Toon posts:

SPF pass op niet originele sender

Pagina: 1
Acties:

Vraag

maandag 17 december 2018 11:06

Acties:
  • 0 Henk 'm!
  • me1299
  • Registratie: Maart 2000
  • Laatst online: 22:09

me1299

$ondertitel

Topicstarter
Ik heb een vreemd probleem met een spam mail die een valide SPF status heeft.

De headers zijn als volgt:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

Received: from sp-mail-3.sp.se (10.100.0.163) by sp-mail-2.sp.se
 (10.100.0.162) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id 15.1.1531.3 via Mailbox
 Transport; Fri, 14 Dec 2018 14:40:30 +0100
Received: from sp-mail-1.sp.se (10.100.0.161) by sp-mail-3.sp.se
 (10.100.0.163) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id 15.1.1531.3; Fri, 14
 Dec 2018 14:40:31 +0100
Received: from EUR04-HE1-obe.outbound.protection.outlook.com (10.116.0.226) by
 sp-mail-1.sp.se (10.100.0.161) with Microsoft SMTP Server id 15.1.1531.3 via
 Frontend Transport; Fri, 14 Dec 2018 14:40:30 +0100
Received: from DB6P18901CA0007.EURP189.PROD.OUTLOOK.COM (2603:10a6:4:16::17)
 by AM5P189MB0467.EURP189.PROD.OUTLOOK.COM (2603:10a6:206:21::28) with
 Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.1425.19; Fri, 14 Dec
 2018 13:39:19 +0000
Received: from VE1EUR02FT010.eop-EUR02.prod.protection.outlook.com
 (2a01:111:f400:7e06::201) by DB6P18901CA0007.outlook.office365.com
 (2603:10a6:4:16::17) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.1425.19 via Frontend
 Transport; Fri, 14 Dec 2018 13:39:19 +0000
Received: from sd-1294909-w.dattaweb.com (179.43.119.26) by
 VE1EUR02FT010.mail.protection.outlook.com (10.152.12.126) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id
 15.20.1446.11 via Frontend Transport; Fri, 14 Dec 2018 13:39:18 +0000
Received: from 10.0.14.113 (Unknown [190.14.130.185])
    by sd-1294909-w.dattaweb.com with ESMTPA
    ; Fri, 14 Dec 2018 10:39:16 -0300
From: Voornaam Achternaam <voornaam@afzenderdomein.com>
To: =?utf-8?B?SMOla2FuIFBlcnNsb3c=?= <ontvanger@ontvangerdomein.com>
Subject: Voornaam Achternaam Invoice RXK_P89930 November 18
Thread-Topic: Voornaam Achternaam Invoice RXK_P89930 November 18
Thread-Index: AQHUk7KUHzkj9geF1UO/GKSozM5d0A==
Date: Fri, 14 Dec 2018 13:39:10 +0000
Message-ID: <6087997042963717711.D3A70E801B119881@sp.se>
Content-Language: sv-SE
X-MS-Exchange-Organization-AuthSource: sp-mail-1.sp.se
X-MS-Has-Attach:
X-MS-Exchange-Organization-Network-Message-Id: d0c1fd44-9697-463d-43ce-08d661c9b712
X-MS-TNEF-Correlator:
received-spf: Pass (protection.outlook.com: domain of treos.com.ar designates
 179.43.119.26 as permitted sender) receiver=protection.outlook.com;
 client-ip=179.43.119.26; helo=sd-1294909-w.dattaweb.com;
x-ms-publictraffictype: Email
Content-Type: text/plain; charset="utf-8"
Content-ID: <30505710CDBC49449F439261E8E426F6@sp.se>
Content-Transfer-Encoding: base64
MIME-Version: 1.0


Afbeeldingslocatie: https://i.imgur.com/GFyR1zc.png

received-spf: Pass (protection.outlook.com: domain of treos.com.ar designates
179.43.119.26 as permitted sender) receiver=protection.outlook.com;
client-ip=179.43.119.26; helo=sd-1294909-w.dattaweb.com;

De ontvangede partij krijgt nu deze mail alsof verzonden van voornaam@afzenderdomein.com, en het wordt niet getagged als spam.

Ik zou verwachten dat de SPF van toepassing is op het domein van de verzendende partij. ( afzenderdomein.com ) Maar er wordt kennelijk gekeken naar het helo commando.

Hoe kan ik er nu voor zorgen dat iemand anders zich niet als iemand@afzenderdomein.com kan uitgeven? De SPF van afzenderdomein.com is wel goed, maar ik heb natuurlijk geen controle over een ander domein.

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

Alle reacties

maandag 17 december 2018 11:09

Acties:
  • +1 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Die mail is blijkbaar (je censureert het bericht dus geen idee) gestuurd als iets@treos.com.ar. Dat domein staat het IP van de betreffende server expliciet toe. Dus ja dan komt 'ie door de SPF.

SPF kijkt overigens naar de envelope-from (het 'MAIL FROM' commando in SMTP), de From: header is compleet onboeiend.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 17 december 2018 11:44

Acties:
  • 0 Henk 'm!
  • me1299
  • Registratie: Maart 2000
  • Laatst online: 22:09

me1299

$ondertitel

Topicstarter
CyBeR schreef op maandag 17 december 2018 @ 11:09:
Die mail is blijkbaar (je censureert het bericht dus geen idee) gestuurd als iets@treos.com.ar. Dat domein staat het IP van de betreffende server expliciet toe. Dus ja dan komt 'ie door de SPF.

SPF kijkt overigens naar de envelope-from (het 'MAIL FROM' commando in SMTP), de From: header is compleet onboeiend.
Is de envelope-from header de 'helo'?

Ik heb de mail als bijlage toegezonden gekregen. Maar je hebt gelijk er moeten wel headers missen want ergens moet die treos.com.ar vandaan komen. En die staat niet in de headers die ik heb.

[ Voor 17% gewijzigd door me1299 op 17-12-2018 11:54 ]

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

maandag 17 december 2018 12:02

Acties:
  • +1 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

DeathKnight24 schreef op maandag 17 december 2018 @ 11:44:
[...]
Is de envelope-from header de 'helo'?
Nee. De envelope to en from zijn de daadwerkelijke verzender en ontvanger van de mail, die in de MAIL FROM en RCPT TO commando's opgegeven worden. In de e-mail zelf (na DATA) kun je vervolgens als To en From opgeven dat je de paus bent of wilt spreken, dat maakt niet uit voor waar de e-mail afgeleverd wordt.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 17 december 2018 12:39

Acties:
  • 0 Henk 'm!
  • me1299
  • Registratie: Maart 2000
  • Laatst online: 22:09

me1299

$ondertitel

Topicstarter
CyBeR schreef op maandag 17 december 2018 @ 12:02:
[...]


Nee. De envelope to en from zijn de daadwerkelijke verzender en ontvanger van de mail, die in de MAIL FROM en RCPT TO commando's opgegeven worden. In de e-mail zelf (na DATA) kun je vervolgens als To en From opgeven dat je de paus bent of wilt spreken, dat maakt niet uit voor waar de e-mail afgeleverd wordt.
Bedankt voor de informatie, wordt zeer gewaardeerd!

Het maakt eigenlijk niet uit wat je bewuste geest doet, omdat je onderbewuste automatisch precies dat doet wat het moet doen

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq