Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Spam von *.cloudapp.azure.com (Microsoft)
183 views
Skip to first unread message
Andreas M. Kirchwitz
Mar 6, 2021, 11:48:43 AM3/6/21
to
Hallo Spam-Opfer!
In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
Received-Header, die restlichen Header sind natürlich gefälscht).
Das hat wohl irgendwas mit Office365 von Microsoft zu tun.
Hat jemand Ahnung, was *.cloudapp.azure.com grundsätzlich für ein
Konstrukt ist? Sind das Kunden, die ihr Office/Exchange in der
Microsoft-Cloud betreiben? (Ich kenne mich damit nicht aus.)
Wo setzen die Spammer an? Kaufen die sich direkt bei Microsoft ein?
Kann ich mir kaum vorstellen. Oder hacken sie die Dienste anderer,
die ihre Installation nicht im Griff haben?
Von ab...@microsoft.com kam fix die Antwort, ich möge mich an
ju...@office365.microsoft.com wenden, doch dort scheint man das
eher aussitzen zu wollen.
Nun könnte man auf die Idee kommen, *.cloudapp.azure.com bzw.
die IP-Adress-Bereiche pauschal abzulehnen, doch da sind gewiss
viele ehrliche Kunden dabei, und das scheint mir nicht so schlau
in meinem eigenen Interesse.
Kennt jemand vielleicht die Problematik mit *.cloudapp.azure.com?
Gibt es schlaue Tipps, wie man damit umgehen sollte?
Grüße, Andreas
In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
Received-Header, die restlichen Header sind natürlich gefälscht).
Das hat wohl irgendwas mit Office365 von Microsoft zu tun.
Hat jemand Ahnung, was *.cloudapp.azure.com grundsätzlich für ein
Konstrukt ist? Sind das Kunden, die ihr Office/Exchange in der
Microsoft-Cloud betreiben? (Ich kenne mich damit nicht aus.)
Wo setzen die Spammer an? Kaufen die sich direkt bei Microsoft ein?
Kann ich mir kaum vorstellen. Oder hacken sie die Dienste anderer,
die ihre Installation nicht im Griff haben?
Von ab...@microsoft.com kam fix die Antwort, ich möge mich an
ju...@office365.microsoft.com wenden, doch dort scheint man das
eher aussitzen zu wollen.
Nun könnte man auf die Idee kommen, *.cloudapp.azure.com bzw.
die IP-Adress-Bereiche pauschal abzulehnen, doch da sind gewiss
viele ehrliche Kunden dabei, und das scheint mir nicht so schlau
in meinem eigenen Interesse.
Kennt jemand vielleicht die Problematik mit *.cloudapp.azure.com?
Gibt es schlaue Tipps, wie man damit umgehen sollte?
Grüße, Andreas
Thomas Hochstein
Mar 6, 2021, 1:15:03 PM3/6/21
to
Andreas M. Kirchwitz schrieb:
> In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
> Received-Header, die restlichen Header sind natürlich gefälscht).
> Das hat wohl irgendwas mit Office365 von Microsoft zu tun.
Ich glaube nicht. Azure ist die MS-Cloud (also im Prinzip dasselbe wie
AWS von Amazon), und *.cloudapp.azure.com scheint für die VMs
reserviert zu sein (mit MYNAME.REGION.cloudapp.azure.com.
(Für "Azure App Services" für "Web-Apps, mobile Back-Ends und
RESTful-APIs" ist es *.azurewebsites.net, und für "Azure Cloud
Services" für "hochverfügbare und skalierbare Cloudanwendungen und
APIs" ist es "*.cloudapp.net", AFAIS.)
> Hat jemand Ahnung, was *.cloudapp.azure.com grundsätzlich für ein
> Konstrukt ist? Sind das Kunden, die ihr Office/Exchange in der
> Microsoft-Cloud betreiben? (Ich kenne mich damit nicht aus.)
Es scheint mir schlicht die Domain für VMs zu sein, also das
Gegenstück zu "compute.amazonaws.com" bei AWS.
