Manchmal wundere ich mich doch…

[Martin Steigerwald]

Lol, immerhin prüft es diese Mailing-Liste, hab versehentlich vom Posteo-Konto 
aus versendet, das mir nur als Backup-Mail und für Mails vom Domain-Provider 
dient :)


Hi!

Eine geschickt gemachte, aber dennoch für mich offensichtliche Phishing-Mail 
mit service at paypal.de im From:-Header verschickt von einer Kunden-VM bei OVH 
über die Mail-Infrastruktur von 1&1 mit Phishing-URL, die ebenfalls auf einen 
Server bei 1&1 zeigt.

Ließe sich sowas nicht *ohne* Weiteres 1. erkennen und 2. blocken?

Auch ohne SPF könnten große Provider doch From: irgendetwas at paypal.(de|com) 
wegblocken, solange sie sicher wissen, dass keiner der PayPal-eigenen Server 
dort läuft. Keiner ihrer Kunden ist berechtigt, im Auftrag von PayPal Mails zu 
schicken. *Punkt*. Oder übersehe ich da etwas Offensichtliches? Ja, ich 
erkenne solche Phishing-Mails, aber andere fallen eventuell drauf rein.

Ich frage mich ob kleinere Provider wie Mailbox.org oder Posteo da 
irgendwelche Prüfungen vornehmen, etwa, dass die Absender-Adresse im From:-
Header zu einer der für das Konto konfigurierten Mail-Adressen passt oder 
zumindest von einer der eigenen Domains. Der From:-Header ist ja immer im 
Klartext. Oha, ich habe das gerade für Posteo getestet und das Ergebnis 
überrascht mich doch: Verschickt der SMTP-Server von Posteo anstandslos. Ich 
hab Posteo natürlich informiert.

Manchmal wünsche ich mir zumindest ein automatisiertes Reporting-Tool, das die 
Mail-Header analysiert, whois-Einträge auswertet und dann nach Review durch 
mich entsprechende Mails an die vertrauenswürdigen Organisationen absetzt, 
damit sie sich dessen annehmen. Am besten gleich in Cc an eine Cyber-Abteilung 
der Polizei. Denn das wäre anstatt der nutzlosen Totalüberwachung echt mal ein 
sinnvoller Job für die Polizei.

Immerhin: Es kamen nun bei mir lange keine von Digital Ocean-Netzwerken 
ausgehenden Spam-Mails mehr, obwohl ich noch die spezifischeren Regeln nutzen.

Ciao,