Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

User avatar
superjogi
Posts: 137
Joined: Sat 11. Jan 2020, 23:24

Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by superjogi »

Hallo,

Ich habe Keyhelp auf einem separaten Debian 10 Server als Mailserver seit 24 Stunden laufen.
Heute schreibt mich eine Mac Userin (wahrscheinlich kein Trojan/Virus am Computer) an, dass Sie mit dem Email Probleme hat.

Dann kam heraus:
Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.

Wie konnte das Email von einer Adresse meines Servers durchkommen?
- Es gibt noch kein einziges Skript auf diesem Server auf irgendeinem Webspace. Habe mit Emails angefangen.
- Es gibt keine einzige Emailadresse mit hostname.de, u
- Es gibt alle DKIM, SPF und DMARC Einträge und diese werden bei Email an Google auch alle 3 validiert.
- Es gibt eine Blacklist: bl.spamcop.net
- Es gibt eine Whitelist:list.dnswl.org
- Der Spamassasin soll ab 4.0 alles in den Spamordner tun

Spammail:
Spammail
Spammail
Phishingseite:
Phishing
Phishing
Spamfilter:
Spamfilter
Spamfilter
Ich habe list.dnswl.org in Verdacht, dass da der Hacker seinen Mailserver draufhat und die Email dadurch nicht erkannt wurde.
User avatar
mrbird
Posts: 149
Joined: Sat 12. Mar 2016, 18:29
Location: Thüringer im Saarland ;-)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by mrbird »

Also die reine E-Mail Absenderadresse ist lange noch kein Indiz für einen Versand über den Server. Denn die kann man schnell fälschen.
Um wirklich was zu erkennen guckt man in den Mailheader .. dort findet man wesentlich bessere Infos über den Weg bzw die Quelle.
(Ich hab das jetzt mal auf Grund der Screenshots gedeutet)

Zum völlig unreflektierten Klicken sag ich mal nix. Obwohl .. bei mir kommen solche "Aktivierungs" Mails oft in spanisch :D
Last edited by mrbird on Mon 29. Jun 2020, 19:42, edited 2 times in total.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by Jolinar »

Grundsätzlich vorneweg: Keine Anti-Spam Maßnahme bietet 100%ige Sicherheit...

superjogi wrote: Mon 29. Jun 2020, 19:27 Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.
Das ist ein klassischer Fall von "Dumm gelaufen" :roll:

superjogi wrote: Mon 29. Jun 2020, 19:27 Wie konnte das Email von einer Adresse meines Servers durchkommen?
Woher die Annahme, daß die Mail von deinem System verschickt wurde?
Hast du Zugriff auf die Mailheader? Da steht drin, welchen Weg die Mail genommen hat.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by OlliTheDarkness »

mrbird wrote: Mon 29. Jun 2020, 19:37 ...
Zum völlig unreflektierten Klicken sag ich mal nix. Obwohl .. bei mir kommen solche "Aktivierungs" Mails oft in spanisch :D
Ersterem schließe ich mich voll an, letzterem ist doch nen guter Fremdsprachen Lehrgang :lol:

Jolinar wrote: Mon 29. Jun 2020, 19:39 Grundsätzlich vorneweg: Keine Anti-Spam Maßnahme bietet 100%ige Sicherheit...

superjogi wrote: Mon 29. Jun 2020, 19:27 Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.
Das ist ein klassischer Fall von "Dumm gelaufen" :roll:

superjogi wrote: Mon 29. Jun 2020, 19:27 Wie konnte das Email von einer Adresse meines Servers durchkommen?
Woher die Annahme, daß die Mail von deinem System verschickt wurde?
Hast du Zugriff auf die Mailheader? Da steht drin, welchen Weg die Mail genommen hat.
Vollkommen richtig.

Allgemein sei gesagt, ob Spam / Phishing Marker oder nicht, Mails die unaufgefordert (z.B Kennwortrücksetzung) reinkommen, sollte man im Kopf schon ignorieren.

