Email Phishing

itzwich
Goto Top
Hallo zusammen,

wir haben aktuell ein recht nerviges Problem. Ein Kollege aus einem anderen Land hat das Problem, dass dauerhaft Emails über seinen Account versendet werden. Angeblich über Microsoft Teams Chats.

screenshot 2022-05-13 095133

Für mich sieht das aber nicht wirklich nach einer echtem Teams Nachricht aus. Zumal Teams ja eigentlich nur benachrichtigungen über email von deren no-reply email schickt als hinweis das man ungelesene Nachrichten hat.

Wie ist eure Einschätzung? Kann das wirklich über Teams sein?

Die Frage ist auch, wie geht man jetzt am besten vor? Passwort des Email Accounts wurde bereits geändert. Leider ohne Erfolg. Könnte es eine Art Keylogger auf dem Rechner des Kollegen sein der das neue Passwort direkt wieder mitgelesen hat?

Ich hoffe ich habt eine Idee wie man da jetzt am besten vorgeht.

Gruß Felix

Content-Key: 2767620037

Url: https://administrator.de/contentid/2767620037

Ausgedruckt am: 16.05.2022 um 15:05 Uhr

Mitglied: ArnoNymous
ArnoNymous 13.05.2022 um 09:57:46 Uhr
Goto Top
Moin,

seht ihr auf eurem Mailserver denn nicht, woher die Mail kommt?

Gruß
Mitglied: itzwich
itzwich 13.05.2022 um 10:03:11 Uhr
Goto Top
Meinst du von welchem Rechner die Mails verschickt werden?
Mitglied: MrCount
MrCount 13.05.2022 um 10:10:10 Uhr
Goto Top
Servus,

Zitat von @itzwich:

Meinst du von welchem Rechner die Mails verschickt werden?

schau mal im Header nach dem "echten" Absender.
Mitglied: itzwich
itzwich 13.05.2022 um 10:22:03 Uhr
Goto Top
Zitat von @MrCount:

Servus,

Zitat von @itzwich:

Meinst du von welchem Rechner die Mails verschickt werden?

schau mal im Header nach dem "echten" Absender.

Ich selbst habe die Mail nicht bekommen. Mir wurde das nur so weitergeleitet von jmd der diese mail bekommen hat. Kann man das dann trotzdem nachschauen?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.05.2022 um 10:22:38 Uhr
Goto Top
Moin,

Einfach in den Received-headern schauen, über welchen Weg die Mail gegangen ist. Dann weiß man, ob das aus Eruren Systemen kommt oder jemand vorgibt, Ihr zu sein.

lks
Mitglied: itzwich
itzwich 13.05.2022 um 10:35:57 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Einfach in den Received-headern schauen, über welchen Weg die Mail gegangen ist. Dann weiß man, ob das aus Eruren Systemen kommt oder jemand vorgibt, Ihr zu sein.

lks

dazu muss ich die email aber ja doch selbst bekommen haben wenn mir die nur jemand weiter geleitet hat, kann ich ja nur die IP des weiterleitenden Servers sehen.
Mitglied: MrCount
MrCount 13.05.2022 um 10:35:58 Uhr
Goto Top
Zitat von @itzwich:

Ich selbst habe die Mail nicht bekommen. Mir wurde das nur so weitergeleitet von jmd der diese mail bekommen hat. Kann man das dann trotzdem nachschauen?

Was sagt denn euer Admin-Team dazu?
Die sollten ja in der Lage sein an den richtigen Stellen nachzuschauen.
Mitglied: ArnoNymous
ArnoNymous 13.05.2022 um 10:40:31 Uhr
Goto Top
Zitat von @itzwich:

Zitat von @Lochkartenstanzer:

Moin,

Einfach in den Received-headern schauen, über welchen Weg die Mail gegangen ist. Dann weiß man, ob das aus Eruren Systemen kommt oder jemand vorgibt, Ihr zu sein.

lks

dazu muss ich die email aber ja doch selbst bekommen haben wenn mir die nur jemand weiter geleitet hat, kann ich ja nur die IP des weiterleitenden Servers sehen.

Lass dir die Mails als Anhang schicken.
Mitglied: SlainteMhath
SlainteMhath 13.05.2022 um 10:42:55 Uhr
Goto Top
Moin,

einfach SPF und DKIM für die Domain des Kollegen einrichten (lassen) und schon landen solche Mails im SPAM, vorrausgesetzt er hat keine Malware auf dem Rechner/Server die solche Mails über seine Infratruktur verschickt.

lg,
Slainte
Mitglied: itzwich
itzwich 13.05.2022 um 10:46:46 Uhr
Goto Top
Ist es möglich das jmd über einen eigenen Mail Server Emails in einem anderen Namen verschickt bzw. diese dann über unseren mail Server an die Empfänger weiter geleitet werden? (wenn man kein SPF/DKIM konfiguriert hat)
Mitglied: SlainteMhath
SlainteMhath 13.05.2022 um 10:57:29 Uhr
Goto Top
Ist es möglich das jmd über einen eigenen Mail Server Emails in einem anderen Namen verschickt
ja na klar. Genau dagegen setzt man SPF/DKIM (oder auch S/MIME Signaturen) ein

bzw. diese dann über unseren mail Server an die Empfänger weiter geleitet werden?
Wenn euer Relaying falsch konfiguriert ist wäre das theoretisch möglich, ja

(wenn man kein SPF/DKIM konfiguriert hat)
Das hat mit Relaying nix zu tun.
Mitglied: itzwich
itzwich 13.05.2022 um 11:00:42 Uhr
Goto Top
Zitat von @SlainteMhath:

Ist es möglich das jmd über einen eigenen Mail Server Emails in einem anderen Namen verschickt
ja na klar. Genau dagegen setzt man SPF/DKIM (oder auch S/MIME Signaturen) ein

bzw. diese dann über unseren mail Server an die Empfänger weiter geleitet werden?
Wenn euer Relaying falsch konfiguriert ist wäre das theoretisch möglich, ja

(wenn man kein SPF/DKIM konfiguriert hat)
Das hat mit Relaying nix zu tun.

