mysticfoxde
Goto Top

Massiver Beschuss von Exchange Online

Moin Zusammen,

einer unserer Kunden wird gerade massiv per SPAM beschossen und mir fällt nicht wirklich etwas ein was ich dagegen machen soll, da die SPAM's allesamt von "*.outbound.protection.outlook.com", sprich, von irgendwelchen online Exchange kommen. 🤢

Es sind alleine schon heute > 10.000 Nachrichten und zwar nur einen Empfänger betreffend, die zum allergrössten Teil zum Glück durch die Mailsecurity aufgehalten werden.
Jedoch gehen einige dennoch durch und zudem werden die SPAM's immer mehr. 🤮

Ich kann jetzt wohl schlecht hingehen und pauschal die ganzen "Exchange Online" IP-Range's sperren.
Danach kann dieser Kunde mindestens die hälfte seiner Geschäftspartner nicht mehr erreichen und diese ihn auch nicht mehr, da viele davon ihre Mails bereits über Exchange Online abwickeln.

Hat jemand eine Idee?

@microsoft
Was macht eigentlich euer CERT?
Kann es sein, dass dieser seit Tagen am durchpennen ist? 😡

Gruss Alex

Content-ID: 4145767985

Url: https://administrator.de/forum/massiver-beschuss-von-exchange-online-4145767985.html

Ausgedruckt am: 21.12.2024 um 13:12 Uhr

LordGurke
LordGurke 04.10.2022 um 12:20:55 Uhr
Goto Top
Zitat von @MysticFoxDE:
@microsoft
Was macht eigentlich euer CERT?
Kann es sein, dass dieser seit Tagen am durchpennen ist? 😡

Dafür müssten die erstmal eins haben...
Das scheint mir aber ein konsistentes Erlebnis zu sein:
Azures Abuse-Abteilung absoluter Ausfall
MysticFoxDE
MysticFoxDE 04.10.2022 um 16:07:33 Uhr
Goto Top
Moin LordGurke,

Zitat von @MysticFoxDE:
@microsoft
Was macht eigentlich euer CERT?
Kann es sein, dass dieser seit Tagen am durchpennen ist? 😡

Dafür müssten die erstmal eins haben...

Laut dem hier, sollte die eins haben.
https://www.microsoft.com/en-us/msrc
Ist aber wahrscheinlich eher reines Marketing. 😭

Das scheint mir aber ein konsistentes Erlebnis zu sein:
Azures Abuse-Abteilung absoluter Ausfall

Ja sieht ähnlich aus.
Jedoch wurdes du wenn ich das richtig verstanden habe von einzelnen Maschinen aus der Azure-Wolke beschossen,
das hatten wir auch schon. Das ist mit einer normalen Blockregel noch relativ einfach in den Griff zu bekommen.

Hinter "*.protection.outlook.com" stecken laut der MS Dokumentation die folgenden Netze ...
40.92.0.0/15
40.107.0.0/16
52.100.0.0/14
52.238.78.88/32
104.47.0.0/17

und die kann ich nicht so einfach sperren, weil ich damit die hälfte der legetimen Mailkommunikation ebenfalls abwürgen würde. 😱

Der einzige der hier wirklich etwas machen kann und auch muss ist Microsoft!
Und den Spruch mit, wir stellen nur die Plattform zur Verfügung, für den Rest sind jedoch unsere Kunden verantwortlich, können sich diese Microsoftianer bei mir gleich sonst wohin stecken.

Gruss Alex
clSchak
clSchak 04.10.2022 um 16:30:14 Uhr
Goto Top
Hi

Wir bekommen ständig Spam von Exchange Online. Die "Abuse-Abteilung" von M$ macht rein gar nichts, würde sogar behaupten das alle Anfragen direkt nach "/dev/nul" gehen, in der Hinsicht ist das ein absoluter Witz was M$ dort macht.

Leider sind da einige große Kunden von uns und wir können die nicht Blacklisten.
radiogugu
radiogugu 04.10.2022 um 16:30:43 Uhr
Goto Top
Zitat von @MysticFoxDE:
Der einzige der hier wirklich etwas machen kann und auch muss ist Microsoft!
Und den Spruch mit, wir stellen nur die Plattform zur Verfügung, für den Rest sind jedoch unsere Kunden verantwortlich, können sich diese Microsoftianer bei mir gleich sonst wohin stecken.

Nabend.

Konkurrenz für Microsoft würde mittel- bis langfristig bestimmt dafür sorgen, dass sich das bessert. Aber wer soll das machen?

Alle Mitbewerber haben an irgendeiner Stelle einen Nachteil gegenüber dem Exchange Konstrukt face-sad

Gruß
Marc
7Gizmo7
7Gizmo7 04.10.2022 um 18:38:46 Uhr
Goto Top
Hi,

Welche Spambewertung hat denn die Mail ? Kannst du den Header mal per PN schicken und meldet ihr die Mails auch als Spam bei Microsoft ?

Wie sind denn deine Spam Richtlinien eingestellt ? Wenn es nur eine Empfänger betrifft , kann man diesem auch eine härter Regeln geben,

Mit freundlichen Grüßen
MysticFoxDE
MysticFoxDE 05.10.2022 um 06:41:50 Uhr
Goto Top
Moin 7gizmo7,

Welche Spambewertung hat denn die Mail ? Kannst du den Header mal per PN schicken

den Header sehe ich nicht, weil die meisten SPAM's zum Glück durch die XGS gedroppt werden.
So wie es aussieht, hat Sophos das Theather bereits aktiv auf dem Schirm, da von den > 3.000 SPAM's
die alleine in den letzten 6 Stunden von "*.outbound.protection.outlook.com" eingeprasselt sind, gingen genau 0 durch. 😀

Auf der anderen Seite weis ich jetzt schon was das bedeutet.
Sophos fängt an die Microsoft Server auf eine RBL zu setzen und ich darf dann Ausnahmen schreiben, damit auch die legitimen Mails wieder durchkommen. 🤢🤮

und meldet ihr die Mails auch als Spam bei Microsoft ?

Wie kann ich den aktiv SPAM an MS melden?

Wie sind denn deine Spam Richtlinien eingestellt ? Wenn es nur eine Empfänger betrifft , kann man diesem auch eine härter Regeln geben,

Zubeissen mit allen Zähnen ausser Graylisting. 🤪
Das Letztere musste ich übrigens abstellen, damit überhaupt irgendwelche Mails von irgendwelchen (legitimen) "Exchange Online" rein können. 🤢

Mir würde es ja schon helfen, wenn ich in der Anti-SPAM Engine sagen könnte, blocke bitte alle Mails von Maildomäne X inclusive sämtlicher Subdomänen, aber genau das kann ich auf der Sophos XGS nicht einstellen, zumindest nicht über die GUI.

Bin aber schon über die Advanced Shell dran, das dem Ding beizubringen. 😎

Gruss Alex
MysticFoxDE
MysticFoxDE 05.10.2022 aktualisiert um 17:41:51 Uhr
Goto Top
Moin Zusammen,

kleines Update.

Die SPAM Flut bei dem besagten Kunden, nimmt stündlich zu. 🤢

Die Sophos XGS wärt momentan 100% der SPAM's jedoch ab. 😁

Die Angreifer scheinen diverse Exchange Online Umgebungen gekapert zu haben, über die sie mit ständig wechselnden Subdomänen und auch Absenderadressen, versuchen die Anti-SPAM Massnahmen der Angegriffenen zu umgehen.

Das massiven SPAM-Angriffe gegen diesen Kunden laufen schon seit +- über einer Woche und trotz eines sagenumworbenen CERT's hat Microsoft selbst, davon wohl noch gar nichts mitbekommen. 🤮

Gestern habe ich über eine Stunde in der Warteschlage des Microsoft Partner-Supports verbracht,
in der Hoffnung, dass ich wenigsten über diesen etwas bewegen kann, habe dann aber entnervt aufgegeben.

Heute habe ich über eine Stunde mit dem Sophos Support geschnackt und diesen das Problem genaustens erklärt und gebeten die Eingabe der Absendersperrliste so anzupassen, das dort auch Sperreinträge alla "*@*domain.bad" möglich sind. 😀
Theoretisch kann man das über die Advanced Shell im entsprechenden Config-File auch jetzt schon machen, jedoch ist das Ändern dieser Konfigurationsdateien mit den aktuellen Firmwareversionen, leider nicht mehr so einfach möglich. 😬
Geht schon, aber danach hat das Gerätle leider keinen Herstellersupport, zumindest wenn ich das ohne vorherige Abstimmung mit diesem mache. 😩

Na ja, jetzt heisst es abwarten und Tee/Kaffee trinken, zumindest was dieses Problem angeht.

Gruss Alex

@microsoft
Ich hätte einen neuen Spitznamen für euch "Exchange-Online-Security-Penneulen". 😉
internetwerk
internetwerk 06.10.2022 um 08:57:38 Uhr
Goto Top
Hallo! Auch von uns sind aktuell 2 Kunden betroffen. Die Postfächer werden regelrecht zugebombt. Mails an den "Support", im Forum und bei facebook sowie telefonische Anfragen bleiben unbeantwortet. Ich hoffe der Link ist erlaubt:

https://answers.microsoft.com/de-de/outlook_com/forum/all/massiver-spamv ...

