[Ungelöst] REJECT: FROM and AUTHENTICATED SENDER are different From

[drakrochma]

Hallo

ich hab mit dem Emailaccount meiner Frau folgendes Problem:
Sie wird momentan zugespammt mit Emails vergleichbar zu folgendem Beispiel:

This is the mail system at host pleskl0045.hospedagemdesites.ws.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

                   The mail system

<XXX@bluewin.ch>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0
    REJECT: FROM and AUTHENTICATED SENDER are different From:
    kXX@XXXXXX.XX Auth: comercial@alliz.com.br (in reply to end of
    DATA command)

<xxx.1@freenet.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0
    REJECT: FROM and AUTHENTICATED SENDER are different From:
    kXX@XXXXXX.XX Auth: comercial@alliz.com.br (in reply to end of
    DATA command)

<xxx@gmx.ch>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0 REJECT:
    FROM and AUTHENTICATED SENDER are different From: kXX@XXXXXX.XX
    Auth: comercial@alliz.com.br (in reply to end of DATA command)

<xxx@gmx.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0 REJECT:
    FROM and AUTHENTICATED SENDER are different From: kXX@XXXXXX.XX
    Auth: comercial@alliz.com.br (in reply to end of DATA command)

<xxx-geyer@gmx.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0
    REJECT: FROM and AUTHENTICATED SENDER are different From:
    kXX@XXXXXX.XX Auth: comercial@alliz.com.br (in reply to end of
    DATA command)

<xxx@gmx.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0 REJECT:
    FROM and AUTHENTICATED SENDER are different From: kXX@XXXXXX.XX
    Auth: comercial@alliz.com.br (in reply to end of DATA command)

<xxx.schmidtzuercher@hotelplan.ch>: host 187.45.216.236[187.45.216.236]
    said: 503 5.0.0 REJECT: FROM and AUTHENTICATED SENDER are different From:
    kXX@XXXXXX.XX Auth: comercial@alliz.com.br (in reply to end of
    DATA command)

<xx@hotmail.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0
    REJECT: FROM and AUTHENTICATED SENDER are different From:
    kXX@XXXXXX.XX Auth: comercial@alliz.com.br (in reply to end of
    DATA command)

<xxx@live.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0 REJECT:
    FROM and AUTHENTICATED SENDER are different From: kXX@XXXXXX.XX
    Auth: comercial@alliz.com.br (in reply to end of DATA command)

<xxx@live.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0 REJECT:
    FROM and AUTHENTICATED SENDER are different From: kXX@XXXXXX.XX
    Auth: comercial@alliz.com.br (in reply to end of DATA command)

<xxxx@ok.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0 REJECT:
    FROM and AUTHENTICATED SENDER are different From: kXX@XXXXXX.XX
    Auth: comercial@alliz.com.br (in reply to end of DATA command)

<nielitz@servion.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0
    REJECT: FROM and AUTHENTICATED SENDER are different From:
    kXX@XXXXXX.XX Auth: comercial@alliz.com.br (in reply to end of
    DATA command)

<xxx@web.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0
    REJECT: FROM and AUTHENTICATED SENDER are different From:
    kXX@XXXXXX.XX Auth: comercial@alliz.com.br (in reply to end of
    DATA command)

<xxx@web.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0 REJECT:
    FROM and AUTHENTICATED SENDER are different From: kXX@XXXXXX.XX
    Auth: comercial@alliz.com.br (in reply to end of DATA command)

<xxx@web.de>: host 187.45.216.236[187.45.216.236] said: 503 5.0.0 REJECT:
   FROM and AUTHENTICATED SENDER are different From: kXX@XXXXXX.XX
    Auth: comercial@alliz.com.br (in reply to end of DATA command)

Ich hab das Passwort für den Emailaccount mehrfach geändert.
Ich hab das Passwort für die Emailaccountverwaltung mehrfach geändert.
Virenscanner findet nix.
Pi-Hole blockt zumindest mal keine auffälligen Zugriffe / Verbindungen.

Was kann ich da noch machen?

 

[drakrochma]

Bringt das aktivieren von DMARC hier irgendwas oder stellt das nur sicher, dass die Absender von Emails, die auf das betroffene Postfach eingehen kontrolliert werden?

 

[drakrochma]

Fehlt noch was an Infos oder bin ich im falschen Forum gelandet?

Egal was ich probier, die Mails trudeln weiterhin ein...

 

[konfetti]

verwaltest Du den Mailserver selber, oder ist das ne Webmail?

schon mal geschaut, ob die E-Mail-Adresse Deiner Frau hier Treffer hat?

Have I Been Pwned: Check if your email has been compromised in a data breach

Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.

haveibeenpwned.com

Wir haben auch 2 Mailkonten, die dort leider auf ner Liste aus nem Breach sind und entsprechend mit Müll zugespammt wurden - die Adressen wurden letztendlich aber auch nicht mehr benötigt und gelöscht. - seither ist Ruhe.

Wenn Du mal so eine MailGW für ne Domain anschaust, die zig Postfächer hat wird da Müll über die Zeit einfach so reintrudeln, selbst an Adressen, die es nicht gibt...

 

[drakrochma]

Ja, ihre Adresse ist dabei.
Also kann ich da nix machen?

Die Mail selbst läuft über Strato.
Ich hab da nur die Adminrechte.

 

[konfetti]

Richtig, da steht ja dann auch dabei, in welcher Sammlung die Mailadresse war, ob das ne SPAM-Liste ist, oder eben was anderes, aber da kannst Du eben wenig machen, außer halt diese Mailadresse abschalten und ne neue anlegen, aber das ist halt auch Arbeit, alle Konten umzuziehen... - ich würde ggf. einfach den SPAM-Filter für sowas anpassen, das solche Mails in JUNK landen und gut.
Zu Hochzeiten hatte ich 1000 Spammails am Tag, mittlerweile sind es nur noch an die 30 in der Woche - bin aber mit der Domain zu Netcup und hab da auch entsprechende Einstellungen im SPAM-Filter gesetzt.

 

[drakrochma]

Es scheint ja aber nicht so zu sein, dass die Emailadresse Spam bekommt, sondern dass unter dem alias der Emailadresse Mails verschickt und geblockt werden und hier nur die "unzustellbar"-Benachrichtigung aufschlägt.
Strato hätte die Emailadresse deswegen auch schon einmal auf Eis gelegt und erst nach dem ändern des Passworts wieder frei gegeben.

Spam ist blöd aber in nem gewissen Rahmen handlebar.
Aber das E-Mails von ner anderen Adresse verschickt werden und die betroffene Email als Absender hinterlegt wird, ist das Problem.

Sorry, falls das nicht so rüber kam oder ich deine Antwort falsch verstanden habe

 

[konfetti]

Das ist mir schon klar, dazu muss man dann auch verstehen, wie die Mails verschickt und ggf. auf der Empfängerseite geprüft werden.
Variante a)
Die Mail wird im System generiert und als Antwortadresse dann die Deiner Frau verwendet, wie auch von 100 anderen -> was erreicht man damit? Zum einen erreicht man das tausende NonDeliveryReports an eine ganz andere Adresse geschickt werden bzw. die dort verarbeitet werden müssen - das ist eben auch eine Art Angriff, vlt. nicht Primär auf die Mailadresse Deiner Frau, aber auf den Hoster, weil dessen Mailsystem damit umgehen muss.
Variante b)
Die Mail wird wirklich über Deinen Hoster, ohne Prüfung der Zulässigkeit, mit der Mailadresse Deiner Frau verschickt -> Ergo wird auch die NDR dahin gehen, Ziel, das selbe wie oben.

Solche Angriffsvektoren sind nicht neu und man kann halt die "Arbeit" viel einfacher verteilen.
Angriffe auf Basis Fake-NTP Abfragen gab es ja auch schon, wo die Antwort quasi an ein anderes System geschickt wird, um es in die Knie zu zwingen.

In diesem Spiel ist man dann leider ein Opfer der Technik - klar ist es unschön, wenn dann z.B. beim Hoster das Mailpostfach gesperrt wird.