Südafrikanische Firma schreibt Emails über meine IP

[Appler]

Hi,

habe heute mit erschrecke festellen müssen, das eine südafrikanische Firma Spam-Emails über meine statische IP der Telekom schreibt. Keine Ahnung wie die das machen aber scheint wohl wirklich so zu sein.

Ein Test bei mxtoolbox.com hat das leider bestätigt. Allerdings wird nirgends meine Domain aufgeführt. Schließlich sind wir auch auf Blacklisten gelandet und hier wird auch die IP angezeigt.

Die Domain wird nirgends gelistet.

Wir haben einen internen Mail Server. Dieser läuft über die Server APP von Apple auf einem Mac-Pro.

Gehostet haben wir die Domains bei Host-Europe auf unserem Namespace-Server.

Einträge sind alle korrekt (spf, DMARC, mx usw.)

Hat da jemand eine Idee oder kann ich mich dabei nur an die Telekom wenden?

Danke

Gruß

 

[d2boxSteve]

Es braucht nur ein Client PC Virenverseucht zu sein, der versendet über den Server dann den Spam .... mal die Logs am Mailserver kontrollieren? Da sollte sich die IP des Übeltäters doch finden lassen ....

PS: aus dem Internet ist der Server hoffentlich nicht für die Sender-Ports erreichbar? (smtp tcp/25 z.B.)

 

[Appler]

Habe leider keinen Virus oder sonstige in unserem Netzwerk ausmachen können.

Auf den Logs ist auch nichts zu erkennen. Leider.

Hab die IP nur in einem Header gefunden der mir von einer der Blacklist-Seiten angezeigt wurde

 

[Candy_Cloud]

IoT Geräte (IP Cams, Lichtsteurung, ...) am Netz? Die werden immer häufiger zum Problem da sie leicht zu knacken sind und schwer zu finden.

 

[Appler]

Doch ist er schon. Aber eben nur für die Benutzer die auch an dem Server angelegt sind.

Ergänzung (2. März 2017)

Nein keinerlei solcher Geräte angeschlossen

 

[d2boxSteve]

Stimmt, solche IoT und manche Maleware besitzt eine eigene Mailsenderoutine, das sieht man dann im Server-Log nicht, es ist nur die eigene feste IP dann im Header ...

 

[vionZ]

Hast du schon Kontakt mit deinem Provider aufgenommen, eventuell können sie dir eine andere statische IP geben?

 

[d2boxSteve]

Hast du eine Firewall am Internet-Übergang? Wenn ja, dann sperr da ausgehend alle Mailports und lass die nur für die IP deines Mailservers zu. Anhand der deny Einträge im Firewall Log siehst du dann, wer noch senden wollte ...

Ergänzung (2. März 2017)

@vionZ: das hilft doch net, Ist nur eine Frage der Zeit bis die IP auch auf der Blacklist steht und derjenige Kunde der dann die freigewordene IP bekommt hat auch Blacklist Probleme ....
Man muss die Ursache finden.

 

[Benji18]

auf was habt ihr den den SPF gesetzt auf den MX record oder auf IP Adressen und Soft failure oder hard failure?

weil der SPF sollte sowas eigentlich verhindern wenn der zugehörige Mailserver nicht im SPF drinnen steht außer ihr habt da nur eure IP eingetragen.

habt ihr eine Firewall zwischen Intenet Anschluss und Netzwerk wo eure Server stehen? Da müsstet ihr dann mal die Logs der FW durchschauen.

 

[Appler]

Unser SPF eintrag
v=spf1 mx a ip4:feste IP/32 ip4:192.168.1.1/24 include: domänen -all

Die Server sowie der Internet-Anschluss sind hier im Haus

Ergänzung (2. März 2017)

Aber ich glaube hier wird grad was falsch verstanden. Die IP der Firma wird mir ebenfalls angezeigt. Also die aus Süd-Afrika

 

[TheCadillacMan]

Die IP der Firma wird mir ebenfalls angezeigt. Also die aus Süd-Afrika

Wo wird die angezeigt?

 

[snaxilian]

Ihr habt allen ernstes 192.168.1.1/24 in eurem SPF?

 

[Appler]

Die IP der Firma habe ich in einem Header gefunden die mir auf einer der Blacklisten Seiten gezeigt wurde.
Ebenso wurde mir der Absender gezeigt. Email-Adresse@gmail.com
Irgendein Billigladen mit Sitz in Johannesburg.