Meine Mail Postfächer werden auch in den letzten Wochen mit Sparkasse, Raifeisenbank, DHL Phishingmails / Spam zugemüllt. Bin auch immer artig via Webmail (Horde) am reporten und wundere mich genauso, dass das nicht mal irgendwann zieht.

Ironisch: Sie können ihn ja einmal abschalten und schauen, was dann für eine Flut kommt.

Wenn wir nicht gefilterten SPAM gemeldet bekommen, versuchen wir natürlich die Filter entsprechend zu verbessern. Wenn er SPAM sehr gut gemacht ist, ist das leider ein Katz und Maus Spiel. Wir versuchen natürlich weiterhin da Verbesserungen zu erreichen. Können sie einmal einen Header einer solchen E-Mail hier (um die eigenen Adressen bereinigt) hier posten?

Mit freundlichen Grüßen

Nils Dornblut

Hallo Nils,

Diese Sparkassenpest betrifft mich auch. Hier ein Mailheader:

Delivery-date: Sat, 06 Nov 2021 03:24:09 +0100
Received: from [80.67.18.11] (helo=mx11.ispgateway.de)
by mailcluster2-2.ispgateway.de with esmtps (TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.94.2)
(envelope-from <[email protected]>)
id 1mjBNJ-0008GG-DI; Sat, 06 Nov 2021 03:24:09 +0100
Return-path: <[email protected]>
X-Envelope-to: MEINE EMAIL
Received: from [103.69.126.182] (helo=mail.municipality.gov.np)
by mx11.ispgateway.de with esmtps (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
(Exim 4.94.2)
(envelope-from <[email protected]>)
id 1mjBNI-0005fL-KS
for MEINE EMAIL; Sat, 06 Nov 2021 03:24:09 +0100
Received: from mail.municipality.gov.np (localhost [127.0.0.1])
by mail.municipality.gov.np (Postfix) with ESMTP id 4HmKrh1zZgz5VFMR
for <MEINE EMAIL>; Sat, 6 Nov 2021 07:28:00 +0545 (+0545)
Authentication-Results: mail.municipality.gov.np (amavisd-new); dkim=pass
reason="pass (just generated, assumed good)"
header.d=mailadmin.municipality.gov.np
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=
mailadmin.municipality.gov.np; h=x-mailer:to:date:message-id
:subject:mime-version:content-type:content-transfer-encoding
:from; s=dkim; t=1636162979; x=1638754980; bh=cWx4VhDug9wZZy66N/
2U7STUb5aj6qjHmobH3ohMzu4=; b=dfGBfANiVzKHhY8WmPLyUwlXXTvJE+6EnA
WufgeWhx5+c7qzCfNHbsIS4jAl0bQGise5uUnhe1rrYLRlw3Ns Z/3wQgrkLgNduR
us/FegFQZFKvf4+qi50/PbBb7Q0L3pSAb7+WtaK1Y05+EUqvnZf2lRaRoJVWoUpl
cue1qzhIc=
X-Virus-Scanned: amavisd-new at mail.municipality.gov.np
Received: from mail.municipality.gov.np ([127.0.0.1])
by mail.municipality.gov.np (mail.municipality.gov.np [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP id 5MuhxB0ZO0Sm for <MEINE EMAIL>;
Sat, 6 Nov 2021 07:27:59 +0545 (+0545)
Received: from [127.0.0.1] (unknown [87.116.190.174])
by mail.municipality.gov.np (Postfix) with ESMTPSA id 4HmKQC5rwsz5gJGH
for <MEINE EMAIL>; Sat, 6 Nov 2021 07:08:31 +0545 (+0545)
From: "Sparkasse" <[email protected]>
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset=UTF-8
Mime-Version: 1.0 (1.0)
Subject: [SPAM][Sender] Wichtige Mitteilung
Message-Id: <[email protected]>
Date: Fri, 5 Nov 2021 18:23:31 -0700
To: MEINE EMAIL
X-Mailer: iPhone Mail (13E238)
X-Received-SPF: pass ( mx11.ispgateway.de: domain of kaudenamun.gov.np designates 103.69.126.182 as permitted sender )
X-DKIM: DKIM passed: mailadmin.municipality.gov.np (invalid), but signature is invalid.
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
spamfilter23.ispgateway.de
X-Spam-Level:
X-Spam-Status: No, hits=0.0 required=9999.0 tests=BAYES_50 autolearn=disabled
version=3.4.0
X-Spam-CMAETAG: v=2.2 cv=e6t2ceh/ c=1 sm=1 tr=0
a=gwXnkNJ5zGr4WpeiL6nyuQ==:17 a=IkcTkHD0fZMA:10 a=vIxV3rELxO4A:10
a=E2DIB_NtAAAA:8 a=dDVoubgXAAAA:8 a=jmwd8cfD5UQHUnbIWj8A:9
a=BXFcJaqe_NfxfzIP:21 a=frz4AuCg-hUA:10 a=_W_S_7VecoQA:10
a=QEXdDO2ut3YA:10 a=JyVIWLulXEHBfb_g_MZE:22 a=2tR1ZK7CIDcVdsBNTDAx:22
X-Spam-CMAECATEGORY:
X-Spam-CMAESUBCATEGORY:
X-Spam-CMAESCORE:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http:/=
/www.w3.org/TR/html4/loose.dtd">
<html lang=3D"de">

usw usw
Ich fürchte nur, damit kann man nicht viel anfangen. Sowohl die Absenderadressen als auch die Routingpfade variieren ständig,
und der Header ist wahrscheinlich sowieso gefakt. Das [SPAM][Sender] im Subject stammt von mir; ich habe inzwischen einen Mailfilter
konfiguriert, der alles killt, was ein "Sparkasse" im Absendernamen hat.