-thh
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<https://th-h.de/net/usenet/faqs/danam-intro/> lesen!
Weitere kleine Texte rund um das Thema E-Mail: <https://th-h.de/net/mail/>
> In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
> Received-Header, die restlichen Header sind natürlich gefälscht).
> Das hat wohl irgendwas mit Office365 von Microsoft zu tun.
AWS von Amazon), und *.cloudapp.azure.com scheint für die VMs
reserviert zu sein (mit MYNAME.REGION.cloudapp.azure.com.
(Für "Azure App Services" für "Web-Apps, mobile Back-Ends und
RESTful-APIs" ist es *.azurewebsites.net, und für "Azure Cloud
Services" für "hochverfügbare und skalierbare Cloudanwendungen und
APIs" ist es "*.cloudapp.net", AFAIS.)
> Hat jemand Ahnung, was *.cloudapp.azure.com grundsätzlich für ein
> Konstrukt ist? Sind das Kunden, die ihr Office/Exchange in der
> Microsoft-Cloud betreiben? (Ich kenne mich damit nicht aus.)
Gegenstück zu "compute.amazonaws.com" bei AWS.
-thh
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<https://th-h.de/net/usenet/faqs/danam-intro/> lesen!
Weitere kleine Texte rund um das Thema E-Mail: <https://th-h.de/net/mail/>
Andreas M. Kirchwitz
Mar 15, 2021, 10:47:02 PM3/15/21
to
Thomas Hochstein <t...@thh.name> wrote:
>> In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
>> Received-Header, die restlichen Header sind natürlich gefälscht).
>> Das hat wohl irgendwas mit Office365 von Microsoft zu tun.
>
> Ich glaube nicht. Azure ist die MS-Cloud (also im Prinzip dasselbe wie
> AWS von Amazon), und *.cloudapp.azure.com scheint für die VMs
> reserviert zu sein (mit MYNAME.REGION.cloudapp.azure.com.
Also an sich nichts Böses, doch leider ist es das einzig Greifbare
>> In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
>> Received-Header, die restlichen Header sind natürlich gefälscht).
>> Das hat wohl irgendwas mit Office365 von Microsoft zu tun.
>
> Ich glaube nicht. Azure ist die MS-Cloud (also im Prinzip dasselbe wie
> AWS von Amazon), und *.cloudapp.azure.com scheint für die VMs
> reserviert zu sein (mit MYNAME.REGION.cloudapp.azure.com.
bei der Spamwelle, die sich erstaunlich erfolgreich durch sämtliche
Spam-Filter mogelt seit einigen Wochen. RBLs greifen hier bisher
ziemlich schlecht, vielleicht wollen sich manche nicht mit Microsoft
anlegen?
Sicherheitshalber habe ich alte Logfiles und Mailheader durchsucht,
doch die Domain scheint ansonsten keine Anwendung gefunden zu haben.
Wer dort irgendwelche (ernsthaften) Mailserver betreibt, scheint auch
an schicke DNS-Einträge gedacht zu haben, statt bei diesem Default-
Schema zu bleiben.
Microsoft hat sich trotz weiterer Spam-Reports nicht weiter
gemeldet. Na ja, ich hab's probiert. Laut einigen Berichten
im Netz sind andere wegen des gleichen Problems ebenfalls nicht
weiter vorgedrungen. Es scheint aber insgesamt (noch?) nicht
viele zu betreffen. Auch irgendwie erstaunlich.
Ich habe die Domain nun geerdet und werde das beobachten.
Das Risiko scheint sehr gering, sich damit in den Fuß zu schießen.
Danke für die Erklärungen (und mehr).
Falls einer der Mitlesenden neue Erkenntnisse hat, freue ich mich
natürlich, wenn er sie hier teilen mag.
Grüße, Andreas
Markus Schaaf
Mar 17, 2021, 12:06:28 PM3/17/21
to
Am 16.03.21 um 03:47 schrieb Andreas M. Kirchwitz:
> Ich habe die Domain nun geerdet und werde das beobachten.
> Das Risiko scheint sehr gering, sich damit in den Fuß zu schießen.
