Ontvangen mail van eigen domein; spam of niet?

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • sOid
  • Registratie: Maart 2004
  • Niet online
Ik ontvang net een e-mail, ogenschijnlijk van mijn eigen domein. Hier in staat dat ik het verzoek heb gedaan mijn e-mail te deactiveren. Dat heb ik natuurlijk niet gedaan. Het eerste waar ik altijd naar kijk is de afzender. Vaak is dat iets obscuurs maar nu komt het van message@mijndomein.nl (mijndomein.nl is natuurlijk in het echt iets anders).

Afbeeldingslocatie: https://tweakers.net/i/g1-bQpk6xtuDzB3RIWg2CyQ8xTo=/800x/filters:strip_icc():strip_exif()/f/image/RlaBewxJC9KluheFQWpOUK2L.jpg?f=fotoalbum_large

De link verwijst naar iets amplifyapp.com, met nog wat andere informatie in de URL. Zegt mij verder niets.

Als ik in de headers kijk zie ik wel iets vreemds: greta@bicoastaltalent.com. Werkelijk geen idee wie of wat dit is. Onderstaand de volledige mailheaders, geanonimiseerd.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
X-Spam-Level: 
Envelope-To: mijnmail@mijndomein.nl
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on bla.webhostingserver.nl
X-Spam-Report: * -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1% *      [score: 0.0094] * -0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at *      https://www.dnswl.org/, no trust *      [64.69.218.106 listed in list.dnswl.org] * -0.0 RCVD_IN_MSPIKE_H2 RBL: Average reputation (+2) *      [64.69.218.106 listed in wl.mailspike.net] *  0.0 SPF_HELO_NONE SPF: HELO does not publish an SPF Record *  0.7 SPF_SOFTFAIL SPF: sender does not match SPF record (softfail) *  0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts *  0.0 HTML_MESSAGE BODY: HTML included in message *  0.0 URI_TRUNCATED BODY: Message contained a URI which was truncated *  1.0 TO_EQ_FM_DOM_HTML_ONLY To domain == From domain and HTML only
X-Antagonist-Receiveuser: bla
Return-Path: <message@mijndomein.nl>
Return-Path: <message@mijndomein.nl>
Mime-Version: 1.0
X-Tcpremoteip: 159.65.32.86
Content-Transfer-Encoding: quoted-printable
Delivery-Date: Thu, 10 Jun 2021 19:59:56 +0200
<20210610175949.C9E085B001E217E2@mijndomein.nl>
X-Spam-Status: No, score=-0.1 required=3.5 tests=BAYES_00,HTML_MESSAGE, MIME_HTML_ONLY,RCVD_IN_DNSWL_NONE,RCVD_IN_MSPIKE_H2,SPF_HELO_NONE, SPF_SOFTFAIL,TO_EQ_FM_DOM_HTML_ONLY,URI_TRUNCATED autolearn=no autolearn_force=no version=3.4.2
Content-Type: text/html
X-Antivirus-Scanner: Clean mail though you should still use an Antivirus
X-Authenticated-Uid: greta@bicoastaltalent.com
Delivered-To: mijnmail@mijndomein.nl
Received: from bla.webhostingserver.nl by bla.webhostingserver.nl with LMTP id +HxDOBxTwmDJvDkArUVKQA (envelope-from <message@mijndomein.nl>) for <mijnmail@mijndomein.nl>; Thu, 10 Jun 2021 19:59:56 +0200
Received: from mail by bla.webhostingserver.nl with spam-scanned (Exim 4.94.2) (envelope-from <message@mijndomein.nl>) id 1lrOyA-00Fv2I-K6 for mijnmail@mijndomein.nl; Thu, 10 Jun 2021 19:59:56 +0200
Received: from jax4mhob18.registeredsite.com ([64.69.218.106]) by bla.webhostingserver.nl with esmtps  (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.94.2) (envelope-from <message@mijndomein.nl>) id 1lrOyA-00Fv0l-7B for mijnmail@mijndomein.nl; Thu, 10 Jun 2021 19:59:54 +0200
Received: from mailpod.hostingplatform.com ([10.30.71.114]) by jax4mhob18.registeredsite.com (8.14.4/8.14.4) with ESMTP id 15AHxpJH014895 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=FAIL) for <mijnmail@mijndomein.nl>; Thu, 10 Jun 2021 13:59:51 -0400
Received: (qmail 29794 invoked by uid 0); 10 Jun 2021 17:59:51 -0000
Received: from unknown (HELO ec2-18-184-88-59.eu-central-1.compute.amazonaws.com) (greta@bicoastaltalent.com@159.65.32.89) by 0 with ESMTPA; 10 Jun 2021 17:59:51 -0000


