17
SPAM-Mail bei einem Mitarbeiter
Guten Morgen,
seit einiger Zeit bekommt ein Mitarbeiter (von ca. 25) ca. 20.000 Spam pro Woche. Die landen zwar im SPAM-Ordner, aber irgendwie ist das seltsam.
Es ist auch fast immer die gleiche Mail (optisch), nur der Name, URL und der Inhalt ändert sich.
Kann man da was machen?
Wir nutzen den SBS-2011-Exchange (MX-Eintrag).
Gruß
Michael
seit einiger Zeit bekommt ein Mitarbeiter (von ca. 25) ca. 20.000 Spam pro Woche. Die landen zwar im SPAM-Ordner, aber irgendwie ist das seltsam.
Es ist auch fast immer die gleiche Mail (optisch), nur der Name, URL und der Inhalt ändert sich.
Kann man da was machen?
Wir nutzen den SBS-2011-Exchange (MX-Eintrag).
Gruß
Michael
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 287119
Url: https://administrator.de/forum/spam-mail-bei-einem-mitarbeiter-287119.html
Ausgedruckt am: 07.04.2025 um 02:04 Uhr
17 Kommentare
Neuester Kommentar
Moin,
LG, Thomas
Kann man da was machen?
natürlich. Wenn Ihr den Exchange den mail-Verkehr steuern lasst, werdet Ihr dort ja einen SPAM-Filter und einen Virenschutz betreiben --> einfach vernünftig konfigurieren ...LG, Thomas
2
Zitat von @keine-ahnung:
Moin,
LG, Thomas
Moin,
Kann man da was machen?
natürlich. Wenn Ihr den Exchange den mail-Verkehr steuern lasst, werdet Ihr dort ja einen SPAM-Filter und einen Virenschutz betreiben --> einfach vernünftig konfigurieren ...LG, Thomas
Moin Thomas,
wie immer, eine prima Antwort... Darauf wäre ich selber nie gekommen....
Mir geht´s eigentlich darum, wie man an das "vernünftig konfigurieren" kommt.
Kann man eine Gemeinsamkeit dieser Mails rausbekommen (Port, IP, etc...)? So, dass man ggfls. daraus eine Logik für den Filter hinbekommt.
Moin Michael,
Paranoia reloaded... Wenn es nur bei diesem einen Mitarbeiter ist, hast Du mal seinen Rechner auf Schadsoftware gecheckt? Der Mailserver ist nicht etwa als offenes Relay fehlkonfiguriert? Einen Spamfilter betreibt Ihr sicherlich? Welchen? Ggf. finden sich hier weitere Konfigurationsmöglichkeiten. Muss da Thomas schon Recht geben (auch wenn seine Kommentare oft genug semihilfreich sind), Deine Aussagen machen mir ein wenig Angst
Das kannst Du eher beantworten als wir, wir sehen ja nix Schau doch mal in die Header der betreffenden Mails, ist da irgendwas immer wieder identisch? Klingt für mich allerdings eher nach Fehlkonfiguration / Schadsoftware im eigenen Netz.
Gruß
Paranoia reloaded... Wenn es nur bei diesem einen Mitarbeiter ist, hast Du mal seinen Rechner auf Schadsoftware gecheckt? Der Mailserver ist nicht etwa als offenes Relay fehlkonfiguriert? Einen Spamfilter betreibt Ihr sicherlich? Welchen? Ggf. finden sich hier weitere Konfigurationsmöglichkeiten. Muss da Thomas schon Recht geben (auch wenn seine Kommentare oft genug semihilfreich sind), Deine Aussagen machen mir ein wenig Angst
Kann man eine Gemeinsamkeit dieser Mails rausbekommen (Port, IP, etc...)?
Schau doch mal in die Header der betreffenden Mails, ist da irgendwas immer wieder identisch? Klingt für mich allerdings eher nach Fehlkonfiguration / Schadsoftware im eigenen Netz.Gruß
Zitat von @Coreknabe:
Moin Michael,
Paranoia reloaded... Wenn es nur bei diesem einen Mitarbeiter ist, hast Du mal seinen Rechner auf Schadsoftware gecheckt? Der Mailserver ist nicht etwa als offenes Relay fehlkonfiguriert? Einen Spamfilter betreibt Ihr sicherlich? Welchen? Ggf. finden sich hier weitere Konfigurationsmöglichkeiten. Muss da Thomas schon Recht geben (auch wenn seine Kommentare oft genug semihilfreich sind), Deine Aussagen machen mir ein wenig Angst
Das kannst Du eher beantworten als wir, wir sehen ja nix Schau doch mal in die Header der betreffenden Mails, ist da irgendwas immer wieder identisch? Klingt für mich allerdings eher nach Fehlkonfiguration / Schadsoftware im eigenen Netz.
Gruß
Hi,Moin Michael,
Paranoia reloaded... Wenn es nur bei diesem einen Mitarbeiter ist, hast Du mal seinen Rechner auf Schadsoftware gecheckt? Der Mailserver ist nicht etwa als offenes Relay fehlkonfiguriert? Einen Spamfilter betreibt Ihr sicherlich? Welchen? Ggf. finden sich hier weitere Konfigurationsmöglichkeiten. Muss da Thomas schon Recht geben (auch wenn seine Kommentare oft genug semihilfreich sind), Deine Aussagen machen mir ein wenig Angst
Kann man eine Gemeinsamkeit dieser Mails rausbekommen (Port, IP, etc...)?
Schau doch mal in die Header der betreffenden Mails, ist da irgendwas immer wieder identisch? Klingt für mich allerdings eher nach Fehlkonfiguration / Schadsoftware im eigenen Netz.Gruß
Wir nutzen ESET (Version 5 auf dem SBS). Ich habe auch mit div. Anti-Viren-Boot-CDs den Rechner gescannt, leider ohne Erfolg.
Das mit dem Header ist ein guter Ansatz. Danke dafür. Ich schaue mir das mal an.
ESET ist ja aber ein Virenscanner, kein Spamfilter.... Ich hoffe mal, Ihr habt einen wie auch immer gearteten Spamfilter...
Moin,
die besten Filter Ergebnisse erreicht man meiner Erfahrung nach mit einem vorgeschalteten MailProxy der Greylisting macht und RBLs nutzt - notfalls kann man sich das auch mit einer Linux kiste mit Postfix/Postgrey selber bauen.
Bei 20k SPAM Mails die Woche lohnt der "Aufwand" sicher .)
/EDIT: Virenbefall des Rechners oder Open Relay auf dme Server halte ich für unwahrscheinlich - da würde der SPAM ja dann AUSGEHEND sein.
lg,
Slainte
die besten Filter Ergebnisse erreicht man meiner Erfahrung nach mit einem vorgeschalteten MailProxy der Greylisting macht und RBLs nutzt - notfalls kann man sich das auch mit einer Linux kiste mit Postfix/Postgrey selber bauen.
Bei 20k SPAM Mails die Woche lohnt der "Aufwand" sicher .)
/EDIT: Virenbefall des Rechners oder Open Relay auf dme Server halte ich für unwahrscheinlich - da würde der SPAM ja dann AUSGEHEND sein.
lg,
Slainte
die besten Filter Ergebnisse erreicht man meiner Erfahrung nach mit einem vorgeschalteten MailProxy der Greylisting macht und RBLs nutzt
Virenbefall des Rechners oder Open Relay auf dme Server halte ich für unwahrscheinlich - da würde der SPAM ja dann AUSGEHEND sein.
Gruß
Zitat von @Coreknabe:
ESET ist ja aber ein Virenscanner, kein Spamfilter.... Ich hoffe mal, Ihr habt einen wie auch immer gearteten Spamfilter...
ESET ist ja aber ein Virenscanner, kein Spamfilter.... Ich hoffe mal, Ihr habt einen wie auch immer gearteten Spamfilter...
Sorry, ESET Mail Security für Exchange. Das bietet zwei Schutzarten: Virenschutz, Spam-Schutz.
