Mail aus eigener Domain kommt von aussen durch trotz SPF und ändert Absender

Hallo zusammen,

ich habe heute diese nette Mail bekommen, von wegen Paßwort Pornoseite Webcam Erpressung usw.

Mail-Eingang: MX01 - Postfix mit SPF-Check => 2tes Postfix mit gleichem Filtern => Exchange 2013

Geht um die Domain: xt600.de
Dort ist gesetzt: v=spf1 a mx -all

Dennoch kommt die Mail angeblich von mir selbst. Wie funktioniert das ?
Zeile 24 im 2ten Log ist meine Absenderadresse.

Liegt hier der Trick darin, in Zeile 2 vom Postfix-Log Reciever UNKNOWN mitzugeben und später im Mailheader dann erst das From und To zu setzen ?

Hier der Maileingang am ersten Postfix:

May 15 02:11:43 www postfix/smtpd[30289]: connect from correo.iglesiadeasturias.org[212.89.10.133]
May 15 02:11:43 www policyd-spf[30291]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=212.89.10.133; helo=correo.iglesiadeasturias.org; envelope-from=estahora@iglesiadeasturias.org; receiver=<UNKNOWN>
May 15 02:11:43 www postfix/smtpd[30289]: C2DF37F0F4: client=correo.iglesiadeasturias.org[212.89.10.133]
May 15 02:11:44 www postfix/cleanup[30359]: C2DF37F0F4: message-id=<271728849.8655171019.54500397564833.JavaMail.app@7rlkxf-app11439.iglesiadeasturias.org>
May 15 02:11:44 www postfix/qmgr[914]: C2DF37F0F4: from=<estahora@iglesiadeasturias.org>, size=266863, nrcpt=1 (queue active)
May 15 02:11:44 www postfix/smtpd[30289]: disconnect from correo.iglesiadeasturias.org[212.89.10.133] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
May 15 02:11:44 www postfix/smtp[30360]: C2DF37F0F4: to=<ich@xt600.de>, relay=S-V-Exchange.meinedomain.tld[93.207.30.42]:25, delay=1.1, delays=0.78/0.01/0.13/0.13, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 871442200A7)
May 15 02:11:44 www postfix/qmgr[914]: C2DF37F0F4: removed

Mailheader (geändert)

Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=212.89.10.133; helo=correo.iglesiadeasturias.org; envelope-from=estahora@iglesiadeasturias.org; receiver=<UNKNOWN> 
To: <ich@xt600.de>
Message-ID: <271728849.8655171019.54500397564833.JavaMail.app@7rlkxf-app11439.iglesiadeasturias.org>
From: <ich@xt600.de>               <<<=== Hier kommt dann meine Adresse.====>>>>
Content-Type: multipart/related;
	boundary="8j0z4abdca-628iwbtsp4-kvise7lcxe-v9o1vs07l2-93hq5j84yb"  
MIME-Version: 1.0
Subject: ich
Date: Wed, 15 May 2019 02:11:32 +0200
Abuse-Reports-To: abuse@mailer.iglesiadeasturias.org

Grüße, Henere

Edit: Rechtschreibfehler / Styling.

2. Edit:

This is the mail system at host www.meinedomain.tld.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.  

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

                   The mail system

<abuse@mailer.iglesiadeasturias.org>: unable to look up host
    mailer.iglesiadeasturias.org: Name or service not known

<abuse@mail.iglesiadeasturias.org>: host
    mail.iglesiadeasturias.org[212.89.10.133] said: 550 Requested action not
    taken: mailbox unavailable (in reply to RCPT TO command)

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 451206

Url: https://administrator.de/forum/mail-aus-eigener-domain-kommt-von-aussen-durch-trotz-spf-und-aendert-absender-451206.html

Ausgedruckt am: 12.05.2025 um 13:05 Uhr

6 Kommentare

Neuester Kommentar

Hallo Henre,

dein SPF Eintrag hat keine IP hinterlegt.

MFG

Hallo,

Der Fehler liegt (wie immer) im Detail!

Der Postfix Server checkt bei seiner Abfrage den envelope Absender (Mail From) ab, dieser ist estahora@iglesiadeasturias.org:

May 15 02:11:43 www policyd-spf[30291]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=212.89.10.133; helo=correo.iglesiadeasturias.org; envelope-from=estahora@iglesiadeasturias.org; receiver=<UNKNOWN>

Die Absenderdomain correo.iglesiadeasturias.org hat tatsächlich einen gültigen SPF-Eintrag:

iglesiadeasturias.org   text =
        "v=spf1 ip4:212.89.10.133 include:spf.profesionalhosting.com a:correo.iglesiadeasturias.org -all"  

Damit wird der SPF Check passed obwohl die Anzeige Adresse der E-Mail deine war.

Zitat von @drotschopf:

Hallo Henre,

dein SPF Eintrag hat keine IP hinterlegt.

MFG

Drotschopf, das ist ein Irrtum. Mit seinem Eintrag sind automatisch alle IP Adressen im SPF Eintrag umfasst, die im MX- und im A-Eintrag für xt600.de hinterlegt sind.

lG
Areanod

Moin.

was kann man machen um so etwas auszufiltern ?
Mir gehen so langsam die Ideen aus.

Drotschopf, das ist ein Irrtum. Mit seinem Eintrag sind automatisch alle IP Adressen im SPF Eintrag umfasst, die im MX- und im A-Eintrag für xt600.de hinterlegt sind.

lG
Areanod

Genau das. 2 MX Records für die Domain, und nur diese beiden dürfen als xt600.de senden.

Grüße, Henere

Mahlzeit,

Zitat von @Henere:
was kann man machen um so etwas auszufiltern ?
Mir gehen so langsam die Ideen aus.

Ich habe mir gerade mal das LOG meines AV/Antispam-Schutzes auf dem Exchange-Server angeschaut.
Dort sind allein in meiner kleinen Umgebung in den letzten paar Tagen mehrere Tausend SPAM-Mails abgewiesen worden.
Sehr viele von denen waren mit einem Absender aus meiner Mail-Domäne versehen und dem Betreff "Account gehackt" oder so ähnlich).
Letztes Jahr erhielt ich auch noch einige dieser SPAMs, seit einiger Zeit kommt nix mehr durch.

Als Schutz nutze ich Symantec Mailsecurity for Microsoft Exchange in der Version 7.9

Servus.
Ich hab noch nen ScanMail Exchange von Trendmicro auf dem Exchange. Aber ich würde das schon gerne am ersten MX stoppen.

So sieht das auf dem Postfix aus:

smtpd_sender_restrictions =

        permit_mynetworks,
        check_sender_access hash:/etc/postfix/sender_access,
        check_client_access hash:/etc/postfix/client_checks,
        permit_inet_interfaces,
        permit_mx_backup

smtpd_recipient_restrictions =

        check_sender_access hash:/etc/postfix/sender_access,
        check_client_access hash:/etc/postfix/client_checks,
        permit_mynetworks,
#       check_sender_access hash:/etc/postfix/sender_access,
        permit_sasl_authenticated,
        check_policy_service unix:private/policy-spf,
        reject_non_fqdn_sender,
        reject_invalid_hostname,
#        reject_non_fqdn_hostname,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
        permit_mynetworks,
        permit_inet_interfaces,
        reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client ix.dnsbl.manitu.net,
        reject_rbl_client bl.spamcop.net,
#        reject_rbl_client dnsbl.sorbs.net,
#        reject_rbl_client dnsbl.njabl.org,
        permit_mx_backup,
        check_relay_domains,

Grüße, Henere

Moin,

was kann man machen um so etwas auszufiltern ?
Mir gehen so langsam die Ideen aus.

Wir filtern inzwischen auch wenn Envelope und Header Form. Da nehmen zwar die Abweisungen teils massiv zu. Zum anderen bringt der Absender seine Konfiguration auf Vordermann.