Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
Sicherheitsbedenken: Fake Mail (Mail-Spoofing) oder echt?
Ice-Tee:
Hallo zusammen,
Heute haben wir eine Mail erhalten nach dem Motto "Hallo! Haben Sie bemerkt, dass ich Ihnen von Ihrem Konto aus eine E-Mail geschickt habe? Ja, das bedeutet einfach, dass ich vollständigen Zugriff auf Ihr Gerät habe..."
Ja klar, solche Mails gibt es viele und in den meisten Fällen kann man im Quelltext erkennen, das es sich um Mail-Spoofing handelt.
In diesem Fall deutet aber nichts im Quelltext darauf hin, das die Mail ein Fake ist. Lediglich der Absender ist "X-Mailer: Microsoft Outlook Express 6.00.2900.2180" und wurde in Polen gesendet "gateway3.algrim.pl".
Ist es möglich, das dieses ein echter Hack ist? Und finde so keine Hinweise im Quelltext ...
Hinweis: hotline@unsere-domain.de ist eine Domino-Gruppe
Hier der Header:
Received: from mail.unsere-domain.de ([10.10.10.10])
by mail.unsere-domain.de (IBM Domino Release 9.0.1FP10 HF383)
with ESMTP id 2021012412532520-29767 ;
Sun, 24 Jan 2021 12:53:25 +0100
Received: from gateway3.algrim.pl ([91.196.56.14]:16068)
by mail.unsere-domain.de with esmtp (Exim 4.82_1-5b7a7c0-XX)
(envelope-from <hotline@unsere-domain.de>)
id 1l3dxF-00070b-0Z
for hotline@unsere-domain.de; Sun, 24 Jan 2021 12:53:17 +0100
Message-ID: <62B9D12AAA0A42518AE21999397162B9@URV8NO71M>
From: <hotline@unsere-domain.de>
To: <hotline@unsere-domain.de>
Subject: Dringende Informationen (versichertes Ereignis).
Date: 24 Jan 2021 12:24:13 +0000
MIME-Version: 1.0
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-MIMETrack: Itemize by SMTP Server on Mail3_unsere-domain/unsere-domain/DE(Release 9.0.1FP10
HF383|November 19, 2018) at 24.01.2021 12:53:25,
Serialize by NLNOTES.EXE on Test User/unsere-domain/DE(Release
10.0.1FP5|April 28, 2020) at 24.01.2021 13:44:56,
Serialize complete at 24.01.2021 13:44:56
X-TNEFEvaluated: 1
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0017_01D6F24F.066A79EE"
Danke für Hinweise.
CarstenH:
Definitiv kein Hack. Euer Gateway sollte einerseits keine anonymen Mails von Extern annehmen die behaupten von eurer eigenen Domain zu stammen. Und ihr prüft scheinbar auch nicht, ob der konnektierende Host für die Domain überhaupt zuständig ist, das wären schon zwei Möglichkeiten diese Art Mails zu 99% zu blocken.
Siehe "envelope-from <hotline@unsere-domain.de>".
Euer Gateway scheint btw. von Sophos zu sein, bei denen habe ich das Problem eigentlich nur noch mit angeblichen Postmaster-Mails, weil die von der UTM absichtlich durchgelassen werden und der Hersteller sich da auf RFC beruft....zum Glück hängt bei meinen Kunden i.d.R. noch eine iQ-Suite dahinter mit der man nachfiltern kann.
--- Zitat von: Ice-Tee am 24.01.21 - 13:58:52 ---Received: from gateway3.........pl ([91........14]:16068)
by mail.unsere-domain.de with esmtp (Exim 4.82_1-5b7a7c0-XX)
(envelope-from <hotline@unsere-domain.de>)
id 1l3dxF-00070b-0Z
for hotline@unsere-domain.de; Sun, 24 Jan 2021 12:53:17 +0100
--- Ende Zitat ---
Ice-Tee:
Kein Hack - na hoffentlich.
Und ja, wie nutzen als SMTP-Proxy eine Sophos UTM.
Was mich nachdenklich mach, das im Quellcode folgendes steht:
X-MIMETrack: Itemize by SMTP Server on Mail3_unsere-domain/unsere-domain/DE(Release 9.0.1FP10
HF383|November 19, 2018) at 24.01.2021 12:53:25,
Serialize by NLNOTES.EXE on Test User/unsere-domain/DE(Release
10.0.1FP5|April 28, 2020) at 24.01.2021 13:44:56
Ich habe "Test User/unsere-domain/DE" gegen meinen eigenen Namen ersetzt. Hier steht mein echter Name und auch meine korrekte Notes Version. Es sieht schon sehr echt aus. Und woher will der Angreifer das wissen und wie hat er da meine Daten in den X-MIMETrack schreiben können?
Sehr spooky ...
Danke.
Wolfgang:
Wenn ein Mail tatsächlich von eurem System an eine Mailadresse bei euch gesendet würde, würde es euren Server bzw. Netzwerk ja nicht verlassen.
Wie sollte da eine Adresse oder Domäne aus Polen im Header auftauchen?
Gruß
Wolfgang
Ice-Tee:
Na ja da ist was dran.
Aber folgendes wäre doch denkbar:
1. Ich dachte erst, weil dort etwas von mail3 stand, also unser DMZ iNotes Server.
Wenn er Zugang zum iNotes Kennort erlangt hat (was ich sofort geändert habe), hätte der Angreifer ja alle Möglichkeiten.
Aber das passt ja nicht zum header.
2. Oder aber er hat einen meiner Rechner mit Notes kompromittiert und versendet darüber unbemerkt Mails. Dann wären die ja auch echt. Weiß allerdings nicht, ob das so überhaupt möglich wäre?
3. Er hat einen VPN-Zugang fü unser internes Netz (woher auch immer) und eine Notes Client ... aber dafür müsste er ja mein Kennwort haben. Aber ist wahrscheinlich doch ein wenig angedreht der Gedanke.
Also was bleibt?
Nur ein gutgemachter Fake?
Wie genau kann man sich vor dem Mist schützen? Wie gesagt nutzen wir eine Sophos als SMTP-Proxy.
Danke.
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln