Tausende Mails mit dem Betreff "Unzustellbar: Signed Contract" im Posteingang

Wir hatten heute morgen knapp 6.000 Mails mit dem Betreff "Unzustellbar: Signed Contract" im Posteingang.

Der Inhalt einer der Mails lautet:

**** Anfang ****

This is the mail system at host vavmex1-drvr-001.localdomain.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<aniyathimol2008@yahoo.com>: host mta5.am0.yahoodns.net[98.136.102.54] said:
554 delivery error: dd This user doesn't have a yahoo.com account
(aniyathimol2008@yahoo.com) [0] - mta4368.mail.gq1.yahoo.com (in reply to
end of DATA command)

**** Ende ****

Für mich sieht das aus, als würde jemand unsere Email-Adresse für den Versand von Spam benutzen (Mailspoofing?).

Was habe ich bereits gemacht:

1) Öffentliche DNS EInträge: SPF, DKIM, DMARC

2) Interne DNS Einträge: SPF mit IP des Mailservers

3) Anti-Spam-Agents installiert (ich dachte, dass ich das schon getan hätte....).

Was kann/muss ich noch tun, um so eine Email-Flut zukünftig zu vermeiden?

Herzlichen Dank im Voraus.

Zitat von NobbyausHB

Moin,

was heißt Posteingang - oder Warteschlange?

Ist das u.U. ein Backscatter-Angriff? Da werden die NDR ausgewertet.

Ist die Empfänger-Filterung aktiv?

Wie kommen die Mails zum Exchange, ist was vorgelagert?

Alles anzeigen

Die Mails befinden sich bei uns im Posteingang (nicht Queue und nicht Junk-Email-Ordner).

Nach ein paar Stunden Internet-Recherche tippe ich auf Mailspoofing. Es werden also Emails in unserem Namen gesendet. Da die Emails nicht zugestellt werden können, bekommen wir die NDRs (?).

Ich habe daraufhin die folgenden Parameter überprüft bzw. gesetzt:

Set-SenderIDConfig
-SpoofedDomainAction Reject
-Enabled $true
-ExternalMailEnabled $true .
-InternalMailEnabled $true

InternalMailEnabled sorgt dafür, dass auch intern nur die zugelassen Mailserver Emails senden können. Allerdings weiß ich nicht, ob der interne SPF-Record dafür relevant ist oder der Parameter -InternalSMTPServers des Befehls Set-TransportConfig.

Den Parameter SpoofedDomainAction steht standardmäßig auf $false. Dabei sorgt genau diese Parameter eigentlich dafür, dass Emails abgewiesen werden, wenn sie von einem nicht authorisierten Mailserver verschickt werden, soweit ich das verstanden habe.

Naja, auf jeden Fall habe ich seitdem nicht mehr haufenweise NDRs im Posteingang gehabt. Ich hoffe, dass das so bleibt.

Zitat von RobertW

Exchange kann weder DKIM noch DMARC. DKIM-Einträge sind daher eher schädlich. SPF sollte aber sein.

Intern unrelevant oder wieviele unterschiedliche Mailsserver hast Du so im Netz?

Die von Exchange helfen da leider nur sehr begrenzt.
Welche Anti-Spam-Maßnahmen bei Dir vor Ort helfen würden, kann man eh ohne weitere Infos nicht sagen. Dafür müssen die kompletten Header- und Mail-Infos der NDRs ausgewertet werden. Und muss man halt bei den Adressen wissen, welche IP für welche Server steht.

Zuerst mal analysieren, woher die "Mail-Flut" kommt. Theoretisch reicht einzige Mail mit passenden Auto-Respondern aus, um einen schöne Schleife zu bauen.

Erstens: Vielen Dank für Eure Antworten. Das ist mein erster Eintrag hier im Forum und ich werde mich wohl noch häufiger melden, da dies mein erste Mail-Server ist.

1) DMARC ist lediglich ein TXT-Record im öffentlichen DNS. Für DKIM habe ich die Drittanbieter-Software "DKIM Signing Agent for Microsoft Exchange Server" auf dem Mailserver installiert. Das funktioniert - soweit ich das feststellen konnte - sehr gut. Habe mit MXToolBox getestet.

2) Wir haben einen Email-Server.

3) Ich habe mir die Header angeguckt und festgestellt, dass dort folgender EIntrag zu finden ist:
X-MS-Exchange-Organization-SenderIdResult: None

Würde ein Auto-Responder die ganze Sache nich noch schlimmer machen? Ich möchte das Problem an möglichst höchster konfigurierbarer Stelle unterbinden und hoffe, dass meine bisher getätigten Änderungen funktioniert haben.