it-swarm.com.de

Gefälschte Bounce-Spam-E-Mails in Google Mail - Sind diese wirklich so gefälscht?

Sind Spam-Nachrichten, die von Google Mail als "Gefälschte Bounce-E-Mails" gekennzeichnet wurden, in jedem Fall wirklich so gefälscht? Gibt es eine Möglichkeit, wie sie tatsächlich legitim sein könnten?

Example of the notice found when Gmail labels an email as fake bounce.

Wir betreiben einen Server mit mehreren Domains, auf denen alle klassischen E-Mail-Adressen wie admin @, webmaster @, postmaster @ und support @ von einem Team-Posteingang unter einem nicht maskierten Google Mail-Konto verwaltet werden. Es gibt eine Domain, für die Google Mail eine POP-Datei für den Support @ verwaltet. Die restlichen Domains sind lediglich Weiterleitungen an Google Mail als Alias. Nennen wir es zum Beispiel "[email protected]", obwohl diese Adresse nie verwendet wird. Stattdessen werden E-Mails für jede Domain in diesen Posteingang gesendet, und wir können jede Domain-Adresse normal verwenden.

In den letzten Monaten haben wir eine Menge seltsamer Bounce-Mails bemerkt, die geradewegs zu Spam-Mails wurden, die gefälscht zu sein scheinen . Sie versuchen immer, über die nicht verwendete Adresse [email protected] zu senden. Ich habe 3 Server-Audits durchgeführt, um sicherzustellen, dass nichts aktiv ist, aber ich habe das Gefühl, dass ich etwas verpasst habe oder dass sie einen Weg gefunden haben, sich irgendwie in die Kette hineinzuversetzen.

Hier ist der Inhalt einer der E-Mails, die heute Morgen eingegangen sind. Sie scheinen immer mit Comcast verbunden zu sein, als ob ein Benutzer dieses ISPs versucht, über uns als Relay Spam zu versenden, und zwar mit unserem eigenen Akronym für unseren Mailer auf der Domain @ comcast.net. Der Betreff lautet immer "Zustellbericht":

Hallo, das ist der Mailserver auf server233.marketbox.org.

Ich sende Ihnen diese Nachricht, um Sie über den Zustellstatus einer Nachricht zu informieren, die Sie zuvor gesendet haben. Unmittelbar darunter finden Sie eine Liste der betroffenen Empfänger; Außerdem sind ein DSN-Bericht (Delivery Status Notification) im Standardformat sowie die Kopfzeilen der ursprünglichen Nachricht beigefügt.

zustellung fehlgeschlagen; werde es nicht weiter versuchen

Endempfänger: rfc822; [email protected] Aktion: fehlgeschlagen Status: 5.3.2 (System akzeptiert keine Netzwerknachrichten) Remote-MTA: dns; mx2.comcast.net (68.87.20.5) Diagnose-Code: smtp; 554 resimta -ch2-11v.sys.comcast.net comcast 23.227.123.207 gefunden auf einer oder mehreren DNSBLs, siehe http://postmaster.comcast.net/smtp-error-codes.php#BL00001 X- PowerMTA-BounceCategory: Spam-bezogen

Sie kommen mit einer Anlage, hier ist, was darin enthalten ist:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=2014; d=server233.marketbox.org;
 h=Reply-To:From:To:Subject:Message-ID:MIME-Version:Content-Type:Content-Transfer-Encoding:Date;
 bh=e93hXRYq9rZhWCc86TP8tys4zgc=;
 b=zuzPWcZK9atz/EzVmI0P28AMPvfOAw5fH7Mj2hzZeay+OtI+x1baocpgNetYrmxUWOxmV224xLjs
   3+hcllzUdQx+KGbnhbKjbL4TPqnnawzZT7MVEpx+xEupvFr6lHbsko0RHmo3PELQx2g36f1W20p7
   tOsr9R6TCnLTT8PwEDyL6LyGnzWx+EiemIutea2IJQq0ZjJqeuAN+/vR8pMOKmomCMlZ8XB0XSkA
   5GB2HyQGwYsg0faMr1GOKMHj4lOXsOmkK0wAsBhrlPKBuifGyW9kD2SVB9isqXmmicT/K97EzVEt
   MJGtPZPQnZG4D223BL0tiMAm1NdchA3pTjSVIw==
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=2014; d=gmail.com;
 b=7iJ8c9LGnHx41HeXBDcF+BfOo00JISLpAXWCgjb8gMsx3IMl3d3XmuQq1WjJUJMcv0F8elpyhlqx
   Yi7El32waoPt+hdETL3RRAP+sIIg1m+3T2an0Ts9ybQrzyFygMSn3StJK50BmlD9JLWdf8yRczvV
   idKNQSRdX70REbGeILbJfZGedTMyE5K6G3Z1lohK2TAertnQfMQriJ6gWp/JUKPLn7ANbjyBnGiY
   ean8Bu2kAXT63xqIWi2qhgTp9rGLUJKDHnyPxe+XwgvW8+q573COsfOP4nO17xCVb6bYMrw0CXKS
   jLUIqOil20SYEzmWsNP7PcqMze8Xz87JrK27dA==;
Reply-To: QVS  <[email protected]>
From: Complete Cycle <[email protected]>
To: [email protected]
Subject: Quantum Vision System is not for everyone..
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Date: Tue, 9 Jun 2015 05:58:14 -0400

Hier ist die vollständige Original-E-Mail:

Delivered-To: [email protected]
Received: by 10.76.12.73 with SMTP id w9csp2094196oab;
        Tue, 9 Jun 2015 02:58:10 -0700 (PDT)
X-Received: by 10.182.86.9 with SMTP id l9mr18546126obz.61.1433843890434;
        Tue, 09 Jun 2015 02:58:10 -0700 (PDT)
Return-Path: <>
Received: from server233.marketbox.org (server233.marketbox.org. [23.227.123.207])
        by mx.google.com with ESMTP id hm8si3687079obb.87.2015.06.09.02.58.10
        for <[email protected]>;
        Tue, 09 Jun 2015 02:58:10 -0700 (PDT)
Received-SPF: pass (google.com: domain of server233.marketbox.org designates 23.227.123.207 as permitted sender) client-ip=23.227.123.207;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of server233.marketbox.org designates 23.227.123.207 as permitted sender) smtp.mail=;
       dmarc=pass (p=REJECT dis=NONE) header.from=server233.marketbox.org
Message-Id: <[email protected]>
Date: Tue, 9 Jun 2015 05:58:14 -0400
From: [email protected]
Subject: Delivery report
To: [email protected]
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
    boundary="[email protected]"


[email protected]
Content-Type: text/plain

Hello, this is the mail server on server233.marketbox.org.

I am sending you this message to inform you on the delivery status of a
message you previously sent.  Immediately below you will find a list of
the affected recipients;  also attached is a Delivery Status Notification
(DSN) report in standard format, as well as the headers of the original
message.

  <[email protected]>  delivery failed; will not continue trying

[email protected]
Content-Type: message/delivery-status

Reporting-MTA: dns;server233.marketbox.org
X-PowerMTA-VirtualMTA: mta233
Received-From-MTA: dns;gmail.com (85.17.28.66)
Arrival-Date: Tue, 9 Jun 2015 01:20:37 -0400

Final-Recipient: rfc822;[email protected]
Action: failed
Status: 5.3.2 (system not accepting network messages)
Remote-MTA: dns;mx2.comcast.net (68.87.20.5)
Diagnostic-Code: smtp;554 resimta-ch2-11v.sys.comcast.net comcast 23.227.123.207 found on one or more DNSBLs, see http://postmaster.comcast.net/smtp-error-codes.php#BL000010
X-PowerMTA-BounceCategory: spam-related

