Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Hallo,
Ich habe Keyhelp auf einem separaten Debian 10 Server als Mailserver seit 24 Stunden laufen.
Heute schreibt mich eine Mac Userin (wahrscheinlich kein Trojan/Virus am Computer) an, dass Sie mit dem Email Probleme hat.
Dann kam heraus:
Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.
Wie konnte das Email von einer Adresse meines Servers durchkommen?
- Es gibt noch kein einziges Skript auf diesem Server auf irgendeinem Webspace. Habe mit Emails angefangen.
- Es gibt keine einzige Emailadresse mit hostname.de, u
- Es gibt alle DKIM, SPF und DMARC Einträge und diese werden bei Email an Google auch alle 3 validiert.
- Es gibt eine Blacklist: bl.spamcop.net
- Es gibt eine Whitelist:list.dnswl.org
- Der Spamassasin soll ab 4.0 alles in den Spamordner tun
Spammail: Phishingseite: Spamfilter: Ich habe list.dnswl.org in Verdacht, dass da der Hacker seinen Mailserver draufhat und die Email dadurch nicht erkannt wurde.
Ich habe Keyhelp auf einem separaten Debian 10 Server als Mailserver seit 24 Stunden laufen.
Heute schreibt mich eine Mac Userin (wahrscheinlich kein Trojan/Virus am Computer) an, dass Sie mit dem Email Probleme hat.
Dann kam heraus:
Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.
Wie konnte das Email von einer Adresse meines Servers durchkommen?
- Es gibt noch kein einziges Skript auf diesem Server auf irgendeinem Webspace. Habe mit Emails angefangen.
- Es gibt keine einzige Emailadresse mit hostname.de, u
- Es gibt alle DKIM, SPF und DMARC Einträge und diese werden bei Email an Google auch alle 3 validiert.
- Es gibt eine Blacklist: bl.spamcop.net
- Es gibt eine Whitelist:list.dnswl.org
- Der Spamassasin soll ab 4.0 alles in den Spamordner tun
Spammail: Phishingseite: Spamfilter: Ich habe list.dnswl.org in Verdacht, dass da der Hacker seinen Mailserver draufhat und die Email dadurch nicht erkannt wurde.
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Also die reine E-Mail Absenderadresse ist lange noch kein Indiz für einen Versand über den Server. Denn die kann man schnell fälschen.
Um wirklich was zu erkennen guckt man in den Mailheader .. dort findet man wesentlich bessere Infos über den Weg bzw die Quelle.
(Ich hab das jetzt mal auf Grund der Screenshots gedeutet)
Zum völlig unreflektierten Klicken sag ich mal nix. Obwohl .. bei mir kommen solche "Aktivierungs" Mails oft in spanisch
Um wirklich was zu erkennen guckt man in den Mailheader .. dort findet man wesentlich bessere Infos über den Weg bzw die Quelle.
(Ich hab das jetzt mal auf Grund der Screenshots gedeutet)
Zum völlig unreflektierten Klicken sag ich mal nix. Obwohl .. bei mir kommen solche "Aktivierungs" Mails oft in spanisch
Last edited by mrbird on Mon 29. Jun 2020, 19:42, edited 2 times in total.
- Jolinar
- Community Moderator
- Posts: 3560
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Grundsätzlich vorneweg: Keine Anti-Spam Maßnahme bietet 100%ige Sicherheit...
Hast du Zugriff auf die Mailheader? Da steht drin, welchen Weg die Mail genommen hat.
Das ist ein klassischer Fall von "Dumm gelaufen"superjogi wrote: ↑Mon 29. Jun 2020, 19:27 Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.
Woher die Annahme, daß die Mail von deinem System verschickt wurde?
Hast du Zugriff auf die Mailheader? Da steht drin, welchen Weg die Mail genommen hat.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Ersterem schließe ich mich voll an, letzterem ist doch nen guter Fremdsprachen Lehrgang
Vollkommen richtig.Jolinar wrote: ↑Mon 29. Jun 2020, 19:39 Grundsätzlich vorneweg: Keine Anti-Spam Maßnahme bietet 100%ige Sicherheit...
Das ist ein klassischer Fall von "Dumm gelaufen"superjogi wrote: ↑Mon 29. Jun 2020, 19:27 Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.
Woher die Annahme, daß die Mail von deinem System verschickt wurde?
Hast du Zugriff auf die Mailheader? Da steht drin, welchen Weg die Mail genommen hat.
Allgemein sei gesagt, ob Spam / Phishing Marker oder nicht, Mails die unaufgefordert (z.B Kennwortrücksetzung) reinkommen, sollte man im Kopf schon ignorieren.
