MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

DMARC Fail mit IONOS

Wie kann es ein, dass eine Phsihing-Mail mit "commerzbank.de" als Absender und einer DMARC-Richtlinie "p=reject" dennoch im Quarantäne-Ordner einer Mailbox bei IONOS landet?

Diese Seite soll kein Pranger sein aber sie zeigt, dass auch namhafte Domains in der Vergangenheit viel zu schwache Einstellungen hatten. Nutzen Sie dieses Wissen, dass sie nach einer überschaubaren Zeit einer Einführung ihre DMARC-Richtlinie auf "p=reject" umstellen, damit nicht nur der SPF-Check auf den Absender des Umschlags sondern auch auf den für Anwender sichtbare Absender im Header angewendet wird. Die Fehler betreffen nicht nur die Absender, sondern auch der empfangende Server kann falsch reagieren. Die Beispiele sind natürlich Spam, die an ein Postfach bei IONOS gesendet werden.

Der Begriff DMARC-Fail bezieht sich also nicht nur auf den Absender sondern auch auf den Empfänger

Post in der Quarantäne

Hinweis: Commerzbank macht vermutlich alles richtig. Ich kritisiere das Verhalten von IONOS, eine Mail mit DMARC=Fails und p=reject nicht direkt abzulehnen.

Anfang Juni hat ein Phishing-Angriff versucht die Zugangsdaten zur Commerzbank zu erhalten.

Das betrifft mich nun nicht, da ich dort kein Konto. Schauen wir erst mal ins DNS

SPF  :        commerzbank.de test = "v=spf1 a ip4:212.149.50.150 ip4:212.149.48.100 include:spf.protection.outlook.com -all"
DMARC: _dmarc.commerzbank.de text = "v=DMARC1; p=reject; sp=none; rua=mailto:lubermwp@ag.eu.dmarcadvisor.com"

Die Commerzbank veröffentlicht sauber ihre SPF-Einträge und schließt sogar alle anderen Adressen mit einem "-all" aus.

Also habe ich mir den Header angeschaut.

Authentication-Results:  kundenserver.de; dkim=none
Received: from mout-xforward.kundenserver.de ([82.165.159.10]) by
 mx.kundenserver.de (mxeue001 [212.227.15.41]) with ESMTPS (Nemesis) id
 1ModgX-1vCRcF066j-00ppd7 for <dmarcfail@msxfaq.de>; Sun, 08 Jun 2025 17:11:02
 +0200
Received: from ls229.t-com.hr ([195.29.150.14]) by mx.kundenserver.de
 (mxeue001 [212.227.15.41]) with ESMTP (Nemesis) id 1MEku3-1udw4s2YJf-00HJBm
 for <dmarcfail@msxfaq.de>; Sun, 08 Jun 2025 17:11:01 +0200
Received: from ls229.t-com.hr (localhost.localdomain [127.0.0.1])
	by ls229.t-com.hr (Samdnail) with ESMTP id 2BC536585AC;
	Sun,  8 Jun 2025 17:11:01 +0200 (CEST)
X-Envelope-Sender: kundenservice-online-banking@commerzbank.com
X-Envelope-Sender: kundenservice-online-banking@commerzbank.com
X-Envelope-Sender: kundenservice-online-banking@commerzbank.com
X-Envelope-Sender: kundenservice-online-banking@commerzbank.com
X-Envelope-Sender: kundenservice-online-banking@commerzbank.com
X-Envelope-Sender: kundenservice-online-banking@commerzbank.com
Received: from ls265.t-com.hr (localhost.localdomain [127.0.0.1])
	by ls229.t-com.hr (Samdnail) with ESMTP id D8CC16585E5;
	Sun,  8 Jun 2025 17:11:00 +0200 (CEST)
Received: from [151.80.89.235] (78-0-182-89.adsl.net.t-com.hr [78.0.182.89])
	by ls265.t-com.hr (Qmali) with ESMTP id 60E7620B024A;
	Sun,  8 Jun 2025 17:10:58 +0200 (CEST)
Subject: Jetzt handeln und Sicherheitssystem aktivieren.
To: Commerzbank | Kundenservice <kundenservice-online-banking@commerzbank.com>
From: Commerzbank<kundenservice-online-banking@commerzbank.com>
Date: Sun, 08 Jun 2025 17:10:55 +0200
Message-Id: <20250608151058.60E7620B024A@ls265.t-com.hr>
X-TM-AS-Product-Ver: IMSS-7.1.0.1224-8.2.0.1013-25850.005
X-TM-AS-Result: No--0.766-10.0-31-1
X-imss-scan-details: No--0.766-10.0-31-1
X-Spam-Flag: YES
Envelope-To: <dmarcfail@msxfaq.de>
X-Spam-Flag: YES

Laut den Log sehe ich, dass die IP-Adresse "[195.29.150.14]" die Mail an "mx.kundenserver.de" direkt zustellt. Anscheinend nutzt der Phisher einen T-Com.hr-Zugang und sendet direkt zum MX-Record. Interessant ist das mehrfache Auftreten von "X-Envelope Sender". Auch der erste Mailserver behauptet, er würde "Samdnail" statt sendmail heißen. Auf ls265.t-com.hr reagiert zumindest von extern kein Mailserver und der Webserver unter t-com.hr liefert eine Zertifikatswarnung, weil ein offizielle Zertifikat für "*.hrvatskitelekom.hr". Als Provider könnte man schon erkennen, dass ein Client vielleicht sehr viel SMTP-Verbindungen aufbaut. Für Endanwender würde meist der Zugriff auf Port 587/465 (SMTP AUTH) reichen und Port 25 zumindest gedrosselt wird. Das passiert aber leider nicht.

Ein SPF-Check zeigt, dass Sie nicht enthalten ist. SPF=FAIL wäre das Ergebnis. IONOS macht einen DKIM-Check aber er wurde mangels DKIM-Signatur mit einem "NONE" beantwortet. Mit dem DMARC-Eintrag "p=reject" müsste ein Empfänger die Mail direkt abweisen. IONOS hat sich aber dafür entschieden, die Mail in die Quarantäne zu legen und mich darüber zu informieren.

Hallo IONOS. Warum nehmt ihr Mails für eine Absenderdomain an, die ein "SPF -all" veröffentlicht? Oh, sie werden wohl in die Quarantäne verschoben.

Weitere Links