Einen Überblick über das Administrationstool KeyHelp der Keyweb AG und dessen Download gibt es auf https://www.keyhelp.de

Dieses Forum soll es interessierten Benutzern ermöglichen, sich über KeyHelp auszutauschen und Hilfe bei Problemen zu finden.

Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Fehler gefunden? Bitte hier melden.
superjogi
Beiträge: 27
Registriert: Sa 11. Jan 2020, 23:24

Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von superjogi » Mo 29. Jun 2020, 19:27

Hallo,

Ich habe Keyhelp auf einem separaten Debian 10 Server als Mailserver seit 24 Stunden laufen.
Heute schreibt mich eine Mac Userin (wahrscheinlich kein Trojan/Virus am Computer) an, dass Sie mit dem Email Probleme hat.

Dann kam heraus:
Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.

Wie konnte das Email von einer Adresse meines Servers durchkommen?
- Es gibt noch kein einziges Skript auf diesem Server auf irgendeinem Webspace. Habe mit Emails angefangen.
- Es gibt keine einzige Emailadresse mit hostname.de, u
- Es gibt alle DKIM, SPF und DMARC Einträge und diese werden bei Email an Google auch alle 3 validiert.
- Es gibt eine Blacklist: bl.spamcop.net
- Es gibt eine Whitelist:list.dnswl.org
- Der Spamassasin soll ab 4.0 alles in den Spamordner tun

Spammail:
screenshot.jpg
Spammail
Phishingseite:
screenshotwebmail.jpg
Phishing
Spamfilter:
spamfilter.JPG
Spamfilter
Ich habe list.dnswl.org in Verdacht, dass da der Hacker seinen Mailserver draufhat und die Email dadurch nicht erkannt wurde.
Benutzeravatar
mrbird
Beiträge: 107
Registriert: Sa 12. Mär 2016, 18:29
Wohnort: Thüringer im Saarland ;-)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von mrbird » Mo 29. Jun 2020, 19:37

Also die reine E-Mail Absenderadresse ist lange noch kein Indiz für einen Versand über den Server. Denn die kann man schnell fälschen.
Um wirklich was zu erkennen guckt man in den Mailheader .. dort findet man wesentlich bessere Infos über den Weg bzw die Quelle.
(Ich hab das jetzt mal auf Grund der Screenshots gedeutet)

Zum völlig unreflektierten Klicken sag ich mal nix. Obwohl .. bei mir kommen solche "Aktivierungs" Mails oft in spanisch :D
Zuletzt geändert von mrbird am Mo 29. Jun 2020, 19:42, insgesamt 2-mal geändert.
Benutzeravatar
Jolinar
Beiträge: 1561
Registriert: Sa 30. Jan 2016, 07:11
Wohnort: Weimar (Thüringen)
Kontaktdaten:

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von Jolinar » Mo 29. Jun 2020, 19:39

Grundsätzlich vorneweg: Keine Anti-Spam Maßnahme bietet 100%ige Sicherheit...

superjogi hat geschrieben:
Mo 29. Jun 2020, 19:27
Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.
Das ist ein klassischer Fall von "Dumm gelaufen" :roll:

superjogi hat geschrieben:
Mo 29. Jun 2020, 19:27
Wie konnte das Email von einer Adresse meines Servers durchkommen?
Woher die Annahme, daß die Mail von deinem System verschickt wurde?
Hast du Zugriff auf die Mailheader? Da steht drin, welchen Weg die Mail genommen hat.
Wenn jemand inkompetent ist, dann kann er nicht wissen, dass er inkompetent ist. (David Dunning)
___
Alle Posts in dieser Farbe geben meine persönliche Meinung wieder.
Alle Posts in dieser Farbe sind in meiner Funktion als Community-Moderator verfaßt.
___
Manpages, Suchmaschinen und die Forensuche sind eure Freunde, also bitte nutzt sie auch!
Manpages, search engines and the forum search are your friends, so please use them too!
___
:mrgreen: Rezo - Die Zerstörung der Presse :mrgreen:
Benutzeravatar
OlliTheDarkness
Beiträge: 842
Registriert: Di 14. Aug 2018, 16:41
Wohnort: Essen (NRW)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von OlliTheDarkness » Mo 29. Jun 2020, 19:58

mrbird hat geschrieben:
Mo 29. Jun 2020, 19:37
...
Zum völlig unreflektierten Klicken sag ich mal nix. Obwohl .. bei mir kommen solche "Aktivierungs" Mails oft in spanisch :D
Ersterem schließe ich mich voll an, letzterem ist doch nen guter Fremdsprachen Lehrgang :lol:

