henere
Goto Top

Mail aus eigener Domain kommt von aussen durch trotz SPF und ändert Absender

Hallo zusammen,

ich habe heute diese nette Mail bekommen, von wegen Paßwort Pornoseite Webcam Erpressung usw.

Mail-Eingang: MX01 - Postfix mit SPF-Check => 2tes Postfix mit gleichem Filtern => Exchange 2013

Geht um die Domain: xt600.de
Dort ist gesetzt: v=spf1 a mx -all

Dennoch kommt die Mail angeblich von mir selbst. Wie funktioniert das ?
Zeile 24 im 2ten Log ist meine Absenderadresse.

Liegt hier der Trick darin, in Zeile 2 vom Postfix-Log Reciever UNKNOWN mitzugeben und später im Mailheader dann erst das From und To zu setzen ?

Hier der Maileingang am ersten Postfix:

May 15 02:11:43 www postfix/smtpd[30289]: connect from correo.iglesiadeasturias.org[212.89.10.133]
May 15 02:11:43 www policyd-spf[30291]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=212.89.10.133; helo=correo.iglesiadeasturias.org; envelope-from=estahora@iglesiadeasturias.org; receiver=<UNKNOWN>
May 15 02:11:43 www postfix/smtpd[30289]: C2DF37F0F4: client=correo.iglesiadeasturias.org[212.89.10.133]
May 15 02:11:44 www postfix/cleanup[30359]: C2DF37F0F4: message-id=<271728849.8655171019.54500397564833.JavaMail.app@7rlkxf-app11439.iglesiadeasturias.org>
May 15 02:11:44 www postfix/qmgr[914]: C2DF37F0F4: from=<estahora@iglesiadeasturias.org>, size=266863, nrcpt=1 (queue active)
May 15 02:11:44 www postfix/smtpd[30289]: disconnect from correo.iglesiadeasturias.org[212.89.10.133] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
May 15 02:11:44 www postfix/smtp[30360]: C2DF37F0F4: to=<ich@xt600.de>, relay=S-V-Exchange.meinedomain.tld[93.207.30.42]:25, delay=1.1, delays=0.78/0.01/0.13/0.13, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 871442200A7)
May 15 02:11:44 www postfix/qmgr[914]: C2DF37F0F4: removed

Mailheader (geändert)

Received: from S-V-Exchange.meinedomain.tld (192.168.200.3) by
 S-V-Exchange.meinedomain.tld (192.168.200.3) with Microsoft SMTP Server
 (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.1713.5
 via Mailbox Transport; Wed, 15 May 2019 02:11:44 +0200
Received: from S-V-Exchange.meinedomain.tld (192.168.200.3) by
 S-V-Exchange.meinedomain.tld (192.168.200.3) with Microsoft SMTP Server
 (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
 15.1.1713.5; Wed, 15 May 2019 02:11:44 +0200
Received: from s-v-mx02.meinedomain.tld (192.168.200.4) by
 S-V-Exchange.meinedomain.tld (192.168.200.3) with Microsoft SMTP Server id
 15.1.1713.5 via Frontend Transport; Wed, 15 May 2019 02:11:44 +0200
Received: from www.meinedomain.tld (www.meinedomain.tld [188.68.54.154])
	by s-v-mx02.meinedomain.tld (Postfix) with ESMTPS id 871442200A7
	for <ich@xt600.de>; Wed, 15 May 2019 02:11:44 +0200 (CEST)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=212.89.10.133; helo=correo.iglesiadeasturias.org; envelope-from=estahora@iglesiadeasturias.org; receiver=<UNKNOWN> 
Received: from correo.iglesiadeasturias.org (correo.iglesiadeasturias.org [212.89.10.133])
	by www.meinedomain.tld (Postfix) with ESMTPS id C2DF37F0F4
	for <ich@xt600.de>; Wed, 15 May 2019 02:11:43 +0200 (CEST)
Received: from  ([181.236.221.137])
        by correo.iglesiadeasturias.org (IceWarp 11.4.1.5 x64) with ASMTP id 201905150211305042
        for <ich@xt600.de>; Wed, 15 May 2019 02:11:30 +0200
To: <ich@xt600.de>
Message-ID: <271728849.8655171019.54500397564833.JavaMail.app@7rlkxf-app11439.iglesiadeasturias.org>
From: <ich@xt600.de>               <<<=== Hier kommt dann meine Adresse.====>>>>
Content-Type: multipart/related;
	boundary="8j0z4abdca-628iwbtsp4-kvise7lcxe-v9o1vs07l2-93hq5j84yb"  
MIME-Version: 1.0
List-ID: <sooynqts-15576512-29302>
List-Help: <http://ppvbcgblmak.com/kf/xvleemq/owiiqzx>
Subject: ich
List-Subscribe: 5/15/2019 02:11:28
X-Abuse-Reports-To: abuse@mail.iglesiadeasturias.org
Date: Wed, 15 May 2019 02:11:32 +0200
Abuse-Reports-To: abuse@mailer.iglesiadeasturias.org
Return-Path: estahora@iglesiadeasturias.org

Grüße, Henere

Edit: Rechtschreibfehler / Styling.

2. Edit:

This is the mail system at host www.meinedomain.tld.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.  

