Sicherheitsbedenken: Fake Mail (Mail-Spoofing) oder echt?

[Ice-Tee]

Hallo zusammen,

Heute haben wir eine Mail erhalten nach dem Motto "Hallo! Haben Sie bemerkt, dass ich Ihnen von Ihrem Konto aus eine E-Mail geschickt habe?  Ja, das bedeutet einfach, dass ich vollständigen Zugriff auf Ihr Gerät habe..."

Ja klar, solche Mails gibt es viele und in den meisten Fällen kann man im Quelltext erkennen, das es sich um Mail-Spoofing handelt.

In diesem Fall deutet aber nichts im Quelltext darauf hin, das die Mail ein Fake ist. Lediglich der Absender ist "X-Mailer: Microsoft Outlook Express 6.00.2900.2180" und wurde in Polen gesendet "gateway3.algrim.pl".

Ist es möglich, das dieses ein echter Hack ist? Und finde so keine Hinweise im Quelltext ...
Hinweis: hotline@unsere-domain.de ist eine Domino-Gruppe

Hier der Header:
Received: from mail.unsere-domain.de ([10.10.10.10])
          by mail.unsere-domain.de (IBM Domino Release 9.0.1FP10 HF383)
          with ESMTP id 2021012412532520-29767 ;
          Sun, 24 Jan 2021 12:53:25 +0100
Received: from gateway3.algrim.pl ([91.196.56.14]:16068)
       by mail.unsere-domain.de with esmtp (Exim 4.82_1-5b7a7c0-XX)
       (envelope-from <hotline@unsere-domain.de>)
       id 1l3dxF-00070b-0Z
       for hotline@unsere-domain.de; Sun, 24 Jan 2021 12:53:17 +0100
Message-ID: <62B9D12AAA0A42518AE21999397162B9@URV8NO71M>
From: <hotline@unsere-domain.de>
To: <hotline@unsere-domain.de>
Subject: Dringende Informationen (versichertes Ereignis).
Date: 24 Jan 2021 12:24:13 +0000
MIME-Version: 1.0
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-MIMETrack: Itemize by SMTP Server on Mail3_unsere-domain/unsere-domain/DE(Release 9.0.1FP10
 HF383|November 19, 2018) at 24.01.2021 12:53:25,
       Serialize by NLNOTES.EXE on Test User/unsere-domain/DE(Release
 10.0.1FP5|April 28, 2020) at 24.01.2021 13:44:56,
       Serialize complete at 24.01.2021 13:44:56
X-TNEFEvaluated: 1
Content-Type: multipart/alternative;
       boundary="----=_NextPart_000_0017_01D6F24F.066A79EE"

Danke für Hinweise.

[CarstenH]

Definitiv kein Hack. Euer Gateway sollte einerseits keine anonymen Mails von Extern annehmen die behaupten von eurer eigenen Domain zu stammen. Und ihr prüft scheinbar auch nicht, ob der konnektierende Host für die Domain überhaupt zuständig ist, das wären schon zwei Möglichkeiten diese Art Mails zu 99% zu blocken.
Siehe "envelope-from <hotline@unsere-domain.de>".
Euer Gateway scheint btw. von Sophos zu sein, bei denen habe ich das Problem eigentlich nur noch mit angeblichen Postmaster-Mails, weil die von der UTM absichtlich durchgelassen werden und der Hersteller sich da auf RFC beruft....zum Glück hängt bei meinen Kunden i.d.R. noch eine iQ-Suite dahinter mit der man nachfiltern kann.

Received: from gateway3.........pl ([91........14]:16068)
       by mail.unsere-domain.de with esmtp (Exim 4.82_1-5b7a7c0-XX)
       (envelope-from <hotline@unsere-domain.de>)
       id 1l3dxF-00070b-0Z
       for hotline@unsere-domain.de; Sun, 24 Jan 2021 12:53:17 +0100

[Ice-Tee]

Kein Hack - na hoffentlich.
Und ja, wie nutzen als SMTP-Proxy eine Sophos UTM.
Was mich nachdenklich mach, das im Quellcode folgendes steht:

X-MIMETrack: Itemize by SMTP Server on Mail3_unsere-domain/unsere-domain/DE(Release 9.0.1FP10
 HF383|November 19, 2018) at 24.01.2021 12:53:25,
       Serialize by NLNOTES.EXE on Test User/unsere-domain/DE(Release
 10.0.1FP5|April 28, 2020) at 24.01.2021 13:44:56

Ich habe "Test User/unsere-domain/DE" gegen meinen eigenen Namen ersetzt. Hier steht mein echter Name und auch meine korrekte Notes Version. Es sieht schon sehr echt aus. Und woher will der Angreifer das wissen und wie hat er da meine Daten in den X-MIMETrack schreiben können?
Sehr spooky ...

