Der seltsame Weg einer E-Mail

1. offizieller Beitrag

    Hallo zusammen.


    Ich stehe gerade vor einem Mysterium welches ich nicht klären kann und hoffe das mir jemand hier weiterhelfen kann:


    E-Mails einer Mitarbeiterin werden als Spam erkannt. Daraufhin habe ich versucht nachzuvollziehen warum dies so ist. Grund hierfür: Die IP des Absenders passt nicht zu deren E-Mailadresse. Bei der Überprüfung stellte ich fest das die IP von deren privaten Anschluss kommt und nicht die unseres Exchange Servers.
    Hier zum Aufbau:


    Client <Mapi> Exchangeserver <POP / SMTP> Smarthost <Versand>


    Nun zur eigentlichen Frage:
    Wie kann es sein das die IP der Mitarbeiterin überhaupt in der Nachricht auftritt?? Die Mitarbeiterin hat definitiv weder über SMTP noch POP Zugriff.


    Ich komme hier nicht mehr weiter. Hat jemand mir einen Hinweis?


    Mit freundlichen Grüßen,


    Werner

    • Offizieller Beitrag

    Naja mit den paar Infos, kann man nur raten. Am sinnvollsten wäre es, wenn du mal zwei Header hier posten könntest. 1x normale Mail und 1x Mail der betroffenen Kollegin.


    Ggf. mit erkennbarer Verfremdung, wobei das dann natürlich schwerer wird. Geht es um Mails die intern als Spam erkannt werden oder von externen Empfängern?


    Bye
    Norbert

    Sehr gerne! Hier die Header:



    Received: from firma-exchange.firma.LOCAL (pd956a625.dip0.t-ipconnect.de
    [217.86.166.37]) by alfa3008.alfahosting-server.de (Postfix) with ESMTPSA id
    B7EC996007D; Tue, 11 Feb 2014 18:59:19 +0100 (CET)
    Received: from firma-EXCHANGE.firma.LOCAL ([::1]) by firma-exchange.firma.LOCAL
    ([::1]) with mapi id 14.02.0387.000; Tue, 11 Feb 2014 18:59:19 +0100
    Return-Path: <sender@firma-xy.de>
    From: sender <sender@firma-xy.de>
    To: xxxxxxxxxxx <xxxxx@firma-xy.de>, xxxxxxx
    <xxxxxxxxxx@firma-xy.de>, xxxxxxxxxx <xxxxx@firma-xy.de>....

    Subject: Betreff
    Date: Tue, 11 Feb 2014 18:59:18 +0100
    Message-ID: <B7E00809F8257041ABC45A07EE77EA590417CCA4@firma-exchange.firma.LOCAL>
    MIME-Version: 1.0
    Content-Type: multipart/related;
    boundary="----=_NextPart_000_024C_01CF27C7.38ED88A0"
    X-Priority: 1 (Highest)
    X-MSMail-Priority: High
    X-Mailer: Microsoft Office Outlook 12.0
    Thread-Index: Ac8nUu45WDsLk+YgR+WfzTR53eGPLA==
    Importance: High







    Hier der Inhalt der Übermittelten Fehlermeldung:


    Von: Sender [mailto:sender@firma-xy.de]
    Gesendet: Dienstag, 11. Februar 2014 18:59
    An: xxxxxxxx; xxxxxxxx; xxxxxx;
    Betreff: *****SPAM***** Betreff


    Spam detection software, running on the system "alfa3008.alfahosting-server.de", has identified this incoming email as possible spam. The original message has been attached to this so you can view it (if it isn't spam) or label similar future email. If you have any questions, see @@CONTACT_ADDRESS@@ for details.


    Content preview: [...]


    Content analysis details: (6.0 points, 5.0 required)


    pts rule name description
    ---- ----------------------
    --------------------------------------------------
    1.0 EXTRA_MPART_TYPE Header has extraneous Content-type:...type=
    entry
    3.3 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
    [77.12.87.145 listed in zen.spamhaus.org]
    0.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP
    address
    [77.12.87.145 listed in dnsbl.sorbs.net]
    1.3 RCVD_IN_RP_RNBL RBL: Relay in RNBL,
    https://senderscore.org/blacklistlookup/
    [77.12.87.145 listed in bl.score.senderscore.com]
    0.0 HTML_MESSAGE BODY: HTML included in message
    -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1%
    [score: 0.0000]
    1.4 SHORT_HELO_AND_INLINE_IMAGE Short HELO string, with inline image
    0.8 RDNS_NONE Delivered to internal network by a host with no
    rDNS
    1.0 HELO_NO_DOMAIN Relay reports its domain incorrectly
    -0.9 AWL AWL: From: address is in the auto white-list


    The original message was not completely plain text, and may be unsafe to open with some email clients; in particular, it may contain a virus, or confirm that your address can receive spam. If you wish to view it, it may be safer to save it to a file and open it with an editor.



    Nun noch der Header einer normalen Nachricht:


    Received: from exchange-pop3-connector.com (192.168.1.1) by
    firma-exchange.firma.LOCAL (192.168.1.1) with Microsoft SMTP Server id
    14.2.347.0; Wed, 12 Feb 2014 07:53:52 +0100
    Return-Path: <sender@firma-xy.de>
    X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on
    alfa3008.alfahosting-server.de
    X-Spam-Level:
    X-Spam-Status: No, score=-2.1 required=5.0 tests=ALL_TRUSTED,AWL,BAYES_00,
    HTML_MESSAGE,TRACKER_ID autolearn=no version=3.3.1
    X-Spam-DCC: :
    X-Original-To: sender@firma-xy.de
    Delivered-To: web592p72@alfa3008.alfahosting-server.de
    Received: from Sender (koln-4db45f2f.pool.mediaWays.net
    [77.180.95.47]) by alfa3008.alfahosting-server.de (Postfix) with ESMTPA id
    4BB7A96007D; Wed, 12 Feb 2014 07:51:22 +0100 (CET)
    From: Ingrid Dollhopf <sender@firma-xy.de>
    To: <empfaenger@firma-xy.de>, <sender@firma-xy.de>
    Subject: WG: *****SPAM***** Betreff
    Date: Wed, 12 Feb 2014 07:51:21 +0100
    Message-ID: <025101cf27be$d72920a0$857b61e0$@de>
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_0252_01CF27C7.38ED88A0"
    X-Mailer: Microsoft Office Outlook 12.0
    Thread-Index: Ac8nUv4LU4ZrSiNdSDKNzjRaOFUZAwAa7giQ
    Content-Language: de
    X-Alfa-Virus: check-delete
    X-Alfa-Spam: check
    X-MS-Exchange-Organization-AuthSource: firma-exchange.firma.LOCAL
    X-MS-Exchange-Organization-AuthAs: Anonymous
    X-MS-Exchange-Organization-PRD: firma-xy.de
    X-MS-Exchange-Organization-SenderIdResult: None
    Received-SPF: None (firma-exchange.firma.LOCAL: sender@firma-xy.de does
    not designate permitted sender hosts)
    X-MS-Exchange-Organization-SCL: 0
    X-MS-Exchange-Organization-PCL: 2
    X-MS-Exchange-Organization-Antispam-Report: DV:3.3.12402.464;SID:SenderIDStatus None;OrigIP:192.168.1.1
    X-KSE-AntiSpam-Interceptor-Info: scan successful
    X-KSE-AntiSpam-Version: 5.2.5, Database issued on: 02/12/2014 05:46:07
    X-KSE-AntiSpam-Status: KAS_STATUS_FORMAL
    X-KSE-AntiSpam-Method: none
    X-KSE-AntiSpam-Rate: 5
    X-KSE-AntiSpam-Info: Lua profiles 56610 [Feb 12 2014]
    X-KSE-AntiSpam-Info: Version: 5.2.5
    X-KSE-AntiSpam-Info: Envelope from: sender@firma-xy.de
    X-KSE-AntiSpam-Info: {RECEIVED: dynamic ip detected}
    X-KSE-AntiSpam-Info: Rate: 5
    X-KSE-AntiSpam-Info: Status: formal
    X-KSE-AntiSpam-Info: Method: none
    X-KSE-AntiSpam-Info: Moebius-Timestamps: 2775505, 2775634, 2775477
    X-KSE-Antiphishing-Info: Clean
    X-KSE-Antiphishing-Method: None
    X-KSE-Antiphishing-Bases: 02/12/2014 05:47:00
    X-MS-Exchange-Organization-AVStamp-Mailbox: Kaspersk;4002120441;0;0
    X-KSE-Antivirus-Interceptor-Info: scan successful
    X-KSE-Antivirus-Info: Clean





    Vielen Dank schon einmal!

    • Offizieller Beitrag

    Moin,


    man sieht folgenden Ablauf:


    Header 1:


    Die Mail wird in Outlook erstellt und via MAPI bei Exchange eingeliefert


    "Received: from firma-EXCHANGE.firma.LOCAL ([::1]) by firma-exchange.firma.LOCAL
    ([::1]) with mapi id 14.02.0387.000; Tue, 11 Feb 2014 18:59:19 +0100"


    Der Exchange-Server versucht diese Mail per SMTP bei "alfahosting-server.de" einzuliefern,


    Received: from firma-exchange.firma.LOCAL (pd956a625.dip0.t-ipconnect.de
    [217.86.166.37]) by alfa3008.alfahosting-server.de (Postfix) with ESMTPSA id


    der die dann als Spam ablehnt, offensichtlich weil Dein Exchange-Server von einer dynamischen IP-Adresse sendest ("sent directly from dynamic IP
    address").


    Die zweite Mail wird NICHT bei Exchange eingeliefert. Der Absender liefert diese per SMTP direkt bei alfahosting ein:


    Received: from Sender (koln-4db45f2f.pool.mediaWays.net
    [77.180.95.47]) by alfa3008.alfahosting-server.de (Postfix) with ESMTPA id


    Exchange kommt erst ins Spiel, wenn der POP-Connector die Mail abholt und ins Postfach schiebt.


    Da Du allerdings die E-Mail-Adressen verschleierst, kann man nun nicht wirklich erkennen, wer intern oder extern ist oder wer wohin sendet.

    Wow! Das war ja schon einmal klasse!


    Hierzu ein paar Anmerkungen: Unser Exchange-Server sendet von einer statischen IP und überträgt seit langem ohne jegliche Fehlklassifizierung zuverlässig. Daher verstehe ich nicht warum gerade bei dieser Mitarbeiterin dieser Fehler auftritt.
    Wie gesagt, das passiert ja immer bei genau dieser Mitarbeiterin!


    Weiter verstehe ich nicht wie der Client die Mail dann überhaupt selbst übertragen kann. Dort ist ja nur MAPI eingerichtet. Wie ist das möglich?


    Ich habe den Header nun etwas schöner gestaltet. Hilft das?



    Received: from firma-exchange.firma.LOCAL (pd956a625.dip0.t-ipconnect.de
    [217.86.166.37]) by alfa3008.alfahosting-server.de (Postfix) with ESMTPSA id
    B7EC996007D; Tue, 11 Feb 2014 18:59:19 +0100 (CET)
    Received: from firma-EXCHANGE.firma.LOCAL ([::1]) by firma-exchange.firma.LOCAL
    ([::1]) with mapi id 14.02.0387.000; Tue, 11 Feb 2014 18:59:19 +0100
    Return-Path: <mustermann@firma-a.de>
    From: Mustermann <mustermann@firma-a.de>
    To: Max <max@firma-b.de>
    Subject: Betreff
    Date: Tue, 11 Feb 2014 18:59:18 +0100
    Message-ID: <B7E00809F8257041ABC45A07EE77EA590417CCA4@firma-exchange.firma.LOCAL>
    MIME-Version: 1.0
    Content-Type: multipart/related;
    boundary="----=_NextPart_000_024C_01CF27C7.38ED88A0"
    X-Priority: 1 (Highest)
    X-MSMail-Priority: High
    X-Mailer: Microsoft Office Outlook 12.0
    Thread-Index: Ac8nUu45WDsLk+YgR+WfzTR53eGPLA==
    Importance: High

    • Offizieller Beitrag
    Zitat


    Hierzu ein paar Anmerkungen: Unser Exchange-Server sendet von einer statischen IP


    Ja, T-Com gibt die Adresse als statisch an.


    Zitat

    und überträgt seit langem ohne jegliche Fehlklassifizierung zuverlässig. Daher verstehe ich nicht warum gerade bei dieser Mitarbeiterin dieser Fehler auftritt.
    Wie gesagt, das passiert ja immer bei genau dieser Mitarbeiterin!


    Dann solltest Du die Frage an alfahosting stellen. Da sind mehrere Lösungen denkbar, Roundrobin, Fehler in deren Server, falsche Fehlermeldung, fehler in der Blacklist, usw.


    Zitat


    Weiter verstehe ich nicht wie der Client die Mail dann überhaupt selbst übertragen kann. Dort ist ja nur MAPI eingerichtet. Wie ist das möglich?


    Wir können Dir nur sagen, was im Header steht. Und im zweiten Header sieht man keine MAPI-Verbindung und Exchange erst, als die Mail per POP-Connector abgeholt wird.


    Die zweite Mail wird über einen Anschluss bei o2 (bzw. Telefonica) gesendet.