Aber es gibt ja auch Leute die schicken unbekannten XXX € weil ihnen nen Prinz vom Erdbeerfeld 100000 Euro überweisen möchte aber er sich die Bearbeitungsgebühr der Überweisung nicht leisten kann.
**Mission: Täglicher Sarkasmus - Abgeschlossen""
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Woher weisst denn du davon?OlliTheDarkness wrote: ↑Mon 29. Jun 2020, 19:58 weil ihnen nen Prinz vom Erdbeerfeld 100000 Euro überweisen möchte aber er sich die Bearbeitungsgebühr der Überweisung nicht leisten kann.
Prinz vom Erdbeerfeld hat mir per Ehrenwort versprochen, dass unsere Transaktion vertraulich bleibt .
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Tja, OlliTheDarkness, der WikiLeeks des MailwesensTobi wrote: ↑Mon 29. Jun 2020, 20:05Woher weisst denn du davon?OlliTheDarkness wrote: ↑Mon 29. Jun 2020, 19:58 weil ihnen nen Prinz vom Erdbeerfeld 100000 Euro überweisen möchte aber er sich die Bearbeitungsgebühr der Überweisung nicht leisten kann.
Prinz vom Erdbeerfeld hat mir per Ehrenwort versprochen, dass unsere Transaktion vertraulich bleibt .
Ich weiß alles
BTT
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
- Jolinar
- Community Moderator
- Posts: 3560
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Bevor ihr euch ins OffTopic reinsteigert...
Bitte beim Topic bleiben!
Bitte beim Topic bleiben!
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Lieber Mod, da steht extra BTT = Back To Topic
Hinweiß hinfällig
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Ich stimme euch in vielen Punkten zu.OlliTheDarkness wrote: ↑Mon 29. Jun 2020, 19:58 Allgemein sei gesagt, ob Spam / Phishing Marker oder nicht, Mails die unaufgefordert (z.B Kennwortrücksetzung) reinkommen, sollte man im Kopf schon ignorieren.
Ein möglicher Grund war vielleicht auch, dass der den Look vom Webmail noch nicht kannte und das Layout war ja auch gleich bei der Phishing Seite.
Ich habe extra alles gebrandet und mit Impressum versehen, aber so eine Maßnahme wirkt wohl erst später.
Leider wurde diese Email nach den Screenshots gelöscht, auch aus dem Papierkorb. Kann ich sie irgendwie noch finden für den Header?
--
Ich glaube so wie ihr auch nicht, dass diese Mail über unseren Mailserver kommt.
Aber wie kann der Mailserver Hostname hostserver.de eine Email mit password@hostserver.de an einen Account auf diesem Host weiterleiten lassen, ohne da ein Spam zu melden? Ich denke mir, dass dies doch am einfachsten herauszufinden ist.
Klar kann man mit jeder beliebigen Domain spammen, das konnte ich oft beobachten.
Aber mit der Domain vom Mailserver, sogar den Mailserver selbst auszutrixen ist schon extrem.
Auf mich wirkt das so, als ob hier ein ganz elementarer Check nicht funktioniert.
Vielleicht gibt es Lösungsansätze:
- DMARC ein Quarantine einbauen sollen (aktuell none), aber ich habe in Roundcube keine Quarantäneoption gesehen?
- Ein spezieller Spamassassinparameter, der eventuell eine Gewichtung ändert?
- Weitere Blacklist?
- Jolinar
- Community Moderator
- Posts: 3560
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Wenn du die Serverdaten regelmäßig genug sicherst, solltest du die fragliche Mail im Backup finden.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Selbiges wolte ich grad auch ansprechen, aber die Wahrscheinlichkeit ist sehr gering ausser du hast nen Realtime Backup Sync laufen.
Weil wenn die Mail um sagen wir 11:30 Uhr reinkommt, du Benachrichtigt wirst, sie ließt und um 11:31 Uhr löscht (inkl. Papierkorb) is sie weg und wird im Backup (wenn dies zb alle 60 Min durchläuft) auch nicht drin sein.
Mails im nachhinein volziehen zu können ist schon immer nen scheiß Thema gewesen, vom DS mal ganz abgesehen.
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Ich mache jede Nacht ein Backup, aber das hat sich alles heute unter Tags abgespielt. Das Email ist in der Früh gekommen.
Habe jetzt an einen Cache von Roundcube gedacht, der vielleicht noch nicht aufgeräumt ist.
Habt ihr vielleicht einen Tipp zu den Spamfiltern/DMARC quarantine?
- Jolinar
- Community Moderator
- Posts: 3560
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Eine allgemeine Anmerkung vorweg:
1. Ist die BL mal nicht erreichbar, dann rauscht sämtlicher Spam durch
2. Steht der Spammer nicht in der einen BL, dann kommt zumindest sein Spam durch
Zu SA kann ich nicht wirklich was sagen, da ich Postscreen zur Spambekämpfung nutze.
Als Arbeitsgrundlage habe ich diesen Forenpost (und Aktualisierungen im weiteren Threadverlauf dort) genutzt.
Falls du dein System anpassen wollen würdest, dann bitte nicht blind die Config übernehmen, sondern zuerst in das Thema Postscreen einlesen und auch mit den Gewichtungen der einzelnen BLs beschäftigen.
Wenn du dein jetziges "Antispam-Paket" weiter nutzt, dann findest du in dem verlinkten Beitrag zumindest die gängigen BLs, deren Einsatz sinnvoll ist.
Weiterer Lesestoff zum Thema Postscreen:
http://www.postfix.org/postscreen.8.html
http://www.postfix.org/POSTSCREEN_README
Eine einzelne BL ist aus zwei Gründen suboptimal...
1. Ist die BL mal nicht erreichbar, dann rauscht sämtlicher Spam durch
2. Steht der Spammer nicht in der einen BL, dann kommt zumindest sein Spam durch
Auch hier noch allgemein zum Verständnis...SPF, DKIM und DMARC filtern nicht. Diese Methoden prüfen nur die Zuständigkeit des einliefernden Mailservers für die Senderdomain.
Zu SA kann ich nicht wirklich was sagen, da ich Postscreen zur Spambekämpfung nutze.
Als Arbeitsgrundlage habe ich diesen Forenpost (und Aktualisierungen im weiteren Threadverlauf dort) genutzt.
Falls du dein System anpassen wollen würdest, dann bitte nicht blind die Config übernehmen, sondern zuerst in das Thema Postscreen einlesen und auch mit den Gewichtungen der einzelnen BLs beschäftigen.
Wenn du dein jetziges "Antispam-Paket" weiter nutzt, dann findest du in dem verlinkten Beitrag zumindest die gängigen BLs, deren Einsatz sinnvoll ist.
Weiterer Lesestoff zum Thema Postscreen:
http://www.postfix.org/postscreen.8.html
http://www.postfix.org/POSTSCREEN_README
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Danke, das ist super hilfreich. Ich mach mich dann mal ans Nachlesen. =)Jolinar wrote: ↑Mon 29. Jun 2020, 22:49 Als Arbeitsgrundlage habe ich diesen Forenpost (und Aktualisierungen im weiteren Threadverlauf dort) genutzt.
Falls du dein System anpassen wollen würdest, dann bitte nicht blind die Config übernehmen, sondern zuerst in das Thema Postscreen einlesen und auch mit den Gewichtungen der einzelnen BLs beschäftigen.
Wenn du dein jetziges "Antispam-Paket" weiter nutzt, dann findest du in dem verlinkten Beitrag zumindest die gängigen BLs, deren Einsatz sinnvoll ist.
Weiterer Lesestoff zum Thema Postscreen:
http://www.postfix.org/postscreen.8.html
http://www.postfix.org/POSTSCREEN_README
Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC
Ich habe mir die aktuellen Konfigurationsdateien aus der Installation im Vergleich angesehen.
Der Unterschied der hier vorgeschlagenen opendkim.conf und opendmarc.conf ist erheblich.
Auf den ersten Blick sind nicht alle Variablen definiert.
Dadurch 2 Fragen:
1) Ist es wirklich so ausgelegt, dass diese Konfiguration die aktuelle ersetzen soll, oder wird es eher unten damit konkatiniert? =)
2) Es wäre cool, wenn man eine derartige Konfiguration zunächst postfachbasiert einsetzen könnte, dann wäre es auch für einen längeren Testlauf verwendet werden. Geht das eventuell auch, oder ist es immer global?
Der Unterschied der hier vorgeschlagenen opendkim.conf und opendmarc.conf ist erheblich.
Auf den ersten Blick sind nicht alle Variablen definiert.
Dadurch 2 Fragen:
1) Ist es wirklich so ausgelegt, dass diese Konfiguration die aktuelle ersetzen soll, oder wird es eher unten damit konkatiniert? =)
2) Es wäre cool, wenn man eine derartige Konfiguration zunächst postfachbasiert einsetzen könnte, dann wäre es auch für einen längeren Testlauf verwendet werden. Geht das eventuell auch, oder ist es immer global?