Szenario 1 – Absender-SPF falsch konfiguriert

Question

Das lässt sich schwer mit Sicherheit sagen, aber ich denke, das ist das wahrscheinlichste Szenario:

Der Domänenname des Absenders hat keineLichtschutzfaktorDatensatz, der einschränkt, welche IP-Adressen E-Mails für die Domäne senden dürfen.

Weitere mögliche Szenarien, die mir spontan einfallen, in absteigender Reihenfolge ihrer Wahrscheinlichkeit aus meiner Erfahrung:

Das E-Mail-Konto oder der E-Mail-Server des Absenders wurde kompromittiert und sendet Spam an auf dem Server bekannte Kontakte.
Der Domänenname des Absenders verfügt zwar über sinnvolle SPF-Einträge, die Anti-Spam-Software Ihres Mailservers sucht jedoch nicht nach gefälschten E-Mails.
Ihr Mailserver oder Ihr Konto wurde kompromittiert und ein Malware-Verteiler verwendet Ihre Kontaktliste, um Malware-E-Mails in Ihren Posteingang zu platzieren.

Szenario 1 – Absender-SPF falsch konfiguriert

Dies ist das wahrscheinlichste Szenario, da Sie inein Update zu deiner Fragedass die E-Mail-Adressen der Absender „phantasievoll“ sind; der Spoofing-Absender kennt möglicherweise nicht unbedingt echte Postfächer in der Zieldomäne.

Symptom

Sie erhalten eine E-Mail von jemandem, aber diese Person bestreitet, die E-Mail gesendet zu haben. Möglicherweise kann sie keinen übereinstimmenden Eintrag in ihrem Ordner für gesendete Nachrichten oder sogar in den E-Mail-Protokollen des sendenden Servers vorweisen.

Ursache

Der Domänenname des Absenders verfügt nicht über einen SPF-Eintrag (Sender Policy Framework), der Spoofing verhindert.

Diagnose

example.comSie können den SPF-Eintrag der Domäne mit diesem Befehl überprüfen :

nslookup -type=TXT example.com

Ersetzen Sie es example.comdurch den Domänennamen des Absenders. Möglicherweise wird ein Eintrag wie dieser angezeigt:

"v=spf1 +a +mx +ip4:127.0.0.1 -all"

Im obigen Beispiel

+abedeutet, dass die IP-Adresse(n) des A-Eintrags der Domäne das Senden von E-Mails im Namen dieser Domäne zulassen.
+mxbedeutet, die MX-Einträge der Domänen aufzulösen und diesen Domänen auch das Senden von E-Mails zu erlauben.
+ip4:127.0.0.1bedeutet, dass der IP-Adresse 127.0.0.1das Senden von E-Mails für diese Domäne gestattet wird.
-allbedeutet, dass allen anderen IP-Adressen das Senden von E-Mails für diese Domäne verweigert wird.

Wenn der Absender keinen SPF-Eintrag hat -all, akzeptieren empfangende Mailserver, die SPF validieren, möglicherweise gefälschte E-Mails, die von jedem hätten gesendet werden können.

Sie können den tatsächlichen Absender der E-Mail überprüfen, indem Sie die Received:Header in der bösartigen E-Mail lesen, die Sie erhalten haben. Die Received:Header sind in umgekehrter Reihenfolge der einzelnen Mailserver, die die E-Mail durchlaufen hat. Beachten Sie jedoch, dass die Header, die nicht von Ihrem Mailserver hinzugefügt wurden, gefälscht werden können. Der erste Received:von Ihrem Mail-Gateway hinzugefügte Header zeigt, woher die E-Mail kam. Beispiel:

Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
    by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.91)
    (envelope-from <[email protected]>)
    id 1gUudZ-00BGJx-L7
    for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600

Im obigen Beispiel kam die E-Mail von 40.107.81.54, das die SPF-Eintragprüfung ( "v=spf1 include:spf.protection.outlook.com -all") für die Domäne des Spamabsenders, , bestanden hat luxurylifestylereport.net, sodass die E-Mail akzeptiert wurde.

Alternativ können Sie, sofern Sie Zugriff auf die Logdateien des E-Mail-Servers haben, dort auch den Ursprung der E-Mail ablesen.