Zitat von @Coreknabe:
So weit korrekt, nur finde ich es auffällig, dass nur ein Mitarbeiter derart viel Spam erhält. Und Absender im Envelope lassen sich ja auch faken, ist ja nicht klar, woher die Spammails kommen, die der OT beklagt.
So weit korrekt, nur finde ich es auffällig, dass nur ein Mitarbeiter derart viel Spam erhält. Und Absender im Envelope lassen sich ja auch faken, ist ja nicht klar, woher die Spammails kommen, die der OT beklagt.
Deswegen würde ich erstmal die Received-Headereinträge auswerten und mal schauen, ob es da Auffälligkeiten gibt.
lks
auffällig, dass nur ein Mitarbeiter derart viel Spam erhält.
Hat der MA evtl. "Standard" Mailadressen wie "info@", "support@" etc? Oder habt ihr eine dem Kollegen evtl. als Catchall-Empfänger konfiguriet?Zitat von @SlainteMhath:
nein, keine "allgemeine" Adresse. Die Adresse ist über die SBS-Konsole, als ich den Benutzer angelegt habe, erstellt worden. Kann ich das in der Exchange-Konsole erkennen? Sorry, bin leider nur ein kleiner "Hobby"-Admin... auffällig, dass nur ein Mitarbeiter derart viel Spam erhält.
Hat der MA evtl. "Standard" Mailadressen wie "info@", "support@" etc? Oder habt ihr eine dem Kollegen evtl. als Catchall-Empfänger konfiguriet?
so, ich habe mir div. Mails angeschaut. Im Header steht immer was unterschiedliches, keine Übereinstimmungen. Selbst per WHOIS und Fremd-IP sitzen die mal unterschiedlich in Italien, Russland oder wo auch immer.
Da der SPAM-Filter ja zieht, stört er nicht direkt, aber schön wäre es, wenn das irgendwie eindämmen könnte.
Hier mal ein Header aus einer Mail:
Received: from XXX.XXX.XXX.XXX (212.3.169.240) by
name.url.de (XXX.XXX.XXX.XXX) with Microsoft SMTP Server id
14.2.347.0; Tue, 13 Oct 2015 01:14:11 +0200
Message-ID: <443135319170787-XYHEXURMROFQDQWRKWWZHL@gaotzwxjd.carnevale.net>
From: Lorene Rose <Rose_Lorene@carnevale.net>
Subject: Turn heads with stunning new watch designs
To: <name@url.de>
Date: Mon, 12 Oct 2015 17:04:48 -0700
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 7Bit
Return-Path: doahc@azspecialties.com
X-MS-Exchange-Organization-AuthSource: SBS-COMPUTER.domäne.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: carnevale.net
X-MS-Exchange-Organization-SenderIdResult: PermError
Received-SPF: PermError (COMPUTER.domäne.local: domain of
Rose_Lorene@carnevale.net used an invalid SPF mechanism)
X-MS-Exchange-Organization-SCL: 7
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.15106.474;SID:SenderIDStatus PermError;OrigIP:212.3.169.240
Da der SPAM-Filter ja zieht, stört er nicht direkt, aber schön wäre es, wenn das irgendwie eindämmen könnte.
Hier mal ein Header aus einer Mail:
Received: from XXX.XXX.XXX.XXX (212.3.169.240) by
name.url.de (XXX.XXX.XXX.XXX) with Microsoft SMTP Server id
14.2.347.0; Tue, 13 Oct 2015 01:14:11 +0200
Message-ID: <443135319170787-XYHEXURMROFQDQWRKWWZHL@gaotzwxjd.carnevale.net>
From: Lorene Rose <Rose_Lorene@carnevale.net>
Subject: Turn heads with stunning new watch designs
To: <name@url.de>
Date: Mon, 12 Oct 2015 17:04:48 -0700
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 7Bit
Return-Path: doahc@azspecialties.com
X-MS-Exchange-Organization-AuthSource: SBS-COMPUTER.domäne.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: carnevale.net
X-MS-Exchange-Organization-SenderIdResult: PermError
Received-SPF: PermError (COMPUTER.domäne.local: domain of
Rose_Lorene@carnevale.net used an invalid SPF mechanism)
X-MS-Exchange-Organization-SCL: 7
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.15106.474;SID:SenderIDStatus PermError;OrigIP:212.3.169.240
Zitat von @MiSt:
Ja klar. EMC -> Empfängerkonfiguration -> Postfach -> User auswählen -> Eigenschaften -> E-MailadressenZitat von @SlainteMhath:
nein, keine "allgemeine" Adresse. Die Adresse ist über die SBS-Konsole, als ich den Benutzer angelegt habe, erstellt worden. Kann ich das in der Exchange-Konsole erkennen?auffällig, dass nur ein Mitarbeiter derart viel Spam erhält.
Hat der MA evtl. "Standard" Mailadressen wie "info@", "support@" etc? Oder habt ihr eine dem Kollegen evtl. als Catchall-Empfänger konfiguriet?Aber das wird dir nicht viel helfen, denn du willst dem User ja nicht die Mailadresse wegnehmen.
Ich würde mich mehr mit dem AV/Antispamschutz beschäftigen. Den von Eset kenne ich nicht, aber sollte es dort nicht auch eine Funktion geben, dass offensichtliche SPAM-Mails nicht dem Benutzer zugestellt werden?
Sorry, bin leider nur ein kleiner "Hobby"-Admin...
Das ist doch nicht schlimm, frag mal Thomas (@keine-ahnung), wie er mit seinen SBSsen angefangen hat.
Moin,
! Ich kenne jetzt ESET auch nicht, aber in der Regel stehen die Konfigurationsmöglichkeiten im Handbuch? Damit sollte man sich eigentlich beschäftigen bevor man den MX-Popo aus dem Fenster steckt?
LG, Thomas (ebenfalls kleiner "hobby-Admin")
auch wenn seine Kommentare oft genug semihilfreich sind
mach ich eigentlich nur bei "semihilfreichen" Fragestellungen ... und davon gibt es halt so unsagbar viele ! Ich kenne jetzt ESET auch nicht, aber in der Regel stehen die Konfigurationsmöglichkeiten im Handbuch? Damit sollte man sich eigentlich beschäftigen bevor man den MX-Popo aus dem Fenster steckt?LG, Thomas (ebenfalls kleiner "hobby-Admin")
Zitat von @keine-ahnung:
Moin,
Moin,
auch wenn seine Kommentare oft genug semihilfreich sind
Damit sollte man sich eigentlich beschäftigen bevor man den MX-Popo aus dem Fenster steckt?Was minen Spruch "Mich dem nackten Arsch im Internet höngen" bestätigt.
lks
Bei Greylisting kannst du aber auch eine Whitelist für Provider/Absender machen womit du das Problem nicht hast.
Zudem ist ab der 2ten Zustellung diese eh in der Liste wodurch die nächsten Mails alle sofort durchgehen.
Zudem ist ab der 2ten Zustellung diese eh in der Liste wodurch die nächsten Mails alle sofort durchgehen.
Hallo,
es gibt immer mal wieder den Fall wo eine Email-Adresse verbrannt ist.
Ich hatte den Fall bisher einmal. Da hat der Chef wirklich jeden Newsletter, jedes Gewinnspiel und jede Möglichkeit sich anzumelden mitgenommen.
Dort sind am Ende bis zu 10.000 Mails angekommen und alle von verschiedenen Absendern.
Da half nur neue Email-Adresse Peter.Beispiel@firma.de statt p.beispiel@firma.de und alte Email-Adresse im Server löschen (Ablehnen des Empfangs).
Viele Grüße
Stefan
es gibt immer mal wieder den Fall wo eine Email-Adresse verbrannt ist.
Ich hatte den Fall bisher einmal. Da hat der Chef wirklich jeden Newsletter, jedes Gewinnspiel und jede Möglichkeit sich anzumelden mitgenommen.
Dort sind am Ende bis zu 10.000 Mails angekommen und alle von verschiedenen Absendern.
Da half nur neue Email-Adresse Peter.Beispiel@firma.de statt p.beispiel@firma.de und alte Email-Adresse im Server löschen (Ablehnen des Empfangs).
Viele Grüße
Stefan
