18
Hat da die Bank Probleme?
Moin Leute,
FYI:
nachdem ich heute so meine SPAM-Meldungen von den Usern durchgearbeitet habe ist mich doch glatt ein Schmankerl untergekommen:
Der Header seitens ING ist Korrekt, sowie die Mailadresse....
Das SPAM-Training meiner User macht sich langsam bezahlt.
Grüße
FYI:
nachdem ich heute so meine SPAM-Meldungen von den Usern durchgearbeitet habe ist mich doch glatt ein Schmankerl untergekommen:
Der Header seitens ING ist Korrekt, sowie die Mailadresse....
Das SPAM-Training meiner User macht sich langsam bezahlt.
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5184654373
Url: https://administrator.de/contentid/5184654373
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
18 Kommentare
Neuester Kommentar
Moin,
kannst du den Mail-Header hier posten? Natürlich ohne Zieladressen und Namen.
kannst du den Mail-Header hier posten? Natürlich ohne Zieladressen und Namen.
Header wär interessant. Denke aber, dass es doch nur Spoofing ist.
Date: Fri, 12 Jul 2024 02:36:21 +0200
From: ING-DiBa <noreply@ing.de>
Reply-To: <noreply@ing.de>
Subject: =?UTF-8?Q?[ACHTUNG:_VERD=C3=84CHTIGER_ABSENDER]_Wichtig:_I?=
=?UTF-8?Q?hr_Konto_unterliegt_einer_Identit=C3=A4tspr=C3=BCfung?=
Message-ID: <dfc3174655fb558de20a65bdb7a9e5a1@ing.de>
Content-Type: multipart/alternative;
boundary="12ca59a514ad9cd5b7f5099acc89cef09"
Content-Transfer-Encoding: 8bit
From: ING-DiBa <noreply@ing.de>
Reply-To: <noreply@ing.de>
Subject: =?UTF-8?Q?[ACHTUNG:_VERD=C3=84CHTIGER_ABSENDER]_Wichtig:_I?=
=?UTF-8?Q?hr_Konto_unterliegt_einer_Identit=C3=A4tspr=C3=BCfung?=
Message-ID: <dfc3174655fb558de20a65bdb7a9e5a1@ing.de>
Content-Type: multipart/alternative;
boundary="12ca59a514ad9cd5b7f5099acc89cef09"
Content-Transfer-Encoding: 8bit
Hey,
kannst du mal einen kompletten Auszug des Headers zeigen? Wäre ja interessant zu sehen, wo diese Mail herkommt.. Also inkl. des versendenen Servers...
Ich finde es ansich schon problematisch, wenn man sich ansieht wieviele SPF Records für die Domain hinterlegt sind, wer weiß was hinter all den IP's steckt und wer dort ###e bauen könnte...
Spannend dazu war Ende letzten Jahres das Thema SMTP Smuggeling
Alternativ kann es natürlic auch sein, dass deine Spamerkennung nicht sauber arbeitet :D
grüße
kannst du mal einen kompletten Auszug des Headers zeigen? Wäre ja interessant zu sehen, wo diese Mail herkommt.. Also inkl. des versendenen Servers...
Ich finde es ansich schon problematisch, wenn man sich ansieht wieviele SPF Records für die Domain hinterlegt sind, wer weiß was hinter all den IP's steckt und wer dort ###e bauen könnte...
Spannend dazu war Ende letzten Jahres das Thema SMTP Smuggeling
Alternativ kann es natürlic auch sein, dass deine Spamerkennung nicht sauber arbeitet :D
grüße
Date: Fri, 12 Jul 2024 02:36:21 +0200
From: ING-DiBa <noreply@ing.de>
Reply-To: <noreply@ing.de>
Das ist nur das was im Brief steht das kann jeder faken, interessant ist das was auf dem Umschlag steht .... DKIM, SPF, envelope-fromFrom: ING-DiBa <noreply@ing.de>
Reply-To: <noreply@ing.de>
2
Kompletten Header kann ich nicht rausrücken, hier sind zu viele Firmen & Personendaten hinterlegt, hier sollte der Absender ersichtlich sein:
Received-SPF: softfail receiver=; client-ip=103.161.133.33; envelope-from=<www-data@superencontre.com>; helo=mx1.mail.ovh.net;
Received: from mx1.mail.ovh.net (unknown [103.161.133.33])
smtp.mailfrom=www-data@superencontre.com; dkim=none; dmarc=fail (recordpolicy=reject) header.from=ing.de
OK, klare Sache das, gehacktes/misbrauchtes Konto in der OVH cloud, nix mit "Bank hat Probleme" 😉
1
Moin,
Die Header von solchen Mails sind nie korrekt. Aber Du hat ja nur Headerzeilen zitiert. die überhaupt nicht aussagekräftig sind.
Wichtig sind die received-Zeilen
lks
PS: wenn man schon SPF auswertet, sollte man es korrekt machen.
Die Header von solchen Mails sind nie korrekt. Aber Du hat ja nur Headerzeilen zitiert. die überhaupt nicht aussagekräftig sind.
Wichtig sind die received-Zeilen
lks
PS: wenn man schon SPF auswertet, sollte man es korrekt machen.
Zitat von @13676056485:
OK, klare Sache das, gehacktes/misbrauchtes Konto in der OVH cloud.
OK, klare Sache das, gehacktes/misbrauchtes Konto in der OVH cloud.
und dass der Mailserver von @MrHeisenberg offenbar den SPF als Softfail zuordnet, obwohl der SPF-Record von ING eigentlich Hardfail empfiehlt/vorgibt...
So würde ich zumindest den einsamen Logeintrag verstehen. Bissl mehr drum zu wäre zum Verständnis einfacher
PS: wenn man schon SPF auswertet, sollte man es korrekt machen.
Naja da dort unser Spamfilter sowie die Sophos CloudID drinnen steht und noch die Servernamen werde ich alles was nicht da rein gehört rausnehmen oder schwärzen
So würde ich zumindest den einsamen Logeintrag verstehen. Bissl mehr drum zu wäre zum Verständnis einfacher
und genau da ist die Krux, es sind sonnst überall Rückschlüsse auf unsere SophosID sowie Mailserver vorhanden.... und die nehme ich natürlich raus
Ich kenne Sophos leider zu wenig, aber ich nehme mal an, dass die eure E-Mails entgegen nimmt und entsprechend den SPF-Record auswertet. Ich würde dort in den Einstellungen mal schauen ob es irgendwelche Optionen zur SPF-Auswertung gibt und ob dort die Vorgaben der Domaininhaber/DNS-Provider überschrieben werden und aus einem eigentlichen Hardfail ein Softfail gemacht wird.
Ggf. könntest du dich ja auch mit der ING Mail an den Sophos Support wenden
Schönes Wochenende
Michael
Ggf. könntest du dich ja auch mit der ING Mail an den Sophos Support wenden
Schönes Wochenende
Michael
Moin,
Andererseits: wenn Domains in header-From und envelope-From nicht übereinstimmen, ist in den meisten Fällen sowieso was faul. Damit entlarvt man die meisten Spam-Mails die vortäuschen von Banken oder online-shops zu kommen recht zuverlässig.
Und spf greift i.d.R. nur auf die envelope-Angabe.
lks
Andererseits: wenn Domains in header-From und envelope-From nicht übereinstimmen, ist in den meisten Fällen sowieso was faul. Damit entlarvt man die meisten Spam-Mails die vortäuschen von Banken oder online-shops zu kommen recht zuverlässig.
Und spf greift i.d.R. nur auf die envelope-Angabe.
lks
Hoi,
envelope-from=<www-data@superencontre.com>
das reicht als Info ....
grüße
envelope-from=<www-data@superencontre.com>
das reicht als Info ....
grüße
Die Wörter "Wichtig" und "Identitätsprüfung" im Betreff im Zusammenhang einer Bank sagt heutzutage eigentlich schon genug da muss ich noch nicht mal mehr in den Header schauen. Keine seriöse Bank fordert eine Identitätsüberprüfung per Mail an ...
Zitat von @13676056485:
Die Wörter "Wichtig" und "Identitätsprüfung" im Betreff im Zusammenhang einer Bank sagt heutzutage eigentlich schon genug da muss ich noch nicht mal mehr in den Header schauen. Keine seriöse Bank fordert eine Identitätsüberprüfung per Mail an ...
Die Wörter "Wichtig" und "Identitätsprüfung" im Betreff im Zusammenhang einer Bank sagt heutzutage eigentlich schon genug da muss ich noch nicht mal mehr in den Header schauen. Keine seriöse Bank fordert eine Identitätsüberprüfung per Mail an ...
aber wie viele deiner User wissen dass?
Wenn es nicht genug Leute gäbe welche auf sowas "reinfallen" würd es diese Versuche nicht mehr geben
Eher die Frage wer weiß es heute noch nicht. Das gehört eigentlich heute eigentlich schon zum Grundwissen, in den Medien heutzutage überall nachzulesen.
Wenn es nicht genug Leute gäbe welche auf sowas "reinfallen" würd es diese Versuche nicht mehr geben
Die Leute wird es immer geben. Genauso wie es weiterhin Leute geben wird die Bild lesen und jeden Link anklicken der nicht bei 3 auf den Bäumen ist. Die haben es dann nicht anders verdient :-P.Zitat von @13676056485:
Eher die Frage wer weiß es heute noch nicht. Das gehört eigentlich heute eigentlich schon zum Grundwissen, in den Medien heutzutage überall nachzulesen.
Eher die Frage wer weiß es heute noch nicht. Das gehört eigentlich heute eigentlich schon zum Grundwissen, in den Medien heutzutage überall nachzulesen.
Ich glaube du gehst hier zu sehr von dir aus, natürlich MUSS jemand der in der IT arbeitet diese Dinge wissen, nur wenn ich mir meine User anschaue wenn die in die Firma kommen, dann sind hier gigantische Wissenslücken, und ich als Sysadmin kann nicht verlangen dass er alles über SPAM usw. kann, wenn ich von dem ausgehen würde, hätte ich bei uns eine trügerische Ruhe.
Wenn es nicht genug Leute gäbe welche auf sowas "reinfallen" würd es diese Versuche nicht mehr geben
Die Leute wird es immer geben. Genauso wie es weiterhin Leute geben wird die Bild lesen und jeden Link anklicken der nicht bei 3 auf den Bäumen ist. Die haben es dann nicht anders verdient :-P.Verdient hat es keiner
siehe oben, alleine der Wissensstand, wenn ein Admin auf sowas reinfällt, ja der hats verdient, aber nicht der IT-Azubi in der ersten Woche.
