Tausende Mails mit dem Betreff "Unzustellbar: Signed Contract" im Posteingang

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Tausende Mails mit dem Betreff "Unzustellbar: Signed Contract" im Posteingang

    Wir hatten heute morgen knapp 6.000 Mails mit dem Betreff "Unzustellbar: Signed Contract" im Posteingang.

    Der Inhalt einer der Mails lautet:

    **** Anfang ****

    This is the mail system at host vavmex1-drvr-001.localdomain.

    I'm sorry to have to inform you that your message could not
    be delivered to one or more recipients. It's attached below.

    For further assistance, please send mail to postmaster.

    If you do so, please include this problem report. You can
    delete your own text from the attached returned message.

    The mail system

    <aniyathimol2008@yahoo.com>: host mta5.am0.yahoodns.net[98.136.102.54] said:
    554 delivery error: dd This user doesn't have a yahoo.com account
    (aniyathimol2008@yahoo.com) [0] - mta4368.mail.gq1.yahoo.com (in reply to
    end of DATA command)


    **** Ende ****


    Für mich sieht das aus, als würde jemand unsere Email-Adresse für den Versand von Spam benutzen (Mailspoofing?).


    Was habe ich bereits gemacht:

    1) Öffentliche DNS EInträge: SPF, DKIM, DMARC

    2) Interne DNS Einträge: SPF mit IP des Mailservers

    3) Anti-Spam-Agents installiert (ich dachte, dass ich das schon getan hätte....).



    Was kann/muss ich noch tun, um so eine Email-Flut zukünftig zu vermeiden?

    Herzlichen Dank im Voraus.
  • ExAndre schrieb:

    1) Öffentliche DNS EInträge: SPF, DKIM, DMARC
    Exchange kann weder DKIM noch DMARC. DKIM-Einträge sind daher eher schädlich. SPF sollte aber sein.

    ExAndre schrieb:

    2) Interne DNS Einträge: SPF mit IP des Mailservers
    Intern unrelevant oder wieviele unterschiedliche Mailsserver hast Du so im Netz?


    ExAndre schrieb:

    3) Anti-Spam-Agents installiert (ich dachte, dass ich das schon getan hätte....).
    Die von Exchange helfen da leider nur sehr begrenzt.

    Welche Anti-Spam-Maßnahmen bei Dir vor Ort helfen würden, kann man eh ohne weitere Infos nicht sagen. Dafür müssen die kompletten Header- und Mail-Infos der NDRs ausgewertet werden. Und muss man halt bei den Adressen wissen, welche IP für welche Server steht.

    ExAndre schrieb:

    Was kann/muss ich noch tun, um so eine Email-Flut zukünftig zu vermeiden?
    Zuerst mal analysieren, woher die "Mail-Flut" kommt. Theoretisch reicht einzige Mail mit passenden Auto-Respondern aus, um einen schöne Schleife zu bauen.
    Grüße aus Berlin schickt Robert
  • NobbyausHB schrieb:

    Moin,

    was heißt Posteingang - oder Warteschlange?

    Ist das u.U. ein Backscatter-Angriff? Da werden die NDR ausgewertet.

    Ist die Empfänger-Filterung aktiv?

    Wie kommen die Mails zum Exchange, ist was vorgelagert? ;)
    Die Mails befinden sich bei uns im Posteingang (nicht Queue und nicht Junk-Email-Ordner).

    Nach ein paar Stunden Internet-Recherche tippe ich auf Mailspoofing. Es werden also Emails in unserem Namen gesendet. Da die Emails nicht zugestellt werden können, bekommen wir die NDRs (?).

    Ich habe daraufhin die folgenden Parameter überprüft bzw. gesetzt:

    Set-SenderIDConfig
    -SpoofedDomainAction Reject
    -Enabled $true
    -ExternalMailEnabled $true .
    -InternalMailEnabled $true

    InternalMailEnabled sorgt dafür, dass auch intern nur die zugelassen Mailserver Emails senden können. Allerdings weiß ich nicht, ob der interne SPF-Record dafür relevant ist oder der Parameter -InternalSMTPServers des Befehls Set-TransportConfig.

