Office 365 Erste Spam-Mail

Es war ja nur eine Frage der Zeit, bis auch Spammer sich einen Office 365 Tenant besorgen und damit ihre Werbenachricht an die weite Welt senden. Bei mir sind am Sonntag den 2. August die ersten beiden Mails dazu angekommen.

Viel drin stand in der Mail erst mal nicht, d.h. kein Hyperlink und keine gefährlichen Anlagen.

Nun kann natürlich jeder behaupten, er hätte die Mails als "onmicrosoft.com" gesendet. Daher ist ein Blick in den Header interessant um die einliefernde IP-Adresse zu erkennen. Die kann der Absender nicht fälschen. Mein NoSpamProxy addiert diese Information in den SMTP-Header:

Received: from gate.netatwork.de (192.168.100.18) by NAWEX13.netatwork.de
 (192.168.100.32) with Microsoft SMTP Server (TLS) id 15.0.1044.25 via
 Frontend Transport; Sun, 2 Aug 2015 00:32:35 +0200
X-NoSpamProxy-Rating:
X-NetatworkMailGateway-TrustedMail: no
X-NetatworkMailGateway-CYRENID: str=0001.0A0B0202.55BD4903.0093,ss=1,re=2.100,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
X-NetatworkMailGateway-Scl: 0.00
X-NetatworkMailGateway-Sender: a8@wilsonChurch.onmicrosoft.com
X-NetatworkMailGateway-Rule: All other inbound mails
X-NetatworkMailGateway-Gateway: 157.55.234.246:2944
X-enQsig-CompressedInspectionReport: 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
X-enQsig-EncryptionAlgorithm: None
X-enQsig-SignatureStatus: None
Authentication-Results: netatwork.de; dkim=none (message not signed)
 header.d=none;
Received: from YdeaPad.Home (88.1.251.162) by
 DB4PR01MB0463.eurprd01.prod.exchangelabs.com (10.141.42.149) with Microsoft
 SMTP Server (TLS) id 15.1.225.19; Sat, 1 Aug 2015 22:32:31 +0000
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject:
To: Recipients <a8@wilsonChurch.onmicrosoft.com>
From: <a8@wilsonChurch.onmicrosoft.com>
Date: Sun, 2 Aug 2015 00:32:23 +0200
Reply-To: <wilsonstephenandrew@gmail.com>
X-Originating-IP: [88.1.251.162]
X-ClientProxiedBy: VI1PR01CA0035.eurprd01.prod.exchangelabs.com
 (25.162.116.45) To DB4PR01MB0463.eurprd01.prod.exchangelabs.com
 (10.141.42.149)

Hier ist zu sehen, dass die Mail bei mir von der Source-IP 157.55.234.246 eingeliefert wurde, welche auch zu Office 365 zu zählen ist:

Damit dürfte sicher sein, dass die Mail zumindest "via Office365" gekommen ist. Im Header ist aber noch mehr zu sehen, wenn wir Office 365 "vertrauen:

To: Recipients <a8@wilsonChurch.onmicrosoft.com>
From: <a8@wilsonChurch.onmicrosoft.com>
Date: Sun, 2 Aug 2015 00:32:23 +0200
Reply-To: <wilsonstephenandrew@gmail.com>
X-Originating-IP: [88.1.251.162]
X-ClientProxiedBy: VI1PR01CA0035.eurprd01.prod.exchangelabs.com
 (25.162.116.45) To DB4PR01MB0463.eurprd01.prod.exchangelabs.com
 (10.141.42.149)

Die Adresse 88.1.251.162 gehört zum Telefonica-Konzern (http://whois.domaintools.com/rima-tde.net) und soll irgendwo in Spanien beheimatet sein.

Aber auch das kann natürlich nur eine Relay-Station sein, wenn es sich um einen Privat-PC handelt, der gekapert wurde.

Da ich aber mehrere Mails von unterschiedlichen Absendern des gleichen Tenant bekommen habe, tippe ich eher auf eine absichtlich Definition eines Test-Tenant für diesen Zweck und nicht dass hier Benutzer mit Namen wie A6 und A8 ihr Kennwort ausgeplaudert haben.

Meldung an Microsoft

Auf der Seite "Report junk email messages to Microsoft" (https://technet.microsoft.com/en-us/library/jj723151(v=exchg.150).aspx) bietet Microsoft mehrere Wege an, solche Mails zu  melden. Der einfachste Weg dürfte die Weiterleitung an die hinterlegte Adresse junk [at] office365.microsoft.com sein. Ich habe die Mail dort eingereicht und bin auf die Rückmeldung gespannt.

