{"id":271086,"date":"2022-07-30T13:05:36","date_gmt":"2022-07-30T11:05:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271086"},"modified":"2022-07-30T13:25:08","modified_gmt":"2022-07-30T11:25:08","slug":"ionos-smtpauth-fail-wenn-dein-ionos-mail-server-fr-spam-missbraucht-wird","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/30\/ionos-smtpauth-fail-wenn-dein-ionos-mail-server-fr-spam-missbraucht-wird\/","title":{"rendered":"IONOS SMTPAUTH Fail: Wenn dein IONOS-Mail-Server scheinbar f&uuml;r SPAM missbraucht wird"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\"\/>Frank Carius hat mich die Woche auf Twitter auf einen neuen Blog-Beitrag von ihm aufmerksam gemacht. Im Beitrag <a href=\"https:\/\/www.msxfaq.de\/spam\/ionos_smtpauth_fail.htm\">IONOS SMTPAUTH Fail<\/a> beschreibt Frank, wie seine Absenderadresse <em>carius.de <\/em>in einer Spam-Welle missbraucht wurde. Bei der Analyse stie\u00df Frank darauf, dass eine schwache Konfiguration bei seinem Provider 1&amp;1\/IONOS existiert. Jeder mit g\u00fcltigem 1&amp;1-Mail-Konto kann beliebige Absenderadressen in Mails angeben, also unter fremden Segeln unterwegs sein. Carius sieht eine L\u00fccke in der Mail-Sicherheit, w\u00e4hrend das f\u00fcr IONOS ein \"works-as-expected\" ist. <\/p>\n<p><!--more--><\/p>\n<h2>Der Stein des Ansto\u00dfes<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/49f5028f2b04445eaa6a1b2755c85140\" width=\"1\" height=\"1\"\/>Als Frank Carius eines Tages sein E-Mail-Konto in Outlook inspizierte, wurde er regelrecht von einer Welle an Mails erschlagen, die nicht an den Empf\u00e4nger zugestellt werden konnten. Nachfolgender Screenshot zeigt die <em>Mail delivery failded: returning message to sender<\/em> Eintr\u00e4ge in Outlook. <\/p>\n<p><img decoding=\"async\" title=\"Mail unzustellbar-Fehler \" alt=\"Mail unzustellbar-Fehler \" src=\"https:\/\/i.imgur.com\/VD1L0Mb.png\"\/><br \/>Mail unzustellbar-Fehler, Quelle: Carius<\/p>\n<p>Wenn man sieht, dass da massenhaft Mails als unzustellbar zur\u00fcckkommen, und die Zeitstempel sieht, k\u00f6nnte man auf die Idee kommen: \"Mein Postfach wurde gehackt und ein Spammer verschickt dar\u00fcber Mails\" &#8211; jedenfalls solange man selbst keine Massen-E-Mails \u00fcber sein Postfach verschickt. Frank Carius war sich sicher, dass er dies nicht getan habe und begann mit der Analyse, was wohl passiert sein k\u00f6nnte. Schnell war klar, dass er Opfer einer <a href=\"https:\/\/www.msxfaq.de\/spam\/ndrspamming.htm\" target=\"_blank\" rel=\"noopener\">NDR-Backscatter-Geschichte<\/a> geworden ist. Microsoft erkl\u00e4rt es <a href=\"https:\/\/docs.microsoft.com\/de-de\/microsoft-365\/security\/office-365-security\/backscatter-messages-and-eop?view=o365-worldwide\" target=\"_blank\" rel=\"noopener\">hier<\/a> genauer: <\/p>\n<blockquote>\n<p><em>Backscatter<\/em> sind Unzustellbarkeitsberichte (auch als Unzustellbarkeitsberichte oder Unzustellbarkeitsnachrichten bezeichnet), die Sie f\u00fcr Nachrichten erhalten, die Sie nicht gesendet haben. Der R\u00fcckl\u00e4ufer wird durch Spammer verursacht, die in ihren Nachrichten die Absenderadresse (auch als <code>5322.From<\/code> P2-Adresse bezeichnet) f\u00e4lschen (Spoofing). Spammer verwenden h\u00e4ufig echte E-Mail-Adressen als Absenderadresse, um ihren Nachrichten Glaubw\u00fcrdigkeit zu verleihen. Wenn Spam an einen nicht vorhandenen Empf\u00e4nger gesendet wird, wird der Ziel-E-Mail-Server im Wesentlichen dazu verleitet, die unzustellbare Nachricht in einem NDR an den angegebenen Absender in der Mail zur\u00fcckzuschicken.<\/p>\n<\/blockquote>\n<p>Der Spammer hatte wohl Mails mit der Antworten-Adresse carius.de verschickt &#8211; und jede unzustellbare Mail wurde dann bei Frank Carius in dessen Postfach gespiegelt. Bei dieser Gelegenheit erhielt Frank Carius von den Empf\u00e4ngern, die existieren, noch eine Reihe weiterer R\u00fcckl\u00e4ufer &#8211; beispielsweise \"Out of Office\"-Abwesenheitsmeldungen mit Informationen, die Dritte eher nichts angehen. Und es gab einen Empf\u00e4nger, der auf die SPAM-Mail hereinfiel und nachfragte, wie das Kennwort zu \u00e4ndern sei. <\/p>\n<h2>Die Analyse und unsch\u00f6ne Erkenntnisse<\/h2>\n<p>Frank Carius analysierte das Ganze und kam zum Schluss, dass die Nachrichten von \"Kundenserver.de\" erstellt wurden. Das war auch der Server, den Carius bei 1&amp;1 f\u00fcr seinen Webserver, die Mail-Server seiner Domain carius.de verwendete. Die Vermutung eines Hacks best\u00e4tigte sich gl\u00fccklicherweise nicht. <\/p>\n<p><img decoding=\"async\" title=\"Backscatter Mail Header\" alt=\"Backscatter Mail Header\" src=\"https:\/\/i.imgur.com\/FNQjBCB.png\"\/><br \/>Backscatter Mail Header, Quelle Carius.de<\/p>\n<p>Da es immer hei\u00dft \"schaut euch den Mail-Header an\", denn Absenderadressen kann der Spammer f\u00e4lschen, hat Frank Carius einen Blick in die Details geworfen und obigen Screenshot ver\u00f6ffentlicht. Sieht wirklich so aus, als ob die Mail von carius.de verschickt worden w\u00e4re. Aber die <em>received<\/em>-Zeile des Servers gab eine IP-Adresse an, die Carius bei Vodafone verortete. <\/p>\n<p>Frank Carius hat das Ganze im Beitrag <a href=\"https:\/\/www.msxfaq.de\/spam\/ionos_smtpauth_fail.htm\" target=\"_blank\" rel=\"noopener\">IONOS SMTPAUTH Fail<\/a> dokumentiert. Sein Versuch, bei Vodafone mit einer Abuse-Meldung weiter zu kommen, lief ins Leere. Dann der Versuch, per Telefon bei Vodafone jemanden zu erreichen, um weiter zu kommen, scheitete auch. Ein Telefon-Bot versucht die Anrufe zu kanalisieren und verlangt dann eine Kundennummer, die Carius aber nicht hat (ist ja kein Kunde).<\/p>\n<blockquote>\n<p>Erinnert mich an meinen Versuch, ein Guthaben auf einer wegen l\u00e4ngerer Nichtbenutzung gesperrten Vodafone Prepaid SIM-Karte erstattet zu bekommen. Ich habe keine Kundennummer, ohne diese l\u00e4sst der Bot einen aber ins Leer laufen. Das ist ein Saftladen, wo Du als Kunde bei Problemen verhungerst. Die Prepaid SIM-Karte stammte noch von Mannesmann, die ja von Vodafone feindlich \u00fcbernommen wurden. <\/p>\n<\/blockquote>\n<p>Nachdem Carius bei Vodafone nicht weiter kam, versuchte er noch bei IONOS nachzuforschen, warum die Mails angenommen wurden, obwohl sie offenbar nicht von <em>carius.de<\/em> stammen konnten. In seinem Beitrag <a href=\"https:\/\/www.msxfaq.de\/spam\/ionos_smtpauth_fail.htm\" target=\"_blank\" rel=\"noopener\">IONOS SMTPAUTH Fail<\/a> dokumentiert er dann einen Hammer. Wie es sich darstellt, existiert bei der Konfiguration des IONOS 1&amp;1-Mailservers eine L\u00fccke. Denn jeder authentifizierte Benutzer eines 1&amp;1-Mail-Kontos kann eine beliebige Absender-Adresse in Mails verwenden. Das umfasst auch Absenderadressen aus einer Domain, die nicht zum eigenen Benutzer oder zum Vertrag passt. <\/p>\n<p>Damit stand fest: Carius war nicht gehackt und das Mail-Konto nicht von einem Spammer missbraucht worden. Vielmehr hat Carius die Schwachstelle in der Konfigurierung bei IONOS 1&amp;1 verortet. Der Kontakt mit dem 1&amp;1-Security-Team war dann aber doch etwas ern\u00fcchternd. Das beschriebene Verhalten wurde als \"works-as-expected\" bezeichnet, wie man nachfolgender Mail entnehmen kann. <\/p>\n<p><img decoding=\"async\" title=\"Antwort von IONOS\" alt=\"Antwort von IONOS\" src=\"https:\/\/i.imgur.com\/SUJpcUY.png\"\/><br \/>Antwort von IONOS, Quelle: Carius<\/p>\n<p>Ich habe hier nur einen kurzen Abriss dessen, was Frank herausgefunden hat, dokumentiert. Den Spammer, der wohl einen MaxBulk-Mailer verwendet, konnte er nicht identifizieren. Carius will aus den gewonnenen Erkenntnissen heraus wohl seine Domain bei 1&amp;1\/IONOS zu einem anderen Anbieter verlagern. Die Details lassen sich bei Frank Carius im Beitrag <a href=\"https:\/\/www.msxfaq.de\/spam\/ionos_smtpauth_fail.htm\" target=\"_blank\" rel=\"noopener\">IONOS SMTPAUTH Fail<\/a> nachlesen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Frank Carius hat mich die Woche auf Twitter auf einen neuen Blog-Beitrag von ihm aufmerksam gemacht. Im Beitrag IONOS SMTPAUTH Fail beschreibt Frank, wie seine Absenderadresse carius.de in einer Spam-Welle missbraucht wurde. Bei der Analyse stie\u00df Frank darauf, dass eine &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/07\/30\/ionos-smtpauth-fail-wenn-dein-ionos-mail-server-fr-spam-missbraucht-wird\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4353,4328],"class_list":["post-271086","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271086","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271086"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271086\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}