Ansicht:   

#449076

DomiAleman zur Homepage von DomiAleman

Holdorf,
13.10.2021, 08:45:41

Wer verschickt Spam in unserem Namen? (pc.security)

Moin..
wir bekommen seit ein paar Tagen Mails als "unzustellbar" zurück, die wir eigentlich nicht verschickt haben.

Kann man anhand des zurückgesendeten Quelltextes sagen, von wo aus die ursprünglichen Mails versendet werden?

(In den Logfiles unseres Exchange Servers tauchen keine solchen Mails auf.)
Server.PMHOLDORF.local ist unser lokaler Mailserver.
die Domain "cebora.de" ist unsere.
Der Mailversand aus unserem Exchange Server heraus findet NICHT über smtp.strato.de statt, sondern über ein ewe mailrelais.
Danke für Tipps..
DoMi

------------Quelltext---------
Received: from Server.PMHOLDORF.local
(fdbc:1ae4:d818:a900:c86a:87a2:e85b:58a5) by Server.PMHOLDORF.local
(fdbc:1ae4:d818:a900:c86a:87a2:e85b:58a5) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2242.4
via Mailbox Transport; Tue, 12 Oct 2021 22:10:33 +0200
Received: from Server.PMHOLDORF.local
(fdbc:1ae4:d818:a900:c86a:87a2:e85b:58a5) by Server.PMHOLDORF.local
(fdbc:1ae4:d818:a900:c86a:87a2:e85b:58a5) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
15.1.2242.4; Tue, 12 Oct 2021 22:10:32 +0200
Received: from exchange-pop3-connector.com (127.0.0.1) by
Server.PMHOLDORF.local (127.0.0.1) with Microsoft SMTP Server id 15.1.2242.4
via Frontend Transport; Tue, 12 Oct 2021 22:10:32 +0200
X-Envelope-From: <>
X-Envelope-To: <ralphhoover8724@cebora.de>
X-Delivery-Time: 1634069382
X-UID: 5239
Return-Path: mailer-daemon@smtp.strato.de
ARC-Seal: i=1; a=rsa-sha256; t=1634069382; cv=none;
d=strato.com; s=strato-dkim-0002;
b=d6CppwjOXAXoxmuLB/mE4jWoj0V0VGcM/zo2SepESOHgQoGDAAzU6r/i/YqxN7tfTF
+golF2tsNRdrLwu8fecYIDjk+RkMhihZPY8weXc+0rNXSCq1ePQ0fivaHaK+HYQlkGXn
yPKsmD3nmjsPry4OeIE3ufWiRAr/ahlabWSCXzrgzMm7ru4w9bsf403baKl9POZNzMMV
ZyeQy1CNquE4ywVJswPxl7wIX2hLWOv24gpgubs11BXVTSS/5H6BWF0xT81lleo2Vdj+
YvviCI8YkcEf1lDJEBvKsRoE9fDa0r3pBgRBKwQEoQS5Ksnx96cGjCwHUKvnaETxoyTM
8qxQ==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; t=1634069382;
s=strato-dkim-0002; d=strato.com;
h=Subject:Message-ID:From:To:Date:Cc:Date:From:Subject:Sender;
bh=KmrVAyfbWxLwtQ+bz+Ut9/f/Yb0V5uvpua+8r4F1NYE=;
b=pjKlZElBozNY9qP5f5aUpqWBlR55DPv+jw8e3LiOEqUPjxaJVdetlmBajYeAxtbzKU
3Q62AnQPdlXlJ3+R8ksbFLJakm8SYGZxkRhc0cLhaeCAUGp+xfVAUpI0rECu0W10sVBY
TSNxVpMK3HzyCAbG5pbpCHY1pGsr/uyghAgjTiQAiTWkhS7rh+mLnJSqq57kWS4vZ/cj
7pbvu+S7AI4igYoSvlEDFpe7k4QpkvxbQujIStgnigvlH5MPGuhjJkLtAhdvcvowgBBN
H2uTHHnNrkOQJ2BZKbv08clN5aNWKAuKxiP2O4toyju7dJUWBUaxWuJKCm0Yoj/1AC8V
oY/Q==
ARC-Authentication-Results: i=1; strato.com;
dmarc=pass (p=NONE sp=NONE) header.from="smtp.strato.de";
dkim=pass header.d="smtp.strato.de" header.s="strato-dkim-0002" header.a="rsa-sha256";
dkim-adsp=pass;
spf=pass smtp.helo="mo4-p03-ob.smtp.rzone.de"
Authentication-Results: strato.com;
dmarc=pass (p=NONE sp=NONE) header.from="smtp.strato.de";
dkim=pass header.d="smtp.strato.de" header.s="strato-dkim-0002" header.a="rsa-sha256";
dkim-adsp=pass;
spf=pass smtp.helo="mo4-p03-ob.smtp.rzone.de"
X-RZG-Expurgate: suspect/normal
X-RZG-Expurgate-ID: 149500::1634069382-00000849-32B15EFA/19/7312635753
X-RZG-CLASS-ID: mi00
Received-SPF: pass
(strato.com: domain _spf.strato.com designates 85.215.255.103 as permitted sender)
mechanism=ip4;
client-ip=85.215.255.103;
helo="mo4-p03-ob.smtp.rzone.de";
envelope-from="";
receiver=smtpin.rzone.de;
identity=helo;
Received: from mo4-p03-ob.smtp.rzone.de ([85.215.255.103])
by smtpin.rzone.de (RZmta 47.34.1 OK)
with ESMTPS id r09addx9CK9gHaz
(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256 bits))
(Client CN "*.smtp.rzone.de", Issuer "TeleSec ServerPass Class 2 CA" (verified OK (+EmiG)))
(Client hostname verified OK)
for <ralphhoover8724@cebora.de>;
Tue, 12 Oct 2021 22:09:42 +0200 (CEST)
Received: from localhost
by mo4-p03-ob.smtp.rzone.de (RZmta 47.34.1 OK am=1)
with ESMTPS id 2025e2x9CK9g7Wh
for <ralphhoover8724@cebora.de>;
Tue, 12 Oct 2021 22:09:42 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; t=1634069382;
s=strato-dkim-0002; d=smtp.strato.de;
h=Subject:Message-ID:From:To:Date:Cc:Date:From:Subject:Sender;
bh=KmrVAyfbWxLwtQ+bz+Ut9/f/Yb0V5uvpua+8r4F1NYE=;
b=nfx0bICl+malDvjmWXbxBuefX3a46Asla02eIfh9606YXbsdoz24XC1qR99or8yJ/e
tWz0XgtUXX523BuQNwI/AA62k8LEN3PxxuaIMQnfzAIW+ZT+wAHC+WsASKzJlPZ+7vif
TuU0YY7WvxQrp1hWrrk+5LBNk1bALT1O+zRAUi/nNo0RMnInxpZE/qRynSVuvlcsT6Zx
hDuYUWKJ8jBKo2j1TcZbwD7/YHrF8AA2uJTqQYvNKZktJFRQ6fI4GsmHriqDW08ZO86B
K2J306IObVyId4Rga14JNhXE9uXKH1IPa0FnO2TXF/URKwLnkj5TlWJRjMCALy8GawC8
hfqg==
Date: Tue, 12 Oct 2021 22:09:42 +0200 (CEST)
To: <ralphhoover8724@cebora.de>
From: "Strato Mail" <MAILER-DAEMON@smtp.strato.de>
Message-ID: <2025e2x9CK9g7Wh@smtp.strato.de>
Subject: Returned Mail:
=?UTF-8?Q?car=C4=97_me=E1=B9=A6s=C3=82g=C4=92_?= =?UTF-8?Q?=286=29?=
Content-Type: multipart/report; report-type=delivery-status;
boundary="2025e2x9CK9g7Wh/mo6-p03-ob.smtp.rzone.de"
Auto-Submitted: auto-replied (failure)
X-POPCON-TARGETADDRESS: webmaster@pm-schweisstechnik.de
X-MS-Exchange-Organization-Network-Message-Id: fa9c0679-9b02-4fbf-4812-08d98dbc586c
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: Server.PMHOLDORF.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:01.0889578
X-MS-Exchange-Processed-By-BccFoldering: 15.01.2242.004
MIME-Version: 1.0
X-Antivirus: AVG (VPS 211012-6, 12.10.2021), Inbound message
X-Antivirus-Status: Clean

--2025e2x9CK9g7Wh/mo6-p03-ob.smtp.rzone.de
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

*** MAILVERSAND FEHLERBERICHT ***

Die E-Mail wurde eingeliefert am Dienstag, 12. Oktober 2021 22:08:07 +0200 =
(CEST)
von Host cebora.de .

Betreff: car=C4=97 me=E1=B9=A6s=C3=82g=C4=92 (6)
Absender: ralphhoover8724@cebora.de

Der Mailversand zu den folgenden Empf=C3=A4ngern ist endg=C3=BCltig geschei=
tert:

Cristina.Gutierrez@ExpressPros.com
Letzter Fehler: 550 5.1.1=20
Erkl=C3=A4rung: host mx3.ExpressPros.com [192.136.113.53] said: User Unk=
nown

Auszug aus dem Session-Protokoll:
... w=C3=A4hrend der Kommunikation mit dem Mailserver mx3.ExpressPros.co=
m [192.136.113.53]:
> >> RCPT TO:<Cristina.Gutierrez@ExpressPros.com>
<<< 550 5.1.1 User Unknown

clandhuis@colorfx.net
Letzter Fehler: 550 5.4.1=20
Erkl=C3=A4rung: host mittera-com.mail.protection.outlook.com [104.47.55.=
138] said:=20
Recipient address rejected: Access denied. AS(201806281)=20
[BN8NAM12FT045.eop-nam12.prod.protection.outlook.com]

Auszug aus dem Session-Protokoll:
... w=C3=A4hrend der Kommunikation mit dem Mailserver mittera-com.mail.p=
rotection.outlook.com [104.47.55.138]:
> >> RCPT TO:<clandhuis@colorfx.net>
<<< 550 5.4.1 Recipient address rejected: Access denied. AS(201806281)=20
[BN8NAM12FT045.eop-nam12.prod.protection.outlook.com]

Briseida.Puga@expresspros.com
Letzter Fehler: 550 5.1.1=20
Erkl=C3=A4rung: host mx3.expresspros.com [192.136.113.53] said: User Unk=
nown

Auszug aus dem Session-Protokoll:
... w=C3=A4hrend der Kommunikation mit dem Mailserver mx3.expresspros.co=
m [192.136.113.53]:
> >> RCPT TO:<Briseida.Puga@expresspros.com>
<<< 550 5.1.1 User Unknown

--2025e2x9CK9g7Wh/mo6-p03-ob.smtp.rzone.de
Content-Type: message/delivery-status
Content-Disposition: attachment

Reporting-MTA: DNS; mo6-p03-ob.smtp.rzone.de
Received-From-MTA: DNS; cebora.de (2001:ee0:4f3d:7c77:55ba:9a7:8978:2c95)
Arrival-Date: Tue, 12 Oct 2021 22:08:07 +0200 (CEST)

Final-Recipient: RFC822; Cristina.Gutierrez@ExpressPros.com
Action: failed
Status: 5.1.1
Remote-MTA: DNS; mx3.ExpressPros.com [192.136.113.53]
Diagnostic-Code: SMTP; 550 5.1.1 User Unknown
Last-Attempt-Date:
Final-Log-ID: 2025e2x9CK9g7Wh

Final-Recipient: RFC822; clandhuis@colorfx.net
Action: failed
Status: 5.4.1
Remote-MTA: DNS; mittera-com.mail.protection.outlook.com [104.47.55.138]
Diagnostic-Code: SMTP; 550 5.4.1 Recipient address rejected: Access denied.
AS(201806281)
[BN8NAM12FT045.eop-nam12.prod.protection.outlook.com]
Last-Attempt-Date:
Final-Log-ID: 2025e2x9CK9g7Wh

Final-Recipient: RFC822; Briseida.Puga@expresspros.com
Action: failed
Status: 5.1.1
Remote-MTA: DNS; mx3.expresspros.com [192.136.113.53]
Diagnostic-Code: SMTP; 550 5.1.1 User Unknown
Last-Attempt-Date:
Final-Log-ID: 2025e2x9CK9g7Wh

--2025e2x9CK9g7Wh/mo6-p03-ob.smtp.rzone.de
Content-Type: text/rfc822-headers
Content-Disposition: attachment

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; t=1634069299;
s=strato-dkim-0002; d=cebora.de;
h=Date:To:From:Subject:Message-ID:Cc:Date:From:Subject:Sender;
bh=CnJoMbZYLOlTTC4E8/s67Kyr/p4awirZ3VHhlO1pfJw=;
b=j0dNw3gaiKDRCHRc24rv4n37IsqFySbIQAkZEb8cIN6p3ivUeGmbHjh6wuclYnSeeT
3A0rr4oJd+hrhIdeDN6bB2IGQ4CiXxUMHoTWOGrx15kFNQmw3AVxO74tTpCQQLCZ+2N6
pSdDokv8eLa9KDjhXOxb/7hJaY/U3lvGoYOygrsTMRoETLoqrapMbJt9GOqc3iUoxWhi
DvfegjUYigJ+gM0eBaQe73ECU6BPsNYMstc2qotToBnDxSGM1j9AgQoFbE69f1mkB2vt
DsopIqWB0NWk9oIEcQ2Vq6VIlESVJfzMBua+FsqgHOkmGzNgjk0VK8gE20BaG2gMVtA/
3T4w==
Authentication-Results: strato.com;
dkim=none
X-RZG-AUTH: ":LSICZ0GpaN/VOHI6PgnVUcEcwFkibSdq/mJJpNR+FLSfScE858yAnXz6YmLNvOPoufSwAWUazD3cZUu15EgruuHHJmcsMrs1"
X-RZG-CLASS-ID: mo00
Received: from cebora.de
by smtp.strato.de (RZmta 47.34.1 AUTH)
with ESMTPSA id 2025e2x9CK877Vq
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (curve X9_62_prime256v1 with 256 ECDH bits, eq. 3072 bits RSA))
(Client did not present a certificate);
Tue, 12 Oct 2021 22:08:07 +0200 (CEST)
Message-ID: <7D848E10-6996-492C-BE29-5E31C2F62EB1@cebora.de>
Subject: =?UTF-8?Q?car=C4=97_me=E1=B9=A6s=C3=82g=C4=92_?=
=?UTF-8?Q?=286=29?=
X-Mailer: Apple Mail (2.3608.40.2.2.4)
From: "ralphhoover8724" <ralphhoover8724@cebora.de>
To: "Briseida Puga" <Briseida.Puga@expresspros.com>,
"careers" <careers@qg.com>,
"Carla Joya Huss" <Carla.Joya-Huss@advantageresourcing.com>,
"clandhuis" <clandhuis@colorfx.net>,
"cmetheny" <cmetheny@cmacareerhelp.com>,
"COIHR" <COIHR@bayvalleyfoods.com>,
"Cristina Gutierrez" <Cristina.Gutierrez@ExpressPros.com>,
"crobles" <crobles@aerotek.com>, "DFREED" <DFREED@WEBBPRINTING.com>,
"DLOMBARDI" <DLOMBARDI@DEACRO.COM>
Date: Tue, 12 Oct 2021 15:11:32 -0500
Mime-Version: 1.0 (Mac OS X Mail 13.0 \(3608.40.2.2.4\))
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: 8bit

--2025e2x9CK9g7Wh/mo6-p03-ob.smtp.rzone.de--

#449086

RoyMurphy

Tübingen,
13.10.2021, 12:53:45
(editiert von RoyMurphy, 13.10.2021, 12:54:42)

@ DomiAleman

Wer verschickt Spam in unserem Namen? (ed)

> Moin..
> wir bekommen seit ein paar Tagen Mails als "unzustellbar" zurück, die wir
> eigentlich nicht verschickt haben.
>
> Kann man anhand des zurückgesendeten Quelltextes sagen, von wo aus die
> ursprünglichen Mails versendet werden?

Diese Erfahrung musste ich glücklicherweise noch nicht verarbeiten, habe jedoch schon Spam mit dem Absendernamen von Bekannten, aber nicht deren E-Mail-Adresse erhalten, was in die Falle des Spamfilters führte. Die Bekannten waren bestürzt über meine Benachrichtigungen und sandten Beschwerden an ihren E-Mail-Provider. Informationen über geeignete Maßnahmen habe ich leider nicht erhalten.

Mit der Google-Suche habe ich einige Links ermittelt, die evtl. weiterhelfen:

missbrauch von e-mail-Adressen für spam

Leider ist ein Schlüsselwort für den N-T-Linkeditor zu lang, aber mit dem Klick auf den Suchtext gelangst Du auf den "Googlemarkt".

--
Vernetzte Treffgrüße ausTübingen
Reinhard
[image]
Historisches Stadtwappen.
Das amtliche Wappen für
den Schriftverkehr kann man
in der Pfeife rauchen, es erspart
halt die Kosten für den Farbdruck.

------------------------------------------------------------------------
Notiz:
Ich verwende auf dieser Website allein aus Gründen
des Leseflusses das generische Maskulinum (oder "-ende")
und lege Wert darauf, dass alle Inhalte genderunabhängig
zu verstehen sind.

#449089

vordprefect

wo karl ruht..,
13.10.2021, 13:39:39

@ DomiAleman

Wer verschickt Spam in unserem Namen?

Hi

> Moin..
> wir bekommen seit ein paar Tagen Mails als "unzustellbar" zurück, die wir
> eigentlich nicht verschickt haben.

Das sieht nach gefakten NDRs aus.

> Kann man anhand des zurückgesendeten Quelltextes sagen, von wo aus die
> ursprünglichen Mails versendet werden?

Der letzte Routing-Hinweis kommt von rzone.de und das gehört lt. whois bzw. ripe.net zu strato.
Da würde ich mal bei strato die abuse-Adresse informieren und die E-mail mit dem gesamten Header (unverändert!) schicken.

Das hier ist schon mal lt. RFC nur für DSNs (Delivery Status Notification) zulässig. damit kein Bounce entsteht.
X-Envelope-From: <>
X-Envelope-To: <ralphhoover8724@cebora.de>
X-Delivery-Time: 1634069382
X-UID: 5239

Und ob es damit seine Richtigkeit hat, wäre auch ne Frage:
From: "Strato Mail" <MAILER-DAEMON@smtp.strato.de>

> (In den Logfiles unseres Exchange Servers tauchen keine solchen Mails
> auf.)
> Server.PMHOLDORF.local ist unser lokaler Mailserver.
> die Domain "cebora.de" ist unsere.
> Der Mailversand aus unserem Exchange Server heraus findet NICHT über
> smtp.strato.de statt, sondern über ein ewe mailrelais.

--
lg,
volker

so long and thank you for the fish >~°>

Meine Fotos

Ansicht:   
Auf unserer Web-Seite werden Cookies eingesetzt, um diverse Funktionalitäten zu gewährleisten. Hier erfährst du alles zum Datenschutz