Exchange Hack und Spam

Nachdem ich meinen Mail Provider gewechselt habe, darf ich mich wieder selbst um den täglichen Spam kümmern.

Meine Anforderungen sind eher gering, weshalb ich das kostenlose „Proxmox“ Gateway in einer VM verwende.

Das läuft nun schon seit Jahren stabil und ohne Probleme.

Täglich fange ich so zwischen 10 und 20 Mails damit ab.

Seit dem 05.03.2021 bemerke ich allerdings einen Unterschied bei den „Absenderdomänen“ und dem Volumen.

Lauteten die Domänen bisher „deutschonline.xyz“ oder „.club“ so kommen nun mehr „reale“ Domänen bei mir an.

„tesla.de“, „polo.de“, „ikea.de“, „mcdonalds.de“, „netflix.de“, „zalando.de“, „milka.de“ oder „knorr.de“.

Gleichzeitig gibt es einen deutlichen Rückgang beim SPAM Volumen um 60-80% mit wieder leicht steigender Tendenz.

Das könnte so aus dem Bauch heraus etwas mit dem Exchange Hack zu tun haben, weil sicher auch eine Menge Exchange Server kurzzeitig nicht verfügbar waren.

Auffällig ist auch die Herkunft der Mails. Im Header finde ich ungewöhnlich oft Zeilen wie diese:

Received: from vjk3.01.gen.tr (aiserv044a1-ip27.northcentralus.cloudapp.azure.com [52.162.166.226])

Eine genauere Auswertung habe ich noch nicht machen können, weil ich diese Woche in einer Weiterbildung stecke.

Zumindest der Kontext der Vorgänge stimmt mich nachdenklich.

Da werden Exchange Server angegriffen, aber die „Cloud-Lösungen“ sind angeblich sicher.

Bei den eingehenden SPAM-Mail ändert sich etwas und viele kommen auf einmal aus der azure-Cloud.

Leider habe ich viel zu wenig Basismaterial um sicher eine Tendenz erkennen und nachweisen zu können – seltsam ist das aber schon, oder?