[email protected]
Content-Type: text/rfc822-headers

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=2014; d=server233.marketbox.org;
 h=Reply-To:From:To:Subject:Message-ID:MIME-Version:Content-Type:Content-Transfer-Encoding:Date;
 bh=e93hXRYq9rZhWCc86TP8tys4zgc=;
 b=zuzPWcZK9atz/EzVmI0P28AMPvfOAw5fH7Mj2hzZeay+OtI+x1baocpgNetYrmxUWOxmV224xLjs
   3+hcllzUdQx+KGbnhbKjbL4TPqnnawzZT7MVEpx+xEupvFr6lHbsko0RHmo3PELQx2g36f1W20p7
   tOsr9R6TCnLTT8PwEDyL6LyGnzWx+EiemIutea2IJQq0ZjJqeuAN+/vR8pMOKmomCMlZ8XB0XSkA
   5GB2HyQGwYsg0faMr1GOKMHj4lOXsOmkK0wAsBhrlPKBuifGyW9kD2SVB9isqXmmicT/K97EzVEt
   MJGtPZPQnZG4D223BL0tiMAm1NdchA3pTjSVIw==
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=2014; d=gmail.com;
 b=7iJ8c9LGnHx41HeXBDcF+BfOo00JISLpAXWCgjb8gMsx3IMl3d3XmuQq1WjJUJMcv0F8elpyhlqx
   Yi7El32waoPt+hdETL3RRAP+sIIg1m+3T2an0Ts9ybQrzyFygMSn3StJK50BmlD9JLWdf8yRczvV
   idKNQSRdX70REbGeILbJfZGedTMyE5K6G3Z1lohK2TAertnQfMQriJ6gWp/JUKPLn7ANbjyBnGiY
   ean8Bu2kAXT63xqIWi2qhgTp9rGLUJKDHnyPxe+XwgvW8+q573COsfOP4nO17xCVb6bYMrw0CXKS
   jLUIqOil20SYEzmWsNP7PcqMze8Xz87JrK27dA==;
Reply-To: QVS  <[email protected]>
From: Complete Cycle <[email protected]>
To: [email protected]
Subject: Quantum Vision System is not for everyone..
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Date: Tue, 9 Jun 2015 05:58:14 -0400

[email protected]

Einige Dinge, die im Verlauf von 3 Audits bestätigt wurden:

  • In der Google Mail-Historie stammen alle Nutzer von unserer internen IP-Adresse, niemand anderes meldet sich an
  • Im Google Mail-Verlauf wurden keine fischartigen/phischartigen E-Mails gesendet
  • Unser Server ist weder eine offene Mail noch ein DNS-Relay, die Remotemail ist deaktiviert, sie scheint sie nicht so zu verwenden (obwohl es viele Remoteversuche gibt).
  • In Server-Protokollen wird nichts Offensichtliches angezeigt, und keine Skripte/Benutzer/Konten senden übermäßig viele E-Mails

Ist das alles nur so, dass ich paranoid bin, dass etwas im Gange ist, oder gibt es nicht viel zu befürchten?

2
dhaupin

Es sieht so aus, als würde jemand Ihre [email protected] -Adresse fälschen.

  • Diese Zeile zeigt einen Spam-Relay-Server:

    Diagnostic-Code: smtp;554 resimta-ch2-11v.sys.comcast.net comcast 23.227.123.207 found on one or more DNSBLs, see http://postmaster.comcast.net/smtp-error-codes.php#BL000010
    
  • Diese Zeile zeigt, dass in der ursprünglichen E-Mail eine rfc822-Nachrichten-ID fehlte:

    Message-Id: <[email protected]>
    

    Die Server von Google haben (sehr hilfreich?) 5576b8b2.c86cb60a.7629.4259SMTPIN_ADDED_MISSING als Nachrichten-ID hinzugefügt.

2
Dean Ransevycz

Return-Path: <>

Dies ist, was das Problem verursacht. Es scheint, dass einige der Header schlecht konfiguriert sind.

Der fehlende Reply-To-Header ist auch ein schwerwiegender Nachteil für E-Mails, die als Spam maskiert werden.