Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mail aus eigener Domain kommt von aussen durch trotz SPF und ändert Absender

Mitglied: Henere

Henere (Level 3) - Jetzt verbinden

15.05.2019, aktualisiert 03:49 Uhr, 1485 Aufrufe, 6 Kommentare

Hallo zusammen,

ich habe heute diese nette Mail bekommen, von wegen Paßwort Pornoseite Webcam Erpressung usw.

Mail-Eingang: MX01 - Postfix mit SPF-Check => 2tes Postfix mit gleichem Filtern => Exchange 2013

Geht um die Domain: xt600.de
Dort ist gesetzt: v=spf1 a mx -all

Dennoch kommt die Mail angeblich von mir selbst. Wie funktioniert das ?
Zeile 24 im 2ten Log ist meine Absenderadresse.

Liegt hier der Trick darin, in Zeile 2 vom Postfix-Log Reciever UNKNOWN mitzugeben und später im Mailheader dann erst das From und To zu setzen ?

Hier der Maileingang am ersten Postfix:

01.
May 15 02:11:43 www postfix/smtpd[30289]: connect from correo.iglesiadeasturias.org[212.89.10.133]
02.
May 15 02:11:43 www policyd-spf[30291]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=212.89.10.133; helo=correo.iglesiadeasturias.org; envelope-from=estahora@iglesiadeasturias.org; receiver=<UNKNOWN>
03.
May 15 02:11:43 www postfix/smtpd[30289]: C2DF37F0F4: client=correo.iglesiadeasturias.org[212.89.10.133]
04.
May 15 02:11:44 www postfix/cleanup[30359]: C2DF37F0F4: message-id=<271728849.8655171019.54500397564833.JavaMail.app@7rlkxf-app11439.iglesiadeasturias.org>
05.
May 15 02:11:44 www postfix/qmgr[914]: C2DF37F0F4: from=<estahora@iglesiadeasturias.org>, size=266863, nrcpt=1 (queue active)
06.
May 15 02:11:44 www postfix/smtpd[30289]: disconnect from correo.iglesiadeasturias.org[212.89.10.133] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
07.
May 15 02:11:44 www postfix/smtp[30360]: C2DF37F0F4: to=<ich@xt600.de>, relay=S-V-Exchange.meinedomain.tld[93.207.30.42]:25, delay=1.1, delays=0.78/0.01/0.13/0.13, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 871442200A7)
08.
May 15 02:11:44 www postfix/qmgr[914]: C2DF37F0F4: removed
Mailheader (geändert)

01.
Received: from S-V-Exchange.meinedomain.tld (192.168.200.3) by
02.
 S-V-Exchange.meinedomain.tld (192.168.200.3) with Microsoft SMTP Server
03.
 (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.1713.5
04.
 via Mailbox Transport; Wed, 15 May 2019 02:11:44 +0200
05.
Received: from S-V-Exchange.meinedomain.tld (192.168.200.3) by
06.
 S-V-Exchange.meinedomain.tld (192.168.200.3) with Microsoft SMTP Server
07.
 (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
08.
 15.1.1713.5; Wed, 15 May 2019 02:11:44 +0200
09.
Received: from s-v-mx02.meinedomain.tld (192.168.200.4) by
10.
 S-V-Exchange.meinedomain.tld (192.168.200.3) with Microsoft SMTP Server id
11.
 15.1.1713.5 via Frontend Transport; Wed, 15 May 2019 02:11:44 +0200
12.
Received: from www.meinedomain.tld (www.meinedomain.tld [188.68.54.154])
13.
	by s-v-mx02.meinedomain.tld (Postfix) with ESMTPS id 871442200A7
14.
	for <ich@xt600.de>; Wed, 15 May 2019 02:11:44 +0200 (CEST)
15.
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=212.89.10.133; helo=correo.iglesiadeasturias.org; envelope-from=estahora@iglesiadeasturias.org; receiver=<UNKNOWN> 
16.
Received: from correo.iglesiadeasturias.org (correo.iglesiadeasturias.org [212.89.10.133])
17.
	by www.meinedomain.tld (Postfix) with ESMTPS id C2DF37F0F4
18.
	for <ich@xt600.de>; Wed, 15 May 2019 02:11:43 +0200 (CEST)
19.
Received: from [] ([181.236.221.137])
20.
        by correo.iglesiadeasturias.org (IceWarp 11.4.1.5 x64) with ASMTP id 201905150211305042
21.
        for <ich@xt600.de>; Wed, 15 May 2019 02:11:30 +0200
22.
To: <ich@xt600.de>
23.
Message-ID: <271728849.8655171019.54500397564833.JavaMail.app@7rlkxf-app11439.iglesiadeasturias.org>
24.
From: <ich@xt600.de>               <<<=== Hier kommt dann meine Adresse.====>>>>
25.
Content-Type: multipart/related;
26.
	boundary="8j0z4abdca-628iwbtsp4-kvise7lcxe-v9o1vs07l2-93hq5j84yb"
27.
MIME-Version: 1.0
28.
List-ID: <sooynqts-15576512-29302>
29.
List-Help: <http://ppvbcgblmak.com/kf/xvleemq/owiiqzx>
30.
Subject: ich
31.
List-Subscribe: 5/15/2019 02:11:28
32.
X-Abuse-Reports-To: abuse@mail.iglesiadeasturias.org
33.
Date: Wed, 15 May 2019 02:11:32 +0200
34.
Abuse-Reports-To: abuse@mailer.iglesiadeasturias.org
35.
Return-Path: estahora@iglesiadeasturias.org
Grüße, Henere

