Spam von *.cloudapp.azure.com (Microsoft)

89 views
Skip to first unread message

Andreas M. Kirchwitz

unread,
Mar 6, 2021, 11:48:43 AMMar 6
to
Hallo Spam-Opfer!

In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
Received-Header, die restlichen Header sind natürlich gefälscht).
Das hat wohl irgendwas mit Office365 von Microsoft zu tun.

Hat jemand Ahnung, was *.cloudapp.azure.com grundsätzlich für ein
Konstrukt ist? Sind das Kunden, die ihr Office/Exchange in der
Microsoft-Cloud betreiben? (Ich kenne mich damit nicht aus.)

Wo setzen die Spammer an? Kaufen die sich direkt bei Microsoft ein?
Kann ich mir kaum vorstellen. Oder hacken sie die Dienste anderer,
die ihre Installation nicht im Griff haben?

Von ab...@microsoft.com kam fix die Antwort, ich möge mich an
ju...@office365.microsoft.com wenden, doch dort scheint man das
eher aussitzen zu wollen.

Nun könnte man auf die Idee kommen, *.cloudapp.azure.com bzw.
die IP-Adress-Bereiche pauschal abzulehnen, doch da sind gewiss
viele ehrliche Kunden dabei, und das scheint mir nicht so schlau
in meinem eigenen Interesse.

Kennt jemand vielleicht die Problematik mit *.cloudapp.azure.com?
Gibt es schlaue Tipps, wie man damit umgehen sollte?

Grüße, Andreas

Thomas Hochstein

unread,
Mar 6, 2021, 1:15:03 PMMar 6
to
Andreas M. Kirchwitz schrieb:

> In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
> Received-Header, die restlichen Header sind natürlich gefälscht).
> Das hat wohl irgendwas mit Office365 von Microsoft zu tun.

Ich glaube nicht. Azure ist die MS-Cloud (also im Prinzip dasselbe wie
AWS von Amazon), und *.cloudapp.azure.com scheint für die VMs
reserviert zu sein (mit MYNAME.REGION.cloudapp.azure.com.

(Für "Azure App Services" für "Web-Apps, mobile Back-Ends und
RESTful-APIs" ist es *.azurewebsites.net, und für "Azure Cloud
Services" für "hochverfügbare und skalierbare Cloudanwendungen und
APIs" ist es "*.cloudapp.net", AFAIS.)

> Hat jemand Ahnung, was *.cloudapp.azure.com grundsätzlich für ein
> Konstrukt ist? Sind das Kunden, die ihr Office/Exchange in der
> Microsoft-Cloud betreiben? (Ich kenne mich damit nicht aus.)

Es scheint mir schlicht die Domain für VMs zu sein, also das
Gegenstück zu "compute.amazonaws.com" bei AWS.

-thh
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<https://th-h.de/net/usenet/faqs/danam-intro/> lesen!

Weitere kleine Texte rund um das Thema E-Mail: <https://th-h.de/net/mail/>

Andreas M. Kirchwitz

unread,
Mar 15, 2021, 10:47:02 PMMar 15
to
Thomas Hochstein <t...@thh.name> wrote:

>> In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
>> Received-Header, die restlichen Header sind natürlich gefälscht).
>> Das hat wohl irgendwas mit Office365 von Microsoft zu tun.
>
> Ich glaube nicht. Azure ist die MS-Cloud (also im Prinzip dasselbe wie
> AWS von Amazon), und *.cloudapp.azure.com scheint für die VMs
> reserviert zu sein (mit MYNAME.REGION.cloudapp.azure.com.

Also an sich nichts Böses, doch leider ist es das einzig Greifbare
bei der Spamwelle, die sich erstaunlich erfolgreich durch sämtliche
Spam-Filter mogelt seit einigen Wochen. RBLs greifen hier bisher
ziemlich schlecht, vielleicht wollen sich manche nicht mit Microsoft
anlegen?

Sicherheitshalber habe ich alte Logfiles und Mailheader durchsucht,
doch die Domain scheint ansonsten keine Anwendung gefunden zu haben.
Wer dort irgendwelche (ernsthaften) Mailserver betreibt, scheint auch
an schicke DNS-Einträge gedacht zu haben, statt bei diesem Default-
Schema zu bleiben.

Microsoft hat sich trotz weiterer Spam-Reports nicht weiter
gemeldet. Na ja, ich hab's probiert. Laut einigen Berichten
im Netz sind andere wegen des gleichen Problems ebenfalls nicht
weiter vorgedrungen. Es scheint aber insgesamt (noch?) nicht
viele zu betreffen. Auch irgendwie erstaunlich.

Ich habe die Domain nun geerdet und werde das beobachten.
Das Risiko scheint sehr gering, sich damit in den Fuß zu schießen.

Danke für die Erklärungen (und mehr).

Falls einer der Mitlesenden neue Erkenntnisse hat, freue ich mich
natürlich, wenn er sie hier teilen mag.

Grüße, Andreas

Markus Schaaf

unread,
Mar 17, 2021, 12:06:28 PMMar 17
to
Am 16.03.21 um 03:47 schrieb Andreas M. Kirchwitz:

> Ich habe die Domain nun geerdet und werde das beobachten.
> Das Risiko scheint sehr gering, sich damit in den Fuß zu schießen.