Auflösung

Der Postmaster des Absenders sollte einen SPF-Eintrag für seine Domäne konfigurieren, der Spammer daran hindert, die Domäne für E-Mails zu fälschen. Das können Sie nicht tun.

Bis der Postmaster dieses Problem behebt, können Sie versuchen, Ihre Anti-Spam-Einstellungen anzupassen, um E-Mails mit schädlichen Anhängen oder Spam-Inhalten zu blockieren.

Szenario 2 – E-Mail des Absenders kompromittiert

Dieses Szenario ist weniger wahrscheinlich, da Sie sagten, dass dieses Problem hin und wieder auftritt, aber jemand anderes hätte es in der Vergangenheit bemerken und melden müssen.

Symptom

Sie können den E-Mail-Headern entnehmen, dass die E-Mail von einer IP-Adresse stammt, die für die Domäne des Absenders zum Senden von E-Mails berechtigt ist.

Ursache

Der Mailserver unter der IP-Adresse oder ein Server, der darüber E-Mails versendet, wurde manipuliert. Der Hacker hat möglicherweise auch eine Kopie von Kontakten gefunden, die dem Absender bekannt sind, und versucht, diese per E-Mail zu erreichen, in der Hoffnung, jemanden zu finden, mit dem er in Kontakt treten kann.

Diagnose

Gleicher Prozess wie in Szenario 1

Auflösung

Der Postmaster des Absenders muss das E-Mail-System des Absenders stoppen und sichern. Das ist nichts, was Sie selbst tun können.

Bis der Postmaster dieses Problem behebt, können Sie versuchen, Ihre Anti-Spam-Einstellungen anzupassen, um E-Mails mit schädlichen Anhängen oder Spam-Inhalten zu blockieren.

Szenario 3 – Der empfangende Mailserver überprüft die SPF-Einträge nicht

Dieses Szenario ist weniger wahrscheinlich, da Spammer keine Ressourcen verschwenden möchten, um E-Mails für eine Domain zu fälschen, die sich bereits vor Spoofing schützt. Sie würden wahrscheinlich auch viele gefälschte E-Mails von anderen Domainnamen erhalten.

Symptom

Sie erhalten eine E-Mail von jemandem, aber diese Person kann beweisen, dass sie sie nicht gesendet hat. Tatsächlich kann jeder überprüfen, ob der SPF-Eintrag der Domäne richtig konfiguriert ist, aber die E-Mail, die Sie erhalten haben, kam von einer IP-Adresse, die durch den SPF-Eintrag der Domäne verboten ist.

Ursache

Ihr E-Mail-Server filtert gefälschte E-Mails nicht heraus.

Diagnose

Derselbe Prozess wie in Szenario 1, aber Sie können sehen, dass die IP-Adresse des Absenders die SPF-Prüfung nicht besteht.

Auflösung

Informationen zum Konfigurieren der SPF-Validierung finden Sie in der Dokumentation Ihres E-Mail-Servers.

Szenario 4 – E-Mail-Konto des Empfängers kompromittiert

Dieses Szenario ist weniger wahrscheinlich, da es lukrativer ist, die Tatsache, dass Sie kompromittiert wurden, vor sich selbst zu verbergen und den guten Ruf Ihrer E-Mail-Adresse zu nutzen, um Spam an andere zu versenden. Außerdem würde die böswillige Entität wahrscheinlich die Quell-E-Mail-Adresse diversifizieren.

Symptom

In Ihren Protokollen eingehender E-Mails wird die eingegangene E-Mail nicht angezeigt, oder die Kopfzeilen der empfangenen E-Mail sind unsinnig.

Ursache

Jemand hofft, mehr Zugriff auf Sie zu erhalten, indem er Malware-E-Mails in Ihr bereits kompromittiertes E-Mail-Konto einfügt, ohne tatsächlich E-Mails zu senden. E-Mails können über das IMAP-Protokoll hinzugefügt werden.

Diagnose

Überprüfen Sie die Protokolle Ihres Mailservers auf Authentifizierungen, die Sie nicht erkennen.

Auflösung

Ändern Sie das Passwort Ihres E-Mail-Kontos.

Answer 1

Das lässt sich schwer mit Sicherheit sagen, aber ich denke, das ist das wahrscheinlichste Szenario:

Der Domänenname des Absenders hat keineLichtschutzfaktorDatensatz, der einschränkt, welche IP-Adressen E-Mails für die Domäne senden dürfen.

Weitere mögliche Szenarien, die mir spontan einfallen, in absteigender Reihenfolge ihrer Wahrscheinlichkeit aus meiner Erfahrung:

Das E-Mail-Konto oder der E-Mail-Server des Absenders wurde kompromittiert und sendet Spam an auf dem Server bekannte Kontakte.
Der Domänenname des Absenders verfügt zwar über sinnvolle SPF-Einträge, die Anti-Spam-Software Ihres Mailservers sucht jedoch nicht nach gefälschten E-Mails.
Ihr Mailserver oder Ihr Konto wurde kompromittiert und ein Malware-Verteiler verwendet Ihre Kontaktliste, um Malware-E-Mails in Ihren Posteingang zu platzieren.

Szenario 1 – Absender-SPF falsch konfiguriert

Dies ist das wahrscheinlichste Szenario, da Sie inein Update zu deiner Fragedass die E-Mail-Adressen der Absender „phantasievoll“ sind; der Spoofing-Absender kennt möglicherweise nicht unbedingt echte Postfächer in der Zieldomäne.

Symptom

Sie erhalten eine E-Mail von jemandem, aber diese Person bestreitet, die E-Mail gesendet zu haben. Möglicherweise kann sie keinen übereinstimmenden Eintrag in ihrem Ordner für gesendete Nachrichten oder sogar in den E-Mail-Protokollen des sendenden Servers vorweisen.

Ursache

Der Domänenname des Absenders verfügt nicht über einen SPF-Eintrag (Sender Policy Framework), der Spoofing verhindert.

Diagnose

example.comSie können den SPF-Eintrag der Domäne mit diesem Befehl überprüfen :

nslookup -type=TXT example.com

Ersetzen Sie es example.comdurch den Domänennamen des Absenders. Möglicherweise wird ein Eintrag wie dieser angezeigt:

"v=spf1 +a +mx +ip4:127.0.0.1 -all"

Im obigen Beispiel

+abedeutet, dass die IP-Adresse(n) des A-Eintrags der Domäne das Senden von E-Mails im Namen dieser Domäne zulassen.
+mxbedeutet, die MX-Einträge der Domänen aufzulösen und diesen Domänen auch das Senden von E-Mails zu erlauben.
+ip4:127.0.0.1bedeutet, dass der IP-Adresse 127.0.0.1das Senden von E-Mails für diese Domäne gestattet wird.
-allbedeutet, dass allen anderen IP-Adressen das Senden von E-Mails für diese Domäne verweigert wird.

Wenn der Absender keinen SPF-Eintrag hat -all, akzeptieren empfangende Mailserver, die SPF validieren, möglicherweise gefälschte E-Mails, die von jedem hätten gesendet werden können.

Sie können den tatsächlichen Absender der E-Mail überprüfen, indem Sie die Received:Header in der bösartigen E-Mail lesen, die Sie erhalten haben. Die Received:Header sind in umgekehrter Reihenfolge der einzelnen Mailserver, die die E-Mail durchlaufen hat. Beachten Sie jedoch, dass die Header, die nicht von Ihrem Mailserver hinzugefügt wurden, gefälscht werden können. Der erste Received:von Ihrem Mail-Gateway hinzugefügte Header zeigt, woher die E-Mail kam. Beispiel:

Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
    by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.91)
    (envelope-from <[email protected]>)
    id 1gUudZ-00BGJx-L7
    for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600

Im obigen Beispiel kam die E-Mail von 40.107.81.54, das die SPF-Eintragprüfung ( "v=spf1 include:spf.protection.outlook.com -all") für die Domäne des Spamabsenders, , bestanden hat luxurylifestylereport.net, sodass die E-Mail akzeptiert wurde.

Alternativ können Sie, sofern Sie Zugriff auf die Logdateien des E-Mail-Servers haben, dort auch den Ursprung der E-Mail ablesen.

Auflösung

Der Postmaster des Absenders sollte einen SPF-Eintrag für seine Domäne konfigurieren, der Spammer daran hindert, die Domäne für E-Mails zu fälschen. Das können Sie nicht tun.

Bis der Postmaster dieses Problem behebt, können Sie versuchen, Ihre Anti-Spam-Einstellungen anzupassen, um E-Mails mit schädlichen Anhängen oder Spam-Inhalten zu blockieren.

Szenario 2 – E-Mail des Absenders kompromittiert

Dieses Szenario ist weniger wahrscheinlich, da Sie sagten, dass dieses Problem hin und wieder auftritt, aber jemand anderes hätte es in der Vergangenheit bemerken und melden müssen.

Symptom

Sie können den E-Mail-Headern entnehmen, dass die E-Mail von einer IP-Adresse stammt, die für die Domäne des Absenders zum Senden von E-Mails berechtigt ist.

Ursache

Der Mailserver unter der IP-Adresse oder ein Server, der darüber E-Mails versendet, wurde manipuliert. Der Hacker hat möglicherweise auch eine Kopie von Kontakten gefunden, die dem Absender bekannt sind, und versucht, diese per E-Mail zu erreichen, in der Hoffnung, jemanden zu finden, mit dem er in Kontakt treten kann.

Diagnose

Gleicher Prozess wie in Szenario 1

Auflösung

Der Postmaster des Absenders muss das E-Mail-System des Absenders stoppen und sichern. Das ist nichts, was Sie selbst tun können.

Bis der Postmaster dieses Problem behebt, können Sie versuchen, Ihre Anti-Spam-Einstellungen anzupassen, um E-Mails mit schädlichen Anhängen oder Spam-Inhalten zu blockieren.

Szenario 3 – Der empfangende Mailserver überprüft die SPF-Einträge nicht

Dieses Szenario ist weniger wahrscheinlich, da Spammer keine Ressourcen verschwenden möchten, um E-Mails für eine Domain zu fälschen, die sich bereits vor Spoofing schützt. Sie würden wahrscheinlich auch viele gefälschte E-Mails von anderen Domainnamen erhalten.

Symptom

Sie erhalten eine E-Mail von jemandem, aber diese Person kann beweisen, dass sie sie nicht gesendet hat. Tatsächlich kann jeder überprüfen, ob der SPF-Eintrag der Domäne richtig konfiguriert ist, aber die E-Mail, die Sie erhalten haben, kam von einer IP-Adresse, die durch den SPF-Eintrag der Domäne verboten ist.

Ursache

Ihr E-Mail-Server filtert gefälschte E-Mails nicht heraus.

Diagnose

Derselbe Prozess wie in Szenario 1, aber Sie können sehen, dass die IP-Adresse des Absenders die SPF-Prüfung nicht besteht.

Auflösung

Informationen zum Konfigurieren der SPF-Validierung finden Sie in der Dokumentation Ihres E-Mail-Servers.

Szenario 4 – E-Mail-Konto des Empfängers kompromittiert

Dieses Szenario ist weniger wahrscheinlich, da es lukrativer ist, die Tatsache, dass Sie kompromittiert wurden, vor sich selbst zu verbergen und den guten Ruf Ihrer E-Mail-Adresse zu nutzen, um Spam an andere zu versenden. Außerdem würde die böswillige Entität wahrscheinlich die Quell-E-Mail-Adresse diversifizieren.

Symptom

In Ihren Protokollen eingehender E-Mails wird die eingegangene E-Mail nicht angezeigt, oder die Kopfzeilen der empfangenen E-Mail sind unsinnig.

Ursache

Jemand hofft, mehr Zugriff auf Sie zu erhalten, indem er Malware-E-Mails in Ihr bereits kompromittiertes E-Mail-Konto einfügt, ohne tatsächlich E-Mails zu senden. E-Mails können über das IMAP-Protokoll hinzugefügt werden.

Diagnose

Überprüfen Sie die Protokolle Ihres Mailservers auf Authentifizierungen, die Sie nicht erkennen.

Auflösung

Ändern Sie das Passwort Ihres E-Mail-Kontos.

Szenario 1 – Absender-SPF falsch konfiguriert

Antwort1

Szenario 1 – Absender-SPF falsch konfiguriert

Symptom

Ursache

Diagnose

Auflösung

Szenario 2 – E-Mail des Absenders kompromittiert

Symptom

Ursache

Diagnose

Auflösung

Szenario 3 – Der empfangende Mailserver überprüft die SPF-Einträge nicht

Symptom

Ursache

Diagnose

Auflösung

Szenario 4 – E-Mail-Konto des Empfängers kompromittiert

Symptom

Ursache

Diagnose

Auflösung

verwandte Informationen