Edit: Rechtschreibfehler / Styling.

2. Edit:

01.
This is the mail system at host www.meinedomain.tld.
02.

03.
I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.
04.

05.
For further assistance, please send mail to postmaster.
06.

07.
If you do so, please include this problem report. You can delete your own text from the attached returned message.
08.

09.
                   The mail system
10.

11.
<abuse@mailer.iglesiadeasturias.org>: unable to look up host
12.
    mailer.iglesiadeasturias.org: Name or service not known
13.

14.
<abuse@mail.iglesiadeasturias.org>: host
15.
    mail.iglesiadeasturias.org[212.89.10.133] said: 550 Requested action not
16.
    taken: mailbox unavailable (in reply to RCPT TO command)
Mitglied: drotschopf
15.05.2019 um 08:02 Uhr
Hallo Henre,

dein SPF Eintrag hat keine IP hinterlegt.


MFG
Bitte warten ..
Mitglied: areanod
15.05.2019 um 09:08 Uhr
Hallo,

Der Fehler liegt (wie immer) im Detail!

Der Postfix Server checkt bei seiner Abfrage den envelope Absender (Mail From) ab, dieser ist estahora@iglesiadeasturias.org:

01.
May 15 02:11:43 www policyd-spf[30291]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=212.89.10.133; helo=correo.iglesiadeasturias.org; envelope-from=estahora@iglesiadeasturias.org; receiver=<UNKNOWN>
Die Absenderdomain correo.iglesiadeasturias.org hat tatsächlich einen gültigen SPF-Eintrag:
01.
iglesiadeasturias.org   text =
02.
        "v=spf1 ip4:212.89.10.133 include:spf.profesionalhosting.com a:correo.iglesiadeasturias.org -all"
Damit wird der SPF Check passed obwohl die Anzeige Adresse der E-Mail deine war.


Zitat von drotschopf:

Hallo Henre,

dein SPF Eintrag hat keine IP hinterlegt.


MFG

Drotschopf, das ist ein Irrtum. Mit seinem Eintrag sind automatisch alle IP Adressen im SPF Eintrag umfasst, die im MX- und im A-Eintrag für xt600.de hinterlegt sind.

lG
Areanod
Bitte warten ..
Mitglied: Henere
15.05.2019 um 14:54 Uhr
Moin.


was kann man machen um so etwas auszufiltern ?
Mir gehen so langsam die Ideen aus.

Drotschopf, das ist ein Irrtum. Mit seinem Eintrag sind automatisch alle IP Adressen im SPF Eintrag umfasst, die im MX- und im A-Eintrag für xt600.de hinterlegt sind.

lG
Areanod

Genau das. 2 MX Records für die Domain, und nur diese beiden dürfen als xt600.de senden.

Grüße, Henere
Bitte warten ..
Mitglied: goscho
15.05.2019 um 15:31 Uhr
Mahlzeit,
Zitat von Henere:
was kann man machen um so etwas auszufiltern ?
Mir gehen so langsam die Ideen aus.
Ich habe mir gerade mal das LOG meines AV/Antispam-Schutzes auf dem Exchange-Server angeschaut.
Dort sind allein in meiner kleinen Umgebung in den letzten paar Tagen mehrere Tausend SPAM-Mails abgewiesen worden.
Sehr viele von denen waren mit einem Absender aus meiner Mail-Domäne versehen und dem Betreff "Account gehackt" oder so ähnlich).
Letztes Jahr erhielt ich auch noch einige dieser SPAMs, seit einiger Zeit kommt nix mehr durch.

Als Schutz nutze ich Symantec Mailsecurity for Microsoft Exchange in der Version 7.9
Bitte warten ..
Mitglied: Henere
15.05.2019 um 15:39 Uhr
Servus.
Ich hab noch nen ScanMail Exchange von Trendmicro auf dem Exchange. Aber ich würde das schon gerne am ersten MX stoppen.

So sieht das auf dem Postfix aus:

01.
smtpd_sender_restrictions =
02.

03.
        permit_mynetworks,
04.
        check_sender_access hash:/etc/postfix/sender_access,
05.
        check_client_access hash:/etc/postfix/client_checks,
06.
        permit_inet_interfaces,
07.
        permit_mx_backup
08.

09.
smtpd_recipient_restrictions =
10.

11.
        check_sender_access hash:/etc/postfix/sender_access,
12.
        check_client_access hash:/etc/postfix/client_checks,
13.
        permit_mynetworks,
14.
#       check_sender_access hash:/etc/postfix/sender_access,
15.
        permit_sasl_authenticated,
16.
        check_policy_service unix:private/policy-spf,
17.
        reject_non_fqdn_sender,
18.
        reject_invalid_hostname,
19.
#        reject_non_fqdn_hostname,
20.
        reject_non_fqdn_recipient,
21.
        reject_unknown_sender_domain,
22.
        reject_unknown_recipient_domain,
23.
        reject_unauth_pipelining,
24.
        permit_mynetworks,
25.
        permit_inet_interfaces,
26.
        reject_unknown_recipient_domain,
27.
        reject_unauth_destination,
28.
        reject_rbl_client zen.spamhaus.org,
29.
        reject_rbl_client ix.dnsbl.manitu.net,
30.
        reject_rbl_client bl.spamcop.net,
31.
#        reject_rbl_client dnsbl.sorbs.net,
32.
#        reject_rbl_client dnsbl.njabl.org,
33.
        permit_mx_backup,
34.
        check_relay_domains,
Grüße, Henere
Bitte warten ..
Mitglied: Dani
18.05.2019 um 16:50 Uhr
Moin,
was kann man machen um so etwas auszufiltern ?
Mir gehen so langsam die Ideen aus.
Wir filtern inzwischen auch wenn Envelope und Header Form. Da nehmen zwar die Abweisungen teils massiv zu. Zum anderen bringt der Absender seine Konfiguration auf Vordermann.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
E-Mail
Mail von eigener Domain - trotz SPF
gelöst Frage von HenereE-Mail8 Kommentare

Hallo, hatte ja die Tage SPF auf meinem Postfix eingerichtet. Laut Logfile wurden auch etliche Mails deswegen rejected. Soweit ...

Exchange Server
SPF Eintrag
gelöst Frage von KopflosExchange Server8 Kommentare

Hallo zusammen, erste Frage: Ist es unbedingt nötig einen SPF Eintrag zu setzen? zweite Frage: Kann man mit dem ...

E-Mail
Spam aus eigener Domain trotz SPF -all
Frage von HenereE-Mail1 Kommentar

Hallo, heute ist eine Mail durchgekommen, die von der internen Domäne zu kommen scheint. Laut Mailheader aber definitiv von ...

DNS
SPF records
gelöst Frage von itnobbyDNS3 Kommentare

Hallo zusammen, ich hab mal eine Frage zu SPF records. Ich besitze 2 Domänen www.domain1.de und www.domain2.de Auf dem ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019
Information von Frank vor 23 StundenOff Topic23 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 3 TagenWindows 109 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic23 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing12 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...