Email Phishing
Hallo zusammen,
wir haben aktuell ein recht nerviges Problem. Ein Kollege aus einem anderen Land hat das Problem, dass dauerhaft Emails über seinen Account versendet werden. Angeblich über Microsoft Teams Chats.
Für mich sieht das aber nicht wirklich nach einer echtem Teams Nachricht aus. Zumal Teams ja eigentlich nur benachrichtigungen über email von deren no-reply email schickt als hinweis das man ungelesene Nachrichten hat.
Wie ist eure Einschätzung? Kann das wirklich über Teams sein?
Die Frage ist auch, wie geht man jetzt am besten vor? Passwort des Email Accounts wurde bereits geändert. Leider ohne Erfolg. Könnte es eine Art Keylogger auf dem Rechner des Kollegen sein der das neue Passwort direkt wieder mitgelesen hat?
Ich hoffe ich habt eine Idee wie man da jetzt am besten vorgeht.
Gruß Felix
wir haben aktuell ein recht nerviges Problem. Ein Kollege aus einem anderen Land hat das Problem, dass dauerhaft Emails über seinen Account versendet werden. Angeblich über Microsoft Teams Chats.
Für mich sieht das aber nicht wirklich nach einer echtem Teams Nachricht aus. Zumal Teams ja eigentlich nur benachrichtigungen über email von deren no-reply email schickt als hinweis das man ungelesene Nachrichten hat.
Wie ist eure Einschätzung? Kann das wirklich über Teams sein?
Die Frage ist auch, wie geht man jetzt am besten vor? Passwort des Email Accounts wurde bereits geändert. Leider ohne Erfolg. Könnte es eine Art Keylogger auf dem Rechner des Kollegen sein der das neue Passwort direkt wieder mitgelesen hat?
Ich hoffe ich habt eine Idee wie man da jetzt am besten vorgeht.
Gruß Felix
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2767620037
Url: https://administrator.de/forum/email-phishing-2767620037.html
Ausgedruckt am: 22.12.2024 um 01:12 Uhr
21 Kommentare
Neuester Kommentar
Servus,
schau mal im Header nach dem "echten" Absender.
schau mal im Header nach dem "echten" Absender.
Zitat von @itzwich:
Ich selbst habe die Mail nicht bekommen. Mir wurde das nur so weitergeleitet von jmd der diese mail bekommen hat. Kann man das dann trotzdem nachschauen?
Ich selbst habe die Mail nicht bekommen. Mir wurde das nur so weitergeleitet von jmd der diese mail bekommen hat. Kann man das dann trotzdem nachschauen?
Was sagt denn euer Admin-Team dazu?
Die sollten ja in der Lage sein an den richtigen Stellen nachzuschauen.
Zitat von @itzwich:
dazu muss ich die email aber ja doch selbst bekommen haben wenn mir die nur jemand weiter geleitet hat, kann ich ja nur die IP des weiterleitenden Servers sehen.
Zitat von @Lochkartenstanzer:
Moin,
Einfach in den Received-headern schauen, über welchen Weg die Mail gegangen ist. Dann weiß man, ob das aus Eruren Systemen kommt oder jemand vorgibt, Ihr zu sein.
lks
Moin,
Einfach in den Received-headern schauen, über welchen Weg die Mail gegangen ist. Dann weiß man, ob das aus Eruren Systemen kommt oder jemand vorgibt, Ihr zu sein.
lks
dazu muss ich die email aber ja doch selbst bekommen haben wenn mir die nur jemand weiter geleitet hat, kann ich ja nur die IP des weiterleitenden Servers sehen.
Lass dir die Mails als Anhang schicken.
Ist es möglich das jmd über einen eigenen Mail Server Emails in einem anderen Namen verschickt
ja na klar. Genau dagegen setzt man SPF/DKIM (oder auch S/MIME Signaturen) einbzw. diese dann über unseren mail Server an die Empfänger weiter geleitet werden?
Wenn euer Relaying falsch konfiguriert ist wäre das theoretisch möglich, ja(wenn man kein SPF/DKIM konfiguriert hat)
Das hat mit Relaying nix zu tun.Wenn ein Mailserver Mails für andere Domains als seine eigenen annimmt und diese dann weiterleitet. Machen z.B. smarthosts so.
lks
Moin
du kannst bei den E-Mail-Adressen alles mögliche reinschreiben, dafür gibts doch eben SPF .. DKIM.. Angela Merkel braucht Sie ... echt ehrlich jetzt ! Oder so. Laut Kollegen von SemperVideo
https://www.youtube.com/watch?v=-03cKyiWhVE
Was noch ein Indiz sein könnte.. wohin wird denn gelinkt? Siehste ja vorher bzw. im Quelltext.
Trommel
du kannst bei den E-Mail-Adressen alles mögliche reinschreiben, dafür gibts doch eben SPF .. DKIM.. Angela Merkel braucht Sie ... echt ehrlich jetzt ! Oder so. Laut Kollegen von SemperVideo
https://www.youtube.com/watch?v=-03cKyiWhVE
Was noch ein Indiz sein könnte.. wohin wird denn gelinkt? Siehste ja vorher bzw. im Quelltext.
Trommel
Zitat von @itzwich:
Was ist denn eigentlich, wenn ich einen Mailserver aufsetzte und diesem sag er ist jetzt jemand anderes und dort dann SPF einrichte und sage dieser Server ist berechtigt? Oder funktioniert das nicht
Was ist denn eigentlich, wenn ich einen Mailserver aufsetzte und diesem sag er ist jetzt jemand anderes und dort dann SPF einrichte und sage dieser Server ist berechtigt? Oder funktioniert das nicht
Das ist unabhängig.
Du kannst einem Mail-Server sagen wer, mit welchem Absender an wen Mails versenden darf.
Über SPF kannst Du feststellen ob ein bestimmter Server für eine Domänes versenden darf.
Dazu muss SPF zur Domäne in deren DNS-Einstellungen konfiguriert sein und der empfangende Server muss dies überprüfen.
Emails sind wie Postkarten.
Jeder kann eine mit beliebigen Absender einwerfen.
Stefan
... dort dann SPF einrichte ...
Lies dich mal ein, was SPF ist (https://en.wikipedia.org/wiki/Sender_Policy_Framework) und wo/wer das einrichtet.und ja ich kann einen Server, egal wo auf dieser Welt, einrichten der mit der Domain "...@bundesregierung.de" versendet. Aber den SPF/DKIM Record dazu, kann nur derjenige der Zugriff auf die zugehörige DNS-Zone hat. (sonst wäre das ganze ja Witzlos)
Uff - also bei allem Verständnis: Was kommt raus wenn du nen Mailserver aufsetzt? Grosse Grütze.
Sorry, das was du fragst ist wirklich basiswissen - und das du dir den Header der ORIGINALMAIL angucken musst um zu sehen ob der überhaupt von euch kommt ist auch kein Geheimnis. Genausowenig wie ich natürlich meinem Server auch sagen kann er darf Mails mit Absender "ich_bin_gott@kirche.org" versenden. Die wird zwar in 99% der Spamfilter gefressen, aber scheinbar wenn die bei dir ankommt wirst du mich anbeten und mir all dein Geld überweisen (falls du das nicht schon an den Rechtsanwalt deines Nigerianischen Opas geschickt hast damit er dir die Erbschaft von mehreren Mio USD überweisen kann).
Ich würde dir empfehlen das ganze mit eurem Admin zu besprechen - und wenn DU für den mailserver verantwortlich bist würde ich empfehlen da nen Dienstleister anzurufen...
Sorry, das was du fragst ist wirklich basiswissen - und das du dir den Header der ORIGINALMAIL angucken musst um zu sehen ob der überhaupt von euch kommt ist auch kein Geheimnis. Genausowenig wie ich natürlich meinem Server auch sagen kann er darf Mails mit Absender "ich_bin_gott@kirche.org" versenden. Die wird zwar in 99% der Spamfilter gefressen, aber scheinbar wenn die bei dir ankommt wirst du mich anbeten und mir all dein Geld überweisen (falls du das nicht schon an den Rechtsanwalt deines Nigerianischen Opas geschickt hast damit er dir die Erbschaft von mehreren Mio USD überweisen kann).
Ich würde dir empfehlen das ganze mit eurem Admin zu besprechen - und wenn DU für den mailserver verantwortlich bist würde ich empfehlen da nen Dienstleister anzurufen...
Wenn der TO statt 100 Basiswissen Fragen zu stellen sich einmal nur den Mailheader von dem Kollegen zeigen lassen würde (Screenshot) wären wir alle weiter.
Absender IP dann mal in einen IP Tracker eingeben dann wären wir alle schlauer...
Absender IP dann mal in einen IP Tracker eingeben dann wären wir alle schlauer...