Kurzer Hinweis an IT-Mitarbeiter und Administratoren unter der Leserschaft. Gerade bin ich von einer Stelle darüber informiert worden, dass von borncity.com "SPAM versendet wird" – und es wurde ein Problem vermutet. Ich bin noch am Recherchieren, gehe aber davon aus, dass die Absender-Adressen der SPAM-Mails fake sind. Hier einige Informationen, was ich bisher weiß. Ergänzung: Es ist inzwischen klar, dass eine SPAM-Welle mit unterschiedlichen Absenderadressen von der IP 95.211.93.115 in den Niederlanden ausgeht.
Anzeige
Mitteilung über SPAM-Mails
Es war eine kurze Mitteilung mit dem Betreff "Spam von borncity.com" der IT im Umfeld der Kreishandwerkerschaft Steinfurt Warendorf. Der IT ist bei der Kontrolle der von der Firewall ausgefilterten Mails aufgefallen, dass SPAM-Nachrichten von der Domain borncity.com drunter waren.
Hierbei handelt es sich um Absenderadressen der Art kauflandxy[@]borncity.com, wobei x und y in obigem Muster durch beliebige Buchstaben ersetzt werden. Ich stelle die Info hier mal im Blog ein, falls wer die SPAM-Nachrichten ebenfalls bekommt.
Ist borncity.com der Ursprung?
Ich bin da aktuell noch dran, aber ich betreibe unter borncity.com keinen Mail-Server, sondern nur die WordPress-Blogs. Die Blogs werden zyklisch durchgescannt, der letzte Check auf Probleme verlief ergebnislos.
Anzeige
Ich gehe aktuell davon aus, dass die Absenderadressen schlicht Fake sind, habe mir aber mal die E-Mail-Header der SPAM-Mails von der IT-Abteilung der Einrichtung zur weiteren Analyse angefordert. Ergänzung: Der Header entspricht dem, was nachfolgend von anderen Lesern bzgl. blaustudio.de an Informationen hier in den Kommentaren eingestellt wurde.
Weitere Informationen
Wie ich den nachfolgenden Kommentaren entnehmen konnte, scheint die SPAM-Welle wohl von der IP 95.211.93.115 auszugehen, die nach dieser Seite wohl von LeaseWeb Netherlands B.V. ASN. in Amsterdam in den Niederlanden gehostet wird.
Ein Leser hat dann die Auswertung des Headers von einer anderen SPAM-Mail mit gleichem Inhalt in den nachfolgenden Kommentaren eingestellt. Im header-from findet sich folgendes:
From: kauflandlw@blaustudio.de Header-From: verkauf@qidinin.com Message-ID: e65499511696a43594ada9e0f7dfdcc4@beatdom.com Server IP: 95.211.93.115 HELO: rye.free-eyepro.com
Es ist schon zu erkennen, dass die Angaben nicht passen, sondern im From-Feld eine beliebige Domain mit einem Alias zu einer Mail-Adresse kombiniert wird. Ein weiterer Leser hat noch den folgenden Auszug Auszug vom Gateway bereitgestellt.
FORGED_SENDER (0.3) [verkauf@qidinin.com,kauflandpg@borncity.com] FROM_NEQ_ENVFROM (0) [verkauf@qidinin.com,kauflandpg@borncity.com] DMARC_POLICY_ALLOW (0) [qidinin.com,none] R_DKIM_ALLOW (0) [qidinin.com:s=mta] DKIM_TRACE (0) [qidinin.com:+]
Auch hier wird die SPF-/DMARC-Policy nicht von borncity.com getriggert. Ich hatte diese Einträge auf den all-inkl.com Standardvorgaben belassen, da ich keinen Mail-Server dort betreibe. Daher hab ich jetzt die DNS-Records für SPF und DMARC gemäß diversen Leser-Empfehlungen modifiziert. Auf dieser Webseite gibt es bereits zahlreiche Abuse-Reports zur betreffenden IP-Adresse.
