it-swarm.com.de

Spam-E-Mail "über" meine Domain, aber SPF-Eintrag existiert

Ich habe gerade eine E-Mail vom Namen einer zufälligen Person "via" [email protected] erhalten, obwohl [email protected] nur eine Verteilergruppe innerhalb von G Suite ist.

Wir haben einen aktuellen SPF-Eintrag von Google hinzugefügt, und ich bin mir nicht ganz sicher, was oder wie eine andere Person eine E-Mail über meine Domain senden kann.

Hier sind einige Referenzen aus der Nachrichtenquelle, ohne meiner Domain oder den Empfängern spezifische Informationen zu geben:

Date: Mon, 01 Apr 2019 23:41:44 -0500
Subject: Mass Shootings orchestrated to pass gun control for the Federal
 Reserve Shareholders planned U.S. Holocaust- How can your industry help?
From: 'Random Person' via Info <[email protected]>
<snipped>
Message-ID: <[email protected]>
Thread-Topic: Mass Shootings orchestrated to pass gun control for the Federal
 Reserve Shareholders planned U.S. Holocaust- How can your industry help?
Thread-Index: AWY0NTc5UrmPA22gl2edULFwYvLC7TIwMTU5
References: <[email protected]>
Mime-version: 1.0
Content-type: multipart/alternative;
    boundary="B_3637013229_1574776269"

Alle unsere Benutzer haben 2FA aktiviert, obwohl ich denke, dass dies hier nicht relevant ist. Dies ist eindeutig eine gefälschte E-Mail, da [email protected] kein registriertes Konto innerhalb der Domain ist (nur überprüft).

Irgendwelche Ideen, wie dies geschehen sein könnte und wie man es verhindern kann?

Außerdem scheint diese Nachricht keine wertvollen Informationen zu enthalten, außer dass sie möglicherweise Yahoo dazu genutzt hat, E-Mails im "Namen" meiner Domain zu senden. Ich bin mir nicht ganz sicher, wie das funktioniert hat.

9
LewlSauce

Wenn Sie einen SPF-Eintrag in Ihren DNS-Einträgen haben, weiß der Empfänger , welcher E-Mail-Server für Ihre Domain geeignet ist. Der Empfänger sucht in der sendenden Domäne nach den gültigen Server-IPs und entscheidet dann, was mit der E-Mail geschehen soll.

  1. Wenn die sendende IP in der Liste enthalten ist, ist die E-Mail wahrscheinlich in Ordnung.

  2. Wenn die sendende IP nicht in der Liste enthalten ist, sollte sie verdächtig behandelt werden.

Diese Überprüfungslogik erfordert, dass der empfangende E-Mail-Server so konfiguriert ist, dass er nach SPF-Datensätzen sucht. Wenn Sie nicht nach SPF-Datensätzen suchen, wird der gesamte SPF-Überprüfungsprozess nicht durchgeführt.

Wenn Ihre E-Mail-Header keine SPF-Felder enthalten, ist Ihr E-Mail-Server nicht für die Suche nach SPF eingerichtet und schützt Ihr Unternehmen nicht auf diese Weise.

Sie müssen in der Dokumentation Ihres E-Mail-Dienstes nachsehen, wie Sie die SPF-Prüfung aktivieren können.

17
schroeder

Nur ein SPF-Eintrag bedeutet nicht, dass niemand Ihre E-Mail-Adresse als beanspruchten Empfänger für gefälschte Nachrichten verwenden kann.

Erstens kümmert sich SPF nur um den SMTP-Umschlag und nicht um das Feld From im Mail-Header. Es ist kein Problem, eine E-Mail zu senden, bei der beide unterschiedlich sind. Ihre Frage enthält keine Informationen zum SMTP-Umschlag (normalerweise als Return-Path - Feld im Mail-Header angezeigt), aber es ist tatsächlich üblich, dass beide beim Spoofing von Mails unterschiedlich sind. Um sich um das From zu kümmern, müssten Sie zusätzlich DMARC einrichten.

Und selbst wenn sowohl SPF als auch DMARC eingerichtet sind, müsste der Empfänger der E-Mail dies tatsächlich überprüfen. Während viele SPF prüfen, prüfen die meisten DMARC nicht.

Weitere Informationen finden Sie auch unter Warum DMARC für SPF einrichten, wenn es bereits für DKIM eingerichtet ist? .

7
Steffen Ullrich

Tatsächlich gibt der SPF-Datensatz nur an, von welchen Servern legitime E-Mails mit Ihrer Domain stammen können - und hier handelt es sich um Umschlaginformationen (SMTP/RFC2821), nicht um die From-Zeile in den E-Mails (RFC2822).

In Ihrem E-Mail-Programm wird normalerweise nur der E-Mail-Inhalt (RFC2822) angezeigt. Daher wurde eine E-Mail, die Ihre Domain in der Zeile Von verwendet, möglicherweise tatsächlich mit einem anderen Umschlagsender gesendet, und Sie können dies nur sehen, wenn Sie nachsehen an den Kopfzeilen, in denen eine Zeile wie "X-Anscheinend-Von" den Absender anzeigt, der für die Zustellung der E-Mail verwendet wurde.

Wenn einer der in Ihrem SPF angegebenen Server gefährdet ist, können E-Mails, die Ihre Domain verwenden, rechtmäßig über diesen Server gesendet werden.

2
P. Goetterup

Die erste Zeile der Überschriften sollte immer sein
Received: from sender.hostname (203.0.113.0) by your.hostname
Jedes MTA , das die Nachricht empfängt, einschließlich Ihres MTA, soll diesen Header voranstellen.

Alle Nachrichten, die von einem MTA empfangen werden, haben mindestens eine. Die einzige Möglichkeit, keine zu haben, besteht darin, nicht über SMTP zu empfangen. Ist es möglich, dass jemand diese Nachricht direkt in Ihre lokale Mailbox-/Maildir-Kopie eingefügt hat und den SMTP-Server umgeht?

0
user185953