{"id":314101,"date":"2025-07-31T09:44:00","date_gmt":"2025-07-31T07:44:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314101"},"modified":"2025-07-31T10:28:42","modified_gmt":"2025-07-31T08:28:42","slug":"exchange-online-umgeht-e-mail-gateway-und-stellt-gespoofte-mails-zu","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/31\/exchange-online-umgeht-e-mail-gateway-und-stellt-gespoofte-mails-zu\/","title":{"rendered":"Exchange Online: Umgeht E-Mail-Gateway und stellt gespoofte Mails zu"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Gmail\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2016\/07\/Mail.jpg\" alt=\"Mail\" width=\"88\" height=\"64\" align=\"left\" border=\"0\" \/>Ich stelle mal eine Leserbeobachtung zu Exchange Online hier im Blog ein. Exchange Online liefert beim Leser gespoofte E-Mails zu, obwohl ein E-Mail-Gateway verwendet wird.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/b2fd4584ec7447e687e0aa59311efd71\" alt=\"\" width=\"1\" height=\"1\" \/>E-Mail-Spoofing ist eine betr\u00fcgerische Methode, bei der sich ein Angreifer als eine vertrauensw\u00fcrdige Person oder Organisation ausgibt, um das Vertrauen eines Opfers zu gewinnen und an sensible Informationen zu gelangen oder Schaden anzurichten.<\/p>\n<h2>Eine Lesermeldung<\/h2>\n<p>Blog-Leser Andr\u00e9 hat sich gestern mit folgender Information per E-Mail gemeldet, die nicht so sch\u00f6n klingt. Er hat\u00a0vor ein paar Tagen ein sehr unsch\u00f6nes Verhalten des Exchange Online Servers festgestellt.\u00a0Ein paar Anwendern wurden gespoofte Nachrichten zugestellt, was technisch eigentlich ausgeschlossen sein sollte, da SPF, DKIM und DMARC \u00fcber ein E-Mail-Gateway gepr\u00fcft werden.<\/p>\n<p>Nachdem er sich das Ganze angesehen habe, war ich tats\u00e4chlich erst mal ratlos. Die Emails kamen nicht von unserem Gateway, sondern wurden direkt an Exchange Online gesendet.<\/p>\n<h3>Analyse des Headers<\/h3>\n<p>Auch dies sollte technisch nicht m\u00f6glich sein, schrieb der Leser.\u00a0Anhand des E-Mail-Headers und der Nachrichtenverfolgung in Exchange konnte er das aber zweifelsfrei sehen.<\/p>\n<p>Die E-Mails wurden wie echte, interne Nachrichten behandelt, auch wenn aus den Headern klar hervorgeht, dass es von einer anderen IP versendet wurde und Microsoft auch einen SPF-Fail erkannt hat.\u00a0Dennoch wurden die Nachrichten den Endanwendern zugestellt.<\/p>\n<h3>Noch jemand mit der Beobachten?<\/h3>\n<p>Der Leser meinte: \"Eventuell w\u00e4re das etwas f\u00fcr ihr Blog, unser Dienstleister f\u00fcr unser E-Mail-Gateway berichtete zum 30.7.2025 ebenfalls von einigen Kunden, die solche E-Eails erhalten haben.\"<\/p>\n<p>Hier noch der\u00a0Auszug der E-Mail des Dienstleisters:<\/p>\n<blockquote><p>Hallo Herr xxx,<\/p>\n<p>uns haben heute bereits mehrere dieser Meldungen erreicht, scheinbar gibt es Microsoft-seitg ein Problem. Um dem genauer auf die Spr\u00fcnge zu gehen, w\u00fcrde ich sie bitten ein Ticket bei Microsoft zu er\u00f6ffnen.<\/p><\/blockquote>\n<p>Der Ratschlag war, sich \"per Ticket direkt an Microsoft zu wenden\". Den Leser interessiert nun, ob auch andere Administratoren diese Probleme haben, oder ob es ein gezielter Angriff auf einzelne Exchange Instanzen ist.<\/p>\n<h2>Zusammenfassung der Feststellungen<\/h2>\n<p>Der Leser hat eine Zusammenfassung, was er festgestellt hat, so beschrieben:<\/p>\n<ul>\n<li>Ein Anwender meldete per per Ticket-System eine verd\u00e4chtige E-Mail.<\/li>\n<li>Die E-Mailwurde nicht \u00fcber unser Emailgateway geleitet, sondern direkt im Exchange zugestellt. Dies sollte nicht m\u00f6glich sein.<\/li>\n<li>Die Email war gespooft und hatte als Absender, wie auch Empf\u00e4nger die Adresse anwender.anwender@firma.com.<\/li>\n<\/ul>\n<p>Dies sei eine valide und aktive Emailadresse des betroffenen Anwenders, schrieb der Leser.\u00a0Die Email wurde \u00fcber Exchange Online von der IP 51.77.93.35 versendet. Wir haben keine Vertrauensstellung oder \u00e4hnliches zu dieser IP.<\/p>\n<p>Nach Recherche des Lesers geh\u00f6rt die IP zu einem Cloud-Hoster (*ttps:\/\/www.ovhcloud.com\/de\/), die der Angreifer vermutlich nutzt. Der Leser kann sich nicht erkl\u00e4ren, wie ein Angreifer das\u00a0 E-Mail-Gateway der Firma umgehen kann. Die Nachricht stammt eindeutig von einer externen IP und wurde nicht \u00fcber den eigenen Exchange Online-Tenant versendet.<\/p>\n<p>Die Nachricht verh\u00e4lt sich aber exakt wie eine interne Email, die ja nicht \u00fcber das Gateway geroutet werden. Der Leser hat dann \u00fcberpr\u00fcft, ob der Anwender eventuell kompromittiert wurde. Allerdings ist das Anmelde-Log im Admin Center unauff\u00e4llig. Das Passwort hat die IT direkt ge\u00e4ndert.\u00a0Multifaktor ist ebenfalls aktiv.<\/p>\n<p>Bei der E-Mail handelt es sich um (schlechtes) Phishing, die Bedrohungslage ist also da, schrieb mir der Leser. Hier ist noch der Mail-Header.<\/p>\n<pre>Received: from FR3PPF6BBA5F47A.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d18:2::14e)\r\n\r\nby FR6P281MB4000.DEUP281.PROD.OUTLOOK.COM with HTTPS; Mon, 28 Jul 2025\r\n\r\n11:30:27 +0000\r\n\r\nReceived: from DUZP191CA0017.EURP191.PROD.OUTLOOK.COM (2603:10a6:10:4f9::28)\r\n\r\nby FR3PPF6BBA5F47A.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d18:2::14e) with\r\n\r\nMicrosoft SMTP Server (version=TLS1_2,\r\n\r\ncipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8964.24; Mon, 28 Jul\r\n\r\n2025 11:30:24 +0000\r\n\r\nReceived: from DB1PEPF000509EF.eurprd03.prod.outlook.com\r\n\r\n(2603:10a6:10:4f9:cafe::57) by DUZP191CA0017.outlook.office365.com\r\n\r\n(2603:10a6:10:4f9::28) with Microsoft SMTP Server (version=TLS1_3,\r\n\r\ncipher=TLS_AES_256_GCM_SHA384) id 15.20.8964.27 via Frontend Transport; Mon,\r\n\r\n28 Jul 2025 11:30:24 +0000\r\n\r\nReceived: from [127.0.0.1] (51.77.93.35) by\r\n\r\nDB1PEPF000509EF.mail.protection.outlook.com (10.167.242.73) with Microsoft\r\n\r\nSMTP Server (version=TLS1_3, cipher=TLS_AES_256_GCM_SHA384) id 15.20.8989.10\r\n\r\nvia Frontend Transport; Mon, 28 Jul 2025 11:30:24 +0000\r\n\r\nFrom: \"Anwender, Anwender\" anwender.anwender@firma.com\r\n\r\nTo: \"Anwender, Anwender\" anwender.anwender@firma.com \r\n\r\nSubject: firma Bonus and Payslip ready July 28, 2025 at 07:30:21 AM\r\n\r\nThread-Topic: firma Bonus and Payslip ready July 28, 2025 at 07:30:21 AM\r\n\r\nThread-Index: AQHb\/7MEuiuozb+3uUGWqMoax029qw==\r\n\r\nX-MS-Exchange-MessageSentRepresentingType: 1\r\n\r\nDate: Mon, 28 Jul 2025 11:30:23 +0000\r\n\r\nMessage-ID: 4603a6d5-c683-70c0-3143-82dffa1360ee@firma.com\r\n\r\nList-Unsubscribe: mailto:unsubscribe@firma.com\r\n\r\nContent-Language: de-DE\r\n\r\nX-MS-Exchange-Organization-AuthSource:\r\n\r\nDB1PEPF000509EF.eurprd03.prod.outlook.com\r\n\r\nX-MS-Has-Attach: yes\r\n\r\nX-MS-Exchange-Organization-Network-Message-Id:\r\n\r\nbeb7bfcf-af45-46bd-4c81-08ddcdca24db\r\n\r\nX-MS-TNEF-Correlator:\r\n\r\nX-MS-Exchange-Organization-RecordReviewCfmType: 0\r\n\r\nx-ms-exchange-organization-originalserveripaddress: 10.167.242.73\r\n\r\nx-ms-exchange-organization-originalclientipaddress: 51.77.93.35\r\n\r\nreceived-spf: Fail (protection.outlook.com: domain of firma.com does not\r\n\r\ndesignate 51.77.93.35 as permitted sender) receiver=protection.outlook.com;\r\n\r\nclient-ip=51.77.93.35; helo=[127.0.0.1];\r\n\r\nx-ms-publictraffictype: Email\r\n\r\nauthentication-results: spf=fail (sender IP is 51.77.93.35)\r\n\r\nsmtp.mailfrom=firma.com; dkim=none (message not signed)\r\n\r\nheader.d=none;dmarc=fail action=oreject header.from=firma.com;compauth=none\r\n\r\nreason=451\r\n\r\nx-ms-office365-filtering-correlation-id: beb7bfcf-af45-46bd-4c81-08ddcdca24db\r\n\r\nx-ms-traffictypediagnostic:\r\n\r\nDB1PEPF000509EF:EE_|FR3PPF6BBA5F47A:EE_|FR6P281MB4000:EE_\r\n\r\nx-ms-exchange-transport-crosstenantheadersstamped: FR3PPF6BBA5F47A\r\n\r\nx-eopattributedmessage: 0\r\n\r\nx-eoptenantattributedmessage: 220ec385-dd32-4662-884e-f820d9e51a98:0\r\n\r\nx-forefront-antispam-report:\r\n\r\nCIP:51.77.93.35;CTRY:FR;LANG:en;SCL:-1;SRV:;IPV:NLI;SFV:NSPM;H:[127.0.0.1];PTR:ip35.ip-51-77-93.eu;CAT:NONE;SFS:(13230040)(4022899009)(4053099003)(39101999004)(7095599003);DIR:INB;\r\n\r\nx-microsoft-antispam:\r\n\r\nBCL:0;ARA:13230040|4022899009|4053099003|39101999004|7095599003;\r\n\r\nx-ms-exchange-crosstenant-originalarrivaltime: 28 Jul 2025 11:30:24.0173 (UTC)\r\n\r\nx-ms-exchange-crosstenant-network-message-id:\r\n\r\nbeb7bfcf-af45-46bd-4c81-08ddcdca24db\r\n\r\nx-ms-exchange-crosstenant-id: 220ec385-dd32-4662-884e-f820d9e51a98\r\n\r\nx-ms-exchange-crosstenant-fromentityheader: Internet\r\n\r\nx-ms-exchange-transport-endtoendlatency: 00:00:03.5495026\r\n\r\nx-ms-exchange-processed-by-bccfoldering: 15.20.8964.025\r\n\r\nx-ms-exchange-crosstenant-authsource:\r\n\r\nDB1PEPF000509EF.eurprd03.prod.outlook.com\r\n\r\nx-ms-exchange-crosstenant-authas: Anonymous\r\n\r\nX-Microsoft-Antispam-Mailbox-Delivery:\r\n\r\nucf:0;jmr:0;auth:0;dest:I;ENG:(910005)(944506478)(944626604)(920097)(930097)(140003);\r\n\r\nX-Microsoft-Antispam-Message-Info:\r\n\r\n=?us-ascii?Q?TsepPSj1HIpjGozCjX6q0LGG\/YYZTOl4jxp3uanif+0wk\/PMQjhq2ga4gaXH?=\r\n\r\n=?us-ascii?Q?qDhTgL4cAGmgump+MYyDJWAZrUVZwpp6ED5xP20KeaBRnI5y1KrFhCXHG3NA?=\r\n\r\n=?us-ascii?Q?7o8ARnFoe6hFHBXs\/BQRtKgSWKMuXJHV\/6W9\/VGgTbYkXioVF6qrQU6siOY4?=\r\n\r\n=?us-ascii?Q?GjyufL3NBFnyc+4ceJiuEjbYNOetW\/wPJC8Ms1xrLfKyXXvcLg5nGJ1USaZK?=\r\n\r\n=?us-ascii?Q?mkievGoU\/QrmOlsnCGabxVfbDfR7xdK\/W3ds6KDkZbfi8\/lN8YrvOCG+Y+\/G?=\r\n\r\n=?us-ascii?Q?LFE8V9AiVkt2rjfMbGuTvvM6Qby\/wk8a81yAtBbFcM6uvSC0lyKve+UKjRUG?=\r\n\r\n=?us-ascii?Q?wq5kWJvohBcc+uPBWhD65P\/0ZoZjPKCcJvc0srqH0KGk472Ai4AhmZNUMRYT?=\r\n\r\n=?us-ascii?Q?\/PlXmhWFSgylVE7k9aCyYj1iL4cDW4GFMkol7jxvT\/ST\/sI+Qx1htWfD55l9?=\r\n\r\n=?us-ascii?Q?pVBiJ8NQUOUIYxm4Q6J6nsIevJKOmg1D9RCF27v1C6iSYqVj4rL4bZ8ojsUd?=\r\n\r\n=?us-ascii?Q?qsyg1I+zTt4RG3kiWswfpD83IYvtdgxHWTocSQ3GJp9DUEZwzETWclxg94gl?=\r\n\r\n=?us-ascii?Q?jsmsXdSrafL3KHgzWD\/UYHXxAkn88mzcsObCendWsEd7axrKKE5utebk8lIB?=\r\n\r\n=?us-ascii?Q?O9R3H3tALjoTRmMBm\/qFldd1CEykYa\/pENhSH+NaM7G+NT50WpqKLvXhtD\/N?=\r\n\r\n=?us-ascii?Q?VrpeIdOa1j5VGNlPDF6D\/GltZuwol9ybo+ZtkZZL2aqj5cLguZLalkVJ8wdN?=\r\n\r\n=?us-ascii?Q?M\/uwDG7uhcX7mLXUaj7\/p8MkhwccNH4KL4Wx6GGIVUjLWK5XIhc\/75PkkgwK?=\r\n\r\n=?us-ascii?Q?tES50BM1w5J6Xl5lIOYqCgK0ikNcMiciPDSiIW9RwHY5QbbuX\/D5OkLoH9Oe?=\r\n\r\n=?us-ascii?Q?GyvKw2KnEKNkhtxtP5kcOOtyNJt40kCXfRF8uXFdLnCKK8G7YSYpAU+nzY4U?=\r\n\r\n=?us-ascii?Q?oAl\/vyb+GK5ruRn5ZoaH0zDq\/CHl1RpR+9Xk1+Qbb0DNQ03er4HgLbSlIRG0?=\r\n\r\n=?us-ascii?Q?1jLOTNQc6Z8Z4OVkZx8sWHN6AQJFRQPxMcXg9O41qbJICSiBPzkXhEdfR2wQ?=\r\n\r\n=?us-ascii?Q?MiF0\/4tctRwPYgzsrPXhWpoD+gKuH4MqHhar6ONGWGgY2hksw39khm4Ch4bm?=\r\n\r\n=?us-ascii?Q?a+qQ1SnLkaqIDS209LfdJBY0PRDZUb+GfedgMJjR0AX+Vmsri+X64TJ5tdp9?=\r\n\r\n=?us-ascii?Q?TN+SF4ox4tFEvWdgq2E4vkXLbjkD9Z8m4d87dVvxHRqnCjLP5uHMLFdtBXfU?=\r\n\r\n=?us-ascii?Q?5BvxdIumiCz0ApGp5p8H3ycyFMBInhFjCuBK4pdlBOP+XaBuFkxnHMoy+Tim?=\r\n\r\n=?us-ascii?Q?58dwpcOckJaGPCBrfZRIaz7aG0m\/KyxowSV+qI6+\/DONc0cC\/sf3UpexL7zn?=\r\n\r\n=?us-ascii?Q?Rnec12r\/JpMZ0xRtBixTqyUpEy8YYKcs06xoa6Kxr\/RVyjDRKfv8c\/QPAg\/3?=\r\n\r\n=?us-ascii?Q?sdNeVdBDUk+nVdMz+WkCUqByNMlk6V2NjB9cdO9X8DC2WEw2clgVzZC7o7CO?=\r\n\r\n=?us-ascii?Q?W9Ay5KW9JKN4pg6dEwozvpD6RpKFrWzn3uZaid+cZsZJLdvhGPij+zVF+Imo?=\r\n\r\n=?us-ascii?Q?gZ2EQU9NJIGMzADftr5ZYWvq8H92Yde5YcnZgUwoW371ew4oloLkYb1+4wra?=\r\n\r\n=?us-ascii?Q?4mAQDE62b53tL91G9a7aamjX+6ryFdqLwaon2zFVTFK+T1i5ykSUdNBmfdjh?=\r\n\r\n=?us-ascii?Q?+xnhjgxcJOUf536yhyco64koF6XL0210IHNyYAB9lvC\/GrfxtJXo8cHK0GXn?=\r\n\r\n=?us-ascii?Q?S1kW+WcR1ieRyGXS74nqHJiN0anRbUFYoZyX7AIEjIVkh4Rb5CpiJN0DzfIe?=\r\n\r\n=?us-ascii?Q?1fVrnbmviZBEJ41CniNelxOnZpshRm\/RDoHjTXEj04Q4c45znso5qR8863zj?=\r\n\r\n=?us-ascii?Q?tAuDZuS4BDQ2eUUQ706Zz6xNc69wdkwq3Uq2EDc9D37Bt1ohHZyTNfFXyDsU?=\r\n\r\n=?us-ascii?Q?AfX1DtXF\/5XBnuMlW2oxzAn13PMNg8Xz4HrQdYZoyfnjjgpgvJaiVkJfynVn?=\r\n\r\n=?us-ascii?Q?K\/JjkIIkKeKVw309XFGqjwP78lrqhCH9RAl6NrdioFWsjfDPJD87nTYOfE0p?=\r\n\r\n=?us-ascii?Q?xmCu8H1pthXpbY\/Zo1G3yNuNvdkt\/d8k2f15BdF20DLrVzj8JSE6q5mOBxTZ?=\r\n\r\n=?us-ascii?Q?Dg+oI+B7PlQ4yDMBbUNqsK7fOGsOSi5j5WJl\/zPkFn\/y2ga+GrHGiIonyPmO?=\r\n\r\n=?us-ascii?Q?+luBlZ17UXpyKNOhC8\/m04bkvvkJ+KtXGcp5mIX\/S0tB+9b7oT560HpnBJ7y?=\r\n\r\n=?us-ascii?Q?mtzjS\/Qzs\/AWyxijvOf\/V9QKBLlyVcibFZEsSEevlYZDHrKZ6GKWaPjx8pOk?=\r\n\r\n=?us-ascii?Q?cfEsPLDzCB39aRJAB1Bk4rZE?=\r\n\r\nContent-Type: multipart\/mixed;\r\n\r\nboundary=\"_002_4603a6d5c68370c0314382dffa1360eefirmacom_\"\r\n\r\nMIME-Version: 1.0<\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Ich stelle mal eine Leserbeobachtung zu Exchange Online hier im Blog ein. Exchange Online liefert beim Leser gespoofte E-Mails zu, obwohl ein E-Mail-Gateway verwendet wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,2039,426],"tags":[7801,24,4328],"class_list":["post-314101","post","type-post","status-publish","format-standard","hentry","category-cloud","category-mail","category-sicherheit","tag-echange-online","tag-problem","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314101","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=314101"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314101\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=314101"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=314101"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=314101"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}