Danke.

[Wolfgang]

Wenn ein Mail tatsächlich von eurem System an eine Mailadresse bei euch gesendet würde, würde es euren Server bzw. Netzwerk ja nicht verlassen.
Wie sollte da eine Adresse oder Domäne aus Polen im Header auftauchen?

Gruß
Wolfgang

[Ice-Tee]

Na ja da ist was dran.
Aber folgendes wäre doch denkbar:
1. Ich dachte erst, weil dort etwas von mail3 stand, also unser DMZ iNotes Server.
Wenn er Zugang zum iNotes Kennort erlangt hat (was ich sofort geändert habe), hätte der Angreifer ja alle Möglichkeiten.
Aber das passt ja nicht zum header.
2. Oder aber er hat einen meiner Rechner mit Notes kompromittiert und versendet darüber unbemerkt Mails. Dann wären die ja auch echt. Weiß allerdings nicht, ob das so überhaupt möglich wäre?
3. Er hat einen VPN-Zugang fü unser internes Netz (woher auch immer) und eine Notes Client ... aber dafür müsste er ja mein Kennwort haben. Aber ist wahrscheinlich doch ein wenig angedreht der Gedanke.

Also was bleibt?
Nur ein gutgemachter Fake?
Wie genau kann man sich vor dem Mist schützen? Wie gesagt nutzen wir eine Sophos als SMTP-Proxy.

Danke.

[CarstenH]

Itemize ist das Erzeugen der Felder ("Items") in der Mail, das macht bei eingehenden Mails der erste Domino, bei IMAP/POP3 dein Client.
Das Itemize wird im Dokument gespeichert und bleibt Bestandteil des Headers.

Serialize ist das Umwandeln der o.g. Items wieder zurück in ein darstellbares Format, das macht üblicherweise der Client, mit dem du die Mail gerade geöffnet hast.
Da das Darstellen der Mail nur temporär stattfindet wird es nur während des Betrachtens des Headers angezeigt und steht nirgendwo in der Mail selbst.

Beweis 1: Schau dir die Mail mit einem anderen Client an, z.B. iNotes zeigt dann sowas wie X-MIMETrack: Serialize by HTTP Server on Domino/Server/ORG/DE (Release 11.0.1)
Beweis 2: Schau dir den Mailheader genauer an - Serialize complete at - die Uhrzeit ist immer aktuell jetzt gerade wenn du die Mail anschaust

Der Spoofer hat rein gar nichts außer einer Mailadresse und streut diese Art Mails zu Milliarden in die Welt. Bei uns sind heute auch einige gelandet (allerdings mit der Postmasteradresse einer unserer Domains, alle anderen wurden brav abgelehnt).

No Panic - das nämlich ist genau das, was der Verursacher erreichen will =)
Gut gemacht ist der Fake auch nicht wirklich, da gibt's andere Kaliber
Wie man sich in erster Linie schützen kann habe ich im ersten Post schon beschrieben.

Carsten

[Ice-Tee]

Dankeschön. Ich gelobe Besserung und beschäftige mich nun konkret mit dem Thema um das bestmöglich zu unterbinden.

[Ice-Tee]

Unter der Sophos UTM musste lediglich ein Eintrag unter "Envelope Sender" Blacklist hinzugefügt werden in der Form:
*@unsere-domain.de

Damit ist der Spuk vorbei und alle Mails von extern mit unserer Domain werden abgelehnt:
Abgelehnt: Absender-Blacklist (wimpy62@unsere-domain.de blacklisted)

Dabei habe ich in den Logs gerade noch festgestellt, das wir gerade wohl unter Beschuß stehen.
Ca. 10 -30 Spoofing-Mails pro Minute.

Na ja, die knallen ja jetzt vor die Wand ...

Danke noch mal.
   

[michael-r]

Wir prüfen in unseren Gateway auf die einliefernden Systeme, wenn es keins von uns ist, und der Sender eine interne E-Mail Adresse hat, wird es abgelehnt.
Die meisten Daten wie die Angabe "ich habe dein Passwort", können wohl auch aus leaks stammen oder sind erfunden.

Schön sind auch noch die Mails mit "mein_Name@firma.de"<spammer@wasauchimmer.doamain>.
In der Mail, wenn man keine Details anzeigen lässt, sieht es dann mal abgesehen, dass die Mailadresse da steht, vielleicht wie eine echte Mail aus.

Unschön ist es ja auch noch wenn solche Mails gefakt bei einem Kunden oder Interessenten von der Firma aufschlagen, ohne das diese wirklich von da geschickt wurden.

MFG Michael