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

                   The mail system

<abuse@mailer.iglesiadeasturias.org>: unable to look up host
    mailer.iglesiadeasturias.org: Name or service not known

<abuse@mail.iglesiadeasturias.org>: host
    mail.iglesiadeasturias.org[212.89.10.133] said: 550 Requested action not
    taken: mailbox unavailable (in reply to RCPT TO command)

face-sad

Content-Key: 451206

Url: https://administrator.de/contentid/451206

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: drotschopf
drotschopf 15.05.2019 um 08:02:22 Uhr
Goto Top
Hallo Henre,

dein SPF Eintrag hat keine IP hinterlegt.


MFG
Mitglied: areanod
areanod 15.05.2019 um 09:08:47 Uhr
Goto Top
Hallo,

Der Fehler liegt (wie immer) im Detail!

Der Postfix Server checkt bei seiner Abfrage den envelope Absender (Mail From) ab, dieser ist estahora@iglesiadeasturias.org:

May 15 02:11:43 www policyd-spf[30291]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=212.89.10.133; helo=correo.iglesiadeasturias.org; envelope-from=estahora@iglesiadeasturias.org; receiver=<UNKNOWN>

Die Absenderdomain correo.iglesiadeasturias.org hat tatsächlich einen gültigen SPF-Eintrag:
iglesiadeasturias.org   text =
        "v=spf1 ip4:212.89.10.133 include:spf.profesionalhosting.com a:correo.iglesiadeasturias.org -all"  

Damit wird der SPF Check passed obwohl die Anzeige Adresse der E-Mail deine war.


Zitat von @drotschopf:

Hallo Henre,

dein SPF Eintrag hat keine IP hinterlegt.


MFG

Drotschopf, das ist ein Irrtum. Mit seinem Eintrag sind automatisch alle IP Adressen im SPF Eintrag umfasst, die im MX- und im A-Eintrag für xt600.de hinterlegt sind.

lG
Areanod
Mitglied: Henere
Henere 15.05.2019 um 14:54:49 Uhr
Goto Top
Moin.


was kann man machen um so etwas auszufiltern ?
Mir gehen so langsam die Ideen aus.

Drotschopf, das ist ein Irrtum. Mit seinem Eintrag sind automatisch alle IP Adressen im SPF Eintrag umfasst, die im MX- und im A-Eintrag für xt600.de hinterlegt sind.

lG
Areanod

Genau das. 2 MX Records für die Domain, und nur diese beiden dürfen als xt600.de senden.

Grüße, Henere
Mitglied: goscho
goscho 15.05.2019 um 15:31:34 Uhr
Goto Top
Mahlzeit,
Zitat von @Henere:
was kann man machen um so etwas auszufiltern ?
Mir gehen so langsam die Ideen aus.
Ich habe mir gerade mal das LOG meines AV/Antispam-Schutzes auf dem Exchange-Server angeschaut.
Dort sind allein in meiner kleinen Umgebung in den letzten paar Tagen mehrere Tausend SPAM-Mails abgewiesen worden.
Sehr viele von denen waren mit einem Absender aus meiner Mail-Domäne versehen und dem Betreff "Account gehackt" oder so ähnlich).
Letztes Jahr erhielt ich auch noch einige dieser SPAMs, seit einiger Zeit kommt nix mehr durch.

Als Schutz nutze ich Symantec Mailsecurity for Microsoft Exchange in der Version 7.9
Mitglied: Henere
Henere 15.05.2019 um 15:39:31 Uhr
Goto Top
Servus.
Ich hab noch nen ScanMail Exchange von Trendmicro auf dem Exchange. Aber ich würde das schon gerne am ersten MX stoppen.

So sieht das auf dem Postfix aus:

smtpd_sender_restrictions =

        permit_mynetworks,
        check_sender_access hash:/etc/postfix/sender_access,
        check_client_access hash:/etc/postfix/client_checks,
        permit_inet_interfaces,
        permit_mx_backup

smtpd_recipient_restrictions =

        check_sender_access hash:/etc/postfix/sender_access,
        check_client_access hash:/etc/postfix/client_checks,
        permit_mynetworks,
#       check_sender_access hash:/etc/postfix/sender_access,
        permit_sasl_authenticated,
        check_policy_service unix:private/policy-spf,
        reject_non_fqdn_sender,
        reject_invalid_hostname,
#        reject_non_fqdn_hostname,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
        permit_mynetworks,
        permit_inet_interfaces,
        reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client ix.dnsbl.manitu.net,
        reject_rbl_client bl.spamcop.net,
#        reject_rbl_client dnsbl.sorbs.net,
#        reject_rbl_client dnsbl.njabl.org,
        permit_mx_backup,
        check_relay_domains,

Grüße, Henere
Mitglied: Dani
Dani 18.05.2019 um 16:50:22 Uhr
Goto Top
Moin,
was kann man machen um so etwas auszufiltern ?
Mir gehen so langsam die Ideen aus.
Wir filtern inzwischen auch wenn Envelope und Header Form. Da nehmen zwar die Abweisungen teils massiv zu. Zum anderen bringt der Absender seine Konfiguration auf Vordermann. face-smile


Gruß,
Dani