ComputerBase Menü
Aktuelles

M365 DMARC fail bei einem von 6 Empfängern?

h00bi

h00bi

Fleet Admiral
Registriert
Aug. 2006
Beiträge
21.296
Hallo zusammen,

ich hatte gestern ein seltsames Phänomen:
Eine Email von extern (Kunde mit M365 ExchangeOnline) wurde an mehrere interne Empfänger (alle Konten M365 ExchangeOnline) gesendet, einer im AN Feld, einige im CC Feld und einige über einen Verteiler im CC Feld.
Nun wissen wir ja, dass CC technisch nichts anderes ist als eine zusatzliche Email. Am Ende nach dem expanden des Verteilers waren es 6 Emails, die protokolliert wurden.

Nur bei einem der Empfänger wurde eine DMARC Violation festgestellt.
Reason: [{LED=550 5.7.509 Access denied, sending domain kunde.de does not pass DMARC verification and has a DMARC policy of reject.};{MSG=};{FQDN=};{IP=};{LRT=}]

Zustellaktion
Blockiert
Erkennungstechnologien
DMARC spoofen
Absender-IP
40.107.22.113

Die anderne 5 Mails haben als Absender-IP 40.107.22.125 und wurden sauber zugestellt.
Laut diverser Datenbanken gehören beide Absender-IPs zu Microsoft in NL.

Wie kann es sein, dass in einem Sendevorgang unterschiedliche Absender-IPs zustande kommen?
Und noch viel interessanter: Wie kann es sein, dass die 40.107.22.113 hier involviert ist, die jedoch einen DMARC fail auslöst?
 
h00bi schrieb:
Wie kann es sein, dass in einem Sendevorgang unterschiedliche Absender-IPs zustande kommen?
Zum Vergrößern anklicken....
Ist bei der Funktionsweise von Exchange Online normal, die Mails werden parallel verarbeitet und können dabei über verschiedene Server bzw. IP Adressen laufen.

Wieso allerdings die eine IP eine DMARC Violation verursacht hat, ist eine gute Frage. Vielleicht ein Timing-Issue bei der DMARC Validierung, sicher bin ich mir aber nicht, da ich den Fall so noch nicht hatte.

War das ein einmaliges Problem?
 
Sieht nach einem Bug aus bei MS.
 
  • Gefällt mir
Reaktionen: dahkenny
dahkenny schrieb:
Ist bei der Funktionsweise von Exchange Online normal, die Mails werden parallel verarbeitet und können dabei über verschiedene Server bzw. IP Adressen laufen.
Zum Vergrößern anklicken....
Heißt, es ist eher Zufall dass 5 Mails die gleiche IP haben?

dahkenny schrieb:
War das ein einmaliges Problem?
Zum Vergrößern anklicken....
Uns ist nur dieser Fall bekannt, aber wir wühlen nicht oft so tief da drin rum.
Wir sind wegen etwas anderes auf diese Mails aufmerksam geworden.
 
h00bi schrieb:
Heißt, es ist eher Zufall dass 5 Mails die gleiche IP haben?
Zum Vergrößern anklicken....
Zufall an sich weniger, kann natürlich sein, dass eine Lastschwelle o.Ä. erreicht war und die andere Mail dadurch von einem anderen Server bzw. einer anderen IP verarbeitet wurde.

So genau hab ich das Verhalten bisher nicht beobachtet, mich aber in Vergangenheit selbst darüber gewundert gehabt, wieso manche eine andere Sende-IP hatten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz