Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wenn die eigene Domain für Spamversand missbraucht wird und was man dagegen tun kann

Mitglied: LordGurke

LordGurke (Level 3) - Jetzt verbinden

20.12.2016, aktualisiert 22.12.2016, 5539 Aufrufe, 11 Kommentare, 9 Danke

Wieso steht da unsere Domain im Absender? Das kann doch nicht sein!

Die Absenderadresse einer E-Mail kann man genau so leicht fälschen wie den Absender auf einem klassischen Brief. Da die Domains von seriösen Unternehmen in der Regel gute Reputationen haben, werden diese dann hin und wieder von Spammern als Absender verwendet in der Hoffnung, so einfacher durch Spamfilter durch zu kommen oder dass der Absender so seriös wirkt dass infizierte Anhänge geöffnet werden.
Wenn die Spam-Mails tatsächlich nicht vom eigenen Mailserver kommen, kann man erstmal nichts tun um den Versand dieser Mails zu stoppen. Man kann lediglich den anderen, empfangenden Servern helfen zwischen den echten E-Mails mit diesem Absender und den Fälschungen zu unterscheiden.

Vorher: Sicherstellen, dass man nicht selbst versendet!

Normalerweise wird man selbst darauf ja erst aufmerksam, wenn man mit Bounces ("Backscatter") überworfen wird. Aus genau diesen Bounces sollte aber die IP-Adresse des Servers hervorgehen, der diese E-Mails erzeugt und versendet hat. Wenn das nicht eurer ist, liegt das Problem tatsächlich in gefälschten Absendern. Taucht da die IP-Adresse eures Mailservers auf, helfen euch diese Tipps erstmal nicht weiter und ihr solltet schleunigst euren Mailserver vom Netz nehmen

Variante 1: Billig, einfach, schnelle Lösung, aber ziemlich problembehaftet: SPF

SPF (Sender Policy Framework) ist im Grunde nichts weiter als ein DNS-Eintrag für die eigene Domain, in der hinterlegt wird von welchen E-Mail-Servern aus legitim versendet wird.
Bis auf das Erzeugen des DNS-Eintrags hat man erstmal keinen weiteren Aufwand oder Konfigurationsarbeiten an Mailservern vor sich und man sieht quasi innerhalb kürzester Zeit einen Effekt.

Wenn man selbst einen eigenen Mailserver mit der IP-Adresse 198.51.100.25 betreibt und ausschließlich darüber E-Mails mit der Domain "firma.tld" versendet werden, sieht der SPF-Record beispielsweise so aus:
Damit wird festgelegt...
...dass alle Server, die E-Mails unter der Domain annehmen ("MX") versenden dürfen (empfohlen)
...zusätzlich die IP-Adresse 198.51.100.25 versenden darf
...und der Rest explizit NICHTS unter der Domain versenden darf. (Nicht empfohlen, aber für das Beispiel ist es besser)

Erhält nun ein Mailserver eine E-Mail von der IP 198.51.100.25 und dem Absender "hallmackenreuther@firma.tld" prüft er durch eine DNS-Anfrage auf den TXT-Record unter "firma.tld", ob es einen SPF-Record gibt und wertet ihn aus. In diesem Fall ist unserer IP das Versenden von Mails ja explizit erlaubt, also gibt es dort grünes Licht und die E-Mail darf durch.

Klopft nun stattdessen z.B. der Spammer-Server 203.0.113.123 an und will ebenfalls eine E-Mail von "hallmackenreuther@firma.tld" einliefern wird wieder der DNS-Eintrag geholt und geprüft:
- Steht die IP-Adresse im SPF-Record? Nein, also...
- Ist dieser Server irgendwo in den MX-Records der Domain aufgeführt? Auch nicht, also...
- Greift die Regel am Ende: Nämlich fortjagen ("-all").

An sich ein einfaches Konzept und funktioniert, sofern man alles korrekt konfiguriert.
Alles? Nein, denn SPF sieht nicht vor, dass jemand möglicherweise seine E-Mails von einem Anbieter zu einem anderen WEITERLEITEN will!

SPF und Weiterleitungen

Herr Hallmackenreuther versendet nun über den Mailserver seiner Firma (198.51.100.25) eine E-Mail an "lindemann@herrenboutique.tld". Herr Lindemann ist aber im Urlaub auf Island und lässt seine E-Mails weiterleiten, an seine Tochter "tochter@t-offline.de". Und jetzt passiert das hier auf dem Server von T-Offline:

Da kommt jetzt der Mailserver von "herrenboutique.tld" (192.0.2.2) vorbei und möchte eine E-Mail von "hallmackenreuther@firma.tld" an "tochter@t-offline.de" zustellen. Der Server von T-Offline holt sich also den SPF-Record von "domain.tld" und arbeitet ihn ab:

- Steht die IP-Adresse 192.0.2.2 im SPF-Record? Nein.
- Taucht der Server 192.0.2.2 in einem MX-Record von "firma.tld" auf? Nein.
- Also: Fortjagen ("-all").

Schade, damit wird die echte E-Mail vom Herrn Hallmackenreuther abgelehnt

Dieses Problem kann man möglicherweise in den Griff kriegen, wenn man anstelle von "-all" ein "~all" (mit Tilde) benutzt und damit sagt, dass man eine ambivalente Meinung über andere Server hat. Damit kann man quasi eine Whitelist pflegen um mit seinen echten E-Mails besser durch Spamfilter zu kommen, aber eine echte Dauerlösung ist SPF leider nicht.
Als schnelle Sofortmaßnahme durchaus geeignet, aber lieber sollte man in etwas zukunftssichereres investieren:

Weiterführende Lektüre zu SPF und Test-Tools

DKIM + DMARC

D-Mark? Wir haben doch Euro!
Nein, DMARC - die handliche Abkürzung von "Domain-based Message Authentication, Reporting and Conformance".
Zusammen mit DKIM, der "DomainKeys Identified Mail", ist das eine robuste Lösung um echte von gefälschten Mails zu unterscheiden - allerdings bedeutet die Konfiguration dieser Technik je nach Mailserver unterschiedlich viel Aufwand und jemanden, der sich damit auskennt.

Was macht man damit denn nun?

Mit DKIM werden die E-Mail-Header kryptographisch signiert.
Will heißen: Jede E-Mail, die Herr Hallmackenreuther über den echten Firmen-Mailserver verschickt, erhält von diesem ein paar zusätzliche unsichtbare Daten, mit denen sich die Echtheit und Integrität der E-Mail-Header (darin stehen z.B. Absender, Empfänger, Datum, Betreff u.s.w.) beweisen lässt.
Der Mailserver schaut sich dafür die Headerdaten an und errechnet darüber eine kryptographische Signatur für die Domain "firma.tld", die nur derjenige erzeugen kann, der den geheimen kryptographischen Schlüssel dafür hat (der auf dem Firmen-Mailserver gespeichert ist). Einen kleinen Teil dieses Schlüssels (der "öffentliche Schlüssel") veröffentlicht man als TXT-Record per DNS.
Dieser öffentliche Schlüssel passt nur zum geheimen, privaten Schlüssel des Mailservers.
Andere Mailserver, an die man E-Mails versendet, können mit der kryptographischen Signatur im E-Mail-Header und dem TXT-Record in der DNS-Zone nachprüfen, ob wirklich der echte Mailserver von "firma.tld" diese Signatur erzeugt hat und ob sie zwischenzeitlich (unerlaubter weise) verändert wurde.
Ist die Signatur in Ordnung wird die E-Mail angenommen, ist sie kaputt oder fehlerhaft prüft der Empfängerserver nach ob es einen DMARC-Record in der DNS-Zone von "firma.tld" gibt.
In diesem DMARC-Record steht drin, was passieren soll wenn die Signatur nicht verifiziert werden kann - z.B. ob die Mail trotzdem als OK angesehen oder direkt abgelehnt werden soll.

