10
Vermehrt Spam Mails mit bekannten Absendern und Inhalt
Hallo,
wir bekommen bei in den letzten Tagen sehr viele Spam E-Mails. Ansich finde ich das ganze nicht so verwunderlich, allerdings machen mich die letzten E-Mails doch etwas stutzig, da beim Absender namen oft Namen und E-Mail Adressen von Personen vorkommen mit denen wir in Kontakt stehen. Auch der Betreff und Inhalt in den Spam E-Mails ist meist von vorherigen Konversationen.
Wir haben einen Exchange 2019 Server (aktuellstes CU) bei uns im Unternehmen stehen und rufen die E-Mails mittels POPCon vom ISP Mailserver ab. Versendet wird per Smarthost über den SMTP Server vom ISP.
Die ausgehenden E-Mails habe ich bereits mittels der Exchange Tracking GUI überprüft und konnte bisher keine Unstimmigkeiten feststellen. Alle Benutzer arbeiten auf den selben Terminalserver. Diesen habe ich auch bereits mit mehreren Virenscannern und dem installierten Kaspersky Anti Virus auf Schadsoftware untersuchen lassen. Gefunden wurde aber keine Schadsoftware.
Mittlerweile vermute ich, dass das Problem eventuell bei den Empfängern unserer E-Mails liegt und diese eventuell eine Schadsoftware am PC haben, welche automatisch E-Mails an uns mit Word Dokumenten, welche Viren enthalten, zurücksendet.
Trotzdem würde ich gerne einmal Eure Meinung dazu hören, da ich mittlerweile nicht mehr weiß, wo ich noch ansetzen könnte.
Hier ein Screenshot einer E-Mail:
Grüße
mws992
wir bekommen bei in den letzten Tagen sehr viele Spam E-Mails. Ansich finde ich das ganze nicht so verwunderlich, allerdings machen mich die letzten E-Mails doch etwas stutzig, da beim Absender namen oft Namen und E-Mail Adressen von Personen vorkommen mit denen wir in Kontakt stehen. Auch der Betreff und Inhalt in den Spam E-Mails ist meist von vorherigen Konversationen.
Wir haben einen Exchange 2019 Server (aktuellstes CU) bei uns im Unternehmen stehen und rufen die E-Mails mittels POPCon vom ISP Mailserver ab. Versendet wird per Smarthost über den SMTP Server vom ISP.
Die ausgehenden E-Mails habe ich bereits mittels der Exchange Tracking GUI überprüft und konnte bisher keine Unstimmigkeiten feststellen. Alle Benutzer arbeiten auf den selben Terminalserver. Diesen habe ich auch bereits mit mehreren Virenscannern und dem installierten Kaspersky Anti Virus auf Schadsoftware untersuchen lassen. Gefunden wurde aber keine Schadsoftware.
Mittlerweile vermute ich, dass das Problem eventuell bei den Empfängern unserer E-Mails liegt und diese eventuell eine Schadsoftware am PC haben, welche automatisch E-Mails an uns mit Word Dokumenten, welche Viren enthalten, zurücksendet.
Trotzdem würde ich gerne einmal Eure Meinung dazu hören, da ich mittlerweile nicht mehr weiß, wo ich noch ansetzen könnte.
Hier ein Screenshot einer E-Mail:
Grüße
mws992
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 597096
Url: https://administrator.de/contentid/597096
Printed on: April 26, 2024 at 12:04 o'clock
10 Comments
Latest comment
Hallo,
Source und Header der Mail sind inotwendig um weitere Aussagen über den Ursprung und Grund dieser Mails machen zu können.
CH
Source und Header der Mail sind inotwendig um weitere Aussagen über den Ursprung und Grund dieser Mails machen zu können.
CH
Moin,
ich schließe mich @ChriBo an.
Ohne Header ist es schwierig, nicht zu spekulieren.
Persönlich rate ich vom Versand und Empfang über ISP-EMail-Servern generell ab.
Solange Du keine Garantie hast, dass Du eine dedizierte Maschine hast, besteht das Risiko, dass auch andere drübergeschubst werden.
Wenn da ein Schlingel drunter ist, wird man schnell zum Kollateralschaden, wenn die Maschine auf einer RBL landet.
Grüße
bdmvg
ich schließe mich @ChriBo an.
Ohne Header ist es schwierig, nicht zu spekulieren.
Persönlich rate ich vom Versand und Empfang über ISP-EMail-Servern generell ab.
Solange Du keine Garantie hast, dass Du eine dedizierte Maschine hast, besteht das Risiko, dass auch andere drübergeschubst werden.
Wenn da ein Schlingel drunter ist, wird man schnell zum Kollateralschaden, wenn die Maschine auf einer RBL landet.
Grüße
bdmvg
Hallo,
anbei sende ich Euch die Nachrichtenkopfzeile der E-Mail aus dem ersten Screenshot. Einige Teile davon habe ich anonymisiert.
@beidermachtvongreyscull: Ja, da muss ich dir zustimmen. Grundsätzlich möchte ich den Empfang sowieso auf direkt mit einem Mail Gateway davor umstellen.
Grüße
mws992
anbei sende ich Euch die Nachrichtenkopfzeile der E-Mail aus dem ersten Screenshot. Einige Teile davon habe ich anonymisiert.
Received: from SRV2.domäne.local (192.168.0.9) by SRV2.domäne.local
(192.168.0.9) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.464.5 via Mailbox
Transport; Tue, 18 Aug 2020 08:42:00 +0200
Received: from SRV2.domäne.local (192.168.0.9) by SRV2.domäne.local
(192.168.0.9) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.464.5; Tue, 18 Aug 2020
08:41:59 +0200
Received: from exchange-pop3-connector.com (192.168.0.9) by
SRV2.domäne.local (192.168.0.9) with Microsoft SMTP Server id 15.2.464.5
via Frontend Transport; Tue, 18 Aug 2020 08:41:58 +0200
Return-Path: accounts@lrsservices.in
X-Original-To: office@domain.com
Delivered-To: office@domain.com
Received: from zimbra161-ind.megavelocity.net (zimbra161-ind.megavelocity.net [43.224.137.123])
by 101.hosttech.eu (Postfix) with ESMTPS id 908D811C0FC4
for <office@domain.com>; Tue, 18 Aug 2020 08:40:37 +0200 (CEST)
Authentication-Results: 101.hosttech.eu;
spf=pass (sender IP is 43.224.137.123) smtp.mailfrom=accounts@lrsservices.in smtp.helo=zimbra161-ind.megavelocity.net
Received-SPF: pass (101.hosttech.eu: domain of lrsservices.in designates 43.224.137.123 as permitted sender) client-ip=43.224.137.123; envelope-from=accounts@lrsservices.in; helo=zimbra161-ind.megavelocity.net;
Received: from localhost (localhost.localdomain [127.0.0.1])
by zimbra161-ind.megavelocity.net (Postfix) with ESMTP id 144E9714EFC1
for <office@domain.com>; Tue, 18 Aug 2020 12:10:35 +0530 (IST)
Received: from zimbra161-ind.megavelocity.net ([127.0.0.1])
by localhost (zimbra161-ind.megavelocity.net [127.0.0.1]) (amavisd-new, port 10032)
with ESMTP id mGKMaoiImQcz; Tue, 18 Aug 2020 12:10:31 +0530 (IST)
X-Virus-Scanned: amavisd-new at zimbra161-ind.megavelocity.net
DKIM-Filter: OpenDKIM Filter v2.10.3 zimbra161-ind.megavelocity.net D8CDE714EFAC
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=lrsservices.in;
s=AEDA314C-3750-11E8-B5E2-D0AFB1269727; t=1597732830;
bh=6f/BLF4idVEemhz95IhdjufZhESnfHMfuWH9Bf1/53k=;
h=Date:From:To:MIME-Version:Message-Id;
b=S7rhiHxZ1aKMjDfGnAQnSA6eS9PQyUtpCcgKxMS/ih2/wGERpK0wj+px8s/XFjNCx
w8CgQd/9WmewmYio5+ju5jWm8O8IT0wOksfKdMrZrOGye4MwZGEaFx1yCatQdy35pV
mdu+I84EBCiKvTnLR1wdawcrhMqsnGpWJQcZc2zkhtitQn9JwKRc1hGfOyrKuME7wI
lEobmtEQtUs0VDwGXWhxUJz5N+fUpLp4RQlw7o2uhZGfi7UTuLajgLu9QE8vDoGwIT
6wSflJ5kyqkYXONrSJdEDuTN3Ow80DxVrlGZtRLjg+KSLGwuXff0pFk5//+7xtSzRR
OhC/27tXh4OAQ==
Date: Tue, 18 Aug 2020 10:43:18 +0300
X-hosttech-server: 101.hosttech.eu
From: "umlagen@kunde.com" <accounts@lrsservices.in>
To: "Office" <office@domain.com>
Subject: AW: Grundumlagenberechnung 2018
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--11211230956407440208557253341728819"
Message-Id: <20200818064028.AF24E714EFA3@zimbra161-ind.megavelocity.net>
X-hosttech-MailScanner-Information: Please contact the ISP for more information
X-hosttech-MailScanner-ID: 908D811C0FC4.ACC88
X-hosttech-MailScanner: Found to be clean
X-hosttech-MailScanner-SpamCheck: not spam, SpamAssassin (not cached,
score=1.024, required 5, BAYES_00 -1.90, DKIM_INVALID 0.10,
DKIM_SIGNED 0.10, HTML_MESSAGE 0.00, HT_185 0.20,
MIME_BOUND_DD_DIGITS 1.37, MIME_HTML_ONLY 0.10,
PDS_FROM_2_EMAILS 1.05, SPF_HELO_NONE 0.00, SPF_PASS -0.00,
URIBL_BLOCKED 0.00)
X-hosttech-MailScanner-SpamScore: s
X-hosttech-MailScanner-From: accounts@lrsservices.in
X-Spam-Status: No
X-POPCON-TARGETADDRESS: office@domain.com
X-MS-Exchange-Organization-Network-Message-Id: 3e217a31-e4a8-4c6e-4567-08d84341cec1
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: SRV2.domäne.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:01.3949209
X-MS-Exchange-Processed-By-BccFoldering: 15.02.0464.005@beidermachtvongreyscull: Ja, da muss ich dir zustimmen. Grundsätzlich möchte ich den Empfang sowieso auf direkt mit einem Mail Gateway davor umstellen.
Grüße
mws992
Hi,
Nix Ungewoehnliches um irgendwie bei "Euch rein zu kommen".
Emotet mach so ungefaehr Selbiges.
BFF
Nix Ungewoehnliches um irgendwie bei "Euch rein zu kommen".
Emotet mach so ungefaehr Selbiges.
BFF
moin...
also wenn du schon Kaspersky auf dem Exchange hast, warum nutzt du nicht die filter... sowas dürfte nicht durchkommen...
und da wäre noch die anlagenfilterung, die genutzt werden sollte!
Frank
also wenn du schon Kaspersky auf dem Exchange hast, warum nutzt du nicht die filter... sowas dürfte nicht durchkommen...
und da wäre noch die anlagenfilterung, die genutzt werden sollte!
Frank
Hi,
logischerweise kann ich jetzt eine Emotet Infektion nicht zu 100% ausschließen, allerdings habe ich soeben die ganzen Systeme mit den Tools Emocheck und EmoKill auf eventuelle Emotet Anzeichen bzw. Prozesse überprüft. Beide Tools haben nichts gefunden. Was aber nicht heißen soll, dass es nicht doch sein könnte, dass etwas drauf ist.
Grüße
mws992
logischerweise kann ich jetzt eine Emotet Infektion nicht zu 100% ausschließen, allerdings habe ich soeben die ganzen Systeme mit den Tools Emocheck und EmoKill auf eventuelle Emotet Anzeichen bzw. Prozesse überprüft. Beide Tools haben nichts gefunden. Was aber nicht heißen soll, dass es nicht doch sein könnte, dass etwas drauf ist.
Grüße
mws992
Hi Frank,
leider ist der E-mail Filter nicht in der Kaspersky Lizenz enthalten. Wir haben nur Endpoint Security for Workstations und Fileserver. Habe schon versucht diese Funktion zu aktivieren, allerdings lässt es eben die Lizenz nicht zu. Ich habe aber sowieso an ein Mail Gateway gedacht, welches verdächtige Anhänge zuerst in einer Sandbox prüft und dann erst freigibt oder löscht.
