1und1 Phishing

Dass die www.msxfaq.de schon seit vielen Jahren bei 1und1 gehostet ist, habe ich auf Technik hinter www.msxfaq.de schon früh beschrieben. Im großen Ganzen bin ich mit der Leistung und Funktion auch zufrieden. Sicher gehört ein großer Provider nicht immer zu den schnellsten Firmen hinsichtlich neuer Funktionen. So hat es schon recht lange gedauert, bis neue DNS-Einträge wie DMARC, SPF etc. möglich waren und mit DNSSEC sind andere kleinere Hoster auch etwas schneller. Neben der Webseite samt Domain betreibe ich natürlich auch meine "Familien-Postfächer" bei 1und1 und so sehe ich auch, wie gut der Spam und Phishing-Schutz meines Provider funktioniert. Ich will ja einen Vergleich zu NoSpamProxy haben.

Die MSXFAQ ist nicht mehr bei 1&1/IONOS gehostet. Details dazu auf Umzug IONOS -> HostEurope

1und1 Spoofing-Mail

Aber am 1. Mail 2019 ist halt eine Phishing-Mail durchgerutscht, die ich so nicht erwartet hätte. Das fordert mich angeblich "service@1und1.de" dazu auf, eine "Servicestornierungsanforderung" zu bestätigen. Die Mail ist für das geübte Auge schon schnell als Fälschung auszumachen, denn mitten im Text steht noch ein "Array" und auch der Hyperlink geht natürlich gar nicht auf 1und1.

Die Ziel-URL ist vermutlich schon wieder eine gehackte Wordpress-Seite und es dauert gar nicht lange, dass Google Chrome vor dieser URL warnt:

Auch Firefox nutzt die Datenbank von Chrome um vor solche URLs zu warnen

Nur Internet Explorer und Edge-Server lassen lassen mich direkt zugreifen und zeigen nach einer Umleitung auf eine weitere Domain die erwartete Anmeldeseite

Allerdings ist die so "einfach" gemacht, dass hier jedem Admin auffallen sollte, dass dies nicht 1und1 ist. Sie ist zwar auch per HTTPS verschlüsselt aber zumindest beim Blick auf die URL sollten alle Glocken klingeln. Diese umgeleitete URL wird von Chrome und Firefox ebenfalls schon als "schlecht" gelistet. Hoffen wir mal, dass der Anbieter das auch merkt und die Hintertür beseitigt.

SMTP-Header

Wie bei vielen Providern kann ich leider nicht den Envelope-From sehen sondern nur den "From", To" und hier auch mal den "Envelope-To". Auch die Informationen über die angewendeten Spamfilter sind leider nicht für mich decodierbar. Es ist zwar etwas mit BASE64, aber jeder Versuch den String nach dem "/w=:" zu decodieren ist fehlt geschlagen.

So bleibt nur die grüne Information, dass die Mail von der IP-Adresse 219.94.192.110 per SMTP direkt bei 1und1 eingeliefert wurde. Bitte den String "-machweg-" ignorieren

Hier noch mal der vollständige Header, wenn 1und1 den Inhalte von "X-UI-Filterresults" analysieren will. Soweit ich recherchieren konnte, steht das UI für "United-Internet".