Is dit inderdaad iets van een phishing-poging of spam? Hoe kan ik mijn domein zo beveiligen dat het onmogelijk is om e-mailadressen te spoofen?

Ik heb bovenstaande ook naar hostingpartij gemaild, maar aangezien het al in de avond is verwacht ik niet op korte termijn een antwoord. Plus ik vind het ook wel fijn als er meer mensen meekijken ;)

Alle reacties


Acties:
  • 0 Henk 'm!

  • spone
  • Registratie: Mei 2002
  • Niet online
Heb je SPF-records ingesteld staan voor je domein? Als je die instelt met een -all dan zou een spamfilter al een stuk sneller moeten kunnen beoordelen of de mail legitiem is.
0.0 SPF_HELO_NONE SPF: HELO does not publish an SPF Record
0.7 SPF_SOFTFAIL SPF: sender does not match SPF record (softfail)

[ Voor 28% gewijzigd door spone op 10-06-2021 20:31 ]

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512


Acties:
  • +1 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 12:28
Heb je SPF, DKIM, DMARC ingesteld voor je domein? Daarmee kan je spoofing (voorkomen)

Cloud ☁️


Acties:
  • +1 Henk 'm!

  • Klippy
  • Registratie: Oktober 2000
  • Laatst online: 16:04

Klippy

Still Game

Die mail lijkt me in elk geval nep, want welke legitieme hoster die dit soort verzoeken afhandelt ken je die je op deze manier inlichten zonder verdere info als een telefoonnummer, naam van een webhoster oid.

Amplify app is een domein van AWS Amplify waarmee je websites kan bouwen en hosten https://aws.amazon.com/amplify/ Maar dat zegt verder niet veel, de scammers hebben die dienst gebruikt om een fake form te bouwen of een hosting van iemand anders gekaapt en hosten daar wat op.
De email komt ook van AWS wat eigenlijk vreemd is want die zijn relatief streng op dit soort dingen.
Dus als je daar zelf niks host zal het sowieso niet van jou echte mailserver afkomstig zijn, je kan het melden via https://aws.amazon.com/pr...-center/report-aws-abuse/

Zie ook https://security.berkeley...-request-deactivate-email

Verder wat boven gezegd is, SPF, maar vooral DKIM is hier van belang. Je mail wordt voorzien van een checksum gemaakt dmv de private key die alleen jou mailserver kent en je voegt de public key toe aan je DNS records zodat de ontvanger kan valideren of het echt van jou domein komt. Je webhoster heeft vast tuturials over hoe je dat opzet (als het een beetje goeie is).

[ Voor 13% gewijzigd door Klippy op 10-06-2021 20:43 ]

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO


Acties:
  • +1 Henk 'm!

  • sOid
  • Registratie: Maart 2004
  • Niet online
@spone @HKLM_

Ehm, ik zie wel dit in m'n DNS-records staan. DMARC kan ik niet zo snel vinden.
Overigens is dit er standaard door de hoster in gezet. Heb er zelf niet aan gesleuteld. Wel wat CNAME-records toegevoegd en spamfilter geconfigureerd maar nooit handmatig wat met DKIM, DMARC en SPF-records gedaan.

