E-Mail-SPAM trotz DKIM/SPF/DMARC

vatolin · 13. Dezember 2022 um 12:48

Unten einkopiert habe ich einen anonymisierten Ausschnitt aus dem Header eines SPAM-E-Mails. Als Absender des SPAM-E-Mails erscheint mein eigener wirklicher Vor- und Nachname. Die - angebliche - Absendeadresse lautet vorname.nachname@meinserver.de - also mit meinen echten Daten. Allerdings gibt es Adressen in dieser Form auf dem betreffenden Exchange-Server nicht. Alle Adressen auf dem Server haben das Format v.name@meinserver.de. An diese meine Adresse wurde das SPAM-E-Mail zugestellt.

Ich entnehme dem Header, dass das E-Mail mittels DKIM/SPF/DMARC Identifizierungsmerkmalen versehen ist.

Meine Frage ist: Wie/warum hat dieses E-Mail den DKIM/SPF/DMARC-Mechanismus ausgehebelt? Warum hat das E-Mail-System nicht erkannt, dass dieses E-Mail nicht „echt“ sein kann, also nicht von mir bzw. aus meinem E-Mail-Account versendet wurde?

[...]
Received: from [116.204.180.33] (port=55389 helo=joyssounddsk5.com)
	by mobile.meinserver.de with esmtp (Exim 4.94.2)
	id Ziffern-_und_Buchstabensalat
	for vorname.name@meinserver.de; Mon, 12 Dec 2022 21:58:46 +0100
Received: from meine IP4-Adresse
 by atlas205.aol.mail.ne1.yahoo.com pod-id NONE with HTTPS; Mon, 14 Nov 2030 13:11:32 +0000
X-Originating-Ip: [209.85.166.45]
Received-SPF: pass (domain of gmail.com designates 209.85.166.45 as permitted sender)
Authentication-Results: atlas205.aol.mail.ne1.yahoo.com;
 dkim=pass header.i=@gmail.com header.s=20210112;
 spf=pass smtp.mailfrom=gmail.com;
 dmarc=pass(p=NONE,sp=QUARANTINE) header.from=gmail.com;
X-Apparently-To: vorname.name@meinserver.de; Mon, 14 Nov 2030 13:11:32 +0000
X-YMailISG: Ziffern-_und_Buchstabensalat
Received: from 209.85.166.45 (EHLO mail-io1-f45.google.com)
 by meine IP4-Adresse with SMTPs
 (version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256);
 Mon, 14 Nov 2030 13:11:32 +0000
Received: by mail-io1-f45.google.com with SMTP id Ziffern-_und_Buchstabensalat.0
        for <vorname.name@meinserver.de>; Mon, 14 Nov 2030 05:11:32 -0800 (PST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=20210112;
        h=to:subject:message-id:date:from:mime-version:from:to:cc:subject
         :date:message-id;
        bh=Ziffern-_und_Buchstabensalat=;
        b=Ziffern-_und_Buchstabensalat==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20210112;
        h=to:subject:message-id:date:from:mime-version:x-gm-message-state
         :from:to:cc:subject:date:message-id:reply-to;
        bh=Ziffern-_und_Buchstabensalat=;
        b=Ziffern-_und_Buchstabensalat==
X-Gm-Message-State: Ziffern-_und_Buchstabensalat/Ziffern-_und_Buchstabensalat
	Ziffern-_und_Buchstabensalat=
X-Google-Smtp-Source: Ziffern-_und_Buchstabensalat=
X-Received: by 2002:a6b:f805:0:b0:6bc:1103:f36b with SMTP id
 o5-Ziffern-_und_Buchstabensalat.1668431492499; Mon, 14
 Nov 2030 05:11:32 -0800 (PST)
MIME-Version: 1.0