Received: from www1700.sakura.ne.jp ([219.94.192.110]) by mx.kundenserver.de
 (mxeue009 [212.227.15.41]) with ESMTPS (Nemesis) id 1MSrny-1hCZXl0xpe-00UWMB
 for <frank-machweg-@carius.de>; Wed, 01 May 2019 15:05:12 +0200
Received: from www1700.sakura.ne.jp (localhost [127.0.0.1])
	by www1700.sakura.ne.jp (8.15.2/8.15.2) with ESMTP id x41D58Fk013799
	for <frank-machweg-@carius.de>; Wed, 1 May 2019 22:05:08 +0900 (JST)
	(envelope-from comechatto@www1700.sakura.ne.jp)
Received: (from comechatto@localhost)
	by www1700.sakura.ne.jp (8.15.2/8.15.2/Submit) id x41D58Vl013798;
	Wed, 1 May 2019 22:05:08 +0900 (JST)
	(envelope-from comechatto)
From: "1&1 Internet" <service@1und1.de>
To: <frank-machweg-@carius.de>
Subject: Service Stornierung
Date: Wed, 1 May 2019 15:05:08 +0200
Message-ID: <201905011305.x41D58Vl013798@www1700.sakura.ne.jp>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_00D3_01D5012E.481F6C80"
X-Mailer: Microsoft Outlook 16.0
X-Spam-Flag: NO
X-UI-Filterresults: notjunk:1;V03:K0:EcaoZfLd4/w=:nUwQNXTLDNeoVMM5D0a4+Hj6gT
 6a4csu8aC6wtlOr5R/SI5OUZizwuuooyUbhZbz6IxPHG/3mDo4rLEe7SZkDEc3YEsSLoPoGkZ
 XQVuEgkQbpPIWXt1wAAZC501mLXHo5rMNynEB7vmJgXQvhXMVjANAkuMVAhlLS8WSBvtPsf4Q
 VIq/NdmuUIN6SuQ7lGpFcT7CZNWNGwsDs266p1BzTXeboxlESfJDVVrJc/6SfsraBYQEODwvh
 G0IqP/iq9hVReR1VqgqTz23TH/HqW55LN6S8MLoZsipBouf7vamEZtnufmWKBU6NehhVwxZ1J
 9IhuJf784WI8D58JiaCk3TDy8jhTccflXJ6gQ3cAHnduO6jtzKVY2u/uWjp1r6mByCWawbPY8
 PYNJ1gT41pBtsPeWkHBFuda/xJ5A42DnXQAZnL0D5dAjXYyQ7vNItV5micnrjAKglOzXC73Ub
 OwFO1thIjBdzx7KJVVVUbo9tSDdYFIHM/yN9MPUa719zG0J1X/83+dn/V75DZm4UkNSw67f+1
 muMeUwuV9TAFGI1S5zZCPtjBRJp8fVMYESwwLSteVM5I1akIMGl8ECnteSuK4EJTTEN/pbGnO
 bPGrGny+OMszTb47+bjxl7uxvFL9SsNGjkJZnwBwgnrUsuRaMgfjpUAatOop8G1ZtIwv+4kWl
 1dOPXllx0OHyP+4PbfFqJJLhlaoOMC05g58dPjJymdcKN+6H/L0ot7AdPAcRVw/jTOlTIrdW0
 Od0rHbs12Dk7S01sXXbo3UfnyyTuYv7LdDscx0F9QjXdnexRgtpYuVbgPyTNfW6Bv8M/VstQ8
 vrPPudoX4we1YWrspKUcQvYktoJs/Ks/o8IXM7TkuADPV5wZvk8MFK/eNhySVg2xn9q/Oh8bw
 paQAUCtHRtvIPn+uIHduFpYLZefs5KkJP7fpWhiNZR+SuG3uGyw0QGTMAGRZUms3wdPYf9Fdw
 X9KVdBgNVINMAnIsRshMbwHjSzS1krD98MicgmYCqmYoLkFyADGSFQ+11TOcEELCnDl2NWbzs
 LGDe60aTlVjdAeOZ+UUMk4fyfFkvypj4rMP6UZ+OtGyuqrMbjvxDZThhRfm9DeoiPSWDQ94eF
 kQ2QkPhDru18Xao5C9qhxM0z2rc4ZlM9AuWVWlzsbXPgam8PTDN6QKrrFVeizZvLEX7BWPknA
 0DxHUIR+Y42IN2aqyBGDlAXRh3CQOjrQzv++KBte6Iyd7I0dKZXODwD7pNAz6dVKxsGdA8yM6
 xgIZQN5diZNMQMt5m8gozGYEHiH8B2S5rEE6sqQ/H+z1lf11Wm+TJSvHrg7UW9XpHhbeYbjbH
 IzCvxxsCqBL5fCN7wQhQrRHUsQS7w1xUvebJ7IQJJa7XFzkpJRzetwVCaDKCRw+inIQf4n0d/
 a7BEe/xIJxNgUQVAoPvJEjWZXGo56lHJdMv4AuyeauHgRwZfC4pcQqSPiPn33a0w0TSdj4T/z
 tZ7zc38Eqiz6+x9dkrNYqIEPcPH4TpPgXTsxA3LB0i2B+Rsa21F5pToKCChBNnHIOjTs65srk
 +2XNEBQqvnKRSoqneXiYaQY7bOK1DjM3apzWmn+AJ1982TA254HqZwXkY8JdJ+q3Zdr/22eMW
 9EbNT8PXMuY1nYVWxRf0QRIVN2jQ95o1GlHlL4RQP9pSikEIjB2P+j7JtP1qc3oqtZb3ERGcG
 9ifRZiATK0SG1FzUkjKwm97Aa0owXFc/10juMHnzvg6AQ==
Thread-Index: AQJbuIlyhJ3i3jBu3vaAEJ0npmWH0A==

Auf der anderen Seite meldet sich bei einem "TELNET 219.94.192.110 25" auch ein SMTP-Server, der auf ein EHLO auch antwortet. Der Versuch selbst eine Mail über das Relay zu senden gibt aber die Information preis, dass dieser Mailserver wohl "SMTP after POP" unterstützt.

Ein legitimer Nutzer muss sich vorher per POP3 oder IMAP4 anmelden, so dass die Client-IP dann als "vertrauenswürdig" genutzt werden kann um auch den Versand per SMTP zu erlauben, Früher war dies ein gängiges Verfahren aber heute ist dies nicht mehr sicher. Vor allem die vielen DSLite-Anschlüsse, Mobilfunk-Verbindungen etc., bei denen mehrere Kunden vom Provider hinter einer gemeinsamen öffentlichen IP-Adresse verborgen werden (Stichwort: Carrier Grade NAT) öffnen so ein Scheunentor für Angreifer. In dem Fall ist es aber ein shared WebServer, auf dem ein Admin den Sendmail nicht im Griff hat. Genau darauf können Sie beim Ansurfen der Webseite (mit Übersatzung von Google) schließen.

Insofern ist das eine Spam/Phishing-Mail viel viele andere auch.

Spoofing Mail Variante 2

Und einen Tag später dann noch eine zweite Mail, die diesmal aber noch etwas perfekter ist. Zuerst sieht sie aus wie eine normale 1und1-Mail zur jährlichen Stammdatenpflege.

Aber hier ist einiges Unstimmig. Schon die Absenderadresse sollte jeden Empfänger skeptisch machen. Die beiden Links zum 1&1 Domain Center oder der Hilfe ist ebenso vergiftet.  Interessant ist aber der Link unter "Check Contact Details". Da hat der Spammer wohl geschlafen und eine sehr alte Mail als Vorlage genutzt, die noch auf eine URL von 1und1 verweist. Dahinter gibt es tatsächlich eine Webseite, zu der aber das Zertifikat nicht mehr passt.

Das Zertifikat ist auf domains-center.1and1.ca ausgestellt und läuft in weniger als einem Monat auch noch ab:

Da muss ich mich schon fragen, wer bei 1und1 für diese Konstruktion zuständig ist. Wenn ich die Warnung absichtlich ignoriere, dann komme ich auf verification.ionos.info um die vom Provider schon unkenntlich gemachten Inhaberdaten der Domain zu prüfen. Aber anscheinend kümmert sich niemand um den geordneten Rückbau von Webseiten und Diensten.

Auch hier zeigt aber der Header, dass die Mail wieder von extern gekommen ist: (Bitte den String "-machweg-" entsprechend wegdenken, damit dummer Spammer es nicht allzu leicht mit dem Einsammeln einer Mailadresse habe"

Received: from mail-s79.mailgun.info ([184.173.153.207]) by
 mx.emig.kundenserver.de (mxeue009 [212.227.15.40]) with ESMTPS (Nemesis) id
 1MKJEV-1h2lqe221P-00LxZN for <lync-machweg-@msxfaq.de>; Thu, 02 May 2019 18:41:23
 +0200
Received: from facebook.com (comercials-sales.com [46.165.225.41]) by
 mxa.mailgun.org with ESMTP id 5ccb1db2.7f84eb5fd1f0-smtp-out-n01; Thu, 02
 May 2019 16:41:22 -0000 (UTC)
From: "1&1 IONOS Ltd." <support@ionos.de>
Sender: <support=ionos.de@mg.emotion-lab.org>
To: <lync-machweg-@msxfaq.de>
Subject: Check WHOIS Data of Your Domain(s)
Date: Thu, 2 May 2019 18:47:20 +0200
Message-ID: <20190502164122.1.DBEBB49A7EA39454@mg.emotion-lab.org>
MIME-Version: 1.0
Content-Type: multipart/mixed;
  boundary="----=_NextPart_000_01A4_01D50266.129B3920"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: AQFnz0fftcxJ/jCuJAomxO9bDQkJMg==
DKIM-Signature: a=rsa-sha256; v=1; c=relaxed/relaxed; d=mg.emotion-lab.org; q=dns/txt; s=mx; t=1556815283; 
   h=Content-Type: Date: Subject: To: From: MIME-Version: Message-Id: Sender; 
   bh=cTWAcLcZJvPe/nn8ezYkOtGSiaq5aTV3LMHKyRbQp6w=; b=au+xxx/KHCntVR1+/xxx xxx xxx/xxx+xxx=
X-MS-TNEF-Correlator: <20190502164122.1.DBEBB49A7EA39454@mg.emotion-lab.org>
X-Mailgun-Sending-Ip: 184.173.153.207
X-Mailgun-Sid: WyI1ZTFmZiIsICJseW5jQG1zeGZhcS5kZSIsICI1MGMyMiJd

Beispiel 3 (Mai 2020)

Auch ein Jahr später rutschen 1und1 solche Mails durch, bei denen die FROM-Adresse von eigenen und eigentlich schützenswerten Domains kommen:

Ich bin da natürlich nicht so leicht zu überlisten. Hier noch der Header

Return-Path: <no-reply@ionos.de>
Received: from mout.kundenserver.de ([212.227.126.187]) by mx.kundenserver.de
 (mxeue012 [212.227.15.41]) with ESMTPS (Nemesis) id 1N1gBk-1j69kR0SIS-0123Dc
 for <frank@carius.de>; Wed, 13 May 2020 06:39:39 +0200
Received: from RDPD.frl0yrjxj3gevjyadh5g5s455f.bx.internal.cloudapp.net
 ([168.62.181.36]) by mrelayeu.kundenserver.de (mreue010 [213.165.67.97]) with
 ESMTPSA (Nemesis) id 1Mq2za-1ilriK2yzC-00nB75 for <frank@carius.de>; Wed, 13
 May 2020 06:39:38 +0200
Content-Type: multipart/alternative; boundary="===============0268657705=="
MIME-Version: 1.0
Subject: =?utf-8?q?Referenz_f=C3=BCr_-_frank=40carius=2Ede?=
To: frank@carius.de
From: "1&1" <no-reply@ionos.de>
Date: Wed, 13 May 2020 04:39:38 +0000
Message-ID: <1MsI4Q-1jERCi3koE-00tiXj@mrelayeu.kundenserver.de>
X-Provags-ID: V03:K1:6ymyfvfPyq16qJ11/62QaTTq01806aQm9bGfAmmZPkMeff9vkGo
 BXJiArXml/jKSFlrBydK99ikIFBzC6g8fSYJ8UVJ8xWLFvqLzdkUyhtm0VoPwVtVLB2Mqq5
 p4kTbs2hrFolXJURzuYTYPhx0SUWwREMz2lTlfRlyS2RFLrMQpgQ9E/kWFF06MuKRUqXe2x
 tnE/F9Z6LHu0NwwtH3i2w==
X-Spam-Flag: NO

Die IP-Adresse 168.62.181.36 ist laut RIPE allerdings Microsoft zugeordnet. Das dürfte also auch nur eine "gemietete" VM sein, der man vielleicht nicht blind vertrauen sollte. Leider sieht man nicht den Envelope FROM aber als Hoster würde ich auch den "From" einer Mail prüfen. IONOS könnte ja er DMARC eine Signatur samt FROM-Header vorgeben, eigene Mails entsprechend senden und damit diesen Spam und das Risiko für die Kunden an der Quelle bekämpfen.

Meldung ist keine Stornierung!

Nachdem ich die Seite über Twitter gemeldet habe, hat sehr schnell auch 1und1 darauf reagiert und um den vollständigen Header der Mails für weitere Untersuchungen gebeten.

Also habe ich die Header extrahiert und per Mail wie gewünscht an support@ gesendet.

Aber quasi auf den Fuß kam dann direkt folgende Mail zurück:

Schrecksekunde, den mein Vertrag läuft sei 19991 und ich will gar nicht weg. In der Mail stand aber überhaupt keinen Hinweis auf was sich die Stornierung bezieht. Nach ca. 20Min in der 0800er Warteschleife konnten wir auch telefonisch nicht klären, was hier von wem und wann storniert worden sein soll. Sollte sich der Bot an der Mail mit Headers im Anhang verschluckt und ins falsche Fach der Antworten gegriffen haben? Warten wir mal ab, wie sich die Sacher weiter entwickelt.

13. Mai 2020 - nochmal

Anscheinend hat sich 1&1 noch immer keine entsprechenden Filter. Diese Mail landete am 13. Mai in meinem Postfach bei 1&1.

Im Header ist die Quelle auch schnell ausgemacht:

Received: from RDPD.frl0yrjxj3gevjyadh5g5s455f.bx.internal.cloudapp.net
 ([168.62.181.36]) by mrelayeu.kundenserver.de (mreue010 [213.165.67.97]) with
 ESMTPSA (Nemesis) id 1Mq2za-1ilriK2yzC-00nB75 for ; Wed, 13
 May 2020 06:39:38 +0200
Content-Type: multipart/alternative; boundary="===============0268657705=="
MIME-Version: 1.0
Subject: =?utf-8?q?Referenz_f=C3=BCr_-_frank=40carius=2Ede?=
To: frank@carius-2.de
From: "1&1" <no-reply@ionos.de>
...

Ein Provider sollte seine Kunden doch durchaus gegen solchen Unbill schützen können. Solange aber SPF und DMARC nicht gelebt wird, wird das natürlich nichts. Der SPF-Record verweist auf IONOS-Corporate

C:>nslookup -q=TXT ionos.de

ionos.de  TXT = "v=spf1 
                 redirect=_spf-corporate.ionos.com"

Und der hat zwar einige Hosts gesetzt aber am Ende leider ein "~all"

C:>nslookup -q=TXT _spf-corporate.ionos.com

_spf-corporate.ionos.com text = "v=spf1 
                                 a:moi.1and1.com  
                                 a:moint.1and1.com  
                                 a:mxint.1and1.com  
                                 a:mbulk.1and1.com  
                                 include:_spf.google.com ~all"

Ich frage mich natürlich auch, was ein include auf "_spf.google.com" zu bedeuten hat. Sollte IONOS tatsächlich ihre Domain z.B. in der Google Cloud eingetragen haben und Google den Versand von Mails als ionos.de erlauben? Interessant :-).

