30
Vermehrtes Mail Spoofing
Hallo zusammen,
Frage in die Runde: Beobachtet ihr derzeit auch zunehmende Fälle von Mail-Spoofing?
Wir werden derzeit immer wieder von Kunden/Partner kontaktiert, dass Emails (mit Rechnungen etc) unter dem Namen und der Email-Adresse (exisitieren wirklich) von beliebigen Mitarbeitern abgesendet wurden. Die Mails gehen nicht von unserem Mail-Server weg. Seltsam sind aber hier die Zusammenhänge: Kunden/Partner bekommen oft Spoofing-Mails von Mitarbeitern mit denen sie schon mal Kontakt hatten. Kann sich das jemand erklären?
Vielen Dank schon mal für euer Feedback
Frage in die Runde: Beobachtet ihr derzeit auch zunehmende Fälle von Mail-Spoofing?
Wir werden derzeit immer wieder von Kunden/Partner kontaktiert, dass Emails (mit Rechnungen etc) unter dem Namen und der Email-Adresse (exisitieren wirklich) von beliebigen Mitarbeitern abgesendet wurden. Die Mails gehen nicht von unserem Mail-Server weg. Seltsam sind aber hier die Zusammenhänge: Kunden/Partner bekommen oft Spoofing-Mails von Mitarbeitern mit denen sie schon mal Kontakt hatten. Kann sich das jemand erklären?
Vielen Dank schon mal für euer Feedback
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 393944
Url: https://administrator.de/contentid/393944
Printed on: April 25, 2024 at 10:04 o'clock
30 Comments
Latest comment
Hi,
Extrem nervig da es eben nachweislich nicht über unsere Server geht.
Grüße
Beobachtet ihr derzeit auch zunehmende Fälle von Mail-Spoofing?
Ja!Extrem nervig da es eben nachweislich nicht über unsere Server geht.
Grüße
Hallo ostronaut
Ja, haben wir auch. 3-4 x täglich. Erklären kann ich das allerdings auch nicht. In einem Fall kommen die Mails von einem Account eines Kunden, der nachweislich nicht mehr dort arbeitet. Es nervt...
Grüsse
Marc
Ja, haben wir auch. 3-4 x täglich. Erklären kann ich das allerdings auch nicht. In einem Fall kommen die Mails von einem Account eines Kunden, der nachweislich nicht mehr dort arbeitet. Es nervt...
Grüsse
Marc
Hallo,
da hat wohl jemand Euer "Adressbuch" abgezogen.
Und das wird jetzt abgearbeitet.
(Kontrolliere mal den Mailheader der bereffenden Mails.)
Gruß
SH
da hat wohl jemand Euer "Adressbuch" abgezogen.
Und das wird jetzt abgearbeitet.
(Kontrolliere mal den Mailheader der bereffenden Mails.)
Gruß
SH
Moin,
für mich gehört das tatsächlich schon zum Hintergrundrauschen.
Jeder empfangende Mailserver sollte eine Validierung des Absenders vornehmen bevor er die Mail annimmt.
Dann wäre das Thema gegessen.
Effektiv wird dies nur von "guten Mailgateways" gemacht.
Gruß
Spirit
für mich gehört das tatsächlich schon zum Hintergrundrauschen.
Jeder empfangende Mailserver sollte eine Validierung des Absenders vornehmen bevor er die Mail annimmt.
Dann wäre das Thema gegessen.
Effektiv wird dies nur von "guten Mailgateways" gemacht.
Gruß
Spirit
Ist der doppelte From: Header z.B.:
gerne auch mal base64 encoded
Problem, DKIM und SPF wird als valid angezeigt und Outlook zeigt nur die gespoofte Mail Adresse an, was wirklich übel ist.
Ein paar simple Spamassassin Regeln und der Spuk hat eine ende.
Gruß Spec.
From: Büro scripts for sale <teamhh@scriptsforsale.de> <spyridon@fiore.it>gerne auch mal base64 encoded
From: =?UTF-8?B?QsO8cm8gc2NyaXB0cyBmb3Igc2FsZSA8dGVhbWhoQHNjcmlwdHNmb3JzYWxlLmRlPg==?= <spyridon@fiore.it>Problem, DKIM und SPF wird als valid angezeigt und Outlook zeigt nur die gespoofte Mail Adresse an, was wirklich übel ist.
Ein paar simple Spamassassin Regeln und der Spuk hat eine ende.
Gruß Spec.
Hallo spec1re,
wärst du auch so nett uns diese Regeln zu verraten?
wärst du auch so nett uns diese Regeln zu verraten?
Sicher, z.B.:
Ihr könnt auch einfach das Thema dazu auf github verfolgen:
https://github.com/mailwatch/MailWatch/issues/1007
Auch sehr zu empfehlen das neu SA Plugin Mail::SpamAssassin::Plugin::FromNameSpoof
Gruß Spec.
header MULTI_FROM_ADDRESS From =~ /^.*<.*@.*>.*<.*@.*>/i
score MULTI_FROM_ADDRESS 5.0
describe MULTI_FROM_ADDRESS Multiple senders in From: headerIhr könnt auch einfach das Thema dazu auf github verfolgen:
https://github.com/mailwatch/MailWatch/issues/1007
Auch sehr zu empfehlen das neu SA Plugin Mail::SpamAssassin::Plugin::FromNameSpoof
Gruß Spec.
Auch hier ein klares JA! Kommt recht häufig vor, speziell in letzter Zeit.
Ebenfalls mit dem Absender Name <echte@mailadresse.de><tatsächliche@absenderadresse.it>
Grüße, JD
Ebenfalls mit dem Absender Name <echte@mailadresse.de><tatsächliche@absenderadresse.it>
Grüße, JD
Same here.
Bei uns kommen die mit tatsächlich existierenden eMail-Adressen von real existierenden Geschäftspartnern als Absender an (zumindest im FROM). Für den Benutzer der den Mail-Header nicht versteht also gar nicht so einfach zu erkennen. Auch der Mailbody ist zu gut 80-90% in gutem Deutsch verfasst und damit unauffällig. Meistens passen aber die Daten in der Pseudo-Signatur nicht zum angeblichen Absender. Das immerhin kann der Benutzer erkennen.
In seltenen Fällen sind sogar die Signaturangaben korrekt. Dann wird es ganz schwierig. Meist hängt dann noch ein verseuchtes Word-Dokument an der eMail. Aus organisatorischen Gründen kann ich die leider nicht blocken.
Aus dem Header der eMails ergibt sich jedoch ganz klar, dass sie alle aus Südamerika, Afrika und diversen asiatischen Regionen kommen. Deswegen habe ich vor ein paar Wochen beschlossen gar keine eMails aus diesen Regionen mehr vom Mailserver annehmen zu lassen. Das zeigt Wirkung. In der Spitze wurden an einem einzigen Tag letzte Woche mal eben 200 eMails abgewiesen. Ansonsten immer im Bereich 50-150 pro Tag.
PS:
Für nächstes Jahr steht ein Filter auf dem Plan. Bisher war der nicht unbedingt notwendig, aber inzwischen nimmt es dann doch Überhand und wird lästig.
Bei uns kommen die mit tatsächlich existierenden eMail-Adressen von real existierenden Geschäftspartnern als Absender an (zumindest im FROM). Für den Benutzer der den Mail-Header nicht versteht also gar nicht so einfach zu erkennen. Auch der Mailbody ist zu gut 80-90% in gutem Deutsch verfasst und damit unauffällig. Meistens passen aber die Daten in der Pseudo-Signatur nicht zum angeblichen Absender. Das immerhin kann der Benutzer erkennen.
In seltenen Fällen sind sogar die Signaturangaben korrekt. Dann wird es ganz schwierig. Meist hängt dann noch ein verseuchtes Word-Dokument an der eMail. Aus organisatorischen Gründen kann ich die leider nicht blocken.
Aus dem Header der eMails ergibt sich jedoch ganz klar, dass sie alle aus Südamerika, Afrika und diversen asiatischen Regionen kommen. Deswegen habe ich vor ein paar Wochen beschlossen gar keine eMails aus diesen Regionen mehr vom Mailserver annehmen zu lassen. Das zeigt Wirkung. In der Spitze wurden an einem einzigen Tag letzte Woche mal eben 200 eMails abgewiesen. Ansonsten immer im Bereich 50-150 pro Tag.
PS:
Für nächstes Jahr steht ein Filter auf dem Plan. Bisher war der nicht unbedingt notwendig, aber inzwischen nimmt es dann doch Überhand und wird lästig.
Das richtige Vorgehen ist, zu verifizieren, das die mail auch vom dem Mailserver kommt, der die Domäne hält.
Alles andere kann verworfen werden.
Alles andere kann verworfen werden.
ich möcht halt dann gerne verstehen wo die Verbindung zu den einzelnen Geschäftspartnern herkommt? Wie kann der "Spoofer" wissen das Max Mustermann von der Musterfirma Kontakt zu mir hatte? Die Daten müssen ja dann gezielt abgegriffen worden sein?
Haben wir auch und wir haben einfach mal Kontakt zu unseren Geschäftspartnern aufgenommen. Von mindestens drei Geschäftspartnern weiß ich, dass dort unerlaubte Zugriffe auf Rechner/Postfächer stattgefunden haben.
Sobald man nur irgendwie Teil einer Konversation war, wird dieses aktuell verwertet.
Zum Schutz des Unternehmens haben wir jetzt einfach den Empfang von doc-Dateien verboten. Gibt zwar einiges an Kolleteralschaden, aber damit leben wir jetzt einfach. Gibt ja noch docx oder die odf-Familie.
Sobald man nur irgendwie Teil einer Konversation war, wird dieses aktuell verwertet.
Zum Schutz des Unternehmens haben wir jetzt einfach den Empfang von doc-Dateien verboten. Gibt zwar einiges an Kolleteralschaden, aber damit leben wir jetzt einfach. Gibt ja noch docx oder die odf-Familie.
Das richtige Vorgehen ist, zu verifizieren, das die mail auch vom dem Mailserver kommt, der die Domäne hält.
Stimmt schon. Nur leider kommt dann längst nicht alles an, was wir tatsächlich haben wollen. Und wenn ich an der Stelle dann anfange Ausnahmen zu pflegen werde ich auch nicht mehr fertig. Klingt blöd - ist aber so. Letzten Endes geht Geld verdienen dann doch irgendwie für die Firma vor.
Wie kann der "Spoofer" wissen das Max Mustermann von der Musterfirma Kontakt zu mir hatte? Die Daten müssen ja dann gezielt abgegriffen worden sein?
Wo ist das Problem? Schreibe <irgendeineangeblichsupertolleapp> und lass' dir vom Taschentelefoncomputerbenutzer mal eben erlauben auf die Kontakte und Internet zuzugreifen. Sekunde später hast du das was du willst. Das machst du dann bei tausenden von Leuten und schon weißt du wer mit wem in (mehr oder weniger) regelmäßigem Kontakt steht. Fertig.
Realisitsch betrachtet ließt doch (fast) kein Mensch die angeforderten Berechtigungen. Und falls doch, dann wird eine zweifelhafte Berechtigung nach kurzem Abwägen doch erteilt, weil man die suuuuper App unbedingt braucht. Und sei es nur um im Dunkeln Licht zu machen.
Manuel
1Zitat von @manuel-r:
Stimmt schon. Nur leider kommt dann längst nicht alles an, was wir tatsächlich haben wollen. Und wenn ich an der Stelle dann anfange Ausnahmen zu pflegen werde ich auch nicht mehr fertig. Klingt blöd - ist aber so. Letzten Endes geht Geld verdienen dann doch irgendwie für die Firma vor.
Das richtige Vorgehen ist, zu verifizieren, das die mail auch vom dem Mailserver kommt, der die Domäne hält.
Stimmt schon. Nur leider kommt dann längst nicht alles an, was wir tatsächlich haben wollen. Und wenn ich an der Stelle dann anfange Ausnahmen zu pflegen werde ich auch nicht mehr fertig. Klingt blöd - ist aber so. Letzten Endes geht Geld verdienen dann doch irgendwie für die Firma vor.
Was soll dann nicht ankommen?
Wann wollt ihr den gespoofte Mails erhalten?
Zitat von @Spirit-of-Eli:
Das richtige Vorgehen ist, zu verifizieren, das die mail auch vom dem Mailserver kommt, der die Domäne hält.
Alles andere kann verworfen werden.
Das ist ja das Problem bei der Geschichte hier, es wird ein gekaperter Account verwendet der alle Checks wie SPF und DKIM besteht und oben drauf kommt dann der gefälschte Absender, ganz schwer zu detektieren.Das richtige Vorgehen ist, zu verifizieren, das die mail auch vom dem Mailserver kommt, der die Domäne hält.
Alles andere kann verworfen werden.
Das einzige was man machen kann ist, bei alle ungewöhnlichen From: Header anzusetzen.
Wann wollt ihr den gespoofte Mails erhalten?