Aber es gibt ja auch Leute die schicken unbekannten XXX € weil ihnen nen Prinz vom Erdbeerfeld 100000 Euro überweisen möchte aber er sich die Bearbeitungsgebühr der Überweisung nicht leisten kann.
**Mission: Täglicher Sarkasmus - Abgeschlossen""
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by Tobi »

OlliTheDarkness wrote: Mon 29. Jun 2020, 19:58 weil ihnen nen Prinz vom Erdbeerfeld 100000 Euro überweisen möchte aber er sich die Bearbeitungsgebühr der Überweisung nicht leisten kann.
Woher weisst denn du davon?
Prinz vom Erdbeerfeld hat mir per Ehrenwort versprochen, dass unsere Transaktion vertraulich bleibt 😥.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by OlliTheDarkness »

Tobi wrote: Mon 29. Jun 2020, 20:05
OlliTheDarkness wrote: Mon 29. Jun 2020, 19:58 weil ihnen nen Prinz vom Erdbeerfeld 100000 Euro überweisen möchte aber er sich die Bearbeitungsgebühr der Überweisung nicht leisten kann.
Woher weisst denn du davon?
Prinz vom Erdbeerfeld hat mir per Ehrenwort versprochen, dass unsere Transaktion vertraulich bleibt 😥.
Tja, OlliTheDarkness, der WikiLeeks des Mailwesens :lol: :lol: :lol:

Ich weiß alles 8-)

BTT
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by Jolinar »

Bevor ihr euch ins OffTopic reinsteigert...

Bitte beim Topic bleiben!
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by OlliTheDarkness »

Jolinar wrote: Mon 29. Jun 2020, 20:08 Bevor ihr euch ins OffTopic reinsteigert...

Bitte beim Topic bleiben!
Lieber Mod, da steht extra BTT = Back To Topic :D
Hinweiß hinfällig :D
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
superjogi
Posts: 137
Joined: Sat 11. Jan 2020, 23:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by superjogi »

OlliTheDarkness wrote: Mon 29. Jun 2020, 19:58 Allgemein sei gesagt, ob Spam / Phishing Marker oder nicht, Mails die unaufgefordert (z.B Kennwortrücksetzung) reinkommen, sollte man im Kopf schon ignorieren.
Ich stimme euch in vielen Punkten zu.
Ein möglicher Grund war vielleicht auch, dass der den Look vom Webmail noch nicht kannte und das Layout war ja auch gleich bei der Phishing Seite.
Ich habe extra alles gebrandet und mit Impressum versehen, aber so eine Maßnahme wirkt wohl erst später.

Leider wurde diese Email nach den Screenshots gelöscht, auch aus dem Papierkorb. Kann ich sie irgendwie noch finden für den Header?

--

Ich glaube so wie ihr auch nicht, dass diese Mail über unseren Mailserver kommt.
Aber wie kann der Mailserver Hostname hostserver.de eine Email mit password@hostserver.de an einen Account auf diesem Host weiterleiten lassen, ohne da ein Spam zu melden? Ich denke mir, dass dies doch am einfachsten herauszufinden ist.

Klar kann man mit jeder beliebigen Domain spammen, das konnte ich oft beobachten.
Aber mit der Domain vom Mailserver, sogar den Mailserver selbst auszutrixen ist schon extrem.
Auf mich wirkt das so, als ob hier ein ganz elementarer Check nicht funktioniert.

Vielleicht gibt es Lösungsansätze:
- DMARC ein Quarantine einbauen sollen (aktuell none), aber ich habe in Roundcube keine Quarantäneoption gesehen?
- Ein spezieller Spamassassinparameter, der eventuell eine Gewichtung ändert?
- Weitere Blacklist?
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by Jolinar »

superjogi wrote: Mon 29. Jun 2020, 20:27 Kann ich sie irgendwie noch finden für den Header?
Wenn du die Serverdaten regelmäßig genug sicherst, solltest du die fragliche Mail im Backup finden.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by OlliTheDarkness »

Jolinar wrote: Mon 29. Jun 2020, 20:30
superjogi wrote: Mon 29. Jun 2020, 20:27 Kann ich sie irgendwie noch finden für den Header?
Wenn du die Serverdaten regelmäßig genug sicherst, solltest du die fragliche Mail im Backup finden.
Selbiges wolte ich grad auch ansprechen, aber die Wahrscheinlichkeit ist sehr gering ausser du hast nen Realtime Backup Sync laufen.

Weil wenn die Mail um sagen wir 11:30 Uhr reinkommt, du Benachrichtigt wirst, sie ließt und um 11:31 Uhr löscht (inkl. Papierkorb) is sie weg und wird im Backup (wenn dies zb alle 60 Min durchläuft) auch nicht drin sein.