Ein DMAR-Eintrag gibt es natürlich zu dem Zeitpunkt auch nicht. Obwohl man damit sehr einfach ermitteln könnte, wer mit der eigenen Domain wie viele Mails an wen versendet. Nach einigen Wochen hätte man dann schon eine Liste der "legitimen" Absender und könnte den SPF-Eintrag weiter eingrenzen.,

5. Sep 2023 (immer noch)

Die nächte Spam/Phishing-Welle erreicht die 1und1-Kunden mit einer gefälschten aber von 1und1 nicht entsprechend klassifizierten Absenderadresse.

Auch diesmal kam die Mail definitiv von extern, wie ein Blick auf den Header belegt. Erster Hop gibt vor, "45.76.87.171.vultrusercontent.com" zu sein, der dann "kendall.digitaldisseny.com ([51.255.210.52])" als relay verwendet hat, welcher dann direkt zu "mx.kundenserver.de (mxeue010 [212.227.15.41])" zugestellt hat. Sie sehen auch, dass anscheinend jemand sogar eine DKIM-Signatur für die Domain "fallamontolivet.es" anbringt, die von 1und1 sogar erfolgreich validiert wird. Da ist wohl fallamontolivet.es ein offenes Relay oder direkter Unterstützer von Phsihing.

Return-Path: <hostmaster@1and1.de>
Authentication-Results:  kundenserver.de; dkim=pass header.i=@fallamontolivet.es
Received: from kendall.digitaldisseny.com ([51.255.210.52]) by
 mx.kundenserver.de (mxeue010 [212.227.15.41]) with ESMTPS (Nemesis) id
 1MHHXM-1qQFFo3YJc-00DJ2H for <frank@carius.de>; Tue, 05 Sep 2023 09:31:28
 +0200
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
	d=fallamontolivet.es; s=default; h=Content-Type:MIME-Version:Date:Subject:To:
	From:Reply-To:Message-ID:Sender:Cc:Content-Transfer-Encoding:Content-ID:
	Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
	:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
	List-Subscribe:List-Post:List-Owner:List-Archive;
	bh=/hSZUPUtSSCP714PzmY1AIWWTRq+ZTOKWiL87KiGsTY=; b=cLn8MdwMQW5U+dGxA54c4kk/sd
	XOAwrD0qfKCTx9s2K9Nvnh6BJIN/1dbyLAyrdg1wD4+LzjWhernuPYQjuqe+3Utqfpc6lxYagGSy7
	uJa9TrKY8mvrMS49VWaQp3sq4TYkIGjKYuuADHTFpc8dBV3PGkA9cVuAk3stuDJNDQk3iAy+io2tm
	HV/Irb3QvcKHANvgjys1GpaLdPT14UtNyFS75BJ4twlpETiWn8ORSW85hZAFTcJ5hNtZvgtamauae
	XhZruqk3vYJu5B3F+aEPbHs2GtymjhEzfG4xpswvtm3ZQTnWaI971Ke73QbB+8ktLba6UODUe5vPX
	xqTIjftg==;
Received: from [45.76.87.171] (port=63335 helo=45.76.87.171.vultrusercontent.com)
	by kendall.digitaldisseny.com with esmtpsa  (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	(Exim 4.96)
	(envelope-from <hostmaster@1and1.de>)
	id 1qdQX3-002OJK-20
	for frank@carius.de;
	Tue, 05 Sep 2023 09:31:28 +0200
Message-ID: <8619d523d7111992b11fc66d995d679cbf1444ca20@1and1.de>
Reply-To: Rechnungsstelle IONOS <hostmaster@1and1.de>
From: Rechnungsstelle IONOS <hostmaster@1and1.de>
To: frankxx@carius.de
Subject: Zahlungserinnerung
Date: Tue, 5 Sep 2023 07:31:28 +0000
X-Priority: 1
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - kendall.digitaldisseny.com
X-AntiAbuse: Original Domain - carius.de
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - 1and1.de
X-Get-Message-Sender-Via: kendall.digitaldisseny.com: authenticated_id: fallamontolivet@fallamontolivet.es
X-Authenticated-Sender: kendall.digitaldisseny.com: fallamontolivet@fallamontolivet.es
Envelope-To: <frank@carius.de>
X-Spam-Flag: NO
UI-InboundReport: notjunk:1;M01:P0:4cCevEY6RRA=;spQFzGWLkLQvQ05ZZGUr6H324Yud