Jolinar hat geschrieben:
Mo 29. Jun 2020, 19:39
Grundsätzlich vorneweg: Keine Anti-Spam Maßnahme bietet 100%ige Sicherheit...

superjogi hat geschrieben:
Mo 29. Jun 2020, 19:27
Sie hatte vom Serverhost password@hostname.de eine Email bekommen ohne Flag mit einer Phishing Link.
Dann hatte sie das Passwort eingegeben. Der Amazon, Google und Appleaccount von ihr wurden sofort per Wiederherstellung vom Hacker übernommen.
Das ist ein klassischer Fall von "Dumm gelaufen" :roll:

superjogi hat geschrieben:
Mo 29. Jun 2020, 19:27
Wie konnte das Email von einer Adresse meines Servers durchkommen?
Woher die Annahme, daß die Mail von deinem System verschickt wurde?
Hast du Zugriff auf die Mailheader? Da steht drin, welchen Weg die Mail genommen hat.
Vollkommen richtig.

Allgemein sei gesagt, ob Spam / Phishing Marker oder nicht, Mails die unaufgefordert (z.B Kennwortrücksetzung) reinkommen, sollte man im Kopf schon ignorieren.

Aber es gibt ja auch Leute die schicken unbekannten XXX € weil ihnen nen Prinz vom Erdbeerfeld 100000 Euro überweisen möchte aber er sich die Bearbeitungsgebühr der Überweisung nicht leisten kann.
**Mission: Täglicher Sarkasmus - Abgeschlossen""
Benutzeravatar
Tobi
Beiträge: 1224
Registriert: Do 5. Jan 2017, 13:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von Tobi » Mo 29. Jun 2020, 20:05

OlliTheDarkness hat geschrieben:
Mo 29. Jun 2020, 19:58
weil ihnen nen Prinz vom Erdbeerfeld 100000 Euro überweisen möchte aber er sich die Bearbeitungsgebühr der Überweisung nicht leisten kann.
Woher weisst denn du davon?
Prinz vom Erdbeerfeld hat mir per Ehrenwort versprochen, dass unsere Transaktion vertraulich bleibt 😥.
Gruß,
Tobi



https://wewoco.de
webworkercommunity forum
Benutzeravatar
OlliTheDarkness
Beiträge: 842
Registriert: Di 14. Aug 2018, 16:41
Wohnort: Essen (NRW)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von OlliTheDarkness » Mo 29. Jun 2020, 20:07

Tobi hat geschrieben:
Mo 29. Jun 2020, 20:05
OlliTheDarkness hat geschrieben:
Mo 29. Jun 2020, 19:58
weil ihnen nen Prinz vom Erdbeerfeld 100000 Euro überweisen möchte aber er sich die Bearbeitungsgebühr der Überweisung nicht leisten kann.
Woher weisst denn du davon?
Prinz vom Erdbeerfeld hat mir per Ehrenwort versprochen, dass unsere Transaktion vertraulich bleibt 😥.
Tja, OlliTheDarkness, der WikiLeeks des Mailwesens :lol: :lol: :lol:

Ich weiß alles 8-)

BTT
Benutzeravatar
Jolinar
Beiträge: 1561
Registriert: Sa 30. Jan 2016, 07:11
Wohnort: Weimar (Thüringen)
Kontaktdaten:

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von Jolinar » Mo 29. Jun 2020, 20:08

Bevor ihr euch ins OffTopic reinsteigert...

Bitte beim Topic bleiben!
Wenn jemand inkompetent ist, dann kann er nicht wissen, dass er inkompetent ist. (David Dunning)
___
Alle Posts in dieser Farbe geben meine persönliche Meinung wieder.
Alle Posts in dieser Farbe sind in meiner Funktion als Community-Moderator verfaßt.
___
Manpages, Suchmaschinen und die Forensuche sind eure Freunde, also bitte nutzt sie auch!
Manpages, search engines and the forum search are your friends, so please use them too!
___
:mrgreen: Rezo - Die Zerstörung der Presse :mrgreen:
Benutzeravatar
OlliTheDarkness
Beiträge: 842
Registriert: Di 14. Aug 2018, 16:41
Wohnort: Essen (NRW)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von OlliTheDarkness » Mo 29. Jun 2020, 20:10

Jolinar hat geschrieben:
Mo 29. Jun 2020, 20:08
Bevor ihr euch ins OffTopic reinsteigert...

