Angriff auf Mailaccount geglückt??

[scientific]

Han heute ein Erpressermail von mir an mich mit gültiger DKIM-Signatur erhalten.

Kann ich davon ausgehen, dass mein Mailaccount geknackt wurde?

Auf dem entsprechenden Account ist nix in den Gesendeten Mails.

Wie kann ich das checken, ob da tatsächlich etwas passiert ist?

[EDIT]
Hab noch ein wenig nachgeforscht. Diese Email-Adresse taucht bei https://haveibeenpwned.com/ auf... Diese Email-Adresse liegt prinzipiell bei einem externen Provider, wo ich den SMTP-Server, den IMAP-Server und ein Webmail verwende.
Ich betreibe auch meinen eigenen Mailserver, der eigenständig die Emails mit DKIM signiert, dementpsrechend habe ich zwei Selektoren in meinem DNS hinterlegt. Beim Erpressungsmail scheint der Selektor des Webmail-Servers auf.

Ich nehme einmal an, ich kann davon ausgehen, dass der gestohlene Account von haveibeenpwned mit den Logindaten dazu genutzt wurde, das Email per Webmail zu verschicken, und es wurde nachher aus den gesendeten Mails gelöscht. Leider hab ich auf die dortigen Logs keinen Zugriff. Ich habe meine Passwörter in den letzten Monaten so gut wie alle einmal geändert. Dieses hatte ich offenbar übersehen...

Liege ich mit meiner Vermutung überhaupt richtig?

Lg scientific

[Apfelmann]

Ich habe so etwas auch mit einer Mailadresse bei web.de erlebt,
ist aber schon eine Weile her, habe damals den Service informiert,
es kam eine normale Belehrung und Info zur Computersicherheit und das wars, aber danach sind auch keine Mails mehr gekommen.

Deine Vermutung ist naheliegend.

LG

[novalix]

Ich nehme einmal an, ich kann davon ausgehen, dass der gestohlene Account von haveibeenpwned mit den Logindaten dazu genutzt wurde, das Email per Webmail zu verschicken, und es wurde nachher aus den gesendeten Mails gelöscht.

Du hast nichts dazu geschrieben, über welche MX-Server die Mail bei Dir eingeliefert wurde.
Falls in den Headern der MX Deines Providers als Ursprung der Lieferkette identifizierbar ist, brauchst Du ja nicht mehr zu vermuten.
Es ist auf der anderen Seite nämlich auch möglich, dass Spammer sich den DKIM-Eintrag aus dem DNS greifen und in ihren Mailheader einkleben.
Deshalb ist es auch sinnvoll zusätzlich einen SPF-Record zu erstellen, bzw. diesen bei der Einlieferung zu prüfen.

[scientific]

Das sind die Received-Header aus dem Mail.

Code: Alles auswählen

Received: from [81.19.149.114] (helo=mx04lb.world4you.com)
	by mail20.world4you.com with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.91)
	(envelope-from <gaihan@towada-meat.jp>)
	id 1h4ouF-0006Vf-SX
	for meine.email@meine.domain; Fri, 15 Mar 2019 16:37:59 +0100
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
	d=meine.domain; s=dkim11; h=Message-ID:Date:Subject:List-Unsubscribe:To:
	List-ID:List-Help:From:MIME-Version:Content-Type:Sender:Reply-To:Cc:
	Content-Transfer-Encoding:Content-ID:Content-Description:Resent-Date:
	Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:
	References:List-Subscribe:List-Post:List-Owner:List-Archive;
	bh=DM8kCTY5H+udEsd3BYSS14qLTCdm15EGrr59kUxW1hA=; b=pt6abttzZa4CT3H79LviOE+ceX
	qmifMLgz7OLsmAabRs1bzW91lQw3vKcj1AxUuQTx3Pq0OmRWhS4vkZtlzNn2WWMNPih58pYKQ0Jf6
	VnYFCHbCzA0NLkAEyMpqsVMsOYBXgXfLeAwJ0TioTHtb9VwnGkCev7eRlydUEnA79JTU=;
Received: from [153.153.66.22] (helo=oogw1420.ocn.ad.jp)
	by mx04lb.world4you.com with esmtp (Exim 4.91)
	(envelope-from <gaihan@towada-meat.jp>)
	id 1h4ou6-0006T5-14
	for meine.email@meine.domain; Fri, 15 Mar 2019 16:37:59 +0100
Received: from cmn-spm-mts-006c1.ocn.ad.jp (cmn-spm-mts-006c1.ocn.ad.jp [153.153.67.160])
	by oogw1420.ocn.ad.jp (Postfix) with ESMTP id 51BBF840623
	for <meine.email@meine.domain>; Sat, 16 Mar 2019 00:37:48 +0900 (JST)
Received: from mwb-vc-mts-001c1.ocn.ad.jp ([153.138.237.203])
	by cmn-spm-mts-006c1.ocn.ad.jp with ESMTP
	id 4oqdheVHz07dL4ou4h68AL; Sat, 16 Mar 2019 00:37:48 +0900
X-BIZ-RELAY: yes
Received: from sgs-vcgw115.ocn.ad.jp ([153.149.141.196])
	by mwb-vc-mts-001c1.ocn.ad.jp with ESMTP
	id 4ou4hP6R5sU9L4ou4hHKFT; Sat, 16 Mar 2019 00:37:48 +0900
Received: from towada-meat.jp (towada-meat.jp [118.23.164.124])
	by sgs-vcgw115.ocn.ad.jp (Postfix) with ESMTP id DFE7EA40275
	for <meine.email@meine.domain>; Sat, 16 Mar 2019 00:37:47 +0900 (JST)
Received: from [185.176.79.170.topnetpb.com.br] (unknown [170.79.176.185])
	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
	(Client did not present a certificate)
	by towada-meat.jp (Postfix) with ESMTPSA id A022810002C45
	for <meine.email@meine.domain>; Sat, 16 Mar 2019 00:37:17 +0900 (JST)