    Den Parameter SpoofedDomainAction steht standardmäßig auf $false. Dabei sorgt genau diese Parameter eigentlich dafür, dass Emails abgewiesen werden, wenn sie von einem nicht authorisierten Mailserver verschickt werden, soweit ich das verstanden habe.

    Naja, auf jeden Fall habe ich seitdem nicht mehr haufenweise NDRs im Posteingang gehabt. Ich hoffe, dass das so bleibt.
  • RobertW schrieb:

    ExAndre schrieb:

    1) Öffentliche DNS EInträge: SPF, DKIM, DMARC
    Exchange kann weder DKIM noch DMARC. DKIM-Einträge sind daher eher schädlich. SPF sollte aber sein.

    ExAndre schrieb:

    2) Interne DNS Einträge: SPF mit IP des Mailservers
    Intern unrelevant oder wieviele unterschiedliche Mailsserver hast Du so im Netz?

    ExAndre schrieb:

    3) Anti-Spam-Agents installiert (ich dachte, dass ich das schon getan hätte....).
    Die von Exchange helfen da leider nur sehr begrenzt.
    Welche Anti-Spam-Maßnahmen bei Dir vor Ort helfen würden, kann man eh ohne weitere Infos nicht sagen. Dafür müssen die kompletten Header- und Mail-Infos der NDRs ausgewertet werden. Und muss man halt bei den Adressen wissen, welche IP für welche Server steht.

    ExAndre schrieb:

    Was kann/muss ich noch tun, um so eine Email-Flut zukünftig zu vermeiden?
    Zuerst mal analysieren, woher die "Mail-Flut" kommt. Theoretisch reicht einzige Mail mit passenden Auto-Respondern aus, um einen schöne Schleife zu bauen.

    Erstens: Vielen Dank für Eure Antworten. Das ist mein erster Eintrag hier im Forum und ich werde mich wohl noch häufiger melden, da dies mein erste Mail-Server ist.

    1) DMARC ist lediglich ein TXT-Record im öffentlichen DNS. Für DKIM habe ich die Drittanbieter-Software "DKIM Signing Agent for Microsoft Exchange Server" auf dem Mailserver installiert. Das funktioniert - soweit ich das feststellen konnte - sehr gut. Habe mit MXToolBox getestet.

    2) Wir haben einen Email-Server.

    3) Ich habe mir die Header angeguckt und festgestellt, dass dort folgender EIntrag zu finden ist:
    X-MS-Exchange-Organization-SenderIdResult: None


    Würde ein Auto-Responder die ganze Sache nich noch schlimmer machen? Ich möchte das Problem an möglichst höchster konfigurierbarer Stelle unterbinden und hoffe, dass meine bisher getätigten Änderungen funktioniert haben.
  • ExAndre schrieb:

    ) DMARC ist lediglich ein TXT-Record im öffentlichen DNS.
    Ist mir bekannt. Aber der wirkt nur, wenn der Empfänger ihn auswertet. Da ja in Deinem Fall potentiell Exchange der Empfänger ist, bringt er nichts, weil Exchange das nicht kennt.


    ExAndre schrieb:

    Für DKIM habe ich die Drittanbieter-Software "DKIM Signing Agent for Microsoft Exchange Server" auf dem Mailserver installiert.
    OH, den kannt ich noch nicht! DANKE für den Tipp! Das sieht wirklich sehr vielversprechend aus: Open Source, offensichtlich guter Support, da ja alle Exchange Versionen inkls. frischer CUs unterstützt werden und dann noch anscheinend ein Setup, dass nur minimal in Exchange eingreift.

    Steht definitiv auf meiner ToDo-Liste!


    ExAndre schrieb:

    2) Wir haben einen Email-Server.
    Dann brauchst Du keine internen SPF Einträge.


    ExAndre schrieb:

    Würde ein Auto-Responder die ganze Sache nich noch schlimmer machen
    Wie gesagt, müsste man dafür die Mails komplett analysieren. Daher lautet die Antwort: Kann sein, kann nicht sein. ;)
    Grüße aus Berlin schickt Robert