Bitte beim Topic bleiben!
Lieber Mod, da steht extra BTT = Back To Topic :D
Hinweiß hinfällig :D
superjogi
Beiträge: 27
Registriert: Sa 11. Jan 2020, 23:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von superjogi » Mo 29. Jun 2020, 20:27

OlliTheDarkness hat geschrieben:
Mo 29. Jun 2020, 19:58
Allgemein sei gesagt, ob Spam / Phishing Marker oder nicht, Mails die unaufgefordert (z.B Kennwortrücksetzung) reinkommen, sollte man im Kopf schon ignorieren.
Ich stimme euch in vielen Punkten zu.
Ein möglicher Grund war vielleicht auch, dass der den Look vom Webmail noch nicht kannte und das Layout war ja auch gleich bei der Phishing Seite.
Ich habe extra alles gebrandet und mit Impressum versehen, aber so eine Maßnahme wirkt wohl erst später.

Leider wurde diese Email nach den Screenshots gelöscht, auch aus dem Papierkorb. Kann ich sie irgendwie noch finden für den Header?

--

Ich glaube so wie ihr auch nicht, dass diese Mail über unseren Mailserver kommt.
Aber wie kann der Mailserver Hostname hostserver.de eine Email mit password@hostserver.de an einen Account auf diesem Host weiterleiten lassen, ohne da ein Spam zu melden? Ich denke mir, dass dies doch am einfachsten herauszufinden ist.

Klar kann man mit jeder beliebigen Domain spammen, das konnte ich oft beobachten.
Aber mit der Domain vom Mailserver, sogar den Mailserver selbst auszutrixen ist schon extrem.
Auf mich wirkt das so, als ob hier ein ganz elementarer Check nicht funktioniert.

Vielleicht gibt es Lösungsansätze:
- DMARC ein Quarantine einbauen sollen (aktuell none), aber ich habe in Roundcube keine Quarantäneoption gesehen?
- Ein spezieller Spamassassinparameter, der eventuell eine Gewichtung ändert?
- Weitere Blacklist?
Benutzeravatar
Jolinar
Beiträge: 1561
Registriert: Sa 30. Jan 2016, 07:11
Wohnort: Weimar (Thüringen)
Kontaktdaten:

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von Jolinar » Mo 29. Jun 2020, 20:30

superjogi hat geschrieben:
Mo 29. Jun 2020, 20:27
Kann ich sie irgendwie noch finden für den Header?
Wenn du die Serverdaten regelmäßig genug sicherst, solltest du die fragliche Mail im Backup finden.
Wenn jemand inkompetent ist, dann kann er nicht wissen, dass er inkompetent ist. (David Dunning)
___
Alle Posts in dieser Farbe geben meine persönliche Meinung wieder.
Alle Posts in dieser Farbe sind in meiner Funktion als Community-Moderator verfaßt.
___
Manpages, Suchmaschinen und die Forensuche sind eure Freunde, also bitte nutzt sie auch!
Manpages, search engines and the forum search are your friends, so please use them too!
___
:mrgreen: Rezo - Die Zerstörung der Presse :mrgreen:
Benutzeravatar
OlliTheDarkness
Beiträge: 842
Registriert: Di 14. Aug 2018, 16:41
Wohnort: Essen (NRW)

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von OlliTheDarkness » Mo 29. Jun 2020, 20:39

Jolinar hat geschrieben:
Mo 29. Jun 2020, 20:30
superjogi hat geschrieben:
Mo 29. Jun 2020, 20:27
Kann ich sie irgendwie noch finden für den Header?
Wenn du die Serverdaten regelmäßig genug sicherst, solltest du die fragliche Mail im Backup finden.
Selbiges wolte ich grad auch ansprechen, aber die Wahrscheinlichkeit ist sehr gering ausser du hast nen Realtime Backup Sync laufen.

Weil wenn die Mail um sagen wir 11:30 Uhr reinkommt, du Benachrichtigt wirst, sie ließt und um 11:31 Uhr löscht (inkl. Papierkorb) is sie weg und wird im Backup (wenn dies zb alle 60 Min durchläuft) auch nicht drin sein.

Mails im nachhinein volziehen zu können ist schon immer nen scheiß Thema gewesen, vom DS mal ganz abgesehen.
superjogi
Beiträge: 27
Registriert: Sa 11. Jan 2020, 23:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von superjogi » Mo 29. Jun 2020, 20:43

Jolinar hat geschrieben:
Mo 29. Jun 2020, 20:30
superjogi hat geschrieben:
Mo 29. Jun 2020, 20:27
Kann ich sie irgendwie noch finden für den Header?
Wenn du die Serverdaten regelmäßig genug sicherst, solltest du die fragliche Mail im Backup finden.
Ich mache jede Nacht ein Backup, aber das hat sich alles heute unter Tags abgespielt. Das Email ist in der Früh gekommen.
Habe jetzt an einen Cache von Roundcube gedacht, der vielleicht noch nicht aufgeräumt ist.

