![\"Mail\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2016\/07\/Mail.jpg\" "\\"Gmail\\"")
In den letzten Wochen scheint es eine Phishing-Welle gegeben zu haben, bei der in den E-Mails die Absenderadresse @emails.dkb.de, die auf die Deutsche Kreditbank AG (DKB) hinweist, verwendet wurde.\u00a0Ein Leser hat mich darauf hingewiesen, dass die DKB durch einen Konfigurationsfehler die DMARC-Pr\u00fcfung ihrer Domain versehentlich wohl abgeschaltet hat. Ich stelle den Sachverhalt mal hier zur Information im Blog ein.<\/p>\n
<\/p>\n
Zum Sachverhalt so viel: Es war eine Phishing-Mail, die Anfang Oktober 2024 sehr oft bei Jan im\u00a0Unternehmen eingetrudelt ist. Diese Phishing-Mail seit gr\u00f6\u00dftenteils vom eingesetzten Spam-Schutz abgefangen worden, schrieb der Leser.<\/p>\n
Was den Blog-Leser jedoch wunderte, in der Phishing-Mail wurde die Absenderadresse @emails.dkb.de verwendet. Daher ist Jan der Frage, warum k\u00f6nnen die Phisher diese Adresse als Absender benutzen k\u00f6nnen, nachgegangen. Die erste Mail endete mit: \"Du k\u00f6nntest einen interessanten Artikel dazu schreiben, denn die DKB hat ihre Hausaufgaben in Sachen E-Mail-Sicherheit nicht gemacht (DMARC deaktiviert).\"<\/p>\n
Jan hat mir \u00fcber einen Share dann die Kopfdaten der Mail sowie seine Analyse zukommen lassen. Seine Antwort: Im Gegensatz zum Branchenstandard bei Banken hat die DKB zwar einen DMARC-Datensatz f\u00fcr die Domain dkb.de<\/em> definiert. Aber die Policy f\u00fcr diesen Eintrag steht auf \"none\", womit DMARC effektiv ausgeschaltet ist. Hier der DMARC-Datensatz der Domain dkb.de, <\/em>den Jan mir zugeschickt hat:<\/p>\n Das Problem sieht man in diesem Header:<\/p>\n Dort steht, dass SPF und DMARC-Pr\u00fcfung fehlgeschlagen sind. Durch die deaktivierte Policy wurde aber die Mail auf \"hse.action=pass\" gestellt. Nachfolgend ist noch der komplette Header der Phishing-Mail abgebildet.<\/p>\n In den letzten Wochen scheint es eine Phishing-Welle gegeben zu haben, bei der in den E-Mails die Absenderadresse @emails.dkb.de, die auf die Deutsche Kreditbank AG (DKB) hinweist, verwendet wurde.\u00a0Ein Leser hat mich darauf hingewiesen, dass die DKB durch einen Konfigurationsfehler … Weiterlesen v=DMARC1; p=none; pct=100; rua=mailto:dmarc-reports@dkb.de; ruf=mailto:dmarc-reports@dkb.de; fo=1:d:s<\/pre>\n
Authentication-Results: mx-gate78-hz1.hornetsecurity.com 1;\r\nspf=fail reason=mailfrom (ip=85.214.6.194, headerfrom=emails.dkb.de)\r\nsmtp.mailfrom=emails.dkb.de smtp.helo=emails.dkb.de;\r\ndmarc=fail hse.action=pass header.from=emails.dkb.de orig.disposition=pass<\/pre>\n
Authentication-Results: mx-gate78-hz1.hornetsecurity.com 1;\r\nspf=fail reason=mailfrom (ip=85.214.6.194, headerfrom=emails.dkb.de)\r\nsmtp.mailfrom=emails.dkb.de smtp.helo=emails.dkb.de;\r\ndmarc=fail hse.action=pass header.from=emails.dkb.de orig.disposition=pass\r\nReceived: from ip85-214-6-194.pbiaas.com (85.214.6.194) by mx-gate78-hz1.hornetsecurity.com;\r\nMon, 30 Sep 2024 06:21:41 +0200\r\nFrom: DKB <kundeninformation@emails.dkb.de>\r\nTo: ######@#####.de\r\nSubject: =?UTF-8?B?SW5mb3JtYXRpb24gw7xiZXIgSWhyZSBLb250b2RhdGVuIGJlaSBES0IgQmFuaw==?=\r\nDate: 30 Sep 2024 04:21:31 +0000\r\nMessage-ID: <20240930042131.2F12C7470D85DEB5@emails.dkb.de>\r\nMIME-Version: 1.0\r\nContent-Type: text\/html;\r\ncharset=\"iso-8859-1\"\r\nContent-Transfer-Encoding: quoted-printable\r\nX-antispameurope-sender: kundeninformation@emails.dkb.de\r\nX-antispameurope-disclaimer: This E-Mail was scanned by www.antispameurope.com E-Mailservice on mx-gate78-hz1 with #####\r\nX-antispameurope-Connect: ip85-214-6-194.pbiaas.com[85.214.6.194],TLS=0;EMIG=0\r\nX-antispameurope:INCOMING:\r\nX-antispameurope-LES: d8f880bdda\r\nX-antispameurope-orig-ip:85.214.6.194\r\nX-antispameurope-orig-host:ip85-214-6-194.pbiaas.com\r\nX-antispameurope-SPFRESULT: FAIL\r\nX-antispameurope-detected-infomail:yes\r\nX-antispameurope-Spamstatus:SPAM\r\nX-antispameurope-REASON:ASESPF7-2:FAIL:85.214.6.194<\/pre>\n","protected":false},"excerpt":{"rendered":"