Mail-Spoofing

  • hallo!

    in letzter zeit haben wir des öfteren das problem, dass wir emails von uns selber(!) erhalten. so jedenfalls wird der absender angezeigt, aber sobald man die maus kurz auf dem absender ruhen lässt, erscheint die echte adresse dahinter --> SPAM! wie kann man sowas am besten verhindern, falls überhaupt möglich, ohne teure zusatzsoftware kaufen/buchen zu müssen.


    vielen dank für die antworten im voraus!

  • Wenn sich die Adresse beim Mausover ändert liegt das daran das der Absender im From: Feld die Notation für den Angezeigten Namen dazu missbraucht dort eine andere als die tatsächliche eMailadresse anzeigen zu lassen.


    normaler Weise müsste ein From: Header so aussehen:


    From: Klartext Name <Name@domain.tld>


    oder so:


    From: Name@domain.tld

    Die Mails bei denen du das beobachtest haben einen From: Header was in etwa so ausschaut:


    From: gefaelschter@absender.tld <realer@absender.tld>


    In der David Eintragsliste sieht man je nach Einstellung des Clients dann als Absender:


    gefaelschter@absender.tld

    Und wenn man mit der Maus drüber stehen bleibt wird der tatsächliche Absender angezeigt:


    realer@absender.tld


    Das ist im kein echtes Absender Adressen Spoofing, denn der tatsächliche Absender bleibt ja der dessen Account dafür gekarpert wurde.

    Bei tatsächlich gefakten Absenderadressen würdest Du auch beim Maus-Over stets die gleiche - gefälschte - Adresse sehen.

    Vor dem was hier passiert kann man sich kaum wirklich schützen (obwohl david das eigentlich anhand simpler Kriterien als SPAM erkennen können sollte), aber man kann sich zumindest ein wenig dagegen wappnen im täglichen Stress auf sowas reinzufallen und eine Mail z.B. für die von einem Kollegen zu halten und dann etwas zu tun was man bei erkennen der tatsächlichen Absenderadresse nicht getan hätte ;-)


    im David Client unter Optionen > Einstellungen > Ansicht > Eintragsliste den Haken bei "eMail-Adresse vollständig anzeigen" setzen.
    Dann wird einem in den Eintragslisten nicht mehr der Klartextname, sondern immer die tatsächliche eMail-Adresse angezeigt und somit fliegen auf diese Weise nur in ihrem Anschein gefakten Absender auf.


    Der einzige Nachteil der Aktion ist halt das dann in der David Client Eintragsliste nicht mehr z.B.:

    Hans Müller


    steht sondern z.B.:


    h.mueller@domain.tld


    Wenn der David Spam Filter einfach nur prüfen würde ob der From: Header einer Nachricht mehr als eine gültige eMail-Adresse enthält und diese nicht identisch sind könnte das gleich als Spam aussortiert werden.

    Leider prüft nicht nur David nicht auf diese Anomalie, vermutlich weil es zu viele schlicht kaputt konfigurierte eMail Systeme gibt die legitime Mails versenden und dennoch über solch eine Prüfung stolpern würden.

  • hallo,

    hatte sowas auch schon beim Kunden.

    Hier lass ich via SPF prüfen ob der Absender der email dessen Mailserver berechtigt ist mails zu senden.

    Wenn nicht gibts ein Softfail.

    Das steht wiederum im Header, den Header analysiere ich und wenn SoftFail im Header steht dann markiert das System die Mail.


    Geht auch mit Exchange etc.



    Grüsse

    Tobit FX12 auf W2016 an VMWare ESXI6.5 Essentials,
    ActiveSync über Sophos SG210 /Reverse Proxy(WAF) - SMTP Proxy TLS

  • BlackShadow SPF hilft Dir bei dem was ikar bei sich sieht nur genau gar nicht weiter, denn die Mails welche da rein kommen wurden ja gar nicht wirklich mit falschem Absender versandt, sie sind nur so beschaffen das sie beim Empfänger unter normalen Umständen auf den ersten Blick optisch den Eindruck erzeugen sollen sie kämen von wo anders.

  • ikar die Einstellung:

    Optionen > Einstellungen > Ansicht > Eintragsliste "eMail-Adresse vollständig anzeigen"


    lässt sich übrigens auch bequem über den David Administrator via:


    System > Benutzer > alle Benutzer auswählen > rechte Maustaste > Eigenschaften > Reiter Benutzerdaten > "david Client konfigurieren" > Ansicht > Eintragsliste "eMail-Adresse vollständig anzeigen"


    einmal fix für alle Nutzer passend einstellen, dann muss man das nicht für jeden einzeln erledigen ;-)