--0aa3ea4395d1fbf447eda40febdff5ff68ff67--

Der Phishing-Versuch ist aber nur so einfach, weil der Absender "Rechnungsstelle IONOS <hostmaster@1and1.de>" von 1und1 angenommen wird. Also habe ich mal schnell den SPF-Record geprüft und hier die "1and1.de" im Sep 2023 mittlerweile mustergültig mit einem "-all" dabei.

C:\> nslookup -q=TXT 1and1.de
1and1.de text = "v=spf1 include:_spf.1und1.de -all"

C:\> nslookup -q=TXT _spf.1und1.de
_spf.1und1.de text = "v=spf1 a:moi.1and1.com a:moint.1and1.com a:mxint.1and1.com a:mbulk.1and1.com -all"

rem Die hier dann eingebundenen Server sind A-records auf wenige IP-Adressen

Da die bei 1und1 einliefernde IP-Adresse 51.255.210.52 nicht auf der Liste steht, könnte 1und1 die Mail ja direkt ablehnen. Sie tun dies aber nicht, da der Envelope-From die Adresse wohl "fallamontolivet@fallamontolivet.es" ist. Zumindest steht dies im Header wie folgt drin.

X-Get-Message-Sender-Via: kendall.digitaldisseny.com: authenticated_id: fallamontolivet@fallamontolivet.es
X-Authenticated-Sender: kendall.digitaldisseny.com: fallamontolivet@fallamontolivet.es

SPF prüft auf den Envelope und nicht auf den Header. Das könnte 1und1 aber dadurch lösen, dass Sie einen DMARC-Record (Siehe SPF, DKIM und DMARC jetzt!) setzen würden. Den gib es aber (Stand 5. Sep 2023) leider nicht:

C:\> nslookup -q=TXT _dmarc.1and1.de

*** _dmarc.1and1.de wurde von fritz.box nicht gefunden: Non-existent domain.

Damit kann weiterhin jeder eine Mail an 1und1-Postfächer senden, solange der Envelope den SPF-Check übersteht.

Leider scheint 1und1/IONOS als großer Provider kein Interesse daran zu haben ihre eigene Domains auf ihren eigenen Server besonders zu schützen.

2. Okt 2023 (immer noch)

Es geht weiter. Anscheinend interessiert sich IONOS/1und1/1and1 nicht für einen Schutz ihrer Kunden. Anders kann ich Phishingmails an 1und1-Kunden nicht interpretieren:

Der Header ist eindeutig:

Wenn "nawebgando.vservers.es" die Header nicht gefälscht hat, dann wurde die Mail von der IP-Adresse 85.215.124.89 auf den Weg gebracht, die interessanterweise zum AS6724 (STRATO AG) gehört ( https://ipinfo.io/AS6724/85.214.0.0/15-85.215.124.0/23 ) und über den Server nawebgando.vservers.es an "kundenserver.de" gesendet. Die SPF-Prüfung hat wohl funktioniert. wenn der Absender sich mit einem <username>@nawebgando.vservers.es im Envelope (MAIL FROM) ausgibt. Die Mail war weder per DIM signiert noch per DMARC geschützt.

C:\>nslookup -q=TXT _dmarc.1and1.de 8.8.8.8
Server: dns.google
Address: 8.8.8.8

*** _dmarc.1and1.de wurde von dns.google nicht gefunden: Non-existent domain.

Da hilft der strenge SPF-Eintrag auch nicht, da er ohne DMARC nur auf den Envelope angewendet wird und den interessiert niemand.

C:\>nslookup -q=txt 1and1.de 8.8.8.8
Server: dns.google
Address: 8.8.8.8

Nicht autorisierende Antwort:
1and1.de text =

"v=spf1 include:_spf.1und1.de -all"

Damit hat der Absender leichtes Spiel und kann ohne Strafe die "From"-Adresse fälschen. Das Maß der Fehlkonfiguration lässt sich aber noch toppen, wenn Sie eine Mail an die angegeben Adressen senden. Beide Adressen sind "natürlich" nicht gültig und werden mit einem "550 unroutable address" quittiert.

Lassen Sie sich aber hier nicht täuschen. Der Absender "kundenserver.de" ist kein Hinweis, dass IONOS die Mail schon angenommen hätte um sie dann erst mit einem NDR zu quittieren. Kundenserver.de ist in dem Fall mein ausgehender Mailserver als "IONOS-Kunde". Wenn ich die Mail über NoSpamProxy versenden will, wird sie schon als Spam abgelehnt und kommt gar nicht erst zu IONOS

Fehler:
550 5.7.350 Remote server returned message detected as spam -> 
550 5.7.1 This email was rejected because it violates our security policy; Spam detected

Ein Versand über Exchange Online liefert auch von extern einen "

remoteserver: mxint.1and1.com
550 5.0.350 Remote server returned an error -> 550 unrouteable address

IONOS weiß also, dass es diese Mailadresse gar nicht gibt und dennoch nehmen Sie diese von einem externen Server an und routen Sie an ihre Kunden

Hallo 1and1. Wovor habt ihr Angst? Ihr blockt immer noch keine Mails mit euren Domains im Absender des Headers, wenn sie von draußen kommen? Mit den richtigen DMARC-Einstellungen könnte es euer Spamfilter alleine oder man hinterlegt halt eine statische Filterung zum Schutz der eigenen Domains.

Fehlender Schutz bei 1und1

Irritiert bin ich aber davon, dass die Spam-Filter von 1und1 hier nicht zuschlagen. Ich würde erwarten, dass niemand mit einer "FROM-Adresse" meiner eigenen Firmendomain von extern meine Kunden erreichen darf. Im Firmenumfeld ist es ganz normal, dass ich auf dem Spamfilter alle Mails blocke, die von extern an mich gesendet werden und vorgeben ein Absender aus meinem Domain-Bereich zu sein. So ein Filter sollte nicht nur auf den "Envelope-From" wirken sondern eben auch auf das Feld "From", welches der Anwender sieht. Überspitzt könnte man sich sogar erlauben alle Mails von externen anonymen Einlieferern zumindest als Spam zu kennzeichnen, die im mit URLs aus dem eigenen Domainbereich arbeiten.

Wenn nur wenige Promille dieser Mails von einem unvorsichtigen Admin übersehen werden und einige davon auch noch die gültigen Anmeldedaten eingeben, dann haben die Täter schon wieder einen "Vertrag" gekapert und können damit weitere virtuelle Webserver oder Webseiten kaufen, Daten verändern oder die Domain übertragen und erst gegen Lösegeld wieder rausrücken. Wenn in den Vertrag auch noch eine SQL-Datenbank mit Kundendaten hinterlegt ist oder in Skripten weitere Anmeldeinformationen zu anderen Diensten vorliegen, dann ist das schon sehr nahe am Jackpot.

Insofern bin ich schon etwas erschrocken, dass mein Provider keine Mails als Spam erkennt, in denen so plump die Domain des Providers in der Absenderadresse erscheint. Vielleicht hätte ja schon ein passender DMARC-Record gereicht, der auch die "FROM"-Adresse in die Überprüfung mit einbezieht um solche Versuche im Keim zu ersticken.

Weitere Links