Man sieht anhand der Antwort bereits, mit welcher inkompetenz dort gearbeitet wird. Das Problem besteht seit 5 Tagen und es ist kein Ende in sicht. Auch die überforderte Dame am Telefon hat nur "Bahnhof" verstanden - die ist dort völlig fehl am Platz.
MysticFoxDE
MysticFoxDE 06.10.2022 um 10:13:02 Uhr
Goto Top
Moin internetwerk,

https://answers.microsoft.com/de-de/outlook_com/forum/all/massiver-spamv ...

Man sieht anhand der Antwort bereits, mit welcher inkompetenz dort gearbeitet wird. Das Problem besteht seit 5 Tagen und es ist kein Ende in sicht. Auch die überforderte Dame am Telefon hat nur "Bahnhof" verstanden - die ist dort völlig fehl am Platz.

das kannste knicken, die werden sich wie schon im Post von "LordGurke" geschrieben, mit +- "wir sind nur der Provider und für den Inhalt auf der Plattform nicht zuständig" rauswieseln. 🤢

Ich habe gerade mit der Cybercrime Abteilung einer grösseren Polizeidienststelle telefoniert und die können hier überhaupt nichts machen, da der Provider, zumindest dessen Hauptsitz in den USA ist. 😡

So viel zum Thema, "Komm in die Wolke, die ist sicher(er)". 🤮

Und selbst bei einem deutschen Provider wäre es schwierig, weil die theoretisch das selbe Schlupfloch benutzen können. 😭

Da haben wir uns aber ein echt feines Digitalschlamassel aufgebaut. 😔

Ganz ehrlich, ich bekomme so langsam einen Hass auf noch mehr Digitalisierung.
Wir sollten zuerst das was wir bisher digitalisiert haben, vielleicht endlich mal ordentlich und auch nachhaltig und vor allem sicher machen!

Gruss Alex
internetwerk
internetwerk 06.10.2022 um 11:10:54 Uhr
Goto Top
Mittlerweile sind nun 3 Kunden betroffen. Und keiner meldet sich. Der Support existiert wahrscheinlich nur auf dem Papier.
LordGurke
LordGurke 06.10.2022 um 11:20:06 Uhr
Goto Top
Interessant ist, dass unser Spamfilter, den wir als Provider für unsere Kunden betreiben, nichts auffälliges zeigt.
Es scheint, als würden nur Microsoft-Kunden angeschrieben, möglicherweise, weil die intern keine Spamfilterung machen und alles zustellen?
MysticFoxDE
MysticFoxDE 06.10.2022 aktualisiert um 12:10:55 Uhr
Goto Top
Moin LordGurke,

Interessant ist, dass unser Spamfilter, den wir als Provider für unsere Kunden betreiben, nichts auffälliges zeigt.
Es scheint, als würden nur Microsoft-Kunden angeschrieben, möglicherweise, weil die intern keine Spamfilterung machen und alles zustellen?

das hat nichts mit intern zu tun, unsere Kunden sind was Exchange betrifft noch alle "on premise".
Es geht um die Angriffsquelle von der deren Exchange beschossen werden und das ist Exchange Online, sprich Microsofts eigene AZURE-Kindergartenspielwiese.

Ich habe jetzt die Analyse der SMTP-Logs des dritten Securitygateway's hinter mir und bei allen ist das +- dasselbe.
Der einzige unterschied ist die Anzahl der SPAM's, der eine Kunde bekommt mehr ab, der andere etwas weniger.
Was jedoch alle gemeinsam haben ist, dass >95% der SPAM's von irgend einer Exchange-Online-Umgebung kommen. 😭

Um das zu sehen muss man jedoch direkt in die Logs schauen, den die meisten FW/SGW-Dashboard's oder GUI Logviewer, zeigen leider nicht den versendenden SMTP Server an und an der Absender-Mailadresse, sieht man nicht wirklich von wo die Mail tatsächlich kommt. 😔

@microsoft
Ja ich weis, ihr seid nur derjenige der die Plattform zur Verfügung stellt und nicht für deren Inhalt verantwortlich.
Und leider haben euch den Providern, die meistens von IT-Security nichtsverstehenden Richter bei dieser Ansicht auch noch recht gegeben. 🤢
In meinen Augen, seid Ihr jedoch sehr wohl dafür verantwortlich was auf eurer Plattform geschieht, denn nur Ihr könnt das am besten überwachen und auch am schnellsten gegen Missbrauch vorgehen. 😉

Beste Grüsse aus BaWü
Alex
LordGurke
LordGurke 06.10.2022 um 12:16:57 Uhr
Goto Top
Die Richtung, aus der der Spam kommt, war mir bewusst — ich hatte gedanklich angenommen, dass die Ziele auch in der Cloud wären.

Unser Spamfilter-System ist keine fertige Appliance, ich sehe aber insgesamt keinen Anstieg des Mailvolumens.
Ich hatte sogar vorsorglich die "outlook.com"-Server auf unsere interne Liste der potentiellen Spamquellen gesetzt, welche einfach ein strengeres Rate-Limit anwendet — aber selbst das wurde seitdem nie erreicht.
Vielleicht haben die wirklich nur ganz bestimmte Empfänger ganz speziell auf dem Kieker und wir hosten keinen davon...
MysticFoxDE
MysticFoxDE 06.10.2022 um 12:25:10 Uhr
Goto Top
Moin LordGurke,

Vielleicht haben die wirklich nur ganz bestimmte Empfänger ganz speziell auf dem Kieker und wir hosten keinen davon...

ja, das ist definitiv so.
Bei einem unserer Kunden gehen 99,9% der SPAM's nur gegen einen einzigen Empfänger, bei den anderen Kunden ist es auch immer nur maximal eine Hand voll Empfänger.

Was ich jedoch schon rausfinden konnte ist, dass alle betroffenen bei "haveibeenpwned.com" gelistet sind. 😬

Gruss Alex
MysticFoxDE
MysticFoxDE 06.10.2022 aktualisiert um 12:42:36 Uhr
Goto Top
Moin Zusammen,

ich habe gerade den folgenden frischen Beitrag hier entdeckt.
Outlook - Mails (auch ältere) landen willkürlich im Junk

Wetten, dass das eine der Folgen der ganzen SPAM Misere ist.

Gruss Alex
internetwerk
internetwerk 06.10.2022 um 14:24:41 Uhr
Goto Top
Der "Support" hat geschrieben. Was für ein Armutszeugnis für diesen Saftladen, so wird man dort abgespeist. Es wird kein Kontakt vermittelt, überhaupt gibt man sich keine Mühe, das Problem aus der Welt zu schaffen. Servicewüste Microsoft.
unbenannt
internetwerk
internetwerk 06.10.2022 um 15:47:10 Uhr
Goto Top
Der Mailsupport hat sich gemeldet. An Dummheit ist das ganze nicht zu überbieten:

Sehr geehrter Kunde,

vielen Dank für Ihre Nachricht.

Hier https://support.microsoft.com/de-de/office/blockieren-oder-zulassen-junk ... können Sie mehr über die Junk-E-Mail-Einstellungen erfahren.

Für weitere Hilfe, kontaktieren Sie unseren telefonischen Support.
MysticFoxDE
MysticFoxDE 06.10.2022 um 17:11:44 Uhr
Goto Top
Moin internetwerk,

Der Mailsupport hat sich gemeldet. An Dummheit ist das ganze nicht zu überbieten:

Sehr geehrter Kunde,

vielen Dank für Ihre Nachricht.

Hier https://support.microsoft.com/de-de/office/blockieren-oder-zulassen-junk ... können Sie mehr über die Junk-E-Mail-Einstellungen erfahren.

Für weitere Hilfe, kontaktieren Sie unseren telefonischen Support.

und genau deswegen versuche ich schon seit Jahren so gut es geht zu vermeiden den Microsoftianer-Support zu kontaktieren.

Denn am Ende des Tages kostet dich dieser im besten Fall nur zusätzliche Nerven und im schlimmsten Fall hast du danach noch mehr Probleme wie vorher. 😔

Gruss Alex
internetwerk
internetwerk 06.10.2022 um 18:33:45 Uhr
Goto Top
Dem stimme ich zu 100% zu. Ein derart inkompetentes Verhalten im IT-Bereich habe ich so auch noch nie erlebt. Wenn hier jemand Spam meldet, der von unseren Servern ausgeht, ist der Account 5 Sekunden später ohne wenn und aber schon gesperrt.
MysticFoxDE
MysticFoxDE 06.10.2022 um 20:07:24 Uhr
Goto Top
Moin Zusammen,

habe gerade bei LinkedIn im "WBSC" und in der "Microsoft Partner Network Deutschland" Gruppe mal den folgenden Post getätigt.

linked-in

Mal schauen was jetzt passiert, das sind auf jeden Fall auch direkt angestellte und auch hochrangige Microsoftianer als Gruppenmitglieder gelistet.