Ich würde weiter gehen und sagen, dass ein generischer
Reverse-Domain-Name ein sicheres Zeichen für einen Host ist, der kein
Mailserver ist. Ich habe diese Domain gleich mal in meine Reject-Liste
aufgenommen. Leider finde ich im WWW keine Sammlung mit solchen
generischen Domains.

Paul Muster

unread,
Mar 17, 2021, 4:22:03 PMMar 17
to
Du könntest mal gucken, ob es eine passende DNSBL/RBL gibt.


mfG Paul

Markus Schaaf

unread,
Mar 17, 2021, 9:48:11 PMMar 17
to
Am 17.03.21 um 21:08 schrieb Paul Muster:

[generische Reverse-Domains]
> Du könntest mal gucken, ob es eine passende DNSBL/RBL gibt.

Hab nichts gefunden*. Überlege sowas zu publizieren. Nur sollten auch
anfangs schon mehr als 5 Domains drin stehen. Bekomme "leider" nicht so
viel Spam, dass das Sammeln lohnen würde.

*Wobei das, was PBL/DUHL abdecken, ja uninteressant ist.

Marc Haber

unread,
Mar 18, 2021, 4:50:16 AMMar 18
to
Und leider gibt es derzeit einen sehr hartnäckigen Spammer, der von
OVH aus operiert, der saubere HOstnamen namens
outbound.protection.wegwerfdomain.com vergibt, vermutlich um
Ähnlichkeit zu Microsoft zu suggerieren.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Thomas Hochstein

unread,
Mar 18, 2021, 7:00:02 AMMar 18
to
Marc Haber schrieb:

> Und leider gibt es derzeit einen sehr hartnäckigen Spammer, der von
> OVH aus operiert,

Aber leider vermutlich nicht auis Strasbourg.

Enrik Berkhan

unread,
Mar 18, 2021, 9:13:05 AMMar 18
to
Weil Spammer von dort aus nur so lange aktiv sind, bis ihre Adressen mal
wieder verbrannt sind?

Gernot Griese

unread,
Mar 18, 2021, 9:21:18 AMMar 18
to
Am 18.03.21 um 13:37 schrieb Enrik Berkhan:
Wohl eher, weil dann der Server verbrannt sein könnte.

Gernot

--
Wie der wahre Gläubige den Klimawandel erklärt:
"Die zufällige Änderung einer zufälligen Grösse um einen zufälligen
Betrag führt zufälligerweise zu einer exakten Korrelation zwischen
dem CO2-Gehalt der Luft und der der globalen Temperatur."

Marc Haber

unread,
Mar 18, 2021, 1:59:00 PMMar 18
to
Habe heute jede Menge dieses Spamtyps von einem kanadischen Hoster
bekommen.

Marc Haber

unread,
Mar 19, 2021, 7:23:59 AMMar 19
to
Andreas Kohlbach <a...@spamfence.net> wrote:
>On Thu, 18 Mar 2021 18:58:59 +0100, Marc Haber wrote:
>>
>> Thomas Hochstein <t...@thh.name> wrote:
>>>Marc Haber schrieb:
>>>> Und leider gibt es derzeit einen sehr hartnäckigen Spammer, der von
>>>> OVH aus operiert,
>>>
>>>Aber leider vermutlich nicht auis Strasbourg.
>>
>> Habe heute jede Menge dieses Spamtyps von einem kanadischen Hoster
>> bekommen.
>
>shaw.ca?
>
>Wenn hier was aus Kanada kommt, ist es über 80% von dort. Kann natürlich
>sein, dass Spamazon und andere merkbefreite Spammer-Wolken hier auch
>Server haben, dass mir das nicht auffällt.

gwhois hat die Adresse nicht aufgelöst, weil Early Registration,
weiter hab ich nicht geforscht, der letzte Host im Trace mit reverse
DNS war irgendwas unterhalb .qc.ca, die Latenz hat gepasst. Mehr hat
mich nicht großartig interessiert.

Markus Schaaf

unread,
Mar 22, 2021, 9:56:24 AMMar 22
to
Am 06.03.21 um 17:48 schrieb Andreas M. Kirchwitz:
> Hallo Spam-Opfer!
>
> In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
> Received-Header, die restlichen Header sind natürlich gefälscht).
> Das hat wohl irgendwas mit Office365 von Microsoft zu tun.

Ich sehe den jetzt auch. Kommt bei mir jedoch nicht durch, weil es
keinen A-Record für *.cloudapp.azure.com gibt. ARIN sagt, die IPs
gehören Microsoft. Da haben die wohl mal was richtig gemacht. Ich habe
die strenge Namensprüfung seit Jahren an und noch nie legitime E-Mail
deswegen nicht bekommen. (AFAIK)

Ignatios Souvatzis

unread,
Apr 3, 2021, 2:40:07 PMApr 3
to
Markus Schaaf wrote:
>
> Ich sehe den jetzt auch. Kommt bei mir jedoch nicht durch, weil es
> keinen A-Record für *.cloudapp.azure.com gibt. ARIN sagt, die IPs
> gehören Microsoft. Da haben die wohl mal was richtig gemacht. Ich habe
> die strenge Namensprüfung seit Jahren an und noch nie legitime E-Mail
> deswegen nicht bekommen. (AFAIK)

naja, dir ist keine legitime Email aufgefalle, die bei dir nicht
angekommen ist. ;-)

-is
--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor
Reply all
Reply to author
Forward
0 new messages