Was tun gegen Mail-Spoofing?

  • Salut :)

    Ich bekomme regelmäßig Erpressungsmails mit der eigenen Mailadresse als Pseudo-Absender. Da steht dann im Header z.B.

    Zitat


    received from 177-73-8-130.hipernet.inf.br (177-73-8-130.hipernet.inf.br [177.73.8.130]) by mxf98d.netcup.net (Postfix) with ESMTP id F14AC120CD9 for <studies@pegacore.de>; Thu, 4 Apr 2019 00:27:53 +0200 (CEST)
    received-SPF: mxf98d; dkim=none header.i=studies@pegacore.de; spf=softfail (sender IP is 177.73.8.130) smtp.mailfrom=studies@pegacore.de smtp.helo=177-73-8-130.hipernet.inf.br

    Kann ich das irgendwie unterbinden? Die eigene Adresse möchte ich eigentlich nicht in die Spamliste aufnehmen :/
    Bei "Chip" steht als HInweis irgendwas von ""Sender Policy Framework", man solle den Mailprovider fragen.
    Danke schon mal

  • Hay,

    ---

    spf=softfail (sender IP is 177.73.8.130) smtp.mailfrom=studies@pegacore.de smtp.helo=177-73-8-130.hipernet.inf.br

    ---


    "Sender Policy Framework

    Hast Du bereits spf (oben) ist gleich Sender Policy Framework. Aber Du musst es bei Deiner Domain schärfer einstellen. Du hast einen spf=softfail, d.h. irgendwo muss in Deinen DNS-Einstellungen (die Du im CCP bei der Domain verwaltest) einen TXT Eintrag mit dem Inhalt ungefähr


    v=spf1 +a +mx +a:pegacore.de ~all


    mach aus dem ~all hinten ein -all und es sieht schon besser aus. Damit kann hipernet.inf.br keine Mails mehr für Dich einliefern.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • da lest man Dinge bei denen einem der Verstand stehen bleibt ...


    --- IT-Sicherheitsgesetz 2.0: Mehr Befugnisse fuer Sicherheitsbehoerden ---

    Das BSI soll in IT-Systeme eindringen duerfen, um Sicherheitsluecken zu

    beseitigen: Der Entwurf des IT-Sicherheitsgesetzes 2.0 sieht viele

    neue Befugnisse fuer die Sicherheitsbehoerden vor. Darunter auch das

    Uebernehmen von virtuellen Identitaeten.

    https://www.golem.de/news/it-s…ehoerden-1904-140443.html


    ich stell mir des spannend vor; jemand dringt in ein System ein, und zerhaut die Tastatur ...

    Code
    [root@host ~]# apt-get update                                                                                              -bash: apt-get: command not found                                                                                             

    weil er keine Ahnung hat, in was für einem System er eigentlich gelandet ist :D


    würde in der realen Welt das nicht eine hinreichende Zeit hinter schwedischen Gardinen bedeuten?:/

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Ich geh davon aus, dass Windows in Deutschland dann zukünftig von Microsoft ohne die Windows-Update Funktion ausgeliefert wird. Kann man sich ja sparen, wenn das jetzt das BSI übernimmt. Und für Webhostingpakete mit SSH-Zugang wird wahrscheinlich ein Root-Zugang Pflicht werden, damit das BSI das System updaten kann :D. Jedenfalls eine gute Aktion des BSI, wenn man bedenkt, wieviele neue Arbeitsplätze das schafft. Um den Fachkräftemangel nicht noch zu verschärfen, könnte man z.B. die Braunkohleverstromung imklusive Braunkohle-Abbau noch dieses Jahr stoppen und die "freigesetzten" Arbeiter zu System-Updatern umschulen. Somit wäre nebenbei sogar noch ein Beitrag zum Umweltschutz geleistet. Der Einsatz von ehemaligen Mitarbeitern des Kampfmittelräumdienstes wäre allerdings nicht zu empfehlen, da die Explosion von PCs in geschlossenen Räumen den eventuell daran arbeitenden Menschen schweren Schaden zufügen könnte.;)

  • Ich geh davon aus, dass Windows in Deutschland dann zukünftig von Microsoft ohne die Windows-Update Funktion ausgeliefert wird. Kann man sich ja sparen, wenn das jetzt das BSI übernimmt. Und für Webhostingpakete mit SSH-Zugang wird wahrscheinlich ein Root-Zugang Pflicht werden, damit das BSI das System updaten kann :D. Jedenfalls eine gute Aktion des BSI, wenn man bedenkt, wieviele neue Arbeitsplätze das schafft. Um den Fachkräftemangel nicht noch zu verschärfen, könnte man z.B. die Braunkohleverstromung imklusive Braunkohle-Abbau noch dieses Jahr stoppen und die "freigesetzten" Arbeiter zu System-Updatern umschulen. Somit wäre nebenbei sogar noch ein Beitrag zum Umweltschutz geleistet. Der Einsatz von ehemaligen Mitarbeitern des Kampfmittelräumdienstes wäre allerdings nicht zu empfehlen, da die Explosion von PCs in geschlossenen Räumen den eventuell daran arbeitenden Menschen schweren Schaden zufügen könnte.;)

    Schon recht. Alles wird wieder gut. Für alles andere wende Dich an den Sprengmeister Deines Vertrauens. Ich bin sicher, Sprengmeister, Feuerwehr und irgendein Dokusender-Fernsehteam finden sich, wenn Du Deine PC-Sprengphantasien ein wenig aufpeppst, sie in ein Drehbuch schreibst und damit einen Mythos zu widerlegen behauptest. Etwa, welcher Druckeinwirkung eine CPU widerstehen kann, bis sie Ihren Dienst versagt. Oder, ob Luftdruckreinigung effizienter mit Spraydose, Kompressor oder Nitro funktioniert.


    Eine Einleitung dafür könnte sein, dass PCs sich anders als Handys sowieso nicht so gut für Weitwurfmeisterschaften eignen.

  • Danke für den Tipp!


    Der Netcup-Default war (zumindest bei mir):v=spf1 mx a include:_spf.webhosting.systems ~all,

    jetzt geändert auf "-all" am Ende, um nicht autorisierte Sender ganz auszuschließen und das Spam-Problem zu lösen.


    Hab mir jetzt ein bisschen die Syntax ergoogelt, weil dein Vorschlag von dem Default abweicht (vgl. https://www.spf-record.de/syntax)

    Das + ist entbehrlich bzw. wird bei Fehlen automatisch angenommen, also bis auf das Include gleich. Kannst Du noch mal erläutern?


    Und wohl auch in meinem Fall Spammer den Softfail getriggert haben und die Postfächer der Netcup-Domains Spam von "sich selbst" erhielten: Haben tatsächlich Dritte über den zugeordneten Netcup Mailserver aktiv Spam verschicken können? =O

  • Schau Dir halt mal so eine Spam-Mail an, im Nachrichten-Quelltext kannst Du meist sehen, ob die Nachricht wirklich von einem Netcup-Server verschickt wurde. Obwohl man auch hier so einiges fälschen kann, machen sich die meisten Spammer nicht diese Mühe. Wenn sie den Softfail getriggert haben, dann kommen sie nicht von "Deinem" Netcup Mailserver, denn der ist ja gemäß SPF autorisiert, für Deine Domain Mails zu verschicken.

  • Wie ich in einem anderen Beitrag schon geschrieben hatte:



    Ich lasse unter anderem eingehene Mails mit meiner eigenen Domain im Absender darauf prüfen, ob sie auch über mein Mailsystem versendet wurden.


    Also ich habe das so gemacht:


    Code
    # rule:[nicht eigene Adresse]
        if allof (header :contains "from" "DEINE-DOMAIN.de", not header :contains "received-spf" "pass")
        {
        fileinto "INBOX.Spam";
        stop;
        } 


    Erklärung: Nur wenn meine Email auch über den passenden Netcup-Server eingeliefert wurde, wird "recieved-spf" auch auf "pass" gesetzt.

