none
Problem mit Betrugserkennung RRS feed

  • Frage

  • Guten Morgen,

    leider haben wir ein Problem mit der Betrugserkennung.

    Desöfteren kommen mit unseren Mails der Hinweis "Dieser Absender hat unsere Tests zur Betrugserkennung nicht bestanden und ist möglicherweise nicht der, der er zu sein scheint. Weitere Informationen über Spoofing."  

    Den TXT Eintrag wurde von mir geprüft, es ist "v=spf1 include:spf.protection.outlook.com -all" eingetragen.

    Folgende Konfiguration verursacht diese Warnung:

    E-Mail von domain1.de (Office 365) -> Verteiler subdomain1.domain2.de (Extern Verwalet)-> Persönliche Mail subdomain2.domain2.de -(Weiterleitung)-> domain1.de

    Sprich, wenn ein Kollege eine Mail an unseren Verteiler schickt, wird diese Warnung (aber auch nicht immer) angezeigt. Die Mails landen meist nicht in den SPAM Ordner.

    Ich hab bereits mit SPF Query Tool probiert. Dieses zeigt an meiner domain1 alles richtig an.

    Nun die Fragen. Kann ich die domain2 irgendwo in Whitelist eintragen? Bzw. wie kann man dieses Problem beheben?

    Grüße, Maxim

    Donnerstag, 27. Oktober 2016 08:58

Antworten

  • Am 27.10.2016 schrieb Maxim Gerling:
    Hi,

    leider haben wir ein Problem mit der Betrugserkennung.

    Desöfteren kommen mit unseren Mails der Hinweis "Dieser Absender hat unsere Tests zur Betrugserkennung nicht bestanden und ist möglicherweise nicht der, der er zu sein scheint. Weitere Informationen über Spoofing."

    Folgende Konfiguration verursacht diese Warnung:

    E-Mail von domain1.de (Office 365) -> Verteiler subdomain1.domain2.de (Extern Verwalet)-> Persönliche Mail subdomain2.domain2.de -(Weiterleitung)-> domain1.

    Der Verteiler liegt ja ausserhalb der domain1 und damit auch nicht im SPF Record, oder? Damit wäre das korrektes Verhalten.

    Sprich, wenn ein Kollege eine Mail an unseren Verteiler schickt, wird diese Warnung (aber auch nicht immer) angezeigt. Die Mails landen meist nicht in den SPAM Ordner.

    Wer ist denn in diesem Verteiler Mitglied? Und für welche MItglieder wird der NDR generiert und von welchem Host?

    Bye
    Norbert

    Donnerstag, 27. Oktober 2016 12:18

Alle Antworten

  • Am 27.10.2016 schrieb Maxim Gerling:
    Hi,

    leider haben wir ein Problem mit der Betrugserkennung.

    Desöfteren kommen mit unseren Mails der Hinweis "Dieser Absender hat unsere Tests zur Betrugserkennung nicht bestanden und ist möglicherweise nicht der, der er zu sein scheint. Weitere Informationen über Spoofing."

    Folgende Konfiguration verursacht diese Warnung:

    E-Mail von domain1.de (Office 365) -> Verteiler subdomain1.domain2.de (Extern Verwalet)-> Persönliche Mail subdomain2.domain2.de -(Weiterleitung)-> domain1.

    Der Verteiler liegt ja ausserhalb der domain1 und damit auch nicht im SPF Record, oder? Damit wäre das korrektes Verhalten.

    Sprich, wenn ein Kollege eine Mail an unseren Verteiler schickt, wird diese Warnung (aber auch nicht immer) angezeigt. Die Mails landen meist nicht in den SPAM Ordner.

    Wer ist denn in diesem Verteiler Mitglied? Und für welche MItglieder wird der NDR generiert und von welchem Host?

    Bye
    Norbert

    Donnerstag, 27. Oktober 2016 12:18
  • Hallo,

    erstmal vielen Dank für deine Antwort. Der Verteiler liegt außerhalb und unabhängig von der domain1. Kann ich die domain2 mit eintragen, damit diese als Vertrauenswürdig eingestuft wird?

    Mitglieder des Verteilers, welcher auf subdomain1.domain2.de läuft, haben eine E-Mail Adresse user@subdomain2.domain2.de. Bei diesem Account wird eine Umleitung auf domain1 eingerichtet.

    Eine NDR wird nicht generiert. Es wird die E-Mail zugestellt an die domain2. Bei der Weiterleitung wird ganz oben in der Mail der Hinweis gesetzt, also von der domain1.

    Grüße, Maxim

    Freitag, 28. Oktober 2016 07:33
  • Am 28.10.2016 schrieb Maxim Gerling:
    Hi,

    Eine NDR wird nicht generiert. Es wird die E-Mail zugestellt an die domain2. Bei der Weiterleitung wird ganz oben in der Mail der Hinweis gesetzt, also von der domain1.

    Schwer zu verstehen, wenn man sowas nicht komplett sehen kann. ;) Ich denke im Zweifel wirst du mal der Reihe nach die Hosts nachsehen müssen, wie und wohin die mit dem ursprünglichen Absender umgehen.

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Freitag, 28. Oktober 2016 08:58
  • Ich hab den Header mal angeschaut. Mir sind folgende Einträge aufgefallen:

    Authentication-Results: spf=none (sender IP is 123.123.7.123)
     smtp.mailfrom=subdomain1.domain2.de; domain1.de; dkim=fail (signature did
     not verify) header.d=domain1.onmicrosoft.com;domain1.de; dmarc=temperror
     action=none header.from=domain1.de;domain1.de; dkim=fail (signature did not
     verify) header.d=domain1.onmicrosoft.com;
    Received-SPF: None (protection.outlook.com:subdomain1.domain2.de does not
     designate permitted sender hosts)

    Jedoch habe ich auch einige Mails gefunden, welche trotz diesem Text den o.g. Hinweis nicht enthalten.

    Wie meinst du es mit dem Nachsehen?

    Freitag, 28. Oktober 2016 10:42
  • Am 28.10.2016 schrieb Maxim Gerling:

    Wie meinst du es mit dem Nachsehen?

    Das Problem ist für mich, zu verstehen, wie dein Mailflow im Falle einer solchen Meldung aussieht. Da hilft mir das mit deinen ganzen domain1.tld und subdomain.domain1.tld nur begrenzt, weil es eben wenig Spaß macht, sich das jetzt alles selbst aufzumalen, und jedesmal eine Rückfrage zu stellen, wenn etwas unklar ist. Die Header in der Mail sind nur bedingt aussagekräftig, weil dort nicht jeder Host drin stehen muß.

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Freitag, 28. Oktober 2016 12:03
  • Hallo,

    ich hab mal versucht die Konfig zu skizzieren.

    Link: https://social.technet.microsoft.com/Forums/getfile/956516

    Leider kann ich noch keine Bilder anfügen.

    Grüße, Maxim.

    Montag, 31. Oktober 2016 14:24
  • Hallo Maxim,

    Link: https://social.technet.microsoft.com/Forums/getfile/956516
    Leider kann ich noch keine Bilder anfügen.

    dein Link funktioniert leider nicht.
    In diesem Thread kannst du die Überprüfung deines Kontos beantragen:
    Verify Your Account 36
    Dann klappt's auch mit Bildern und Links ;)

    Gruß TechnikSC885

    Dienstag, 1. November 2016 09:26
  • Am 31.10.2016 schrieb Maxim Gerling:

    Hallo,

    ich hab mal versucht die Konfig zu skizzieren.

    Link: https://social.technet.microsoft.com/Forums/getfile/956516

    Leider kann ich noch keine Bilder anfügen.

    Die kann man ja auch wo anders verlinken. ;) Aber nur nochmal zum Verständnis. Wenn du die Mail vom Verteiler wieder zurückbekommst und der sendende Host (des Verteilers) nicht in deinem SPF Record steht, würde ich das als korrektes Verhalten einstufen. Da ich den aber nicht kenne, bleibt nur Vermuten.

    Bye
    Norbert

    Dienstag, 1. November 2016 09:40
  • Hallo,

    sorry für die verspätete Antwort. Jetzt wurde mein Konto überprüft, die Links sollen gehen.

    Link zur Skizze: https://social.technet.microsoft.com/Forums/getfile/959701

    Hier ist ein Screenshot von dem Fehler.

    Vielen Dank.

    Montag, 7. November 2016 13:08
  • der sendende Host (des Verteilers) nicht in deinem SPF Record steht, würde ich das als korrektes Verhalten einstufen.

    Änderung des TXT-Eintrags auf "v=spf1 include:spf.protection.outlook.com include:verteiler-domain.tld -all" sollte doch ausreichen oder muss man auch die Subdomain eintragen?

    Grüße, Maxim

    Montag, 7. November 2016 13:17
  • Am 07.11.2016 schrieb Maxim Gerling:
    Hi,

    sorry für die verspätete Antwort. Jetzt wurde mein Konto überprüft, die Links sollen gehen.

    Siehe oben. Wenn deine Konfiguration so aussieht, dann würde ich genau so einen Fehler im Zweifel erwarten.

    Hier ist ein Screenshot von dem Fehler.

    <https://social.technet.microsoft.com/Forums/getfile/959700>

    Ja sehr vielsagend. :) Ohne jetzt wirklich mal durch die Logfiles und deinen SPF Record zu gehen, wirst du dort kaum sinnvoll weiterkommen. Ich meine, dass ich das schon weiter oben vermutete.

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Montag, 7. November 2016 13:18
  • Am 07.11.2016 schrieb Maxim Gerling:
    Hi,

    Änderung des TXT-Eintrags auf "v=spf1 include:spf.protection.outlook.com include:verteiler-domain.tld -all" sollte doch ausreichen oder muss man auch die Subdomain eintragen?

    Ich würde sagen, es muß auch die Subdomain mit rein.

    Montag, 7. November 2016 13:37
  • Ich würde sagen, es muß auch die Subdomain mit rein.

    Hallo,

    ich hab gestern den TXT-Eintrag angepasst, dann auch in dem Office 365 Admin Center unter Security & Compliance bei "Bericht über gefälschte E-Mails (Spoofing)" die IP-Adressen, welche zum Fehler führen, als Ausnahme hinzugefügt. 

    Leider hat dies keine Besserung gebracht.

    Wo kann man die Logs am besten auslesen, nur Header oder gibt es bei Office 365 weitere Funktion dafür?

    Vielen Dank, Maxim

    Dienstag, 8. November 2016 15:05
  • Hallo nochmals,

    ich hab die "verteiler-subdomain.domain.tld" als "a:", "mx:" und dessen IP-Adresse bei "ip4:" eingetragen. Nun ist diese Meldung verschwunden.

    Vielen Dank!

    Grüße, Maxim

    Dienstag, 22. November 2016 10:04
  • Hallo Maxim, ich habe das selbe Verhalten bei div. Mitarbeitern seit heute auch. Könntest du mir dies ev. ein wenig besser Erklähren. Sorry ich bin irgendwie zu doof! Nur wenn du Zeit hast natürlich..

    danke und Grüsse

    Marcel

    Dienstag, 22. November 2016 11:37
  • Moin,

    bitte keine fremden Threads kapern!

    Erstelle bitte einen eigenen, falls gewünscht mit link zu diesem hier, danke.

    ;)


    Gruß Norbert

    Dienstag, 22. November 2016 12:12
    Moderator
  • Sorry, werde ich machen. Danke und noch einen schönen Tag euch!

    Gruess Marcel

    Dienstag, 22. November 2016 12:45