Grüße
mws992
leider ist der E-mail Filter nicht in der Kaspersky Lizenz enthalten. Wir haben nur Endpoint Security for Workstations und Fileserver. Habe schon versucht diese Funktion zu aktivieren, allerdings lässt es eben die Lizenz nicht zu. Ich habe aber sowieso an ein Mail Gateway gedacht, welches verdächtige Anhänge zuerst in einer Sandbox prüft und dann erst freigibt oder löscht.
Grüße
mws992
Die Adresse wird vorgegaukelt
Ich glaube, dass hier eine wiederkehrende Nutzerschulung fast sinnvoller wäre. Das mache ich bei meinen so und es funktioniert (immer besser!).
Die Leute müssen sich einfach nur die richtigen Fragen stellen und das kannst Du Ihnen anhand solcher E-Mails beibringen:
Damit kannst Du den menschlichen Faktor härten.
Gruß
bdmvg
From: "umlagen@kunde.com" <accounts@lrsservices.in> Ich glaube, dass hier eine wiederkehrende Nutzerschulung fast sinnvoller wäre. Das mache ich bei meinen so und es funktioniert (immer besser!).
Die Leute müssen sich einfach nur die richtigen Fragen stellen und das kannst Du Ihnen anhand solcher E-Mails beibringen:
- Erwarte ich diese E-Mail?
- Werde ich persönlich angesprochen?
- Werde ich persönlich angeschrieben?
- Passt der Dateiname des Anhangs zum angegebenen E-Mail-Inhalt?
- Sind Schreibfehler vorhanden?
- Grammatikalisch hochwertiges Deutsch verwendet?
- Ist die E-Mail als Antwort formuliert, obwohl ich das nicht erwarte?
Damit kannst Du den menschlichen Faktor härten.
Gruß
bdmvg
Zitat von @beidermachtvongreyscull:
Die Adresse wird vorgegaukelt
Ich glaube, dass hier eine wiederkehrende Nutzerschulung fast sinnvoller wäre. Das mache ich bei meinen so und es funktioniert (immer besser!).
Die Adresse wird vorgegaukelt
From: "umlagen@kunde.com" <accounts@lrsservices.in> Ich glaube, dass hier eine wiederkehrende Nutzerschulung fast sinnvoller wäre. Das mache ich bei meinen so und es funktioniert (immer besser!).
Genau, dass ist mir bewusst. Nur die Namen und Adressen, welche vorgegaukelt werden sind meist die von unseren Kunden und teilweise auch von den eigenen Mitarbeitern. Vor allem hat es mich sehr stutzig gemacht, nachdem Mails gekommen sind, bei denen der Inhalt (Text) auch noch 1:1 von zuvor gesendeten E-Mails enthalten war.
Ich könnte es mir eben nur so erklären, dass Kunde XY einen Virus / Trojaner auf seinem PC hat, von uns ein Mail bekommen hat. Der Trojaner am Kunden PC unsere Absenderadresse, Betreff und Text (Inhalt) übernommen hat, dann ein Word Dokument mit einem Virus /Makro angefügt hat und ein paar Tage später wieder an uns retour gesendet hat.
Die Mitarbeiter selbst löschen diese E-Mails sowieso gleich oder fragen vorher bei uns nach wenn ihnen der Absender oder das Mail selbst komisch vorkommt. Das war eben auch bei diesen E-Mails der Fall.
Zusätzlich habe ich auch noch, per Exchange Regel, eine Warnmeldung in jedes E-Mail eingebaut (siehe 2. Screenshot), welcher erscheint, wenn ein Anhang mitgesendet wird.
Grüße
mws992
Zitat von @mws992:
Zusätzlich habe ich auch noch, per Exchange Regel, eine Warnmeldung in jedes E-Mail eingebaut (siehe 2. Screenshot), welcher erscheint, wenn ein Anhang mitgesendet wird.
Zusätzlich habe ich auch noch, per Exchange Regel, eine Warnmeldung in jedes E-Mail eingebaut (siehe 2. Screenshot), welcher erscheint, wenn ein Anhang mitgesendet wird.
Die Idee ist sehr gut. Wie hast Du das gemacht? Gibt es da eine Anleitung?
Grüße
bdmvg