Spam von Office 365 Absendern ?

Heute am 23. Okt 2013 ist die erste Spam-Mail eines Office 365 Nutzers bei mir gelandet. Natürlich könnte die Absenderadresse gefälscht sein. Also schauen wir uns die Mail einmal an

Die Spam-Mail

Abgesehen vom Text hat diese Mail keine Besonderheiten, die eine Gefahr darstellen. d.h. keine Links, keine Skripte, keine Anlage. Die Absenderadresse ist angeblich eine "onmicrosoft.com" aber das muss ja nicht stimmen.

Also schauen wir weiter, denn dass es Spam ist, hat schon der menschliche Filter erkannt.

Reply-Adresse ?

Der normale Anwender kann über ein "Antworten" schon mal schnell prüfen, welche "Reply-to" Adresse hinterlegt ist. Und sollte man dann hellhörig werden, wenn die Rückläufer auf eine komplett andere Domain verwenden

Die Domain "gg.com" ist aber nun nicht der erwartete Freemailer, sondern scheinbar eine Seite zum Wetten auf Pferderennen und beim ersten Zugriff darauf erfolgt ein Wechsel auf SSL mit einem öffentlichen Zertifikat.

Natürlich "könnte" genau diese Firma auch urheber der Spam-Mail sein, um mich eben auf die Seite zu lenken. Das ist aber weniger wahrscheinlich. Normalerweise agieren Spammer anonym und kaufen kein öffentliches Zertifikat. Vielleicht hat es der Spammer gerade darauf angelegt, dieser Firma zu schaden, z.B. indem viele NDRs an deren Mailserver gehen oder der Ruf zu schädigen.

Natürlich könnte eine Firma mit SPF und SenderID ihren Namen schützen aber das hier hier nicht der Fall (Stand Ok 2013). Zudem prüfen viele Mailserver nicht das "Reply-To"- Feld, da es im Header ist und die SPF-Checks meist schon beim Envelope auf dem "Mail-From" Befehl basieren.

Header und Quelle

Also schauen wir uns den Header an, der auch in Outlook 2013 immer noch einfach zu erreichen ist:

Return-Path: <>br> Delivery-Date: Wed, 23 Oct 2013 01:49:29 +0200
Received: from na01-by2-obe.outbound.protection.outlook.com (na01-by2-ndr.ptr.protection.outlook.com [207.46.108.105])
by mx.kundenserver.de (node=mxbap0) with ESMTP (Nemesis)
id 0LfA76-1W5wno3jGy-00ox5H für fra---nk@carius.de; Wed, 23 Oct 2013 01:49:29 +0200
Received: from [116.202.27.247] (116.202.27.247) by
BY2PR06MB042.namprd06.prod.outlook.com (10.242.44.140) with Microsoft SMTP
Server (TLS) id 15.0.785.10; Tue, 22 Oct 2013 23:49:24 +0000
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: =?utf-8?q?Bitte_best=C3=A4tigen?=
To: Recipients <0011@bmbcom.onmicrosoft.com>
From: Eric Cheung <0011@bmbcom.onmicrosoft.com>
Date: Wed, 23 Oct 2013 00:49:02 +0100
Reply-To: <cheungericx01@qq.com>
X-Antivirus: avast! (VPS 131022-1, 10/22/2013), Outbound message
X-Antivirus-Status: Clean
Message-ID: <82e41fc0-6e18-464d-98cb-a07b0e744dc6@BY2PR06MB042.namprd06.prod.outlook.com>
Return-Path: 0011@bmbcom.onmicrosoft.com
X-Originating-IP: [116.202.27.247]
X-ClientProxiedBy: CO1PR04CA003.namprd04.prod.outlook.com (10.141.49.13) To
BY2PR06MB042.namprd06.prod.outlook.com (10.242.44.140)
X-Forefront-PRVS: 00073DB75F
X-Forefront-Antispam-Report: SFV:SPM;SFS:(199002)(189002)(83322001)(46102001)(59766001)(51856001)(50466002)(53256004)(79102001)(74706001)(56776001)(558084003)(76482001)(42186004)(74316001)(81342001)(77982001)(80976001)(74876001)(54356001)(74662001)(47446002)(83072001)(74502001)(54316002)(76176001)(81686001)(74366001)(65816001)(69226001)(66066001)(80022001)(23756003)(85306002)(77096001)(81816001)(33646001)(47736001)(76576001)(31686002)(81542001)(49866001)(4396001)(43066001)(76796001)(76786001)(63696002)(47776003)(50986001)(47976001)(73186002)(56816003)(84722001);DIR:OUT;SFP:1501;SCL:5;SRVR:BY2PR06MB042;H:[116.202.27.247];CLIP:116.202.27.247;FPR:;RD:InfoNoRecords;A:0;MX:1;LANG:de;
X-OriginatorOrg: bmbcom.onmicrosoft.com
X-UI-Junk: AutoMaybeJunk +0 ();
V01:nQCpG4fs:vKwE8ZYXmd1sak5A0ZHJUoJYPsVuREEgoJMeFTmZhuEiPAWhqEe
sc2JWr6zOqEYDunLn3Er7uJexc0v4V1ClU2vF2UKL2P5RnPImvpmphwDj2hwkEbw
GHjDgt5jf8ymC2gkqSzr8N5KnumZJKGObCAluQAQNUOQLAHdaYODSYYXErvt9jWC
ZkwWWRXv092Ts
Envelope-To: fra---nk@carius.de

Auch hier muss man wissen, dass alles fast alle Eintrag gefälscht sein kann. Aber nehmen wir mal an, es wäre nicht so, dann kann man zumindest versuchen den Weg zu verfolgen.

  • Letzer Hop
    Die folgende Zeile dürfte nicht gefälscht sein. Sie zeigt die Empfangsdaten meines Providers (1und1) mit dem Zielpostfach und woher die Mail gekommen ist. Das ist also tatsächlich "outlook.com" und die Mail wurde über die Office 365-Plattform.

Received: from na01-by2-obe.outbound.protection.outlook.com (na01-by2-ndr.ptr.protection.outlook.com [207.46.108.105])
by mx.kundenserver.de (node=mxbap0) with ESMTP (Nemesis)

  • Vorherige Hop
    gehen wir mal davon aus, dass Office 36 die Header nicht fälscht, dann sind die weiteren Received-Zeilen interessant. Es ist nur eine, die einen Rückschluss auf die IP-Adresse des Einlieferers zulässt..

Received: from [116.202.27.247] (116.202.27.247) by
BY2PR06MB042.namprd06.prod.outlook.com (10.242.44.140) with Microsoft SMTP
Server (TLS) id 15.0.785.10; Tue, 22 Oct 2013 23:49:24 +0000

  • Wer ist 116.202.27.247 ?
    Damit könnten wir mit einem WhoIs auf die Suche nach dem Besitzer von 116.202.27.247 gehen und diesmal ist das in Indien.

IP Location: India,Delhi
IP Reverse DNS (Host): 116.202.27.247
IP Owner: Sistema Shyam Teleservices Ltd
Owner IP Range: 116.202.0.0 - 116.202.31.255 Other Sites on IP »
Owner Address: 334, udyog Vihar, Phase-Iv, Gurgaon-122001
Owner Country: India
Owner Phone: +911246784514
Owner Website: www.mtsindia.in
Owner CIDR: 116.202.0.0/19
Whois Record Updated: 20 Sep 2012

Damit dürfte sich die Spur verlaufen.

Meldung an Microsoft

Aber nun ist es ja so, dass hier jemand die Office 365 Umgebung genutzt hat und diese ist nur nutzbar, wenn sich der Absender authentifiziert. Natürlich kann man einen Office 365 Testaccount mit einer gestohlenen Kreditkarte beantragen und temporäre Verifizierungsadressen verwenden. Dennoch habe ich mich auf die Suche gemacht, wie ich einen solchen Missbrauch auch an Office 365 melden könnte.

Auf der Seite http://mail.live.com/mail/policies.aspx gibt es als Überschrift 3 die Aussage:

Dann möchte ich mal sehen, ob das was passiert und habe die Mail samt Header an die angegeben Adresse gesendet und sehr schnell auch eine automatisierte Antwort bekommen.

Mehr ist aber noch nicht passiert

Risiken beim Hosting und Subdomains

Der Betrieb eines Kunden unter "onmicrosoft.com" erspart zwar zusätzliche DNS-Domains und der Provider kann die DNS-Einstellungen vollautomatisch durchführen. Auf der anderen Seite aber ist es ein "Kunde des Hosters" und es kommen einige Pflichten auf den Provider zu.

Ein "Kunde" der sich nicht königlich verhält, kann die Plattform beschädigen. Das gilt übrigens genauso für Provider wie GMX.DE, Web.DE und insbesondere auch für De-Mail. Vielleicht sollten sich die Hoster mal überlegen, eine Art Impressum für Subsites zu etablieren. T-Online hat dies schon lange für die Webseiten ihrer Kunden implementiert (http://home.t-online.de/home/E-Mail-Alias/.impressum.html)

Aktuell ist mit kein eigener Weg bekannt, für einen Office 365-Kunden die Kontaktdaten zu ermitteln.

Weitere Links