Habt ihr vielleicht einen Tipp zu den Spamfiltern/DMARC quarantine?
Benutzeravatar
Jolinar
Beiträge: 1561
Registriert: Sa 30. Jan 2016, 07:11
Wohnort: Weimar (Thüringen)
Kontaktdaten:

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von Jolinar » Mo 29. Jun 2020, 22:49

Eine allgemeine Anmerkung vorweg:
superjogi hat geschrieben:
Mo 29. Jun 2020, 19:27
Es gibt eine Blacklist: bl.spamcop.net
Eine einzelne BL ist aus zwei Gründen suboptimal...
1. Ist die BL mal nicht erreichbar, dann rauscht sämtlicher Spam durch
2. Steht der Spammer nicht in der einen BL, dann kommt zumindest sein Spam durch

superjogi hat geschrieben:
Mo 29. Jun 2020, 20:27
Vielleicht gibt es Lösungsansätze:
- DMARC ein Quarantine einbauen sollen (aktuell none), aber ich habe in Roundcube keine Quarantäneoption gesehen?
- Ein spezieller Spamassassinparameter, der eventuell eine Gewichtung ändert?
- Weitere Blacklist?
Auch hier noch allgemein zum Verständnis...SPF, DKIM und DMARC filtern nicht. Diese Methoden prüfen nur die Zuständigkeit des einliefernden Mailservers für die Senderdomain.

Zu SA kann ich nicht wirklich was sagen, da ich Postscreen zur Spambekämpfung nutze.
Als Arbeitsgrundlage habe ich diesen Forenpost (und Aktualisierungen im weiteren Threadverlauf dort) genutzt.
Falls du dein System anpassen wollen würdest, dann bitte nicht blind die Config übernehmen, sondern zuerst in das Thema Postscreen einlesen und auch mit den Gewichtungen der einzelnen BLs beschäftigen.
Wenn du dein jetziges "Antispam-Paket" weiter nutzt, dann findest du in dem verlinkten Beitrag zumindest die gängigen BLs, deren Einsatz sinnvoll ist.

Weiterer Lesestoff zum Thema Postscreen:
http://www.postfix.org/postscreen.8.html
http://www.postfix.org/POSTSCREEN_README
Wenn jemand inkompetent ist, dann kann er nicht wissen, dass er inkompetent ist. (David Dunning)
___
Alle Posts in dieser Farbe geben meine persönliche Meinung wieder.
Alle Posts in dieser Farbe sind in meiner Funktion als Community-Moderator verfaßt.
___
Manpages, Suchmaschinen und die Forensuche sind eure Freunde, also bitte nutzt sie auch!
Manpages, search engines and the forum search are your friends, so please use them too!
___
:mrgreen: Rezo - Die Zerstörung der Presse :mrgreen:
superjogi
Beiträge: 27
Registriert: Sa 11. Jan 2020, 23:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von superjogi » Mo 29. Jun 2020, 23:01

Jolinar hat geschrieben:
Mo 29. Jun 2020, 22:49
Als Arbeitsgrundlage habe ich diesen Forenpost (und Aktualisierungen im weiteren Threadverlauf dort) genutzt.
Falls du dein System anpassen wollen würdest, dann bitte nicht blind die Config übernehmen, sondern zuerst in das Thema Postscreen einlesen und auch mit den Gewichtungen der einzelnen BLs beschäftigen.
Wenn du dein jetziges "Antispam-Paket" weiter nutzt, dann findest du in dem verlinkten Beitrag zumindest die gängigen BLs, deren Einsatz sinnvoll ist.

Weiterer Lesestoff zum Thema Postscreen:
http://www.postfix.org/postscreen.8.html
http://www.postfix.org/POSTSCREEN_README
Danke, das ist super hilfreich. Ich mach mich dann mal ans Nachlesen. =)
superjogi
Beiträge: 27
Registriert: Sa 11. Jan 2020, 23:24

Re: Phishing Mail vom eigenen Host an eigene User trotz Filter, DKIM, SPF und DMARC

Beitrag von superjogi » Di 30. Jun 2020, 00:06

Ich habe mir die aktuellen Konfigurationsdateien aus der Installation im Vergleich angesehen.
Der Unterschied der hier vorgeschlagenen opendkim.conf und opendmarc.conf ist erheblich.
Auf den ersten Blick sind nicht alle Variablen definiert.

Dadurch 2 Fragen:
1) Ist es wirklich so ausgelegt, dass diese Konfiguration die aktuelle ersetzen soll, oder wird es eher unten damit konkatiniert? =)

2) Es wäre cool, wenn man eine derartige Konfiguration zunächst postfachbasiert einsetzen könnte, dann wäre es auch für einen längeren Testlauf verwendet werden. Geht das eventuell auch, oder ist es immer global?
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste