sieht schon besser aus. Damit kann hipernet.inf.br keine Mails mehr für Dich einliefern.


    CU, Peter

  • da lest man Dinge bei denen einem der Verstand stehen bleibt ...


    --- IT-Sicherheitsgesetz 2.0: Mehr Befugnisse fuer Sicherheitsbehoerden ---

    Das BSI soll in IT-Systeme eindringen duerfen, um Sicherheitsluecken zu

    beseitigen: Der Entwurf des IT-Sicherheitsgesetzes 2.0 sieht viele

    neue Befugnisse fuer die Sicherheitsbehoerden vor. Darunter auch das

    Uebernehmen von virtuellen Identitaeten.

    https://www.golem.de/news/it-s…ehoerden-1904-140443.html


    ich stell mir des spannend vor; jemand dringt in ein System ein, und zerhaut die Tastatur ...

    Code
    1. [root@host ~]# apt-get update -bash: apt-get: command not found

    weil er keine Ahnung hat, in was für einem System er eigentlich gelandet ist :D


    würde in der realen Welt das nicht eine hinreichende Zeit hinter schwedischen Gardinen bedeuten?:/

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; VPS 1000 G8 Plus; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Ich geh davon aus, dass Windows in Deutschland dann zukünftig von Microsoft ohne die Windows-Update Funktion ausgeliefert wird. Kann man sich ja sparen, wenn das jetzt das BSI übernimmt. Und für Webhostingpakete mit SSH-Zugang wird wahrscheinlich ein Root-Zugang Pflicht werden, damit das BSI das System updaten kann :D. Jedenfalls eine gute Aktion des BSI, wenn man bedenkt, wieviele neue Arbeitsplätze das schafft. Um den Fachkräftemangel nicht noch zu verschärfen, könnte man z.B. die Braunkohleverstromung imklusive Braunkohle-Abbau noch dieses Jahr stoppen und die "freigesetzten" Arbeiter zu System-Updatern umschulen. Somit wäre nebenbei sogar noch ein Beitrag zum Umweltschutz geleistet. Der Einsatz von ehemaligen Mitarbeitern des Kampfmittelräumdienstes wäre allerdings nicht zu empfehlen, da die Explosion von PCs in geschlossenen Räumen den eventuell daran arbeitenden Menschen schweren Schaden zufügen könnte.;)

  • Ich geh davon aus, dass Windows in Deutschland dann zukünftig von Microsoft ohne die Windows-Update Funktion ausgeliefert wird. Kann man sich ja sparen, wenn das jetzt das BSI übernimmt. Und für Webhostingpakete mit SSH-Zugang wird wahrscheinlich ein Root-Zugang Pflicht werden, damit das BSI das System updaten kann :D. Jedenfalls eine gute Aktion des BSI, wenn man bedenkt, wieviele neue Arbeitsplätze das schafft. Um den Fachkräftemangel nicht noch zu verschärfen, könnte man z.B. die Braunkohleverstromung imklusive Braunkohle-Abbau noch dieses Jahr stoppen und die "freigesetzten" Arbeiter zu System-Updatern umschulen. Somit wäre nebenbei sogar noch ein Beitrag zum Umweltschutz geleistet. Der Einsatz von ehemaligen Mitarbeitern des Kampfmittelräumdienstes wäre allerdings nicht zu empfehlen, da die Explosion von PCs in geschlossenen Räumen den eventuell daran arbeitenden Menschen schweren Schaden zufügen könnte.;)

    Schon recht. Alles wird wieder gut. Für alles andere wende Dich an den Sprengmeister Deines Vertrauens. Ich bin sicher, Sprengmeister, Feuerwehr und irgendein Dokusender-Fernsehteam finden sich, wenn Du Deine PC-Sprengphantasien ein wenig aufpeppst, sie in ein Drehbuch schreibst und damit einen Mythos zu widerlegen behauptest. Etwa, welcher Druckeinwirkung eine CPU widerstehen kann, bis sie Ihren Dienst versagt. Oder, ob Luftdruckreinigung effizienter mit Spraydose, Kompressor oder Nitro funktioniert.


    Eine Einleitung dafür könnte sein, dass PCs sich anders als Handys sowieso nicht so gut für Weitwurfmeisterschaften eignen.

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Gutscheine: https://netcup-groupie.de/▓▒░

  • Danke für den Tipp!


    Der Netcup-Default war (zumindest bei mir):v=spf1 mx a include:_spf.webhosting.systems ~all,

    jetzt geändert auf "-all" am Ende, um nicht autorisierte Sender ganz auszuschließen und das Spam-Problem zu lösen.


    Hab mir jetzt ein bisschen die Syntax ergoogelt, weil dein Vorschlag von dem Default abweicht (vgl. https://www.spf-record.de/syntax)

    Das + ist entbehrlich bzw. wird bei Fehlen automatisch angenommen, also bis auf das Include gleich. Kannst Du noch mal erläutern?


    Und wohl auch in meinem Fall Spammer den Softfail getriggert haben und die Postfächer der Netcup-Domains Spam von "sich selbst" erhielten: Haben tatsächlich Dritte über den zugeordneten Netcup Mailserver aktiv Spam verschicken können? =O

  • Schau Dir halt mal so eine Spam-Mail an, im Nachrichten-Quelltext kannst Du meist sehen, ob die Nachricht wirklich von einem Netcup-Server verschickt wurde. Obwohl man auch hier so einiges fälschen kann, machen sich die meisten Spammer nicht diese Mühe. Wenn sie den Softfail getriggert haben, dann kommen sie nicht von "Deinem" Netcup Mailserver, denn der ist ja gemäß SPF autorisiert, für Deine Domain Mails zu verschicken.

  • Wie ich in einem anderen Beitrag schon geschrieben hatte:



    Ich lasse unter anderem eingehene Mails mit meiner eigenen Domain im Absender darauf prüfen, ob sie auch über mein Mailsystem versendet wurden.


    Also ich habe das so gemacht:


    Code
    1. # rule:[nicht eigene Adresse]
    2. if allof (header :contains "from" "DEINE-DOMAIN.de", not header :contains "received-spf" "pass")
    3. {
    4. fileinto "INBOX.Spam";
    5. stop;
    6. }


    Erklärung: Nur wenn meine Email auch über den passenden Netcup-Server eingeliefert wurde, wird "recieved-spf" auch auf "pass" gesetzt.

    Wenn das nicht der Fall ist, ist die Mail nicht von mir bzw. meiner Firma.


    Funktioniert! :)


    Wenn man SPF "scharf" einstellst -all, kann es evtl. Probleme bei Weiterleitungen bei Deinen Empfängern geben, also wenn sie sich Deine Mail auf eine andere Adresse weiterleiten lassen.