Das Ganze ist deutlich aufwendiger als die SPF-Lösung, aber dafür ist es hier vollkommen egal von welchen IP-Adressen aus die E-Mail verschickt wird solange die Header intakt und unverändert bleiben - und das ist normalerweise auch bei den verwinkelsten Mailweiterleitungen der Fall.
Ein Spammer kann auch nicht einfach die vorhandene Signatur einer versendeten, echten E-Mail kopieren und für eigene Zwecke missbrauchen - denn er könnte ja den Empfänger oder Betreff nicht verändern ohne dass die DKIM-Signatur kaputtgeht und ungültig wird.

Je nach Mailserver ist das unterschiedlich viel Implementationsaufwand. Zudem braucht es dafür gewisse Grundkenntnisse in Sachen E-Mail, DNS und kryptographischen Signaturen.
Im Zweifel sollte man sich notfalls einen Dienstleister holen, der einem das einmal schön einrichtet und konfiguriert.

Weiterführende Lektüre zu DKIM/DMARC und Test-Tools
Mitglied: the-buccaneer
20.12.2016 um 22:52 Uhr
danke. ist der text auf deinem mist gewachsen? gut beschrieben. sonst bitte quelle angeben.

schade, dass die spf-implementierung offenbar nicht vorsieht, nur die mailserveradresse des 1. mailservers zu checken. die ist ja auch im falle hallmackenreuther --> lindemann korrekt und steht im header an oberster stelle.

trotzdem informativ. wieder was gelernt.

gruß
buc
Bitte warten ..
Mitglied: LordGurke
21.12.2016 um 00:16 Uhr
Danke - ich schreibe meine Texte immer selber. Mit Bedacht und Sarkasmus
Bitte warten ..
Mitglied: Olfryygt
21.12.2016 um 10:18 Uhr
Interessant, danke dafür

Zum Thema SPF gab es letztens ein Thema hier, was mit passenden Links gespickt war:
https://www.administrator.de/contentid/319430#comment-1146595

Und da findet man auch einen Link zum Thema, warum -all nicht verwendet werden sollte:
https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-r ...

Vielleicht kannst du das ja brauchen, is imho auf jeden Fall nützliche Info.

Lg
Bitte warten ..
Mitglied: vBurak
21.12.2016 um 21:52 Uhr
Vielen Dank für die ausführliche Beschreibung!

Jetzt hätte ich aber eine Frage zu "-all":

Wenn das nicht empfohlen wird und auch Weiterleitungen letztendlich nicht zulässt warum sagt Microsoft dass man bei Office 365 einen SPF Eintrag mit "-all" machen soll (https://technet.microsoft.com/de-de/library/mt712724(v=exchg.150).aspx)?

Ich habe bei uns nochmal nachgeschaut und hatte damals alle DNS Einstellungen wie es Microsoft vorgibt übernommen. Jetzt sehe ich, dass dort -all eingetragen ist und nicht ~all.
Bitte warten ..
Mitglied: Dani
21.12.2016 um 22:56 Uhr
Moin @vBurak
Wenn das nicht empfohlen wird und auch Weiterleitungen letztendlich nicht zulässt warum sagt Microsoft dass man bei Office 365 einen SPF Eintrag mit "-all" machen soll (https://technet.microsoft.com/de-de/library/mt712724(v=exchg.150).aspx)?
naja, solange der Hoster, an den du die Mail weiterleitest, diese SPF-Einträge nicht prüft bzw. umsetzt, hast du kein Problem. Aber sobald z.B. die Mails an gmx.de/web.de geht, wird diese als SPAM markiert bzw. evtl. auch schon abgelehnt. Letztendlich kann die Frage nur Microsoft beantworten.


Gruß,
Dani
Bitte warten ..
Mitglied: LordGurke
22.12.2016 um 21:37 Uhr
Zitat von vBurak:
Wenn das nicht empfohlen wird und auch Weiterleitungen letztendlich nicht zulässt warum sagt Microsoft dass man bei Office 365 einen SPF Eintrag mit "-all" machen soll (https://technet.microsoft.com/de-de/library/mt712724(v=exchg.150).aspx)?

Wenn es zu Problemen bei E-Mail-Weiterleitungen kommt und "-all" aktiviert ist, werden die E-Mails abgelehnt, weil du als Verwalter der Absender-Domain festgelegt hast, dass das passieren soll.
Bei ~all legst du fest, dass der Server da selbst eine Meinung zu haben soll und besser basierend auf weiteren Kritieren festlegt ob die Mail nun abgelehnt wird oder nicht. Dieser Eintrag führt also nicht zwingend zur Ablehnung einer E-Mail weil die SPF-Verifikation fehlschlägt, kann aber bei positivem SPF-Test dazu führen, dass deine E-Mails besser bewertet werden.
Der Qualifikator "~all" führt zu einem sogenannten "SOFT-FAIL", bei "-all" wird es ein richtiger "FAIL".

Insgesamt ist das ganze Spamfilter-Thema aber etwas, wo du selbst nur wenig zu beitragen kannst, wie sich ein Remote-Server verhält und was diese bei fehlschlagenden DKIM-/oder SPF-Prüfungen so machen.
Bitte warten ..
Mitglied: vBurak
22.12.2016 um 23:09 Uhr
@Dani @LordGurke
Danke, gut zu wissen. Ich lass die Einstellung mit "-all" erstmal da wir eh keine Weiterleitung verwenden. Vielleicht macht es für Microsoft auch einfach keinen Sinn, seine Emails an eine externe Mail-Adresse weiterzuleiten vor allem wenn man OWA Zugriff hat. Sehe auf die schnelle auch kein Szenario warum sowas gemacht werden soll.
Bitte warten ..
Mitglied: the-buccaneer
24.12.2016 um 01:50 Uhr
Sicher sehr legitim und im Einzelfall auch sinnvoll...
Aber: Da wohl 99% allen Spams von gekaperten Rechnern/Accounts/IOT-Dosen ausgeht eher ein Nischenfall...

Was ich mich frage (da ich keinen Mailserver offen im Netz habe) ist, ob die Provider das irgendwie nutzen. Wahrscheinlich nicht, da Komplikationen.

Werde den Eintrag bei meinem "Smarthost" mal spasseshalber setzen. mal sehen, was passiert.

Frohe Weihnachten!
Buc
Bitte warten ..
Mitglied: LordGurke
24.12.2016 um 01:54 Uhr
Zitat von vBurak:
@Dani @LordGurke
Danke, gut zu wissen. Ich lass die Einstellung mit "-all" erstmal da wir eh keine Weiterleitung verwenden. Vielleicht macht es für Microsoft auch einfach keinen Sinn, seine Emails an eine externe Mail-Adresse weiterzuleiten vor allem wenn man OWA Zugriff hat. Sehe auf die schnelle auch kein Szenario warum sowas gemacht werden soll.

Du vielleicht nicht. Das ist aber auch nicht das Problem. Das Problem tritt auf, wenn der EMPFÄNGER, an den du die Mails sendest eine Weiterleitung einrichtet und du als Absender SPF mit Hard-Fail nutzt
Bitte warten ..
Mitglied: LordGurke
24.12.2016 um 01:57 Uhr
Zitat von the-buccaneer:

Sicher sehr legitim und im Einzelfall auch sinnvoll...
Aber: Da wohl 99% allen Spams von gekaperten Rechnern/Accounts/IOT-Dosen ausgeht eher ein Nischenfall...

Genau das erreicht man doch mit beiden Verfahren - man macht für die Empfänger-Mailserver erkennbar, wenn ein Absender von einem infizierten Kühlschrank versendet wird da entweder (SPF) die IP-Adressen nicht passen oder (DKIM) die DKIM-Signatur ungültigt ist oder fehlt

Dagegen, dass dein eigener Mailserver aufgemacht und für Spam-Versand missbraucht wird hilft das überhaupt nicht - aber sehr wohl gegen das ziemlich präsente Problem, dass seriöse Domains mit guter Reputation als Absender eingetragen werden und du als Domaineigentümer den Ärger deswegen hast.
Bitte warten ..
Mitglied: LordGurke
24.02.2019, aktualisiert um 20:03 Uhr
Nachtrag dazu:
Momentan wird meine private Domain von Dritten missbraucht, um Spam zu versenden.
Ich habe aber nicht nur diese Anleitung niedergeschrieben sondern auch gehandelt und habe demzufolge DMARC-Einträge auf meiner Domain, welche die Ablehnung ungültiger oder fehlender DKIM-Signaturen empfiehlt.

Aufgefallen ist mir der Missbrauch der Domain nicht durch Backscatter (ich bekam wirklich nicht einen einzigen) sondern weil ich auch das DMARC-Reporting aktiviert haben und deshalb einen ganzen Stapel Reports bekommen habe. Diese sehen dann so aus, wie man Ende dieses Beitrags.
Und ich bekam nicht nur einen sondern innerhalb eines Tages um die 30 Reports, die über insgesamt gut 200 Mail-Einlieferungsversuche berichteten. Und wie gesagt: Nicht ein einziger Backscatter!

Etwas leichter lesbar, wenngleich nicht automatisiert auswertbar, sind "forensiche Reports" wie dieser hier:

Die aggregierten Reports, die dann in der Regel einen Zeitraum von mehreren Stunden abdecken, kommen per XML und sind maschinell auswertbar:

Bitte warten ..
Ähnliche Inhalte
Soziale Netzwerke

50 Mio Facebookaccounts missbraucht ? Besser wohl gebraucht

Tipp von AlchimedesSoziale Netzwerke10 Kommentare

Hat sein Grund warum ich Socialmediascheiss nicht benutze. Cambridge Analytica wurde bekannt als die Firma, deren Datenauswertung Donald Trump ...

Internet

500 Millionen Website-Nutzer für Kryptomining missbraucht

Information von BassFishFoxInternet5 Kommentare

Kann ich mir gut als Ersatz fuer die nervende Werbung vorstellen. Der Originalartikel ist hier. Vermutlich werden aber die ...

Webbrowser

Firefox: DOH deaktivieren via canary domain

Information von FA-jkaWebbrowser4 Kommentare

Hallo, beim Rollout von DOH prüft Firefox anhand einer canary domain, ob ein Jugendschutzfilter gesetzt ist. Wer einen eigenen ...

RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

Tipp von FrankRedHat, CentOS, Fedora13 Kommentare

Hallo Fedorea/RedHat/CentOS User, unter den "normalen" Netzwerkeinstellungen von Gnome (Einstellungen -> Netzwerk) findet man leider keine Möglichkeit mehr, um ...

Neue Wissensbeiträge
Windows Server

Update KB4541329 (März 2020) und Windows Server 2016 RDS 1609 Probleme

Anleitung von System-Fehler vor 20 StundenWindows Server1 Kommentar

Hallo, hier zur Info und eventuelle Hilfe: Wir hatten folgende Fehler: Windows 2016 Datacenter 1609, hier als RDS Dienste ...

Internet

Aktuelle Netzauslastung in Deutschland durch die Covid-19-Pandemie

Information von Frank vor 1 TagInternet10 Kommentare

Viele Bürger fragen sich, ob die Telekommunikationsnetze während der Covid-19-Pandemie der verstärkten Internetnutzung durch Home Office, eLearning, Videostreaming und ...

iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 3 TageniOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 3 TagenSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
Netphone APP nimmt kein Kontakt auf
Frage von Finchen961988TK-Netze & Geräte12 Kommentare

Hallo, ich kämfpe mit einem Problem im Bereich Netphone und der Mobil APP. Bei einem Kunden habe ich eine ...

Router & Routing
VPN Client als Router
gelöst Frage von lowsounderRouter & Routing12 Kommentare

Moin moin, zwecks Homeoffice habe ich einen Laptop zuhause der mittels OpenVPN an das Firmennetz angeschlossen ist. Adminrechte hab ...

Microsoft Office
Excel Problem Verhalten bei einem zusätzlichen angeschlossenem Monitor
Frage von JuniorgongMicrosoft Office12 Kommentare

Hallo Ich habe ein Problem mit einem User der im Home-Office sitzt. Es wurde an einem Notebook ein 2ter ...

Server-Hardware
ESXi 6.+ auf MINI-ITX Rechner
gelöst Frage von N4m3n7os3rServer-Hardware11 Kommentare

Hallo liebe Community, aus nicht wichtigen Gründen bin ich am überlegen meinen alten Server HP ML350G6 erstmal still zu ...