Mein Setup ist so für diese Email-Adresse:

Der Account ist bei einem Provider (world4you). Dort hab ich ein Webmail und kann per SMTP und IMAP die Emails senden und ansehen/abholen. Über diesen Server versendet wird der DKIM-Selector "dkim11" verwendet.
Ich betreibe einen eigenen Mailserver (exim4 mit dovecot), auf dem mehrere Mailaccounts per getmail abgeholt und mittels dovecots sieve serverseitig gefiltert und sortiert werden. Auf den eigenen Mailserver greife ich per Thunderbird, Gmail-App (Android) und Webmail (Horde und Rainloop aus Nextcloud) zu.
Der eigene Mailserver signiert selbst DKIM mit einem anderen Selector, der ebenfalls am selben DNS wie oben hinterlegt ist. Damit weiß ich ja jetzt auch, dass das Erpressermail nicht über meinen eigenen Mailserver verschickt wurde, sondern "nur" der world4you-Account geknackt wurde.

Im Email ist als "From" wie auch als "To"-Header "meine.email@meine.domain". Der Body sieht aus wie Text, ist aber eigentlich ein eingebunden angezeigtes Bild

Code: Alles auswählen

This is a multi-part message in MIME format

--774679091962-FBA088F386BF02D
Content-Type: multipart/alternative;
        boundary="952065446101073-DA0E408F83CEC036C29"

--952065446101073-DA0E408F83CEC036C29
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: base64


--952065446101073-DA0E408F83CEC036C29
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: base64

PGh0bWw+PGJvZHk+PGltZyBzcmM9ImNpZDphdHRfaW1nXzg1MDA4MCI+PC9ib2R5PjwvaHRtbD4N
Cg==

--952065446101073-DA0E408F83CEC036C29--

--774679091962-FBA088F386BF02D
Content-Type: image/jpeg;
        name="1552667834582.jpg"
Content-Transfer-Encoding: base64
Content-Disposition: inline;
        filename="1552667834582.jpg"
Content-ID: <att_img_850080>

dann folgt das Bild

Damit man so ein Email verschicken kann, benötigt man ja den DKIM-Private-Key, sonst klappt die Signierung des Bodys ja nicht. Das geht doch nur, wenn der Erpresser entweder über Webmail das Mail versendet, oder tatsächlich den DKIM-Private-Key ergattern konnte (den für Webmail hab aber nicht einmal ich...)

Ich hab noch getestet, wenn ich eine SMTP-Sitzung auf der Konsole mit openssl auf den MX des Providers mache und ein Email von dort manuell ein Email versende, wird dieses nicht mit DKIM signiert. Das Email muss also wirklich über eine Webmail-Session versendet worden sein. Hab ich das richtig verstanden?

SPIF steht noch an, zu konfigurieren... Das stimmt.


lg scientific

[novalix]

Also ich sehe da, dass die Mail über mehrere MX gelaufen ist, bevor sie den MX Deines Providers erreicht hat.
Der hat sie dann gesigned, weil er sie, warum auch immer, als valide eingestuft hat und an sich selbst geschickt.

Schau Dir im Vergleich doch bitte mal den Header einer Mail an, die Du im Webmail-Frontend Deines Providers an Dich selbst verschickst.

[bluestar]

Für mich sieht das eher nach einem Bug im Mailsystem deines Providers aus.

Schick dir mal von einem andrren Provider eine Testmail und vergleiche die Header.

[scientific]

Ja das ist auch etwas, worüber ich mich gewundert habe, dass das Mail über mehrere andere MX angeliefert wurde...

Ich hab beim Provider ein Ticket aufgemacht und harre der Antwort.

Was könnte das für ein Bug sein?

lg scientific

[bluestar]

Was könnte das für ein Bug sein?

Für mich sieht das so aus als würden hier unter einer IP über einen Loadbalancer zwei Mxe angesprochen werden.

Der Master war down, der Slave hat die Mail angenommen und vor dem Weiterleiten an den Master halt als Outgoing-Mail signiert...
Du hast die Mail dann von Master bekommen.

Alles nur Spekulation