Gruss Alex
internetwerk
internetwerk 06.10.2022 um 20:12:19 Uhr
Goto Top
Danke dafür. Da kommen sicher wieder billige ausreden wie "dafür sind wir nicht zuständig" oder "wenden Sie sich an die Hotline".
MysticFoxDE
MysticFoxDE 06.10.2022 aktualisiert um 20:17:21 Uhr
Goto Top
Moin internetwerk,

Danke dafür.

aber sehr gerne, wir sitzen ja im selben Boot. 😉

Da kommen sicher wieder billige ausreden wie "dafür sind wir nicht zuständig" oder "wenden Sie sich an die Hotline".

Das würde ich den Microsoftianer nicht empfehlen.
Auch wenn ich mich selbst als Microsoft-Jünger der ersten Stunden sehe, so nehme ich beim Schimpfen gegen Microsoft, sicherlich kein Blatt vor den Mund. 🤪

Gruss Alex
Dani
Dani 06.10.2022 um 21:35:33 Uhr
Goto Top
Moin,
wir haben vor nicht zu all zu langer Zeit mit ähnlichen Probleme zu kämpfen gehabt. Wir haben ebenfalls zuerst Support Tickets erstellt, die aber nicht zielführend waren. Zumal für jede vermeidlich kompromentierte E-Mail/Domain/Kunde ein weiteres Support Ticket erstellt werden sollte. Wieso nicht, man hat sonst nichts zu tun...

Anders wie hier war einer unserer größeren Partner ebenfalls betroffen. Nachdem wir kein Gehör gefunden haben und es auch nicht besser wurde, haben wir gemeinsam beschlossen temporär die Einlieferung von Mails von den obengenannten Subnetzen abzulehnen. Somit war auch Microsoft selbst betroffen. Keine zwei Stunden später kam ein Anruf, was bei uns los sei. face-smile Nach der Darlegung des Sachverhalts kehrte innerhalb von zwei Tagen Ruhe ein.

Wer einen TAM/Premiumsupport bei Microsoft hat, sollte den Sachverhalt (parallel) dort einkippen. Das hat man uns für die Zukunft ans Herz gelegt.


Gruß,
Dani
MysticFoxDE
MysticFoxDE 07.10.2022 aktualisiert um 06:56:01 Uhr
Goto Top
Moin Dani,

Anders wie hier war einer unserer größeren Partner ebenfalls betroffen. Nachdem wir kein Gehör gefunden haben und es auch nicht besser wurde, haben wir gemeinsam beschlossen temporär die Einlieferung von Mails von den obengenannten Subnetzen abzulehnen. Somit war auch Microsoft selbst betroffen. Keine zwei Stunden später kam ein Anruf, was bei uns los sei. face-smile Nach der Darlegung des Sachverhalts kehrte innerhalb von zwei Tagen Ruhe ein.

das ist aber eher traurig, dass Microsoft erst dann reagiert, nachdem man denen mit einem entsprechend grössen Schuh in den Hintern treten musste. 😔

Die Meisten von uns haben dafür viel zu kleine Füsse.

Wer einen TAM/Premiumsupport bei Microsoft hat, sollte den Sachverhalt (parallel) dort einkippen. Das hat man uns für die Zukunft ans Herz gelegt.

Ja klar, ich soll einen sau teuren premium Support bei MS Abschliessen, nur damit ich von diesem Laden bei Problemen ernst genommen werde, für die die selbst verantwortlich sind.
Ähm, ne, den Gefallen werde ich MS ganz sicher nicht erweisen.

Wenn ich ein ähnliches Problem mit einem deutschen Provider habe, dann rufe ich bei diesem in der Hotline an, lasse mich zu seinem CERT (wenn vorhanden) durchstellen, schildere diesem kurz das Problem und danach ist das dieses, meistens in unter einer Stunde behoben.

Genau so muss es bei MS auch laufen!
Und wenn die das nicht auf die Reihe bekommen, dann sollen die auch bitte nicht erzählen, dass die sich ja ach so viele Sorgen/Gedanken und die Sicherheit ihrer Kunden machen.

Gruss Alex
MysticFoxDE
MysticFoxDE 07.10.2022 aktualisiert um 07:06:33 Uhr
Goto Top
Moin Zusammen,

nächsten kleines Update.

Ich habe um ~ 6 Uhr auf das SGW des Kunden geschaut, der bisher am meisten von den Microsoft-Online-Exchange-Servern malträtiert wird und musste dabei feststellen, dass die SPAM Flut heute nochmals massiv zugenommen hat. 😭

Alleine bis 6 Uhr sind hier schon ~ 10.000 SPAM's von ""*.outbound.protection.outlook.com" eingetrudelt.
Wen ich das jetzt hochrechne, dann werden das heute über den Tag verteilt ~40.000 sein und das nur gegen einen einzigen Empfänger. 😡

@microsoft
Jetzt mal im ernst, wollt ihr nicht mal endlich aus eurem ignoranten und absolut hochnäsigem Tiefschlaf aufwachen, danke.

Gruss Alex
LordGurke
LordGurke 07.10.2022 aktualisiert um 10:57:41 Uhr
Goto Top
Bei den seriösen Anbietern muss man sich nicht telefonisch an irgendein CERT verbinden lassen, die reagieren auch einfach auf E-Mails an die Abuse-Adesse. Aber selbst da habe ich bei MICROS~1 bisher keine Reaktion bekommen.

Du kannst ja mal versuchen, das an das zuständige CERT (cisa.gov) per E-Mail zu melden, vielleicht interessieren die sich dafür. Und vielleicht reagiert MS auf Behörden...


Als Nachtrag noch die Frage:
Dein Spamfilter lehnt die E-Mails ab, richtig? Und sie werden hart abgelehnt, also mit 5xx-Code?
Ich habe schon gesehen, dass Appliances mit 4xx abgelehnt haben, dadurch bekommt die natürlich jeden Spam mehrfach zu sehen, weil er beim Absender nicht aus der Queue verschwindet.
MysticFoxDE
MysticFoxDE 07.10.2022 aktualisiert um 11:25:09 Uhr
Goto Top
Moin LordGurke,

Als Nachtrag noch die Frage:
Dein Spamfilter lehnt die E-Mails ab, richtig? Und sie werden hart abgelehnt, also mit 5xx-Code?
Ich habe schon gesehen, dass Appliances mit 4xx abgelehnt haben, dadurch bekommt die natürlich jeden Spam mehrfach zu sehen, weil er beim Absender nicht aus der Queue verschwindet.

das kann ich dir nicht genau sagen, die entsprechenden Logeinträge sehen so ...

2022-10-04 11:51:01.256 [23109] [104.47.23.106] F=<Msoft1710@365office.club> R=<empfaenger@domaene.de> Rejected: Msoft1710@365office.club blacklisted
2022-10-04 11:51:01.259 [23109] H=mail-os0jpn01lp2106.outbound.protection.outlook.com (JPN01-OS0-obe.outbound.protection.outlook.com) [104.47.23.106]:6258 I=[XXX.XXX.XXX.XXX]:25 X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no SNI=mail.domaene.de F=<Msoft1710@365office.club> rejected RCPT <empfaenger@domaene.de>: Emails from your address have been blocked by the administrator.
2022-10-04 11:51:01.259 [23109] SMTP connection from mail-os0jpn01lp2106.outbound.protection.outlook.com (JPN01-OS0-obe.outbound.protection.outlook.com) [104.47.23.106]:6258 I=[XXX.XXX.XXX.XXX]:25 closed by DROP in ACL

oder so ...

2022-10-04 12:17:18.053 [14320] [104.47.23.173] F=<tx10024@officejp.vip> R=<empfaenger@domaene.de> Rejected: tx10024@officejp.vip blacklisted
2022-10-04 12:17:18.057 [14320] H=mail-tycjpn01lp2173.outbound.protection.outlook.com (JPN01-TYC-obe.outbound.protection.outlook.com) [104.47.23.173]:6212 I=[XXX.XXX.XXX.XXX]:25 X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no SNI=mail.domaene.de F=<tx10024@officejp.vip> rejected RCPT <empfaenger@domaene.de>: Emails from your address have been blocked by the administrator.
2022-10-04 12:17:18.057 [14320] SMTP connection from mail-tycjpn01lp2173.outbound.protection.outlook.com (JPN01-TYC-obe.outbound.protection.outlook.com) [104.47.23.173]:6212 I=[XXX.XXX.XXX.XXX]:25 closed by DROP in ACL

aus.

Gruss Alex
internetwerk
internetwerk 07.10.2022 um 14:09:43 Uhr
Goto Top
Es gibt neuigkeiten! Nach hunderten Versuchen, jemanden zu erreichen, hatte ich nun einen sehr kompetenten Mitarbeiter erreicht. Er gab mir folgende Mailadressen:

abuse@microsoft.com
buscond@microsoft.com

Jeder, der betroffen ist, sollte sich da hin wenden, in der Hoffnung das doch noch etwas passiert und sich jemand um das Problem kümmert.
LordGurke
LordGurke 07.10.2022 um 15:33:43 Uhr
Goto Top
Zitat von @internetwerk:
Es gibt neuigkeiten! Nach hunderten Versuchen, jemanden zu erreichen, hatte ich nun einen sehr kompetenten Mitarbeiter erreicht. Er gab mir folgende Mailadressen:

abuse@microsoft.com

Das klingt jetzt klugscheiBerisch, aber diese Adresse ist ein Geheimnis, welches in der WHOIS-Datenbank zu den IP-Adressen, von denen E-Mails eingeliefert werden, ganz offen abrufbar steht face-wink

:~$ whois 40.107.22.123 # (zufällig herausgepickte IP-Adresse von Outlook-Servern)

NetRange:       40.74.0.0 - 40.125.127.255
CIDR:           40.76.0.0/14, 40.74.0.0/15, 40.120.0.0/14, 40.112.0.0/13, 40.124.0.0/16, 40.80.0.0/12, 40.96.0.0/12, 40.125.0.0/17
NetName:        MSFT
NetHandle:      NET-40-74-0-0-1
Parent:         NET40 (NET-40-0-0-0-0)
NetType:        Direct Allocation
OriginAS:
Organization:   Microsoft Corporation (MSFT)
RegDate:        2015-02-23
Updated:        2021-12-14
Ref:            https://rdap.arin.net/registry/ip/40.74.0.0



OrgName:        Microsoft Corporation
OrgId:          MSFT
Address:        One Microsoft Way
City:           Redmond
StateProv:      WA
PostalCode:     98052
Country:        US
RegDate:        1998-07-10
Updated:        2022-03-28
Comment:        To report suspected security issues specific to traffic emanating from Microsoft online services, including the distribution of malicious content or other illicit or illegal material through a Microsoft online service, please submit reports to:
Comment:        * https://cert.microsoft.com.
Comment:
Comment:        For SPAM and other abuse issues, such as Microsoft Accounts, please contact:
Comment:        * abuse@microsoft.com.
Comment:
Comment:        To report security vulnerabilities in Microsoft products and services, please contact:
Comment:        * secure@microsoft.com.
Comment:
Comment:        For legal and law enforcement-related requests, please contact:
Comment:        * msndcc@microsoft.com
Comment:
Comment:        For routing, peering or DNS issues, please
Comment:        contact:
Comment:        * IOC@microsoft.com
Ref:            https://rdap.arin.net/registry/entity/MSFT


OrgAbuseHandle: MAC74-ARIN
OrgAbuseName:   Microsoft Abuse Contact
OrgAbusePhone:  +1-425-882-8080
OrgAbuseEmail:  abuse@microsoft.com
OrgAbuseRef:    https://rdap.arin.net/registry/entity/MAC74-ARIN

Wer keinen Konsolen-WHOIS-Query hat, kann auch beim RIPE nachsehen gehen, die liefern auf ihrer "Stat"-Plattform auch Informationen zu IP-Adressen, die eigentlich nicht aus der RIPE-Region kommen:

https://stat.ripe.net/app/launchpad/40.107.22.123


Da schickt man dann die Spam-Mails hin, damit es automatisiert parsebar ist sollte man beachten:
  • Alle E-Mails ausschließlich Reintext
  • In den Betreff in eckigen Klammern die IP-Adresse, dahinter ebenfalls eingeklammert die Absender-Adresse
  • Dahinter dann ggf. eine Beschreibung in 1-2 Worten, was der Grund für den Abuse-Report ist - z.B. "Malware", "Phishing" oder "Spam"
  • Dann in die E-Mail: Den kompletten Mail-Quelltext. Nicht nur Header sondern Header + Content - nichts anderes, auch keine eigene Signatur. Wenn ihr ein zentrales Signaturgateway habt, legt eine Ausnahmeregel für abuse@-Adressen an.
  • Wenn das nicht geht, alternativ die vollständige empfangene E-Mails als Anhang (eml, kein Binärformat von Outlook) senden.

Damit habt ihr bei > 98% der Anbieter Erfolg und beschleunigt die Bearbeitung enorm, weil es automatisiert verarbeitbar ist. Und nicht nur das, ihr könntet sogar den Versand automatisieren face-wink
Wenn man das scripten will, kann man auch per API den Abuse-Contact erfragen: https://stat.ripe.net/data/abuse-contact-finder/data.json?resource=40.10 ...


Jedoch: Bei Microsoft gibt es da gemischte Erfahrungen. Manchmal funktioniert das gut, in letzter Zeit eher schleppend. Teilweise gibt es da erst nach mehreren Tagen eine Reaktion, was für ein Abuse-Postfach mehrere Tage zu viel sind.
MysticFoxDE
MysticFoxDE 07.10.2022 um 17:24:18 Uhr
Goto Top
Moin internetwerk,

Es gibt neuigkeiten! Nach hunderten Versuchen, jemanden zu erreichen, hatte ich nun einen sehr kompetenten Mitarbeiter erreicht. Er gab mir folgende Mailadressen:

abuse@microsoft.com
buscond@microsoft.com

Jeder, der betroffen ist, sollte sich da hin wenden, in der Hoffnung das doch noch etwas passiert und sich jemand um das Problem kümmert.

ich habe auf meinen Post in LinkedIn heute die folgende interessante Info bekommen.

linked-in-01

Werde das am WE mal ausprobieren.

Gruss Alex
Dani
Dani 07.10.2022 um 17:41:45 Uhr
Goto Top
Hallo Alex,
ich habe auf meinen Post in LinkedIn heute die folgende interessante Info bekommen.
der vollständige Link lautet: https://msrc.microsoft.com/report/abuse. Ich habe allerings gedacht, dass du das schon ausprobiert hast. Weil du in einem der ersten Kommentare die "Marketing Seite" explizit erwähnt hast.

Ja klar, ich soll einen sau teuren premium Support bei MS Abschliessen, nur damit ich von diesem Laden bei Problemen ernst genommen werde, für die die selbst verantwortlich sind.
Mein Hintergedanke war, dass ihr evtl. auf Grund eurer Größe einen TAM habt und somit ein Synergieeffekt ergeben wird.


Gruß,
Dani
MysticFoxDE
MysticFoxDE 07.10.2022 um 17:57:05 Uhr
Goto Top
Moin LordGurke,

Jedoch: Bei Microsoft gibt es da gemischte Erfahrungen. Manchmal funktioniert das gut, in letzter Zeit eher schleppend. Teilweise gibt es da erst nach mehreren Tagen eine Reaktion, was für ein Abuse-Postfach mehrere Tage zu viel sind.

und manchmal funktioniert das mit dem Abuse-Postfach auch überhaupt nicht.

Ausserdem sehe ich das als kleines IT-Unternehmen irgendwie nicht ein, das ich einem IT-Riesen wie Microsoft in diesem Punkt hinterherrennen muss, damit er die Probleme in seinem eigenen Vorgarten beseitigt.

Warum gleicht nicht Microsoft automatisch alle für Exchange-Online-Dienste registrierten Domänen gegen die gängigen RBL's selbst ab und reagiert eigenständig bei Treffern?

Ist das von so einem IT-Giganten jetzt echt zu viel verlangt?

Gruss Alex
MysticFoxDE
MysticFoxDE 07.10.2022 aktualisiert um 18:03:12 Uhr
Goto Top
Moin Dani,

Weil du in einem der ersten Kommentare die "Marketing Seite" explizit erwähnt hast.

Damit hatte ich das hier gemeint.
https://www.microsoft.com/en-us/msrc

Mein Hintergedanke war, dass ihr evtl. auf Grund eurer Größe einen TAM habt und somit ein Synergieeffekt ergeben wird.

Ähm Grösse ... wir sind zwar sehr fein aber auch sehr klein. 🤪

Gruss Alex
Dani
Dani 07.10.2022 um 18:08:29 Uhr
Goto Top
Moin,
Damit hatte ich das hier gemeint.
https://www.microsoft.com/en-us/msrc
Dort gibt es oben links Report Issue => Abuse. Dann landest du genau auf den genananten Link von LinkedIn.


Gruß,
Dani
MysticFoxDE
MysticFoxDE 07.10.2022 aktualisiert um 18:17:12 Uhr
Goto Top
Moin Dani,

Dort gibt es oben links Report Issue => Abuse. Dann landest du genau auf den genananten Link von LinkedIn.

ja schon, aber ich sehe > 100 Absenderdomänen die betroffen sind und hatte eigentlich keine Lust jetzt >100 einzelne Abuse Meldungen durchzuklopfen.