Was genau ist Relaying?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.05.2022 um 11:09:02 Uhr
Goto Top
Zitat von @itzwich:

Was genau ist Relaying?

Wenn ein Mailserver Mails für andere Domains als seine eigenen annimmt und diese dann weiterleitet. Machen z.B. smarthosts so.

lks
Mitglied: Trommel
Trommel 13.05.2022 aktualisiert um 13:27:50 Uhr
Goto Top
Moin

du kannst bei den E-Mail-Adressen alles mögliche reinschreiben, dafür gibts doch eben SPF .. DKIM.. Angela Merkel braucht Sie ... echt ehrlich jetzt ! Oder so. Laut Kollegen von SemperVideo
https://www.youtube.com/watch?v=-03cKyiWhVE

Was noch ein Indiz sein könnte.. wohin wird denn gelinkt? Siehste ja vorher bzw. im Quelltext.

Trommel
Mitglied: SlainteMhath
SlainteMhath 13.05.2022 um 13:28:54 Uhr
Goto Top
Was genau ist Relaying?
Ufff. Naja ist Freitag :D
Mitglied: itzwich
itzwich 13.05.2022 um 14:04:47 Uhr
Goto Top
Zitat von @SlainteMhath:

Ist es möglich das jmd über einen eigenen Mail Server Emails in einem anderen Namen verschickt
ja na klar. Genau dagegen setzt man SPF/DKIM (oder auch S/MIME Signaturen) ein

bzw. diese dann über unseren mail Server an die Empfänger weiter geleitet werden?
Wenn euer Relaying falsch konfiguriert ist wäre das theoretisch möglich, ja

(wenn man kein SPF/DKIM konfiguriert hat)
Das hat mit Relaying nix zu tun.

Was ist denn eigentlich, wenn ich einen Mailserver aufsetzte und diesem sag er ist jetzt jemand anderes und dort dann SPF einrichte und sage dieser Server ist berechtigt? Oder funktioniert das nicht
Mitglied: StefanKittel
StefanKittel 13.05.2022 aktualisiert um 14:52:56 Uhr
Goto Top
Zitat von @itzwich:
Was ist denn eigentlich, wenn ich einen Mailserver aufsetzte und diesem sag er ist jetzt jemand anderes und dort dann SPF einrichte und sage dieser Server ist berechtigt? Oder funktioniert das nicht

Das ist unabhängig.

Du kannst einem Mail-Server sagen wer, mit welchem Absender an wen Mails versenden darf.

Über SPF kannst Du feststellen ob ein bestimmter Server für eine Domänes versenden darf.
Dazu muss SPF zur Domäne in deren DNS-Einstellungen konfiguriert sein und der empfangende Server muss dies überprüfen.

Emails sind wie Postkarten.
Jeder kann eine mit beliebigen Absender einwerfen.

Stefan
Mitglied: SlainteMhath
SlainteMhath 13.05.2022 um 14:43:29 Uhr
Goto Top
... dort dann SPF einrichte ...
Lies dich mal ein, was SPF ist (https://en.wikipedia.org/wiki/Sender_Policy_Framework) und wo/wer das einrichtet.

und ja ich kann einen Server, egal wo auf dieser Welt, einrichten der mit der Domain "...@bundesregierung.de" versendet. Aber den SPF/DKIM Record dazu, kann nur derjenige der Zugriff auf die zugehörige DNS-Zone hat. (sonst wäre das ganze ja Witzlos)
Mitglied: maretz
maretz 13.05.2022 um 18:48:16 Uhr
Goto Top
Uff - also bei allem Verständnis: Was kommt raus wenn du nen Mailserver aufsetzt? Grosse Grütze.
Sorry, das was du fragst ist wirklich basiswissen - und das du dir den Header der ORIGINALMAIL angucken musst um zu sehen ob der überhaupt von euch kommt ist auch kein Geheimnis. Genausowenig wie ich natürlich meinem Server auch sagen kann er darf Mails mit Absender "ich_bin_gott@kirche.org" versenden. Die wird zwar in 99% der Spamfilter gefressen, aber scheinbar wenn die bei dir ankommt wirst du mich anbeten und mir all dein Geld überweisen (falls du das nicht schon an den Rechtsanwalt deines Nigerianischen Opas geschickt hast damit er dir die Erbschaft von mehreren Mio USD überweisen kann).

Ich würde dir empfehlen das ganze mit eurem Admin zu besprechen - und wenn DU für den mailserver verantwortlich bist würde ich empfehlen da nen Dienstleister anzurufen...
Mitglied: LeReseau
LeReseau 13.05.2022 um 18:54:28 Uhr
Goto Top
Wenn der TO statt 100 Basiswissen Fragen zu stellen sich einmal nur den Mailheader von dem Kollegen zeigen lassen würde (Screenshot) wären wir alle weiter.
Absender IP dann mal in einen IP Tracker eingeben dann wären wir alle schlauer... :-( face-sad
Mitglied: ukulele-7
ukulele-7 16.05.2022 um 08:45:25 Uhr
Goto Top
Der TO sollte das einfach dem EMAIL ADMIN fragen. Offensichtlich ist er das nicht oder => Systemhaus.