Ich habe nun ca. 6 Tage gewartet aber keinerlei Rückmeldung bekommen. Dabei wäre es schon interessant gewesen, etwas mehr zu erfahren.

Über andere Kontakte habe ich aber das Feedback bekommen, dass Microsoft sich dem Problem bewusst ist und sie die "Senderate" für Absender mit einer "onmicrosoft.com"-Adresse sehr gering gewählt haben. Damit sollte es Testern möglich sein, mit diesen Adressen erste Gehversuche zu machen, ohne ihr Mailrouting einer produktiven Domäne umstellen zu müssen. Hoffen wir also, dass der Aufwand für Spammer aufgrund der Drosselung sich nicht wirklich lohnt es nur Versuche sind.

Problematik

Dieses erste Beispiel zeigt uns aber gleich mehrere Probleme auf, die aber nicht nur Office 365 hat, sondern generell auch andere Hoster betreffen

  • Vertrauen von "onmicrosoft.com"
    Auch Office 365 ist "einfach nur ein Hoster" der durch ein sehr schnelles Wachstum, die einfache Bereitstellung einer Testumgebung (gerne auch mit geklauter Kreditkarte) natürlich auch für Spammer eine Plattform bieten kann. Nur weil eine Mail mit "onmicrosoft.com" bei ihnen ankommt, sollten Sie nicht eine seriöse Firma als Absender erwarten. Auch Spammer schauen auf die Kosten
  • Wer ist der Tenant ?
    Wenn jemand eine Domain registriert, dann lässt sich über das NIC oft der Besitzer ausfindig machen. Das hilft bei seriösen Firmen schon einen Ansprechpartner zu finden. So einen Mechanismus gibt es bei Office 365 leider nicht. Wer sich als hinter einem Tenant-Namen verbirgt. ist nicht so einfach zu ermitteln.
  • Schutz des Tenant - Die Anwender
    Aber auch ein "legitimer seriöser Tenant" kann als Spamschleuder missbraucht werden. Jeder legitime authentifizierte Benutzer darf natürlich Mails versenden. Office 365 verhindert extremen Missbrauch durch ein Limit von 10.000 Mails/Tag/Mailbox (E/P-Plänen). Wenn jemand als das Kennwort eines Anwenders in Erfahrung bringt, dann sind diese Message-Raten für Spammer nur interessant, wenn Sie schon gut qualifizierte Empfänger haben.
  • Schutz des Tenant - das Relay
    Interessant ist es für einen Spammer natürlich einen Helfer im LAN einen Office 365 Hybrid-Kunden zu haben oder in einem LAN, welches einen Connector zu einem Office 365-Tenant als Relay hat. Wenn ich quasi "von innen" Mails an Office 365 leiten kann und Office 365 dieses anhand eines Connectors mit einem Vertrauensvorschuss  versieht, dann bin ich natürlich ein sehr guter müssenversender.

Throttling

Daher sind die Grenzwerte in Office 365 auch ein erster Schutz, das Angebot für den müssenversand wenig interessant zu machen. Zumindest die klassischen Spammer, die Millionen von Mails in kürzester Zeit verteilen wollen um von Spamfiltern noch nicht erkannt zu werden, werden daher weiter einen Bogen um Office 365 machen. Vielleicht ist eine VM in Azure hier eine interessantere Option. In beiden Fällen muss ein Spammer aber einen Vertrag mit Microsoft abschließen. Wir können nur hoffen, dass Microsoft hier "falsche Daten" schnell erkennt.

Die Grenzwerte (Stand Aug 2015) sind:

 
Quelle: Exchange Online-Begrenzungen (https://technet.microsoft.com/de-de/library/exchange-online-limits.aspx)

Ein gedrosselter Versand von 10.000 Mails pro Absenderadresse (HybridMode) ist für müssen-Spammer vermutlich nicht lukrativ, zumal alle "fast gleichen" Mails durch die Office 365 Server gehen und früh erkannt werden können. Wenn ein Client dann sich aber authentifiziert, dann ist er auf 30 Mails/Minute beschränkt. Ein Spammer, der über den Weg seine Werbeflut einstellen will, schafft gerade mal 1800 Mails/Stunde und die 43200 Mails/Tag kann er schon gar nicht erreichen. Insofern hoffe ich, dass das ausgehende Spamvolumen von Office 365 nicht zu einem müssenphänomen wird.

Weitere Links