Mails im nachhinein volziehen zu können ist schon immer nen scheiß Thema gewesen, vom DS mal ganz abgesehen.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
superjogi
Posts: 137
Joined: Sat 11. Jan 2020, 23:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by superjogi »

Jolinar wrote: Mon 29. Jun 2020, 20:30
superjogi wrote: Mon 29. Jun 2020, 20:27 Kann ich sie irgendwie noch finden für den Header?
Wenn du die Serverdaten regelmäßig genug sicherst, solltest du die fragliche Mail im Backup finden.
Ich mache jede Nacht ein Backup, aber das hat sich alles heute unter Tags abgespielt. Das Email ist in der Früh gekommen.
Habe jetzt an einen Cache von Roundcube gedacht, der vielleicht noch nicht aufgeräumt ist.

Habt ihr vielleicht einen Tipp zu den Spamfiltern/DMARC quarantine?
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by Jolinar »

Eine allgemeine Anmerkung vorweg:
superjogi wrote: Mon 29. Jun 2020, 19:27 Es gibt eine Blacklist: bl.spamcop.net
Eine einzelne BL ist aus zwei Gründen suboptimal...
1. Ist die BL mal nicht erreichbar, dann rauscht sämtlicher Spam durch
2. Steht der Spammer nicht in der einen BL, dann kommt zumindest sein Spam durch

superjogi wrote: Mon 29. Jun 2020, 20:27 Vielleicht gibt es Lösungsansätze:
- DMARC ein Quarantine einbauen sollen (aktuell none), aber ich habe in Roundcube keine Quarantäneoption gesehen?
- Ein spezieller Spamassassinparameter, der eventuell eine Gewichtung ändert?
- Weitere Blacklist?
Auch hier noch allgemein zum Verständnis...SPF, DKIM und DMARC filtern nicht. Diese Methoden prüfen nur die Zuständigkeit des einliefernden Mailservers für die Senderdomain.

Zu SA kann ich nicht wirklich was sagen, da ich Postscreen zur Spambekämpfung nutze.
Als Arbeitsgrundlage habe ich diesen Forenpost (und Aktualisierungen im weiteren Threadverlauf dort) genutzt.
Falls du dein System anpassen wollen würdest, dann bitte nicht blind die Config übernehmen, sondern zuerst in das Thema Postscreen einlesen und auch mit den Gewichtungen der einzelnen BLs beschäftigen.
Wenn du dein jetziges "Antispam-Paket" weiter nutzt, dann findest du in dem verlinkten Beitrag zumindest die gängigen BLs, deren Einsatz sinnvoll ist.

Weiterer Lesestoff zum Thema Postscreen:
http://www.postfix.org/postscreen.8.html
http://www.postfix.org/POSTSCREEN_README
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
superjogi
Posts: 137
Joined: Sat 11. Jan 2020, 23:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by superjogi »

Jolinar wrote: Mon 29. Jun 2020, 22:49 Als Arbeitsgrundlage habe ich diesen Forenpost (und Aktualisierungen im weiteren Threadverlauf dort) genutzt.
Falls du dein System anpassen wollen würdest, dann bitte nicht blind die Config übernehmen, sondern zuerst in das Thema Postscreen einlesen und auch mit den Gewichtungen der einzelnen BLs beschäftigen.
Wenn du dein jetziges "Antispam-Paket" weiter nutzt, dann findest du in dem verlinkten Beitrag zumindest die gängigen BLs, deren Einsatz sinnvoll ist.

Weiterer Lesestoff zum Thema Postscreen:
http://www.postfix.org/postscreen.8.html
http://www.postfix.org/POSTSCREEN_README
Danke, das ist super hilfreich. Ich mach mich dann mal ans Nachlesen. =)
User avatar
superjogi
Posts: 137
Joined: Sat 11. Jan 2020, 23:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Post by superjogi »

Ich habe mir die aktuellen Konfigurationsdateien aus der Installation im Vergleich angesehen.
Der Unterschied der hier vorgeschlagenen opendkim.conf und opendmarc.conf ist erheblich.
Auf den ersten Blick sind nicht alle Variablen definiert.

Dadurch 2 Fragen:
1) Ist es wirklich so ausgelegt, dass diese Konfiguration die aktuelle ersetzen soll, oder wird es eher unten damit konkatiniert? =)

2) Es wäre cool, wenn man eine derartige Konfiguration zunächst postfachbasiert einsetzen könnte, dann wäre es auch für einen längeren Testlauf verwendet werden. Geht das eventuell auch, oder ist es immer global?
Locked