    Wenn das nicht der Fall ist, ist die Mail nicht von mir bzw. meiner Firma.


    Funktioniert! :)


    Wenn man SPF "scharf" einstellst -all, kann es evtl. Probleme bei Weiterleitungen bei Deinen Empfängern geben, also wenn sie sich Deine Mail auf eine andere Adresse weiterleiten lassen.

  • wo genau / wie genau erkenne ich das?


    received from 177-73-8-130.hipernet.inf.br (177-73-8-130.hipernet.inf.br [177.73.8.130]) by mxf98d.netcup.net (Postfix) with ESMTP id F14AC120CD9 for <studies@pegacore.de>; Thu, 4 Apr 2019 00:27:53 +0200 (CEST)


    177-73-8-130.hipernet.inf.br ==> sendender Mailserver

    mxf98d.netcup.net ==> empfangender Mailserver


    Falls mehrere Mailserver beim Transport der Email beteildigt waren, findest du im Email-Header mehrere solcher Einträge.

    Einfach von unten nach oben lesen, um den Weg der Email nachzuvollziehen. Du kannst auch einfach auf die Timestamps schauen.

  • Ich würde generell mal anregen wollen daß die Einträge für emails im Wiki erneuert/verbessert werden. Ich tue mich extrem schwer mit einigen Erklärungen, da ich auch absolut kein email-Fuzzi-Experte bin.


    Gerade im Hinblick auf die immer größer werdenden Probleme daß die versendeten Nachrichten als Spam eingestuft werden oder ganz abgewiesen werden etc. (bei yahoo, hotmail usw. ist das recht schlimm), wären bestmöglichste Einstellungen im CCP ja schön und gut, aber wenn ich´s als Kunde nicht verstehe.... und dazu sollte ein Wiki doch dienen oder?


    Ich habe z.B. Probleme mit reverseDNS und anderem, so daß ich da nicht zurecht komme und nicht eingetragen habe, u.a. mit folgendem Ergebnis:

    The mail-server IP address(es) associated with your request will removed from the block list within 24-48 hours from the date of this letter. AT&T Internet Services and its affiliates do not intentionally block legitimate mail in the course of our anti-spam initiatives and regret any inconvenience this may have caused. If this server exhibits characteristics of being compromised or violates our Acceptable Use Policies, the IP address/es will be blocked again.

    Upon testing the submitted IP address, we have determined that reverse DNS is not setup correctly. We advise you to set up a pointer (PTR) for reverse DNS so that it reflects your company's name, domain name, or another name that indicates the significance of your server. Changing this information from the current generic reverse DNS will help avoid black listing problems with many RBL's now and possibly in the future. If you need assistance please contact your server administrator and/or your ISP.

    ADMINISTRATORS: Please thoroughly check your IP logs before requesting removal. You must determine that all traffic from the blocked IP is actually from your mail servers to ensure your network is not compromised. Administrators who fail to do this may experience subsequent and more resolute blocking.

    Thank you for helping AT&T Internet Services network combat spam in all its forms.

  • Wie sind denn die betreffenden Mails verschickt worden? Über den zuständigen SMTP-Server oder (z.B. per PHP) ohne Angabe des SMTP-Servers?

    Falls über den SMTP-Server, wie sehen denn die DNS-Einträge der Domain aus?

  • Das mit dem PTR wird jedenfalls schwierig werden, da bei mehreren Kunden auf dem selben Server mit der selben IP natürlich nicht jeder einen eigenen PTR für Reverse-DNS setzen kann. Den kann nur Netcup setzen und es ist soweit ich das bei mir sehe auch einer gesetzt. Dass der nicht zu den Domains aller Kunden passen kann ist eh klar. Das sollte eigentlich sogar Yahoo und Microsoft klar sein. Ist es natürlich auch, aber es juckt sie halt nicht.


    Der gesetzte Reverse-DNS Eintrag für 46.38.249.96 ist halt "mxf960.netcup.net". Was daran falsch sein soll erschliesst sich mir erst mal nicht.