Ich würde weiter gehen und sagen, dass ein generischer
Reverse-Domain-Name ein sicheres Zeichen für einen Host ist, der kein
Mailserver ist. Ich habe diese Domain gleich mal in meine Reject-Liste
aufgenommen. Leider finde ich im WWW keine Sammlung mit solchen
generischen Domains.
> Ich habe die Domain nun geerdet und werde das beobachten.
> Das Risiko scheint sehr gering, sich damit in den Fuß zu schießen.
Reverse-Domain-Name ein sicheres Zeichen für einen Host ist, der kein
Mailserver ist. Ich habe diese Domain gleich mal in meine Reject-Liste
aufgenommen. Leider finde ich im WWW keine Sammlung mit solchen
generischen Domains.
Paul Muster
Mar 17, 2021, 4:22:03 PM3/17/21
to
mfG Paul
Markus Schaaf
Mar 17, 2021, 9:48:11 PM3/17/21
to
Am 17.03.21 um 21:08 schrieb Paul Muster:
[generische Reverse-Domains]
anfangs schon mehr als 5 Domains drin stehen. Bekomme "leider" nicht so
viel Spam, dass das Sammeln lohnen würde.
*Wobei das, was PBL/DUHL abdecken, ja uninteressant ist.
[generische Reverse-Domains]
> Du könntest mal gucken, ob es eine passende DNSBL/RBL gibt.
Hab nichts gefunden*. Überlege sowas zu publizieren. Nur sollten auch
anfangs schon mehr als 5 Domains drin stehen. Bekomme "leider" nicht so
viel Spam, dass das Sammeln lohnen würde.
*Wobei das, was PBL/DUHL abdecken, ja uninteressant ist.
Marc Haber
Mar 18, 2021, 4:50:16 AM3/18/21
to
OVH aus operiert, der saubere HOstnamen namens
outbound.protection.wegwerfdomain.com vergibt, vermutlich um
Ähnlichkeit zu Microsoft zu suggerieren.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Thomas Hochstein
Mar 18, 2021, 7:00:02 AM3/18/21
to
Marc Haber schrieb:
> Und leider gibt es derzeit einen sehr hartnäckigen Spammer, der von
> OVH aus operiert,
Aber leider vermutlich nicht auis Strasbourg.
> Und leider gibt es derzeit einen sehr hartnäckigen Spammer, der von
> OVH aus operiert,
Enrik Berkhan
Mar 18, 2021, 9:13:05 AM3/18/21
to
wieder verbrannt sind?
Gernot Griese
Mar 18, 2021, 9:21:18 AM3/18/21
to
Am 18.03.21 um 13:37 schrieb Enrik Berkhan:
Wohl eher, weil dann der Server verbrannt sein könnte.
Gernot
--
Wie der wahre Gläubige den Klimawandel erklärt:
"Die zufällige Änderung einer zufälligen Grösse um einen zufälligen
Betrag führt zufälligerweise zu einer exakten Korrelation zwischen
dem CO2-Gehalt der Luft und der der globalen Temperatur."
Gernot
--
Wie der wahre Gläubige den Klimawandel erklärt:
"Die zufällige Änderung einer zufälligen Grösse um einen zufälligen
Betrag führt zufälligerweise zu einer exakten Korrelation zwischen
dem CO2-Gehalt der Luft und der der globalen Temperatur."
Marc Haber
Mar 18, 2021, 1:59:00 PM3/18/21
to
bekommen.
Marc Haber
Mar 19, 2021, 7:23:59 AM3/19/21
to
Andreas Kohlbach <a...@spamfence.net> wrote:
>
>Wenn hier was aus Kanada kommt, ist es über 80% von dort. Kann natürlich
>sein, dass Spamazon und andere merkbefreite Spammer-Wolken hier auch
>Server haben, dass mir das nicht auffällt.
gwhois hat die Adresse nicht aufgelöst, weil Early Registration,
weiter hab ich nicht geforscht, der letzte Host im Trace mit reverse
DNS war irgendwas unterhalb .qc.ca, die Latenz hat gepasst. Mehr hat
mich nicht großartig interessiert.
>On Thu, 18 Mar 2021 18:58:59 +0100, Marc Haber wrote:
>>
>> Thomas Hochstein <t...@thh.name> wrote:
>>>Marc Haber schrieb:
>>>> Und leider gibt es derzeit einen sehr hartnäckigen Spammer, der von
>>>> OVH aus operiert,
>>>
>>>Aber leider vermutlich nicht auis Strasbourg.
>>
>> Habe heute jede Menge dieses Spamtyps von einem kanadischen Hoster
>> bekommen.
>
>shaw.ca?
>>
>> Thomas Hochstein <t...@thh.name> wrote:
>>>Marc Haber schrieb:
>>>> Und leider gibt es derzeit einen sehr hartnäckigen Spammer, der von
>>>> OVH aus operiert,
>>>
>>>Aber leider vermutlich nicht auis Strasbourg.
>>
>> Habe heute jede Menge dieses Spamtyps von einem kanadischen Hoster
>> bekommen.
>
>
>Wenn hier was aus Kanada kommt, ist es über 80% von dort. Kann natürlich
>sein, dass Spamazon und andere merkbefreite Spammer-Wolken hier auch
>Server haben, dass mir das nicht auffällt.
gwhois hat die Adresse nicht aufgelöst, weil Early Registration,
weiter hab ich nicht geforscht, der letzte Host im Trace mit reverse
DNS war irgendwas unterhalb .qc.ca, die Latenz hat gepasst. Mehr hat
mich nicht großartig interessiert.
Markus Schaaf
Mar 22, 2021, 9:56:24 AM3/22/21
to
Am 06.03.21 um 17:48 schrieb Andreas M. Kirchwitz:
keinen A-Record für *.cloudapp.azure.com gibt. ARIN sagt, die IPs
gehören Microsoft. Da haben die wohl mal was richtig gemacht. Ich habe
die strenge Namensprüfung seit Jahren an und noch nie legitime E-Mail
deswegen nicht bekommen. (AFAIK)
> Hallo Spam-Opfer!
>
> In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
> Received-Header, die restlichen Header sind natürlich gefälscht).
> Das hat wohl irgendwas mit Office365 von Microsoft zu tun.
Ich sehe den jetzt auch. Kommt bei mir jedoch nicht durch, weil es
>
> In letzter Zeit fällt mir Spam auf von *.cloudapp.azure.com (laut
> Received-Header, die restlichen Header sind natürlich gefälscht).
> Das hat wohl irgendwas mit Office365 von Microsoft zu tun.
keinen A-Record für *.cloudapp.azure.com gibt. ARIN sagt, die IPs
gehören Microsoft. Da haben die wohl mal was richtig gemacht. Ich habe
die strenge Namensprüfung seit Jahren an und noch nie legitime E-Mail
deswegen nicht bekommen. (AFAIK)
Ignatios Souvatzis
Apr 3, 2021, 2:40:07 PM4/3/21
to
Markus Schaaf wrote:
>
> Ich sehe den jetzt auch. Kommt bei mir jedoch nicht durch, weil es
> keinen A-Record für *.cloudapp.azure.com gibt. ARIN sagt, die IPs
> gehören Microsoft. Da haben die wohl mal was richtig gemacht. Ich habe
> die strenge Namensprüfung seit Jahren an und noch nie legitime E-Mail
> deswegen nicht bekommen. (AFAIK)
naja, dir ist keine legitime Email aufgefalle, die bei dir nicht
>
> Ich sehe den jetzt auch. Kommt bei mir jedoch nicht durch, weil es
> keinen A-Record für *.cloudapp.azure.com gibt. ARIN sagt, die IPs
> gehören Microsoft. Da haben die wohl mal was richtig gemacht. Ich habe
> die strenge Namensprüfung seit Jahren an und noch nie legitime E-Mail
> deswegen nicht bekommen. (AFAIK)
angekommen ist. ;-)
-is
--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor
0 new messages