Anzeige
Hab auch ca. 10k an Mails bekommen hauptsächlich aus der IP-Range:
ASN (0) [asn:60781, ipnet:95.211.0.0/16, country:NL]
Borncity steht bei uns nur in "Envelope From"-Header drin
was dann schön auf ne Attacke unter falscher Flagge hindeutet um den Ärger bei unbeteiligten abzuladen
Das wäre dann ein klassischer https://de.wikipedia.org/wiki/Joe-Job
…vielleicht mal den DMARC-Eintrag auf "scharf" stellen?
borncity.com: v=DMARC1; p=none;
Danke, habe jetzt mal p=reject; eingetragen.
wenn möglich, dann mach ihn bitte feurig scharf, so: v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;
Hallo zusammen!
Ähnlich wie Michael kann ich bestätigen, dass es hier mit sehr hoher Wahrscheinlichkeit "False Flags" sind.
Auf verschiedenen meiner Domains schlagen in den letzten Tagen verstärkt Mails nach diesem Schema auf, die von den Blacklisten des Mailproviders geblockt werden:
kauflanddt@blauer-tee.com Server IP-Adresse 95.211.93.115
kauflandut@blauer-tee.com Server IP-Adresse 95.211.93.115
kauflandno@blaustudio.de Server IP-Adresse 95.211.93.115
kauflandnk@blaustudio.de Server IP-Adresse 95.211.93.115
kauflandts@boqaz.com Server IP-Adresse 95.211.93.115
kauflandje@boqaz.com Server IP-Adresse 95.211.93.115
Viele Grüße,
Frank Z.
Sowas ähnliches sehe ich bei uns auch auf der Firewall. Da mehrere Mails von der Adresse "kauflandoi@bfbsus.com". Die wurden auch bei uns abgefangen, da die Absender-IP auf einer Blacklist steht. Scheint also was größeres mit verschiedenen Domänen zu sein.
Dito same bei uns.
Ähnliche Absender Adressen, gleiche Server IP.
Bei den 3 Stück alle die selbe header-from
From: kauflandlw@blaustudio.de
Header-From: verkauf@qidinin.com
Message-ID: e65499511696a43594ada9e0f7dfdcc4@beatdom.com
Server IP: 95.211.93.115
HELO: rye.free-eyepro.com
From: kauflandbd@blauer-tee.com
Header-From: verkauf@qidinin.com
Message-ID: 30f1f3244dad1663d7a078a6d44529f0@beachbaby.net
Server IP: 95.211.93.115
HELO: rye.free-eyepro.com
From: kauflandes@bffk.de
Header-From: verkauf@qidinin.com
Message-ID: a5231cb3559ad672841a04695cb76c93@battlebrothersgame.com
Server IP: 95.211.93.115
HELO: rye.free-eyepro.com
Bevor DMARC, SPF richtig ziehen. v=spf1 mx a ?all
am besten -all dies schränkt schon einbisschen ein
Danke – hab SPF von ?all auf -all umgesetzt
Ja, diesen Spam haben viele Leute erhalten, insbesondere von der IP-Adresse "95.211.93.115". Man findet online auch klare Beschwerden für die Spameinlieferung mit einer angeblichen Absenderadresse nach dem Schema, wie es in dem Artikel genannt wird. Beispielsweise hier:
https://www.abuseipdb.com/check/95.211.93.115?page=2#report (der Report von "2025-03-14 09:03:39")
Wir haben auch dutzende solche Mails im Filter. Ich könnte bei Bedarf auch Header oder das komplette Mail liefern.
Envelope-From und Return-Path enthalten borncity.com
Die DKIM-Signatur lautet auf eine andere Domäne.
"Return-Path"
Völlig bedeutungslos, da man alles als Rücksendeadresse hinterlegen kann. Ebenso das Envelope-From. Da ist es Aufgabe des Empfängers, die Plausibilität/Echtheit zu prüfen. Empfänger kann hier die letzte Person in der Kette sein, oder vorgeschaltete Firewalls, UTMs, Mailserver.
Sprich: Der Domaininhaber kann hier nicht viel machen, außer auf seiner Domain ein: "Ey, das bin ich nicht!" zu hinterlegen.
Ich gehe mit dir einig, dass der Return-Path bedeutungslos ist. Nicht aber, dass die DKIM-Signatur von einer andere Domäne erstellt wurde. Dieser Domaininhaber müsste das "Reject" gesetzt haben.
Somit ist das hier leider ebenfalls bedeutungslos:
borncity.com: v=DMARC1; p=reject;
Zur info die SPF-/DMARC-Policy wird nicht die von borncity getriggert:
Auszug vom Gateway:
FORGED_SENDER (0.3) [verkauf@qidinin.com,kauflandpg@borncity.com]
FROM_NEQ_ENVFROM (0) [verkauf@qidinin.com,kauflandpg@borncity.com]
DMARC_POLICY_ALLOW (0) [qidinin.com,none]
R_DKIM_ALLOW (0) [qidinin.com:s=mta]
DKIM_TRACE (0) [qidinin.com:+]
neue Mails mit borncity werden nun von gesendet:
ASN (0) [asn:9009, ipnet:194.53.136.0/24, country:RO]
Ich würde auch für die einzelnen Domains, sofern bekannt, Abuse Meldungen bei den jeweiligen Registraren machen, die blocken dann die Domains ggf.
In letzter Zeit kommen die Mails von "95.211.41.98", siehe https://www.abuseipdb.com/check/95.211.41.98 (z.B. der Eintrag "2025-03-14 14:12:30")
Schlägt hier auch schon seit heute morgen kurz vor 7:00 Uhr auf, aber kam bisher keine durch den Filter.
Ist immer kauflandxy@domain von verschiedenen IP-Adressen, Domain ist nicht nur @borncity.com
https://nowtransfer.de/008f92dc2e3b
Für borncity. de vielleicht auch mal SPF anpassen und einen DMARC-Eintrag setzen. SPF ist ziemlich lax, und DMARC ist nicht gesetzt.
Das gleiche am besten auch für borncity.eu.
SPF und DMARC sind für *alle* Domains sinnvoll, selbst für geparkte Domains.
Auf borncity.de habe ich keinen Einfluss, da das von 1&1 verwaltet wird.
Na dann mal dort beschweren bzw. freundlich drauf hinweisen :)
Evtl. geht es so oder ähnlich?
https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/spam-versand-vermeiden-mit-spf-record/
https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/dmarc-record-fuer-eine-domain-konfigurieren/
Danke, aber ich habe keine IONOS-Domain, borncity.de gehört zu einem uralten 1&1 DSL-Vertrag, wo ich keinen Zugriff auf die Domain-Einstellungen habe. Und der Support gibt meist an "können wir nichts ändern, ziehen Sie zu IONOS um", wenn ich was bemängele. Umziehen möchte ich nicht.
Ok, das ist aber unschön. Dann musst du damit rechnen, dass dort früher oder später das gleiche Problem aufläuft.
damit muss ich sowieso rechnen, da DKIM der SPAM-Mail nicht gegen borncity.com geprüft werden konnte, sonder was von einer anderen Seite genommen wurde.
Das hat mit borncity.com absolut nichts zu tun (war mir zufällig auch aufgefallen), da könnte wie bei uns z.B. auch muellermilch.de stehen oder aldi.de – genau das haben wir auch bei 2 Firmen massenhaft im E-Mail-Analyse-Eingang – es wird immer ätzender, die lieben Mitbürger im Vielvölkerstaat toben sich aus: es fängt z.B. mit einem deutschen Wort an – hier "kaufland" + "Zufallsbuchstaben" @ (10-20 mal, tagelang..) und im Betreff steht auch ein immer wieder neuer Text, umformuliert der Art "haben sie meine E-Mail gelesen" …mir fallen witzerweise diese doofen Texte sofort auf und werden global markiert, da könnte eine "KI", wenn es sie denn gäbe, endlich mal zeigen, was sie kann, statt mir den Arbeitsplatz vermeintlich wegzunehmen – was sie nie können wird (träumt weiter). MfG
Jo von diesem Kasper landen auch andauernd Spam-Mails in unserem Netz, ist glaube ich jemand aus China. Hab mehrfach bei Providern Abuse-Reports abgesetzt, hat auch immer nur kurzzeitig was gebracht, weil der von Anbieter zu Anbieter hüpft. Zuletzt habe ich sogar versucht bei der Bundesnetzagentur was zu erreichen. Mein Anliegen wurde abgelehnt, da in der Spam-Mail keine Telefonnummer hinterlegt war und deshalb könnte man dem nicht weiter nachgehen. Welcome to Germany.