Mir wäre eine Telefonnummer wo ich direkt jemanden, quasi am Stück klopfen könnte, schon viel lieber. 😁

Gruss Alex
LordGurke
LordGurke 08.10.2022 aktualisiert um 00:42:32 Uhr
Goto Top
Zitat von @MysticFoxDE:
Mir wäre eine Telefonnummer wo ich direkt jemanden, quasi am Stück klopfen könnte, schon viel lieber. 😁

Du erwartest also: Eine mir vollkommen unbekannte Person eines mir ebenso unbekannten Unternehmens gibt mir am Telefon eine Liste von E-Mail-Adressen durch und behauptet, dass die alle Spam versenden würden - und ich soll dann basierend auf diesen "Beweisen" einfach mal meine Kunden vom E-Mail-Verkehr abklemmen?

Was meinst du denn, warum die Provider von den Beschwerdeführern allesamt erwarten, dass zu den Behauptungen auch Beweise geliefert werden?
Wenn ich jetzt auf deinen Anruf hin den Kunden abklemme und sich herausstellt, dass der überhaupt keinen Spam versendet hat - dann sage ich, dass der Typ am Telefon doch total seriös geklungen hat?

Ich will, wenn sich jemand über Spam beschwert, wenigstens eine dieser Spam-Mails in der Hand haben.
Weil ich mich selbst davon überzeugen will, dass du erstens tatsächlich eine E-Mail erhalten hast und das nicht einfach nur böswillig behauptest (kann ich ja anhand der Message-ID und unseren Mailserver-Logs abgleichen), dass das Problem zweitens aktuell und nicht schon drei Wochen her ist und dass drittens tatsächlich Spam versendet wurde. Und ich will dann auch mal nachsehen, ob die Mail wirklich über unsere Systeme gelaufen ist oder ob das schlicht gespoofete Absender sind.

Am Telefon müsste ich dir einfach blind vertrauen, dass du diese Punkte alle geprüft hast und Leuten am Telefon traue ich nur so weit, wie ich 'n Klavier schmeißen kann.

Warum gleicht nicht Microsoft automatisch alle für Exchange-Online-Dienste registrierten Domänen gegen die gängigen RBL's selbst ab und reagiert eigenständig bei Treffern?

Weißt du warum? Weil es nichts bringt. Wir haben Kunden, deren Mailservern bei den großen RBLs whitelisted sind. Egal was die versenden, die werden niemals automatisch gelistet.
Sicherlich dürfte das auch irgendwelche Grenzen haben, aber solange der Spam nicht in der breiten Masse versendet wird, würde da sowieso nichts gelistet werden.
Man bekommt dann von den RBL-Diensten einen Feed oder Benachrichtigungen, wenn sie dich listen würden und warum, damit du das Problem abstellen kannst.
Aber: Dafür musst du Spamtraps treffen, die du aber mit vergleichsweise wenig Aufwand meiden kannst, indem du nicht an Freemail-Dienste versendest.
Bei uns ist zudem wie gesagt auch keine ungewöhnliche Änderung des Mailvolumens oder des Spam-Anteils zu sehen, und das will bei knapp 400 Domains, die über das Spamfiltersystem verarbeitet werden, schon was heißen.


Ausserdem sehe ich das als kleines IT-Unternehmen irgendwie nicht ein, das ich einem IT-Riesen wie Microsoft in diesem Punkt hinterherrennen muss, damit er die Probleme in seinem eigenen Vorgarten beseitigt.

Von "hinterherrennen" hat keiner was gesagt. Aber wenn es, wie du schon selber sagst, scheinbar nur einen oder zumindest sehr wenige Empfänger trifft, musst du halt der erste sein, der den Report schickt.
Es verlangt niemand, dass du *jede* einzelne Spam-Mail meldest. Wirklich, tu es nicht, das hinterlässt keinen guten Eindruck.
Aber wenn du mal Spam-Mails vor dir hast, kannst du ja zumindest von jeder "Sorte" eine reporten.
Uns als Provider hilft sowas zum Beispiel um ausgehend E-Mails auf bestimmte Muster zu scannen und dann automatisch einzugreifen, um den Versand zukünftig zu unterbinden.

"Warum soll ICH die Polizei rufen, wenn hier jemand bei mir einbricht, da arbeiten genug Leute, die sollen das mal von alleine rausfinden!"
MysticFoxDE
MysticFoxDE 08.10.2022 aktualisiert um 08:12:18 Uhr
Goto Top
Moin LordGurke,

du hast da einiges in den falschen Hals reinbekommen.

Du erwartest also: Eine mir vollkommen unbekannte Person eines mir ebenso unbekannten Unternehmens gibt mir am Telefon eine Liste von E-Mail-Adressen durch und behauptet, dass die alle Spam versenden würden - und ich soll dann basierend auf diesen "Beweisen" einfach mal meine Kunden vom E-Mail-Verkehr abklemmen?

nö, das erwarte ich nicht sondern hoffe es lediglich und hat bei mir in den letzten duzend Fällen auch bestens funktioniert. Eine Telefonnummer ist übrigens einfacher zu verifizieren wie eine Mailadresse.
Und ja, die Anrufernummer kann man fälschen, ist aber nicht ganz so einfach wie bei einer Mailadresse.

Ich klingel auch ganz sicher nicht beim Provider durch, wenn ich oder unsere Kunden die eine oder andere SPAM von diesem bekommen. Das juckt mich ehrlich gesagt auch gar nicht, denn für den Kinderkram haben die Kunden ja eine Mail-Security-Lösung.

Wenn ich jedoch feststelle, dass grössere SPAM Wellen von einem Provider kommen und oder von seiner Infrastruktur aus Angriffe gemacht werden, dann versuche ich die Mädels & Jungs normalerweise zuerst telefonisch wach zu bekommen und das klappt in den meisten Fällen auch ganz gut, zumindest was die Provider hier in Deutschland angeht.

Telefonische Erreichbarkeit einer Hotline ist bei mir übrigens ein Kriterium für einen guten Kundenservice, vor allem beim Thema IT-Security.
Wer nur per Mail erreichbar ist, ist bei mir daher schon halb unten durch. 😉

Was meinst du denn, warum die Provider von den Beschwerdeführern allesamt erwarten, dass zu den Behauptungen auch Beweise geliefert werden?

Kein Problem, ich habe ja nicht gesagt, dass ich keine Mail hinterherschicken könnte.

Wenn ich jetzt auf deinen Anruf hin den Kunden abklemme und sich herausstellt, dass der überhaupt keinen Spam versendet hat - dann sage ich, dass der Typ am Telefon doch total seriös geklungen hat?

Du solltest als Hotline-Techniker auch nicht blind meinen Worten vertrauen, sondern das was ich sage selbstverständlich zuerst gegenverifizieren!

Ich will, wenn sich jemand über Spam beschwert, wenigstens eine dieser Spam-Mails in der Hand haben.

Wie schon gesagt, kein Problem, bekommst du dann ja auch + SGW-Log's & Co.

Weil ich mich selbst davon überzeugen will, dass du erstens tatsächlich eine E-Mail erhalten hast und das nicht einfach nur böswillig behauptest (kann ich ja anhand der Message-ID und unseren Mailserver-Logs abgleichen), dass das Problem zweitens aktuell und nicht schon drei Wochen her ist und dass drittens tatsächlich Spam versendet wurde. Und ich will dann auch mal nachsehen, ob die Mail wirklich über unsere Systeme gelaufen ist oder ob das schlicht gespoofete Absender sind.

👍👍👍, würde ich nicht anders erwarten.

Am Telefon müsste ich dir einfach blind vertrauen, dass du diese Punkte alle geprüft hast und Leuten am Telefon traue ich nur so weit, wie ich 'n Klavier schmeißen kann.

Nein, du musst mir am Telefon nicht gleich vertrauen, du wirst lediglich meinen Frust etwas besser spüren.

Warum gleicht nicht Microsoft automatisch alle für Exchange-Online-Dienste registrierten Domänen gegen die gängigen RBL's selbst ab und reagiert eigenständig bei Treffern?

Weißt du warum? Weil es nichts bringt. Wir haben Kunden, deren Mailservern bei den großen RBLs whitelisted sind. Egal was die versenden, die werden niemals automatisch gelistet.

Ähm, von den ca. 30.000 SPAM's die gestern gegen nur einen Empfänger eines bestimmten Kunden eingescheppert sind, wurden > 90% aufgrund von RBL Einträgen abgewiesen.

Sicherlich dürfte das auch irgendwelche Grenzen haben, aber solange der Spam nicht in der breiten Masse versendet wird, würde da sowieso nichts gelistet werden.

LordGurke, aber genau das ist hier doch schon längst der Fall!
Es wird eben schon massenhaft SPAM über die Exchange-Online Umgebungen versendet, es landen schon massenweise Microsoft IP's und Domänen der Exchange-Online Umgebungen auf diversesten RBL's und Microsoft reagiert bisher überhaupt nicht. 😔

Man bekommt dann von den RBL-Diensten einen Feed oder Benachrichtigungen, wenn sie dich listen würden und warum, damit du das Problem abstellen kannst.

Keiner unserer Kunden wurde jemals bei Listung von irgendeinem RBL Anbieter informiert.
Das mussten die bisher, teilweise sehr schmerzhaft, selber herausfinden.

Aber: Dafür musst du Spamtraps treffen, die du aber mit vergleichsweise wenig Aufwand meiden kannst, indem du nicht an Freemail-Dienste versendest.

Für den Satz ist es bei mir noch zu früh am Morgen, sprich, ich verstehe da aktuell nur Bahnhof, schaue später nochmal drüber. 🤪

Bei uns ist zudem wie gesagt auch keine ungewöhnliche Änderung des Mailvolumens oder des Spam-Anteils zu sehen, und das will bei knapp 400 Domains, die über das Spamfiltersystem verarbeitet werden, schon was heißen.

Ich habe auch nicht bei jedem Kunden dasselbe Bild, bei manchen gehts jedoch ordentlich zu Sache und bei ALLEN sehe ich SPAM von "*.outbound.protection.outlook.com".

Von "hinterherrennen" hat keiner was gesagt. Aber wenn es, wie du schon selber sagst, scheinbar nur einen oder zumindest sehr wenige Empfänger trifft, musst du halt der erste sein, der den Report schickt.

Wie oben schon geschrieben, diverse Microsoft IP's und Exchange-Online Kundendomänen stehen schon auf diversesten RBL's, sprich, von der Erste sein sind wir schon meilenweit entfernt.

Es verlangt niemand, dass du *jede* einzelne Spam-Mail meldest. Wirklich, tu es nicht, das hinterlässt keinen guten Eindruck.
Aber wenn du mal Spam-Mails vor dir hast, kannst du ja zumindest von jeder "Sorte" eine reporten.
Uns als Provider hilft sowas zum Beispiel um ausgehend E-Mails auf bestimmte Muster zu scannen und dann automatisch einzugreifen, um den Versand zukünftig zu unterbinden.

LordGurke, vertrau mir, wenn wir jemals aufgrund eines grösseren SMAP-Aufkommens der von euch kommt zueinander finden, dann wirst du ganz sicher sehr glücklich sein, über all die Infos die du dann diesbezüglich von mir erhalten würdest. 😉

"Warum soll ICH die Polizei rufen, wenn hier jemand bei mir einbricht, da arbeiten genug Leute, die sollen das mal von alleine rausfinden!"

Nachdem in diesem Viertel in letzter Zeit schon duzende Einbrüche begangen wurden, sollte die Polizei zumal auf Hilferufe auch wirklich reagieren und vor allem vielleicht auch mal proaktiv Streife fahren. 😉

Gruss Alex
internetwerk
internetwerk 08.10.2022 um 08:30:31 Uhr
Goto Top
Gerade diese Mail erhalten und direkt den Spam als Anhang da hin geschickt (von einem der betroffenen Kunden gab es die schriftliche Erlaubnis einsicht in sein Postfach zu nehmen):

Hi,

Based on the information you provided, it appears to have originated from an Office 365 or Exchange Online tenant account.

To report junk mail from Office 365 tenants, send an email to junk@office365.microsoft.com and include the junk mail as an attachment.

This link provides further junk mail education Report spam, non-spam, phishing, suspicious emails and files to Microsoft - Office 365 | Microsoft Docs.

Kindly,

James

Microsoft Online Safety
MysticFoxDE
MysticFoxDE 08.10.2022 aktualisiert um 09:15:52 Uhr
Goto Top
Moin LordGurke,

ich habe mir gerade die Logs auf dem SGW wo gestern die > 30K SPAM's eingescheppert sind mal genauer angesehen und habe festgestellt, dass bei den rausgefischten 30K SPAM's, nur !!! 120 tatsächlich wegen RBL Treffern abgewiesen werden, ich habe wohl das "Rejected: Msoft1710@365office.club blacklisted" etwas überinterpretiert.

Das ist schon lustig, dann sind etwa 80 SPAM's gelöscht worden, weil diese direkt als SPAM erkannt wurden.
Etwa 4000 SPAM's wurden aufgrund der SPF verifizierung rausgefischt und 26.000 SPAM's wurden aus anderen Gründen herausgefiltert. Nun bin ich doch leicht verwirrt.

Ich habe mir jetzt mal den folgenden, oben schon geposteten Logeintrag mal genauer zur Brust genommen.

2022-10-04 11:51:01.256 [23109] [104.47.23.106] F=<Msoft1710@365office.club> R=<empfaenger@domaene.de> Rejected: Msoft1710@365office.club blacklisted
2022-10-04 11:51:01.259 [23109] H=mail-os0jpn01lp2106.outbound.protection.outlook.com (JPN01-OS0-obe.outbound.protection.outlook.com) [104.47.23.106]:6258 I=[XXX.XXX.XXX.XXX]:25 X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no SNI=mail.domaene.de F=<Msoft1710@365office.club> rejected RCPT <empfaenger@domaene.de>: Emails from your address have been blocked by the administrator.
2022-10-04 11:51:01.259 [23109] SMTP connection from mail-os0jpn01lp2106.outbound.protection.outlook.com (JPN01-OS0-obe.outbound.protection.outlook.com) [104.47.23.106]:6258 I=[XXX.XXX.XXX.XXX]:25 closed by DROP in ACL

Über die Domäne "365office.club" selbst findet man so gut wie nichts heraus.

https://who.is/whois/365office.club

ausser, dass der dazugehörige Host in irgend einem Amazon Datacenter steht.

https://www.abuseipdb.com/check/99.83.154.118

MX Einträge sind für diese Domäne nicht verfügbar und natürlich kein DMARC.
Wie du siehst werden über den Host bei Amazon bei abuseipdb.com auch keine Lobeshymnen gesungen.
Die SPAM von "Msoft1710@365office.club" kam jedoch nicht von einem Amazon Rechenzentrum, sondern aus einem von Microsoft --> "H=mail-os0jpn01lp2106.outbound.protection.outlook.com" / "104.47.23.106"

https://www.abuseipdb.com/check/104.47.23.106

welcher laut "abuseipdb.com" und "ipinfo.io" in Japan steht.

Das sieht so aus, als ob sich in diesem Fall die Bösen Jungs sowohl im Amazon's Rechenzentrum als auch im Microsoft's Rechenzentrum eingenistet haben und deren nicht gerade leistungsschwache Infrastruktur, für allen möglichen Schabernack missbrauchen.
Und die Provider, die am Ende des Tages diese Infrastruktur liefern, bekommen davon von sich aus, anscheinend überhaupt nichts mit. 🤢🤮
Und das, obwohl deren Vertrieb und Marketing nicht müde zu erzählen wird, wie gut die doch eigentlich im Bereich der IT-Security sind.

Sorry, aber mir fallen alleine jetzt schon diverseste Methoden ein, wie ich das Ganze als ISP durchaus händeln könnten.
Und ja, das kostet am Ende des Tages zusätzlich Geld und benötigen auch zusätzlich den einen oder anderen fähigen IT-Security-Experten. Beides sollte für Microsoft und auch Amazon jedoch nicht wirklich ein Problem darstellen.

Gruss Alex
MysticFoxDE
MysticFoxDE 08.10.2022 um 09:37:11 Uhr
Goto Top
Moin internetwerk,

da bin ich jetzt aber mal gespannt.

Ich kann denen diesen Gefallen jedoch nicht wirklich so einfach erweisen, weil momentan so gut wie 100% des Spams am Mail-Security-Gateway gleich beim Zustellungsversuch gedroppt werden. 😁
(Moment ... muss kurz mal drei Mal über die Schulter spucken, damit das auch so bleibt.)

So gesehen, habe ich auf Anhieb jetzt nicht wirklich eine SPAM-Mail, die ich an die Mädels und Jungs zusenden könnte. 😬

Dazu müsste ich den Anti-SPAM-Schutz etwas kastrieren, damit ein paar davon auch wieder durchkommen und von dieser Idee ist der entsprechende Kunde sicherlich nicht wirklich begeistert, zumal 99% der SPAM's, gegen die E-Mail-Adresse des Geschäftsinhabers gerichtet sind.

Gruss Alex
MysticFoxDE
MysticFoxDE 08.10.2022 um 09:50:22 Uhr
Goto Top
Moin Zusammen,

nächstes Update, wir haben 9:40 und bis jetzt sind auf dem Security-Gateway eines unserer Kunden, schon wieder > 10.000 SPAM's und der Grossteil davon, von "*.outbound.protection.outlook.com" gegengescheppert. 😡

Sprich, > 99% des gesamten SPAM-Aufkommens gegen diesen Kunden, wurde über die Microsoft Infrastruktur verschickt! 🤢🤮

@microsoft
Habt ihr euch eigentlich schon mal die Frage gestellt, warum die Spamer, momentan so wie es aussieht mit Vorliebe eure Infrastruktur benutzen?
Kleiner Tipp, ganz sicher nicht wegen eurer blauen Augen. 😉
Ähm ... Moment ... vielleicht doch gerade deswegen. 🤪

Gruss Alex
MysticFoxDE
MysticFoxDE 09.10.2022 aktualisiert um 08:23:15 Uhr
Goto Top
Moin Zusammen,

ich habe vorhin über den Link den auch der Dani gepostet hat, mal eine "offizielle" Meldung bei MS gemacht und habe innerhalb von Minuten die folgende Antwort bekommen.

answer-microsoft-abuse

Sprich, Microsoft selbst interessiert das Problem nicht wirklich. 🤢🤮

Gruss Alex
MysticFoxDE
MysticFoxDE 09.10.2022 aktualisiert um 08:40:02 Uhr
Goto Top
Moin Zusammen,

ich habe die oberen rot markierten Zeilen mal vom Marketing-Englisch auf IT-Deutsch übersetzt.