Bspw. dann, wenn irgendein Dienst im großen Netz - bei Geschäftspartnern oder sonstigen Anbietern - dem User eine Bestätigungs-eMail unter seinem eigenen Namen bzw. mit der eigenen eMail-Adresse oder mit der eMail-Adresse desjenigen der irgendetwas in dieses Portal hochgeladen/eingestellt hat als Absender zuschickt.
Frag mich jetzt nicht, warum jemand sowas programmiert (es ginge schließlich auch anders indem der Dienst unter einer eigenen Adresse sendet), aber da habe ich nun mal keinen Einluss drauf sondern muss es als gegeben hinnehmen.
Ich könnte an der Stelle natürlich auch Ausnahmen einrichten, dass Mailserver X auch mit Absendern unseren Maildomains bei uns zustellen darf. Dann bin ich aber dort wo ich mit Ausnahmen nicht mehr fertig werde, weil die Plattformen die sowas machen mit jedem Projekt wechseln und andere sind.
Zitat von @manuel-r:
[...] Meistens passen aber die Daten in der Pseudo-Signatur nicht zum angeblichen Absender. Das immerhin kann der Benutzer erkennen.
[...] Meistens passen aber die Daten in der Pseudo-Signatur nicht zum angeblichen Absender. Das immerhin kann der Benutzer erkennen.
Auch von echten Signaturen wurde hier im Forum schon berichtet.
Ich habe schon gesehen, dass z.B. eine UTM Mails versendet und dazu den Acount des Nutzers verwendet - eigentlich dazu gedacht, dass die Mail nicht im SPAM-Filter hängen bleibt.
Gruß
Ich verstehe euer Problem immer noch nicht.
Wenn es sich um eine Lösung bei irgend einem Anbieter handelt, mag das alles ja sein.
Vereinfacht gesagt: wenn ich eine Mail raus sende kann die Gegenstelle prüfen ob diese von meinem Mailserver kommt.
Wenn es sich um eine Lösung bei irgend einem Anbieter handelt, mag das alles ja sein.
Vereinfacht gesagt: wenn ich eine Mail raus sende kann die Gegenstelle prüfen ob diese von meinem Mailserver kommt.
Zitat von @Spirit-of-Eli:
Ich verstehe euer Problem immer noch nicht.
Wenn es sich um eine Lösung bei irgend einem Anbieter handelt, mag das alles ja sein.
Vereinfacht gesagt: wenn ich eine Mail raus sende kann die Gegenstelle prüfen ob diese von meinem Mailserver kommt.
Ich verstehe euer Problem immer noch nicht.
Wenn es sich um eine Lösung bei irgend einem Anbieter handelt, mag das alles ja sein.
Vereinfacht gesagt: wenn ich eine Mail raus sende kann die Gegenstelle prüfen ob diese von meinem Mailserver kommt.
Richtig, es wird auch geprüft und die Mail kommt auch von dem richtigen Mailserver aber nicht von deinem:
From: Kollege Max <meine@firma.de> <echter-absender@gehackter-account.com>Die Mail kommt von "echter-absender@gehackter-account.com", SPF und DKIM passt also PASS.
ABER
in Outlook z.B.: wird einem nur der erste Teil angezeigt "Kollege Max <meine@firma.de>".
Hier wird genau der Mechanismus ausgehebelt, der eigentlich verifizieren soll ob die mail wirklich von deinem Mailserver kommt und für den normalen User sieht alles okay aus.
Ich verstehe euer Problem immer noch nicht.
Dann versuche ich es mit einem Beispiel zu erklären:
Du hast ein Projekt P1. An diesem Projekt beteiligt sind ein Mitarbeiter von Firma1 (ma@firma1.tld) und ein Mitarbeiter von Firma2 (ma@firma2.tld). Das Projekt wird über irgendeine Kollaborationsplattform beim Hoster H abgewickelt/gesteuert.
Der Hoster findet es jetzt schlau Benachrichtigungsmails seiner Plattform mit der eMail-Adresse dessen der was am Projekt gemacht hat zu versenden. Wenn also der Mitarbeiter von Firma1 eine neue Datei ins Projekt stellt versendet die Plattform eine Info-eMail an alle Projektteilnehmer mit dem Absender ma@firma1.de. Der sendende Mailserver gehört aber nicht zu dieser Domain.
