mrheisenberg
Jul 12, 2024
view1712
view18
0
Goto Top

Hat da die Bank Probleme?

GermanGeneralDetection, blocking
Moin Leute,

FYI:

nachdem ich heute so meine SPAM-Meldungen von den Usern durchgearbeitet habe ist mich doch glatt ein Schmankerl untergekommen:

lhklhk


Der Header seitens ING ist Korrekt, sowie die Mailadresse....


Das SPAM-Training meiner User macht sich langsam bezahlt.


Grüße
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 5184654373

Url: https://administrator.de/contentid/5184654373

Printed on: July 27, 2024 at 12:07 o'clock

18 Comments
Latest comment
Goto Top
Member: DerMaddin
DerMaddin Jul 12, 2024 at 06:09:06 (UTC)
Goto Top
Moin,

kannst du den Mail-Header hier posten? Natürlich ohne Zieladressen und Namen.
Member: kpunkt
kpunkt Jul 12, 2024 at 06:12:24 (UTC)
Goto Top
Header wär interessant. Denke aber, dass es doch nur Spoofing ist.
Member: MrHeisenberg
MrHeisenberg Jul 12, 2024 at 06:14:02 (UTC)
Goto Top
Date: Fri, 12 Jul 2024 02:36:21 +0200
From: ING-DiBa <noreply@ing.de>
Reply-To: <noreply@ing.de>
Subject: =?UTF-8?Q?[ACHTUNG:_VERD=C3=84CHTIGER_ABSENDER]_Wichtig:_I?=
=?UTF-8?Q?hr_Konto_unterliegt_einer_Identit=C3=A4tspr=C3=BCfung?=
Message-ID: <dfc3174655fb558de20a65bdb7a9e5a1@ing.de>
Content-Type: multipart/alternative;
boundary="12ca59a514ad9cd5b7f5099acc89cef09"
Content-Transfer-Encoding: 8bit


screenshot 2024-07-12 081001
Member: Michi91
Michi91 Jul 12, 2024 updated at 06:36:20 (UTC)
Goto Top
Hey,
kannst du mal einen kompletten Auszug des Headers zeigen? Wäre ja interessant zu sehen, wo diese Mail herkommt.. Also inkl. des versendenen Servers...

Ich finde es ansich schon problematisch, wenn man sich ansieht wieviele SPF Records für die Domain hinterlegt sind, wer weiß was hinter all den IP's steckt und wer dort ###e bauen könnte...

Spannend dazu war Ende letzten Jahres das Thema SMTP Smuggeling

Alternativ kann es natürlic auch sein, dass deine Spamerkennung nicht sauber arbeitet :D

grüße
Mitglied: 13676056485
13676056485 Jul 12, 2024 updated at 06:21:22 (UTC)
Goto Top
Date: Fri, 12 Jul 2024 02:36:21 +0200
From: ING-DiBa <noreply@ing.de>
Reply-To: <noreply@ing.de>
Das ist nur das was im Brief steht das kann jeder faken, interessant ist das was auf dem Umschlag steht .... DKIM, SPF, envelope-from
heart2
Member: MrHeisenberg
MrHeisenberg Jul 12, 2024 updated at 06:25:22 (UTC)
Goto Top
Kompletten Header kann ich nicht rausrücken, hier sind zu viele Firmen & Personendaten hinterlegt, hier sollte der Absender ersichtlich sein:

Received-SPF: softfail receiver=; client-ip=103.161.133.33; envelope-from=<www-data@superencontre.com>; helo=mx1.mail.ovh.net;

Received: from mx1.mail.ovh.net (unknown [103.161.133.33])

smtp.mailfrom=www-data@superencontre.com; dkim=none; dmarc=fail (recordpolicy=reject) header.from=ing.de
Mitglied: 13676056485
13676056485 Jul 12, 2024 updated at 06:24:39 (UTC)
Goto Top
OK, klare Sache das, gehacktes/misbrauchtes Konto in der OVH cloud, nix mit "Bank hat Probleme" 😉
heart1
Member: Lochkartenstanzer
Lochkartenstanzer Jul 12, 2024 updated at 06:31:04 (UTC)
Goto Top
Moin,

Die Header von solchen Mails sind nie korrekt. Aber Du hat ja nur Headerzeilen zitiert. die überhaupt nicht aussagekräftig sind.

Wichtig sind die received-Zeilen

lks

PS: wenn man schon SPF auswertet, sollte man es korrekt machen. face-smile
Member: Michi91
Michi91 Jul 12, 2024 updated at 06:31:02 (UTC)
Goto Top
Zitat von @13676056485:

OK, klare Sache das, gehacktes/misbrauchtes Konto in der OVH cloud.

und dass der Mailserver von @MrHeisenberg offenbar den SPF als Softfail zuordnet, obwohl der SPF-Record von ING eigentlich Hardfail empfiehlt/vorgibt...

So würde ich zumindest den einsamen Logeintrag verstehen. Bissl mehr drum zu wäre zum Verständnis einfacher
Member: MrHeisenberg
MrHeisenberg Jul 12, 2024 at 06:37:51 (UTC)
Goto Top
PS: wenn man schon SPF auswertet, sollte man es korrekt machen. face-smile

Naja da dort unser Spamfilter sowie die Sophos CloudID drinnen steht und noch die Servernamen werde ich alles was nicht da rein gehört rausnehmen oder schwärzen face-wink
Member: MrHeisenberg
MrHeisenberg Jul 12, 2024 at 06:39:41 (UTC)
Goto Top
So würde ich zumindest den einsamen Logeintrag verstehen. Bissl mehr drum zu wäre zum Verständnis einfacher

und genau da ist die Krux, es sind sonnst überall Rückschlüsse auf unsere SophosID sowie Mailserver vorhanden.... und die nehme ich natürlich raus
Member: Michi91
Michi91 Jul 12, 2024 at 06:53:37 (UTC)
Goto Top
Ich kenne Sophos leider zu wenig, aber ich nehme mal an, dass die eure E-Mails entgegen nimmt und entsprechend den SPF-Record auswertet. Ich würde dort in den Einstellungen mal schauen ob es irgendwelche Optionen zur SPF-Auswertung gibt und ob dort die Vorgaben der Domaininhaber/DNS-Provider überschrieben werden und aus einem eigentlichen Hardfail ein Softfail gemacht wird.

Ggf. könntest du dich ja auch mit der ING Mail an den Sophos Support wenden face-smile

Schönes Wochenende
Michael
Member: Lochkartenstanzer
Lochkartenstanzer Jul 12, 2024 at 07:06:15 (UTC)
Goto Top
Moin,

Andererseits: wenn Domains in header-From und envelope-From nicht übereinstimmen, ist in den meisten Fällen sowieso was faul. Damit entlarvt man die meisten Spam-Mails die vortäuschen von Banken oder online-shops zu kommen recht zuverlässig.

Und spf greift i.d.R. nur auf die envelope-Angabe.

lks
Member: godlie
godlie Jul 12, 2024 at 08:04:28 (UTC)
Goto Top
Hoi,

envelope-from=<www-data@superencontre.com>

das reicht als Info ....


grüße
Mitglied: 13676056485
13676056485 Jul 12, 2024 updated at 08:47:14 (UTC)
Goto Top
Die Wörter "Wichtig" und "Identitätsprüfung" im Betreff im Zusammenhang einer Bank sagt heutzutage eigentlich schon genug da muss ich noch nicht mal mehr in den Header schauen. Keine seriöse Bank fordert eine Identitätsüberprüfung per Mail an ...
Member: MrHeisenberg
MrHeisenberg Jul 12, 2024 at 08:55:06 (UTC)
Goto Top
Zitat von @13676056485:

Die Wörter "Wichtig" und "Identitätsprüfung" im Betreff im Zusammenhang einer Bank sagt heutzutage eigentlich schon genug da muss ich noch nicht mal mehr in den Header schauen. Keine seriöse Bank fordert eine Identitätsüberprüfung per Mail an ...

aber wie viele deiner User wissen dass?
Wenn es nicht genug Leute gäbe welche auf sowas "reinfallen" würd es diese Versuche nicht mehr geben
Mitglied: 13676056485
13676056485 Jul 12, 2024 updated at 09:01:04 (UTC)
Goto Top
Zitat von @MrHeisenberg:
aber wie viele deiner User wissen dass?
Eher die Frage wer weiß es heute noch nicht. Das gehört eigentlich heute eigentlich schon zum Grundwissen, in den Medien heutzutage überall nachzulesen.
Wenn es nicht genug Leute gäbe welche auf sowas "reinfallen" würd es diese Versuche nicht mehr geben
Die Leute wird es immer geben. Genauso wie es weiterhin Leute geben wird die Bild lesen und jeden Link anklicken der nicht bei 3 auf den Bäumen ist. Die haben es dann nicht anders verdient :-P.
Member: MrHeisenberg
MrHeisenberg Jul 12, 2024 at 09:14:19 (UTC)
Goto Top
Zitat von @13676056485:

Zitat von @MrHeisenberg:
aber wie viele deiner User wissen dass?
Eher die Frage wer weiß es heute noch nicht. Das gehört eigentlich heute eigentlich schon zum Grundwissen, in den Medien heutzutage überall nachzulesen.

Ich glaube du gehst hier zu sehr von dir aus, natürlich MUSS jemand der in der IT arbeitet diese Dinge wissen, nur wenn ich mir meine User anschaue wenn die in die Firma kommen, dann sind hier gigantische Wissenslücken, und ich als Sysadmin kann nicht verlangen dass er alles über SPAM usw. kann, wenn ich von dem ausgehen würde, hätte ich bei uns eine trügerische Ruhe.

Wenn es nicht genug Leute gäbe welche auf sowas "reinfallen" würd es diese Versuche nicht mehr geben
Die Leute wird es immer geben. Genauso wie es weiterhin Leute geben wird die Bild lesen und jeden Link anklicken der nicht bei 3 auf den Bäumen ist. Die haben es dann nicht anders verdient :-P.

Verdient hat es keiner face-wink siehe oben, alleine der Wissensstand, wenn ein Admin auf sowas reinfällt, ja der hats verdient, aber nicht der IT-Azubi in der ersten Woche.
GermanGeneralDetection, blocking