Afbeeldingslocatie: https://tweakers.net/i/8Vxlb1ShpleKpIZkHKlQjOqKlcI=/800x/filters:strip_icc():strip_exif()/f/image/CCpr6NroEBAhiN06uahe3QQc.jpg?f=fotoalbum_large

@Klippy Dank! Ik zie dus wel iets met DKIM in de DNS-records. Maar blijkbaar is dat niet voldoende? Of het is niet goed geconfigureerd... Zal er morgen eens naar kijken. Al wel een tutorial van SPF-records bij hoster (Antagonist) gevonden.

[ Voor 14% gewijzigd door sOid op 10-06-2021 20:45 ]


Acties:
  • 0 Henk 'm!

  • Klippy
  • Registratie: Oktober 2000
  • Laatst online: 16:04

Klippy

Still Game

webhostingserver.nl is Antagonist (vroeger ook gebruikt), zie hier hun info https://www.antagonist.nl/blog/dkim/

Die records zijn dus inderdaad je DKIM records, maar kan nog steeds zijn dat je email server niet de signing doet bij het verzenden en/of je ontvangende client niet de check doet.

Het is altijd mogelijk om gewoon namens jou domein een mail te versturen, want SMTP staat dit gewoon toe, dat is een protocol uit de tijd dat soort dingen nog lang niet aan de orde waren. Maar de meeste mailclients en providers doen tegenwoordig die SPF en DKIM controles wel, alleen het is geen harde garantie, zeker als je bijvoorbeeld op je eigen mailserver alle mail van je eigen domein vertrouwt.

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO


Acties:
  • 0 Henk 'm!

  • spone
  • Registratie: Mei 2002
  • Niet online
Ter aanvulling op bovenstaande: je SPF records staan in een soort "testmode" (~all vs -all) waardoor een spamfilter er niet zoveel mee doet. Tip sowieso om die even na te lopen en af te stemmen op het mailgedrag van je domein. Eventueel met een beetje hulp van je webhoster.

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 03-10 18:56

Jazzy

Moderator SSC/PB

Moooooh!

Ik verplaats je topic even naar Internetproviders en Hosting aangezien het nu puur over de techniek van SPF en dergelijke gaat. Zou zeker ook aanraden om eens een zoekopdracht doen op 'prevent email domain spoofing', er is echt veel informatie over dit onderwerp te vinden.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 16:17
Dat zijn inderdaad een soort DKIM records, maar die zie ik niet terugkomen in je headers, dus die worden niet toegepast. Anders had daar een FAIL gestaan.
DKIM moet je zien als een soort zegel die wordt gecontroleerd tegen jouw DNS record, en alleen servers met de juiste configuratie kunnen die correct plaatsen.
Met DMARC kun je vervolgens bepalen wat het advies is aan mailservers die mail ontvangen van jouw domein. Meestal zeg je indien SPF of DKIM falen = SPAM = quarantaine/spam/block.

Acties:
  • 0 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Zeikpuntje mijnerzijds: het betreffende mailtje is geen spam maar phishing. Ook irritant maar de doelstelling is anders

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • BHQ
  • Registratie: November 2003
  • Laatst online: 02:05

BHQ

SPF zal in dit geval niets helpen aangezien de envelope-from niet wordt gespoofed (de mail-from is greta@bicoastaltalent.com) maar slechts de from header zoals zichtbaar in de e-mail client.

DKIM zal hier ook weinig helpen aangezien het eigenlijk alleen anderen laat verifieren dat berichten die jij stuurt niet onderweg zijn aangepast.

Een DMARC policy opzetten zou dit wel kunnen weren door een check op alignment (mits de partij waar je mail draait hier op checkt). Je SPF record en DKIM dienen dan wel eerst op orde te zijn.
Pagina: 1