Viele Grüße
Ungeduld

Gleiches bei mir und meiner Frau. DF kann das scheinbar nicht filtern. Dabei ist im From Header immer eine Adresse die keiner Sparkasse zuzuordnen ist. Man könnte ja mal eine Liste der Sparkassen-Domains erstellen (oder von den Sparkassen erfragen). Und wenn eine Mail im Subject das Wort "Sparkasse" im Text-Teil hat und nicht im Domainteil eine echte Sparkasse steht, rausschmeissen. Aber kann ja nicht sein, dass da ein unwissender Kunde drauf kommen muß bevor die Spam-Experten das kapieren, oder?

Wenn man die Domains nicht hat, dann notfalls Crawlen. Wenn auf der Webseite hinter der Domain (zB aus dem oberen Beispiel kaudenamun.gov.np) das Wort "Sparkasse" nicht auftaucht, dann raus damit. Oder zum Start mal alle Absender-Top-Level-Domains rauswerfen die nicht .de oder .at sind (wie im beispiel .np). Woanders gibt es sowieso keine Sparkassen. Es könnte so einfach sein...

Noch eine Idee: Die Kolleg*innen von DF könnten doch die Regeln angucken, die Admins in den letzten Tagen so anlegen. Zumindest als Indikator, was da gerade los ist...

Bitte nicht, "meine" Regeln gehen dF nur dann etwas an, wenn ich den Zugriff freigebe. Es gibt ja nicht nur Spam Regeln...

Ich verstehe das, aber Dir ist bewusst, dass vermutlich alle Admins der DF deine Regeln jederzeit sehen können, ja? Wenn das ein Problem ist, solltest Du vermutlich eher einen eigenen Mailserver aufsetzen (hab gelesen, dass mailcow ganz gut sein soll).

Grüße,

Kukulkan

Also seit gut einer Woche ist die Sparkasse auch bei uns auf allen DF Paketen omnipräsent. Dafür hab ich lange nix mehr von Alexandr gehört. Gehts dem eigentlich noch gut?
Entschuldigung für den Sarkasmus.

Bei uns ging der Sparkassen-Phishing-Tango am 7. September schon los. Seither sind alleine auf meinem eigenen privaten Account ca. 40 solcher Mails eingangen...

Stimmt, Alexandr ist seit einer Weile still. Muß man sich Sorgen um Ihn machen?

Du hast interessante Ansichten über die Funktionen und Befugnisse eines Systemadministrators.
Besser wir vertiefen das nicht.

Wer Zugriff auf die DF-Systeme hat (zB VM-Konsole, SSH etc) kann auf die Konfig-Datenbank des Systems zugreifen. Und damit auch auf die Konfig der Regeln. Ohne die Details im Aufbau zu kennen, werden beispielsweise Admins welche Root-Zugriff auf das Management-GUI-System haben auch diese Daten sehen können, wenn sie denn wollen. Was sie "dürfen" steht auf einem anderen Blatt Papier...

Wenn Du glaubst, dass man ein System konfigurieren und einrichten kann ohne auf die dort liegenden Daten zugreifen zu können, dann sind deine Ansichten interessant. Es gibt reihenweise Tools und Ansätze, den Zugriff von System-Admins zu reduzieren. Aber letztlich kann man nur Überwachen (zB SSH-Sessions mitschreiben bzw den VM-Host protokollieren lassen). Verhindern geht letztlich nicht, denn sonst kann der Systemadmin seinen Job nicht mehr machen. Wie will er denn ein Backup einrichten auf Daten, auf die er nicht zugreifen kann? Und wenn er das doch schafft, kann er auf das Backup zugreifen. Denn die Zugangsdaten für den Speicherort muß er kennen. Und so weiter und so weiter...

Ein Lösungsabieter listet das ganz nett auf: https://www.ekransystem.com/en/blog/...administrators Schau dort mal den Abschnitt "How sysadmins can abuse their privileges" an. Und darunter die Lösungen (Monitoring, also wie erwähnt mitschreiben und protokollieren lassen). Aber das wird selten so umgesetzt und ist nie 100% sicher. Letztlich muß man dem/der Admin (bzw der DomainFactory) trauen oder es selber machen.

Bin mir nicht sicher, aber ich meine, dass ich vor ca. zwei Jahren mal mit den Regeln ein Thema hatte und sogar der Supporter am Telefon auf meine Regeln gucken konnte. Also in sofern...

Selbst wenn Sie es können sollten, heisst das nicht, dass sie es tun. Seit der "Datenpanne" ist dF vermutlich etwas vorsichtiger mit den Zugriffen. Aber ja, es ist eine US-Konzenrn Mutter und ich ziehe seit Jahren meine Projekte hier Stück für Stück weg. Das letzte wird vermutlich Mitte 2022 weg ziehen, vielleicht stellst Du Deinen Wunsch dann noch einmal?

Das kann der Support nur wenn er sich vorher auf deinen Account aufgeschaltet hat.
Aufschalten kann er sich nur wenn du diesen Zugriff mit deinem Telefonpasswort autorisierst.
Ansonsten sieht der Support gar nix.

Über das Tun & Lassen von Sysadmins spekuliere ich nicht.
PS: Man kann sehr wohl Backups von Daten anlegen auf welche man physisch keinen Zugriff hat und diesen auch gar nicht braucht. Man klont statt dessen einfach den gesamten Datenträger inkl. Verschlüsselung oder eben die VM 😉

Okay... 🤷‍♂️

Aber nicht gerade effizient 😉