"Die Sicherheit unserer eigenen Applikationen wie z.B. Exchange Online, die wir unseren Kunden in unserer eigenen AZURE-Cloud zur Verfügung stellen, interessiert uns nicht wirklich, dafür ist der jeweilige Kunde selbst verantwortlich!"

Ich bezweifle jedoch, dass das den meisten AZURE (Exchange Online & Co) Kunden so auch tatsächlich bewusst ist. 😔

Gruss Alex
MysticFoxDE
MysticFoxDE 09.10.2022 um 08:49:24 Uhr
Goto Top
Moin internetwerk,

To report junk mail from Office 365 tenants, send an email to junk@office365.microsoft.com and include the junk mail as an attachment.

da habe ich jetzt auch mal eine Mail hingeschickt.
Mal sehen was von dort zurück kommt.

Gruss Alex
internetwerk
internetwerk 09.10.2022 um 08:56:32 Uhr
Goto Top
Bis jetzt hat sich keiner von denen gemeldet. Habe da ja auch schon einiges hingeschickt.
Was machen die da eigentlich den ganzen Tag? Kaffee trinken und Fingernägel lackieren?
Der Spam kommt weiterhin massenhaft rein.
MysticFoxDE
MysticFoxDE 09.10.2022, aktualisiert am 10.10.2022 um 05:29:10 Uhr
Goto Top
Moin internetwerk,

Was machen die da eigentlich den ganzen Tag? Kaffee trinken und Fingernägel lackieren?
Der Spam kommt weiterhin massenhaft rein.

nur mal so eine Idee ...

Vielleicht sollten wir Microsoft einen Premium-Supportvertrag anbieten, so 200K/Jahr (incl. Schmerzensgeldzulage), dann haben die bei mir sogar eine Support-Flatrate, aber nur 8/5. 😁
Alternativ könnte ich mir auch 400,- pro SPAM Meldung vorstellen. 🤪

Gruss Alex
MysticFoxDE
MysticFoxDE 10.10.2022 um 05:42:08 Uhr
Goto Top
Moin Zusammen,

nächstes, zum Teil erfreuliches Update.

Es ist 5:30 und auf dem besagten SGW sind heute bisher "nur" ~1720 SPAM's gegengescheppert.
Laut SMTP Log, kommt der Grossteil davon zwar immer noch aus der MS-Wolke.
Jedoch ist die Menge +- nur noch die Hälfte dessen, was die letzten Tage im selben Zeitraum eigescheppert ist.

Ich will es nicht zu laut sagen, sonst verschreie ich es noch ... aber es sieht so aus, als ob sich bei Microsoft nun doch etwas bewegt. 😀

Gruss Alex
rzlbrnft
rzlbrnft 10.10.2022 um 12:04:18 Uhr
Goto Top
Hat der Kunde denn Geschäftspartner mit den besagten Top-Level Domains?
Ich hab bei uns im System .vip .club und ähnliches gleich von vorneherein blockiert, weil da zu 99% eh nur Müll bei rumkommt.
kgborn
kgborn 10.10.2022 um 13:14:54 Uhr
Goto Top
@MysticFoxDE: Habe den Fall, der mir von anderer Seite ebenfalls zugetragen wurde, mal im Blog aufgegriffen - und im MS-Answers-Forum die Moderatoren angestubst (Du hast da ja auch im Thread was geschrieben, wie ich gelesen habe). Mehr lässt sich momentan in Bezug auf Microsoft wohl nicht tun.

Unschön: Spam-Welle von outlook.com – und keine Reaktion (Okt. 2022)
MysticFoxDE
MysticFoxDE 11.10.2022 um 05:34:31 Uhr
Goto Top
Moin @kgborn,

@MysticFoxDE: Habe den Fall, der mir von anderer Seite ebenfalls zugetragen wurde, mal im Blog aufgegriffen - und im MS-Answers-Forum die Moderatoren angestubst (Du hast da ja auch im Thread was geschrieben, wie ich gelesen habe). Mehr lässt sich momentan in Bezug auf Microsoft wohl nicht tun.

Unschön: Spam-Welle von outlook.com – und keine Reaktion (Okt. 2022)

👍👍👍, aller herzlichsten Dank!

Gruss Alex
MysticFoxDE
MysticFoxDE 11.10.2022 um 05:40:00 Uhr
Goto Top
Moin @rzlbrnft,

Hat der Kunde denn Geschäftspartner mit den besagten Top-Level Domains?

ja, der SPAM kommt mitunter von .com aber auch von .de. 😬

Ich hab bei uns im System .vip .club und ähnliches gleich von vorneherein blockiert, weil da zu 99% eh nur Müll bei rumkommt.

Auf Top-Level Ebene kann ich an der XGS nicht filtern, bin aber an Sophos dran, das es möglich wird.

Gruss Alex
MysticFoxDE
MysticFoxDE 11.10.2022 um 05:52:27 Uhr
Goto Top
Moin Zusammen,

nächstes Update.
Heute sind um 5:30 nur noch 1.000 SPAM's gegen das besagte SGW gegengescheppert.

Also ja, nachdem man von x Seiten dagegen hopfen musste, scheint MS nun endlich am Aufwachen zu sein. 🤪

Herzlichsten Danke an alle, die mitgegengehopft sind. 🙏

Gruss Alex
Snuffchen
Snuffchen 12.10.2022 um 09:19:40 Uhr
Goto Top
Kann ich bestätigen. In den vergangenen Tagen waren es auch ~ 2.500 Mails am Tag die von Microsoft-IP-Adressen eingeliefert wurden, aber dank SPF-Validierung direkt abgewiesen wurden. Heute sind es nur noch ~ 200 Mails in den letzten 24 Stunden gewesen.
beidermachtvongreyscull
beidermachtvongreyscull 14.10.2022 um 16:40:09 Uhr
Goto Top
Ach Kollegen

Ich empfehle immernoch Uceprotect L1-L3.

Hatte die MS-Server schnell in Sippenhaft und Ruhe ist.

Schönes Wochende.
Drohnald
Drohnald 15.10.2022 um 11:22:32 Uhr
Goto Top
Tja, wenn der Kunde aber seinerseits hauptsächlich mit Endkunden zu tun hat die gerne von @outlook.de schreiben (nehmen wir mal an eine Schule, kleine Behörde, Verein oder schlicht ein Handwerker), dann hast du zwar Ruhe, bekommst aber auch keine Mails von potentiellen Kunden mehr.

Das will der Kunde nicht, deshalb ist das Problem ja so lästig.
beidermachtvongreyscull
beidermachtvongreyscull 15.10.2022 um 13:43:06 Uhr
Goto Top
Tja,
wer was auf sich hält, achtet auch auf Reputation. 19€-Kunden (mal schnell nen Strato-Server...) interessieren uns nicht und unsere Kunden sind sehr dankbar für entsprechende Hinweise, wenn sie bei uns gegen die Firewall prallen.
Drohnald
Drohnald 15.10.2022 um 15:02:27 Uhr
Goto Top
Du hast das Problem nicht verstanden, vll. liest du dir den Thread nochmal genau durch.
Es geht nicht darum, dass die Kunden einen @outlook.de haben und nicht mehr senden können.

Es geht darum, dass eine Firma, die mit Privatpersonen Geschäfte machen will, es sich schlicht nicht erlauben kann pauschal die @outlook.de Range großflächig zu sperren.
MysticFoxDE
MysticFoxDE 15.10.2022 um 16:39:23 Uhr
Goto Top
Moin Drohnald,

Tja, wenn der Kunde aber seinerseits hauptsächlich mit Endkunden zu tun hat die gerne von @outlook.de schreiben (nehmen wir mal an eine Schule, kleine Behörde, Verein oder schlicht ein Handwerker), dann hast du zwar Ruhe, bekommst aber auch keine Mails von potentiellen Kunden mehr.

Das will der Kunde nicht, deshalb ist das Problem ja so lästig.

👍👍👍, genau so ist das leider.

Gruss Alex
MysticFoxDE
MysticFoxDE 15.10.2022 um 16:57:39 Uhr
Goto Top
Moin beidermachtvongreyscull,

Tja,
wer was auf sich hält, achtet auch auf Reputation. 19€-Kunden (mal schnell nen Strato-Server...) interessieren uns nicht und unsere Kunden sind sehr dankbar für entsprechende Hinweise, wenn sie bei uns gegen die Firewall prallen.

wie Drohnald es schon geschrieben hat, ist das Sperren der MS-IP-Range nicht wirklich eine Lösung sondern eher ein Problem.

Ich empfehle immernoch Uceprotect L1-L3.

🤔, die Uceprotect L1-L3 RBL's sehen interessant aus und ich kann diese auch auf einer Sophos XGS einbinden.
Das werde ich mir die Tage mal genauer anschauen, danke für die Info.

Gruss Alex
Dani
Dani 16.10.2022 um 11:06:30 Uhr
Goto Top
Moin,
Ich empfehle immernoch Uceprotect L1-L3.
kann ich nicht nachvollziehen und auch nicht verstehen. Primär alleine schon wegen den verschiedenen Delisting Policies für die verschienden Stufen und deren Begründungen. Abgesehen mal von den möglichen Kosten für ein Delisting.

Auf der L3 Liste werden komplette IP Subnetze des AS eines Providers/Unternehmen eingetragen. Da sind Einträge dabei wo Millionnen von IP-Adressen gesperrt sind. Ich kann mir nicht vorstellen, dass jede einzelne IP Spam verschickt hat. Das ist eher ein Mittel um Druck auf den Betroffenen Inhaber des AS aufzubauen. Wiederspricht meiner Meinung nach aber dem realen/praktischen Sinn von RBL.

Die Veröffentlichung von Beschwerden/Einwände durch den Anbieter trägt aus meiner Sicht nicht dazu dabei ernst genommen werden zu können.

Man stelle sich vor, dass alle Betreiber einer RBL dieses Geschäftsmodell umsetzen würde. Es würde vermutlich kaum noch ein E-Mailverkehr möglich sein und man müsste wieder Briefe schreiben...


Gruß,
Dani
LordGurke
LordGurke 16.10.2022 um 12:33:32 Uhr
Goto Top
Ich kann das durchaus verstehen. Ich sehe bei uns oft genug Spam oder auch Bruteforce-Attacken, die zwar immer nur von 2-3 IP-Adressen eines Netzes kommen, aber jeden Tag andere. Wenn man dann genau guckt, stellt man fest, dass das zu einem "Provider" gehört, der nur genau dieses eine /24 hat und einer Webseite, die mal eben aus einem Template erstellt wurde. Mit Platzhalter-Texten. Die werden auch "Lorem Ipsum-Hoster" genannt, weil es eben Randalierer sind, die so tun wollen als wären Sie ein Provider und das wären ja alles nur deren Kunden. Oder es sind wirklich Hoster, denen Abuse-Reports nur schietegal sind.
In solchen Fällen sperre ich bei uns auch das gesamte ASN, wenigstens aber das /24.

Beispiel dafür ist: AS213035, Serverion BV in den Niederlanden. Die advertisen einen bunten Strauß an Adressen, von denen gefühlt mindestens 10 Prozent schon in unseren Filtern waren. Alleine 395 Mails seit 00:00 Uhr von dort, verteilt auf 44 IP-Adressen.

Anderes Beispiel: AS208485, Moon DC in der Türkei. Abgeleitet aus den im RIPE-Handle stehenden E-Mail-Adressen ist die Webseitenadresse moondc.com. Dafür, dass das ASN bei uns seit zwei Jahren gelistet ist und noch immer was kommt, ist die Webseite noch immer nicht funktional. Man beachte mal die Telefonnummer unten rechts oder die Tatsache, dass kein einziger Link funktioniert.

Weniger krass gibt es das aber auch, wo offensichtlich ein komplettes Netzwerk nur für Spam benutzt wird. Auch da sperre ich dann komplette Netze - seit Jahren ein leuchtendes Beispiel dafür ist 185.46.186.0/24. Da braucht ihr nur mal die PTR von zufälligen IP-Adressen angucken, dann wisst ihr, warum das gesperrt ist face-wink

Von daher kann ich durchaus nachvollziehen, wie es zu L2 oder L3-Listings kommt - und soweit ich das sehe, scheinen die alle es verdient zu haben. Manche in L3 gelisteten ASN habe ich auch bei uns manuell aufgenommen. Ich würde zwar meine Webseite nicht so gestalten, aber würde ich eine Blacklist betreiben, stünden die meisten der genannten AS und IPs auf meinen Listen.

Sollte es mal dazu kommen (ist es bisher nicht), dass von einem bei uns in der Dropliste stehenden ASN jemand legitime E-Mails an uns oder unsere Kunden schicken will, dann kann man die eine IP-Adresse oder PTR-Hostname ja noch manuell auf die Ausnahmeliste setzen. Ist in den letzten drei Jahren, in denen wir dieses System nutzen, nicht vorgekommen.
beidermachtvongreyscull
beidermachtvongreyscull 16.10.2022 um 15:14:11 Uhr
Goto Top
Zitat von @MysticFoxDE:
Moin beidermachtvongreyscull,
Moin Alex,
Zitat von @MysticFoxDE:
wie Drohnald es schon geschrieben hat, ist das Sperren der MS-IP-Range nicht wirklich eine Lösung sondern eher ein Problem.
Ausschließen will ich es nicht. Ich sage auch nicht, dass meine Lösung die Patentlösung ist, aber ich habe als alleiniger IT-Verantwortlicher dafür zu sorgen, dass unser Laden läuft. Das geht umso besser, je weniger Spam bei uns einschlagen kann. Deswegen bin ich da rabiat.
Zitat von @MysticFoxDE:
Ich empfehle immernoch Uceprotect L1-L3.

🤔, die Uceprotect L1-L3 RBL's sehen interessant aus und ich kann diese auch auf einer Sophos XGS einbinden.
Das werde ich mir die Tage mal genauer anschauen, danke für die Info.
Gerne doch!
Der Ton bei denen ist enorm rauh und direkt, aber deren Transparenz ist aus meiner Sicht von keiner anderen RBL zu übertreffen. Dass die als unseriös gelten, lasse ich stehen, für mich sind die ein Segen.

Zitat von @MysticFoxDE:
Gruss Alex

Gruß Andreas
beidermachtvongreyscull
beidermachtvongreyscull 16.10.2022 um 15:23:32 Uhr
Goto Top
Zitat von @Dani:
Moin,
Ich empfehle immernoch Uceprotect L1-L3.
kann ich nicht nachvollziehen und auch nicht verstehen. Primär alleine schon wegen den verschiedenen Delisting Policies für die verschienden Stufen und deren Begründungen. Abgesehen mal von den möglichen Kosten für ein Delisting.

Moin Dani,
ganz ehrlich: Andere RBLs wie Spamhaus verlangen Geld, damit man sie benutzen kann. Du musst zahlen für Schutz. Die hier verlangen Geld, wenn du ###e baust. Diese Methode hat für mich weniger mafiöses, wie die andere.

Zitat von @Dani:
Auf der L3 Liste werden komplette IP Subnetze des AS eines Providers/Unternehmen eingetragen. Da sind Einträge dabei wo Millionnen von IP-Adressen gesperrt sind. Ich kann mir nicht vorstellen, dass jede einzelne IP Spam verschickt hat. Das ist eher ein Mittel um Druck auf den Betroffenen Inhaber des AS aufzubauen. Wiederspricht meiner Meinung nach aber dem realen/praktischen Sinn von RBL.

Da kommt dann mein Spruch "Reputation zählt eben doch". Die Erfahrung hat bisher gezeigt, dass Spamwellen fast immer aus bestimmten Kern-ASNs kommen und damit bestimmten Providern oft genug zugeordnet werden können. Wer seinen Server in einem "Hurenviertel" aufstellt, darf sich meiner Ansicht nicht wundern, wenn seine E-Mails "dumm" auffallen. Die Erfahrung hat auch gezeigt, dass unsere Kunden sich dieses Problems gar nicht bewusst sind. Sie zeigen sich größtenteils sehr dankbar, wenn ich sie auf Unzulänglichkeiten ihres E-Mailsetups hinweise (SPF,DKIM,DMARC schlecht oder fehlt).

Zitat von @Dani:
Die Veröffentlichung von Beschwerden/Einwände durch den Anbieter trägt aus meiner Sicht nicht dazu dabei ernst genommen werden zu können.
Du meinst die Cartooneys. Das mag sein. Das nenne ich Transparenz. Denn schau mal, wer sich da zum Affen gemacht hat. Anstatt das Problem zu lösen wird erst gemault. Diesen Eindruck habe ich. Und wenn man weiß, man erreicht einen Empfänger eben deswegen nicht, dann ruft man dort an und bittet um Whitelisting. Geht bei uns ja auch.
Zitat von @Dani:
Man stelle sich vor, dass alle Betreiber einer RBL dieses Geschäftsmodell umsetzen würde. Es würde vermutlich kaum noch ein E-Mailverkehr möglich sein und man müsste wieder Briefe schreiben...
Zum Geschäftsmodell hab ich oben was gesagt. face-smile
Zitat von @Dani:
Gruß,
Dani
Gruß
Andreas