From: ???? Enence ????<vorname.name@meinserver.de>
Date: Mon, 14 Nov 2030 14:11:23 +0100
Message-ID: <Ziffern-_und_Buchstabensalat@mail.gmail.com>
To: vorname.name <vorname.name@meinserver.de>
Content-Type: text/html
X-Sophos-IBS: success
X-SASI-Version: Antispam-Engine: 5.1.1, AntispamData: 2022.5.25.112124
X-SASI-RCODE: 200
X-SASI-SpamProbability: 87%
X-SASI-Hits: AUTH_RES_PASS 0.000000, BODYTEXTH_SIZE_3000_MORE 0.000000,
 BODY_SIZE_10000_PLUS 0.000000, CTYPE_JUST_HTML 0.847999,
 CT_ENDS_IN_SEMICOLON 0.000000, DKIM_SIGNATURE 0.000000,
 FROM_SAME_AS_TO_DOMAIN 0.000000, SXL_IP_SPAM 8.000000,
 WEBMAIL_SOURCE 0.000000, WEBMAIL_XOIP 0.000000, WEBMAIL_X_IP_HDR 0.000000,
 __AUTH_RES_DKIM_PASS 0.000000, __AUTH_RES_DMARC_PASS 0.000000,
 __AUTH_RES_PASS 0.000000, __CSHC_NS_B_FN_FA 0.000000, __CT 0.000000,
 __CTYPE_HTML 0.000000, __CTYPE_IS_HTML 0.000000,
 __FROM_DOMAIN_IN_ANY_TO1 0.000000, __FROM_DOMAIN_IN_RCPT 0.000000,
 __FROM_NAME_NOT_IN_ADDR 0.000000, __FUR_HEADER 0.000000,
 __FUR_RDNS_SUSP_TLD 0.000000, __HAS_FROM 0.000000, __HAS_MSGID 0.000000,
 __HAS_XOIP 0.000000, __MIME_TEXT_H1 0.000000, __MIME_VERSION 0.000000,
 __MSGID_DOMAIN_NOT_IN_HDRS 0.000000, __RCPT_DOMAIN_IN_FROM 0.000000,
 __RCPT_DOMAIN_IS_FROM_DOMAIN 0.000000, __RCVD_BY_YAHOO 0.000000,
 __RCVD_PASS 0.000000, __SANE_MSGID 0.000000, __TO_DOMAIN_IN_FROM 0.000000,
 __TO_HOST_IN_FROM 0.000000, __TO_MALFORMED_2 0.000000, __TO_NAME 0.000000,
 __X_APPARENTLY_TO 0.000000, __X_GM_MESSAGE_STATE 0.000000,
 __X_GOOGLE_DKIM_SIGNATURE 0.000000, __X_GOOGLE_SMTP_SOURCE 0.000000,
 __X_YMAILISG 0.000000, __YOUTUBE_RCVD 0.000000
Subject: *SPAM* Betreff
X-Sophos-Firewall: smtpd v1.0
Return-Path: <>
X-MS-Exchange-Organization-Network-Message-Id: Ziffern-_und_Buchstabensalat
X-C2ProcessedOrg: Ziffern-_und_Buchstabensalat
X-MS-Exchange-Organization-AuthSource: exchangeserver.meinserver.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.5676179
X-MS-Exchange-Processed-By-BccFoldering: 15.01.2507.016

elfchen · 13. Dezember 2022 um 14:30

Vermutlich weil der empfangende Server kein SPF oder DKIM mit DMARC einsetzt. Die Domäne des Senders und der sendende Emailserver können die Informationen zur Verfügung stellen, aber auswerten und handeln muss der empfangende Server.

Cornelius · 13. Dezember 2022 um 19:53

Hat sie nicht.

Die Mail wurde über GMail versandt.
Das bedeutet, mit Blick auf DKIM/SPF/DMARC, das es sich um eine zulässige Mail handelt.

Dein Mailsystem nur 2 SPAM-Merkmale gefunden hat (IP-Addresse und SpamProbability = 87%). Damit hat die Mail die konfigurierte Punktzahl für SPAM nicht erreicht.

Die FROM-Adresse wird üblicherweise nicht berücksichtigt, weil das regelmäßig zu Falschmeldungen führen würde.
(Schlechtes Kosten-Nutzen-Verhältnis)

vatolin · 4. Mai 2023 um 14:04

Ich veränderte die SPF Policy von „v=spf1 a mx ?all“ zu „v=spf1 a mx ~all“. Bin gespannt, ob nun die SPAM E-Mails von mir selbst an mich seltener werden.