Outlook From-Anzeige

Im Herbst 2018 haben Spam-Mails zugenommen, die mit Tricksereien bei der "From"-Adresse versucht haben, die Empfänger zu überlisten Microsoft hat in Outlook daher die Anzeige der Absenderadresse verändert. Anscheinend ist dieses Update nur für "Click2Run-Versionen von Office 365. Das veränderte Aussehen habe ich das erste Mal am 4.12.2018 mit Outlook 1811 Build 11029.20079 monatlicher Kanal. Exemplarisch habe ich mal zwei Mails heran genommen, die vermutlich von den meisten Anwendern schwer als Bösartig erkannt werden.

Mail von Amazon (gefälscht)

Die erste Mails ist eine der klassischen "Phishing"-Mails, wie sie immer wieder ankommt. In der Listenansicht steht noch "Amazon.de" aber in der Vorschau schon etwas anderes.

Hier steht "Amazon.de", was dem Displaynamen entsprechen dürfte und in spitzen Klammern dann ein Absender. Neu ist aber dahinter das "Amazon.de über us.de". Da habe ich mir dann doch mal den Header genauer angeschaut und die relevanten Zeilen kopiert:

Die From-Zeile mit dem gefälschten Displaynamen (Grün umrandet) "Amazon.de" finden wir einfache wieder. Violett habe ich den realen Absender markiert. Anscheinend wurde das Kennwort dieses Anwenders gekapert, denn auch wenn jeder Header gefälscht sein könnte, so scheint hier alice.it als Relay missbraucht worden zu sein. Wenn die IP-Adresse des einliefernden System stimmt, dann war "residencial.almix.com.br" [177.87.201.4] der Absender. Interessant ist hier, dass im Header auch der "Envelope-from" enthalten ist und diese Information nun von Outlook anscheinend mit angezeigt wird.

Diese Neuerung ist essentiell, wenn denn Anwender darauf achten. Bei SPF alleine wird nur der Absender aus dem Envelope-"MAIL FROM"-Befehl im SMTP-Protokoll bewertet aber nicht der "FROM" im Header einer Mail. Das kann man nur in Verbindung mit DKIM aktivieren. Der normale Anwender hat aber bisher noch nie den Envelope-"MAIL FROM" zu Gesicht bekommen, weil Outlook diese Information gar nicht angezeigt hat.

Ob Outlook nun die Information aus genau diesem Header bezieht, kann ich noch nicht 100% bestätigen. Es könnte auch ein anderes MAPI-Property sein, welches von Exchange in der Message verankert wird.

Mails von Justiz Niedersachten (gefälscht)

Genauso gefälscht war eine Mails, die angeblich aus Niedersachsen gekommen ist.

Hier ist etwas weniger zu sehen, was mich erst mal verwundert:

Die Empfängeradresse ist mein Firmenpostfach und die "From"-Adresse ist zwar falsch aber formal korrekt. Dennoch zeigt Outlook nur "Test" an und nicht den kompletten String. Auch hier dürfte der Absender wieder die 181.90.121.181 sein, der auf einen Host in Argentinien verweist. (DNS-Name= host181.181-90-121.telecom.net.ar). Ob der nun ein offenes Relay oder einfach vom Angreifer gekauft wurde, ist nicht weiter wichtig. Outlook zeigt aber auf jeden Fall ein "über autocom.mx" an. Das dürfte auch hier die SMTP-Domain des Envelope-"Mail From" sein.

in diesem Fall hat natürlich NoSpamProxy die gefährliche DOC-Anlage schon mal unschädlich gemacht. Es ist schon ein Vorteil, wenn das Gateway solche Anlagen entweder nach PDF konvertiert, entfernt oder die Mail direkt aufgrund "unerwünschtem Inhalt" ablehnt. Hätte NoSpamProxy die Mail direkt abgelehnt, dann könnte ich hier aber nicht das Sample zeigen.

Hinweise von Microsoft in der Mail

Bei beiden Mails wurde direkt unter dem Kopf ein Hinweis eingeblendet:

"Der tatsächliche Absender dieser Nachricht weicht von dem normalen Absender ab. Klicken Sie hier, um weitere Informationen zu erhalten".

Der Link verweist auf die folgende Seite.

Outlook hat demnach zwei Funktionen gewonnen.

  • Anzeige der "Bildes"
    Hier wird ein "?" angezeigt, wenn die Mail an Outlook.com ohne gültige SPF oder DKIM Prüfung geliefert wurde. Das ist schon mal ein Anfang aber beachten Sie dass ein Angreifer natürlich immer noch eine Domäne mit falschen Daten kaufen und korrekt nutzen kann. Die wenigsten Anwender erkennen einzelne Buchstabendreher oder ähnlich klingende Domains. Selbst Hotels und Versender haben neben ihrer Hauptdomäne oft noch eine "Versand-Domäne".
  • Anzeige des "Über"  (via)
    Wenn die Envelope-MAILFROM-Adresse nicht mit der Header-"FROM"-Adresse übereinstimmt oder von der DKIM-Signatur abweicht, dann zeigt Outlook.COM auch dies an.

Meine beiden Testnachrichten sind aber beide nicht über den kostenfreien Mailservice "outlook.com" von Microsoft gekommen. Die erste Mail lief über 1und1 einfach in ein IMAP4-Postfach und die zweite Mail über NoSpamProxy und den Exchange Server On-Premises zum Office 365 Postfach. Dennoch hat Outlook in beiden Fällen ein "via" addiert. Es ist also nicht nur eine Funktion von Outlook.com sondern Outlook scheint auch andere Quellen heran zu ziehen.

Das ist insbesondere beim IMAP4-Postfach interessant, da es meines Wissens keinen Standard gibt, wie im Header ein "Envelope-MAIL FROM" oder die SPF-Prüfung hinterlegt wird. Da aber ein Header auch gefälscht werden kann, stehen hier noch einige Teste an, ob man Outlook vielleicht einfach überlisten kann. Sollte es wirklich am Header "Authentication-Results:" hängen ?

Dann wäre natürlich zu prüfen, wie Exchange, Outlook.com, Office 365 und Outlook reagieren, wenn ich als Spammer schon einen passenden Header mitliefere. Ob immer erst der oberstes (= aktuellste) Eintrag  genutzt wird?

Weitere Links