Die Mail kommt jetzt bei unserem Mailserver an. Der fragt dann bei diversen SPAM-Listen an, ob der Mailserver für SPAM bekannt ist. Die antworten mit Nein, weil der Mailserver vertrauenswürdig ist. Dann fragt der Mailserver den SPF-Record zu firma1.tld ab. Wenn der leer ist ist unserem Mailserver der sendende MTA erstmal egal. Die Mail geht durch falls nicht noch irgendeinFilter greift. Ist der SPF befüllt und es steht nur der MTA von firma1.tld drin ist das schon mal schlecht. Im dümmsten Fall wird die Mail abgelehnt. Mit der Folge, dass unser Mitarbeiter hier im Haus lange auf seine Infomail warten kann. Die wird nicht kommen. Wenn es dumm läuft bekommen wir also nicht von einem geänderten Planungsstand mit und bauen nach veralteten Plänen. Das wird teuer.
Denkbare Abhilfe ist entweder, dass ich den Mailserver vom Hoster H in eine Whitelist aufnehme oder, dass alle Projektbeteiligten den Mailserver des Hosters in ihren SPF aufnehmen. Letzteres scheitert schon mal gleich daran, dass die meisten Projektbeteiligten (bspw. Lieferanten, Nachunternehmer, Planer) keine eigene IT haben und mit "SPF" schon mal überfordert sind. Und falls nicht scheitert es spätestens daran, dass der Mailanbieter (oder Hoster mit dem kleinsten Hostingpaket) keinen Zugriff auf den SPF zulässt. Ergo -> Zonk.
Und damit es noch etwas vertrackter wird kommt dann noch dazu, dass wir nicht unbedingt immer in derPosition sind die Regeln - also bspw. die Kollaborationsplattform - vorzugeben sondern das nutzen müssen was uns von andern vorgegeben wird.
Lange Rede kurzer Sinn:
Würde der Beispiel-Hoster einfach Mails mit dem Absender Projekt-P1@hoster.tld versenden wäre alles im grünen Bereich. Tun viele aber halt nicht.
Und getreu dem alten Bw-Motto "Wirkung geht vor Deckung" muss ich in erster Linie dafür sorgen, dass alles relevante zugestellt werden kann. Im Zweifel über den Umweg durch den zentralen SPAM-Filter. Erst danach kommt die Deckung sprich das Abweisen von Mails.
Manuel
Moin,
aktuell defenitiv eine richtige Heuschreckenplage.
Ich würde ja mal erwarten, dass MS ein Patch für Outlook herausbringt, der bewirkt, dass die tatsächliche Absenderadresse angezeigt wird, ohne erst im Header schauen zu müssen. Aber vielleicht denke ich zu einfach.
Gruß
aktuell defenitiv eine richtige Heuschreckenplage.
Ich würde ja mal erwarten, dass MS ein Patch für Outlook herausbringt, der bewirkt, dass die tatsächliche Absenderadresse angezeigt wird, ohne erst im Header schauen zu müssen. Aber vielleicht denke ich zu einfach.
Gruß
Moin,
Wir werten inzwischen Header-FROM und Envelope-FROM der eingehenden E-Mails aus. Damit wird es auf den nachgelagerten Mailservern deutlich ruhiger und die Anfragen beim UHD gingen rasch zurück. Wer natürlich von unseren Partner nicht sauber seine E-Mails (Webapplikationen, Internetseiten oder sogar E-Mailserver) bei uns einkippt hat Pech gehabt. Selbstschutz geht bei uns vor... und wir können es uns bei unserer Größe leisten.
Gruß,
Dani
Ich würde ja mal erwarten, dass MS ein Patch für Outlook herausbringt, der bewirkt, dass die tatsächliche Absenderadresse angezeigt wird,
bei Outlook 2010 sieht man die E-Mailadresse beim Öffnen der E-Mail (nicht Autovorschau). aktuell defenitiv eine richtige Heuschreckenplage.
Bei uns kommen so viele E-Mails an den Gateways an, dass wir bereits die Anzahl von MXen erhöhen und die Ressourcen der VMs anpassen mussten. Damit während des "Rauschens" noch ein stabiler, zuverlässiger Betrieb möglich ist. Die Welle kam bei uns über Nacht...ohne Vorwarnung in der Verkehrsstatistik.Wir werten inzwischen Header-FROM und Envelope-FROM der eingehenden E-Mails aus. Damit wird es auf den nachgelagerten Mailservern deutlich ruhiger und die Anfragen beim UHD gingen rasch zurück. Wer natürlich von unseren Partner nicht sauber seine E-Mails (Webapplikationen, Internetseiten oder sogar E-Mailserver) bei uns einkippt hat Pech gehabt. Selbstschutz geht bei uns vor... und wir können es uns bei unserer Größe leisten.
Gruß,
Dani
Zitat von @ArnoNymous:
Moin,
aktuell defenitiv eine richtige Heuschreckenplage.
Ich würde ja mal erwarten, dass MS ein Patch für Outlook herausbringt, der bewirkt, dass die tatsächliche Absenderadresse angezeigt wird, ohne erst im Header schauen zu müssen. Aber vielleicht denke ich zu einfach.
Gruß
Moin,
aktuell defenitiv eine richtige Heuschreckenplage.
Ich würde ja mal erwarten, dass MS ein Patch für Outlook herausbringt, der bewirkt, dass die tatsächliche Absenderadresse angezeigt wird, ohne erst im Header schauen zu müssen. Aber vielleicht denke ich zu einfach.
Gruß
Geht aktuell nur mit nem Makro leider ...
Gruss
Wir bekommen auch haufenweise diese E-Mails und "verschicken" auch solche.
Es würde ja schon auffallen, wenn Spam-Filter und auch Outlook das Quellland des versendenden Servers als Flagge
anzeigen würde.
Der meiste Spam kommt nicht aus Deutschland.
Es würde ja schon auffallen, wenn Spam-Filter und auch Outlook das Quellland des versendenden Servers als Flagge
anzeigen würde.
Der meiste Spam kommt nicht aus Deutschland.
Die Texte in den Mails werden immer besser...
Hier mal zwei frische Beispiele:
Hier mal zwei frische Beispiele:
hi,
wir haben genau das gleiche problem. Obwohl ich aktuell SPF, DKIM und DMARC einträge gepflegt habe, kommen E-Mails immer von einer Kollegin mit versäuchten Word Dokument an einen anderen Kollegen durch. Erst im Header sieht man das es von einer anderen Adresse kommt.
Mitarbeiter Sensibilisieren.
Grüße
MS
wir haben genau das gleiche problem. Obwohl ich aktuell SPF, DKIM und DMARC einträge gepflegt habe, kommen E-Mails immer von einer Kollegin mit versäuchten Word Dokument an einen anderen Kollegen durch. Erst im Header sieht man das es von einer anderen Adresse kommt.
Mitarbeiter Sensibilisieren.
Grüße
MS
Zitat von @MS6800:
wir haben genau das gleiche problem. Obwohl ich aktuell SPF, DKIM und DMARC einträge gepflegt habe, kommen E-Mails immer von einer Kollegin mit versäuchten Word Dokument an einen anderen Kollegen durch. Erst im Header sieht man das es von einer anderen Adresse kommt.
wir haben genau das gleiche problem. Obwohl ich aktuell SPF, DKIM und DMARC einträge gepflegt habe, kommen E-Mails immer von einer Kollegin mit versäuchten Word Dokument an einen anderen Kollegen durch. Erst im Header sieht man das es von einer anderen Adresse kommt.
Dann ist das ja nicht richtig implementiert. Denn genau so ein Fall soll damit ja unterbunden werden.
Moin,
Gruß,
Dani
Dann ist das ja nicht richtig implementiert. Denn genau so ein Fall soll damit ja unterbunden werden.
Ja und Nein. Schau dir im Quelltext solch einer E-Mail Header-From und Evelope-From an.Gruß,
Dani
Zitat von @Spirit-of-Eli:
Dann ist das ja nicht richtig implementiert. Denn genau so ein Fall soll damit ja unterbunden werden.
Zitat von @MS6800:
wir haben genau das gleiche problem. Obwohl ich aktuell SPF, DKIM und DMARC einträge gepflegt habe, kommen E-Mails immer von einer Kollegin mit versäuchten Word Dokument an einen anderen Kollegen durch. Erst im Header sieht man das es von einer anderen Adresse kommt.
wir haben genau das gleiche problem. Obwohl ich aktuell SPF, DKIM und DMARC einträge gepflegt habe, kommen E-Mails immer von einer Kollegin mit versäuchten Word Dokument an einen anderen Kollegen durch. Erst im Header sieht man das es von einer anderen Adresse kommt.
Dann ist das ja nicht richtig implementiert. Denn genau so ein Fall soll damit ja unterbunden werden.
ich wüsste nicht was man noch bei Office365 einstellen kann. SPF wird ja von Microsoft vorgegeben. DKIM kann man seitens Microsoft nur Aktivieren.
Grüße
