Zum Nachmittag noch ein Sammelbeitrag in Sachen IT-Dramen und Cybervorfälle in deutschen Firmen und Amtsstuben. Warum in Wuppertal ein ganzes Rechenzentrum die Grätsche machte und 1.000 Server down waren, die Stadtverwaltung Wuppertal war tangiert, ist noch immer unklar. Und Böblingen, der Versorger GEAB, der Bayrische Rundfunk, Mitarbeiter von Atlassian, Kunden von GoDaddy und weitere sind Opfer von Cybervorfällen. Hier ein Abriss dieser Vorfälle.
Anzeige
Was hat Wuppertals IT ausgeknockt?
Es hat schon Wellen geschlagen, am 17. Februar 2023 hatte ich im Artikel IT der Stadt Wuppertal ist down (17.2.2023) von einem Ausfall der IT-Systeme der Stadtverwaltung Wuppertal berichtet. Tangierte auch deren Feuerwehr und weitere Einrichtungen – kommuniziert wurde es als "technische IT-Probleme". Ich hatte ja einen Cyberangriff vermutet – später hieß es, ein Hardware-Defekt im Storage-Bereich habe den Ausfall bedingt.
Bei so etwas bin ich ja immer vorsichtig, bei der Lufthansa war ein IT-Ausfall auf ein kaputtes Glasfaserkabel zurückgeführt worden (siehe Glasfaser und Bahn-Bauarbeiter, oder wie man die Lufthansa lahm legt … & SAS kompromittiert (15. Feb. 2023)). Später reklamierte die pro-russische Hackergruppe Killnet den Ausfall durch einen DDoS-Angriff (siehe Cyberangriff auf Flughäfen, war Lufthansa Störung auch ein Cyberangriff von Killnet?).
Bezüglich Wuppertal kann funktional langsam Entwarnung gegeben werden: Am Wochenende haben Mitarbeiter "1.000 Server schrittweise manuell hochgefahren", wie es in obigem Golem Tweet heißt. In diesem Artikel bezieht Golem sich auf einen Bericht der Westdeutsche Zeitung, die ihrerseits die Wuppertaler Stadtsprecherin Martina Eckermann zitieren. Hier die Kernpunkte:
- Es müssen 1.000 Server im Rechenzentrum der Stadt Wuppertal nacheinander erneut hochgefahren und getestet werden.
- Die Ausfallursache ist bisher unklar – die soll im Nachgang eruiert werden.
Die Mitarbeiter der IT waren dazu am Wochenende im Einsatz. Hinterlässt bei mir dann doch Rätselraten – einmal wegen der vielen Server und zudem wegen des Umstands, dass die Ausfallursache nach wie vor unklar ist. Wenn ein Angreifer einfach mal 1.000 Server per Shutdown ins Wochenende schickt, sollte man schon sicher sein, dass der das nicht wieder tut – gibt ja bald wieder Wochenende. Wenn eine Hardware getauscht wurde, könnte man das auch benennen. Mit geht ja auch noch das Thema Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem durch den Kopf. Tja, so schießen Spekulationen ins Kraut.
Cyberangriff auf Landratsamt Böblingen
Gerade bin ich über nachfolgenden Tweet darauf gestoßen, dass das Landratsamt Böblingen einem Phishing-Angriff vermeldet – das ist nichts neues, gibt es bei mir täglich mehrfach. Beim Betrachten der URL ging mir spontan "seltsamer Name" durch den Kopf – war aber wohl nur ein Kürzel aus einem Behördenformular, welches seinerzeit bei der Domain-Beantragung verwendet wurde, schätze ich mal.
Aufklärung in Kurzfassung: Mitarbeiter haben Benutzerdaten eingegeben und deren Mail-Konten wurden übernommen. Gab dann eine Spam-Welle mit 200.000 Mails des Landratsamts Böblingen endete. Bleibt zu hoffen, dass nur wenige Empfänger "Reply" gedrückt haben, um das Landratsamt über den Spam zu informieren. Zeit erneut: Auf Phishing kann eigentlich jeder hereinfallen.
Anzeige
Phishing-Angriff auf Bayrischen Rundfunk
Auch der Bayrische Rundfunk informiert in nachfolgendem Tweet, dass man Opfer eines Phishing-Angriffs geworden sei. Hibbelig macht mich die Formulierung "die Sicherheitslücken wieder geschlossen".
Der BR ist Anfang Februar 2023 Opfer eines so genannten Phishing-Angriffs geworden. Durch täuschend echte Mails und professionell gefälschte Eingabemasken mit BR-Logo verschafften sich Hacker zwischenzeitlich Zugang zu einzelnen Mail-Postfächern. Die Datenschutzaufsicht und die Mitarbeitenden wurden unverzüglich informiert, die Sicherheitslücken wieder geschlossen. Die forensische Analyse ergab keine Rückschlüsse auf Schadsoftware. Da ein Datenverlust aber nicht auszuschließen ist, bittet der BR um erhöhte Aufmerksamkeit bei Mails, die im Design des BR gestaltet sind. Über den aktuellen Sachstand informieren wir gemäß Art. 34 der EU-Datenschutz-Grundverordnung (DS-GVO) hier.
Nach aktuellem Kenntnisstand sind mutmaßlich folgende Daten betroffen: E-Mail-Adressen, Kontaktdaten, Korrespondenz und Dateiinhalten, heißt es in der Mitteilung.
Weitere Cyber-Vorfälle
In den letzten Tagen gab es weitere Cyber-Vorfälle mit unschönen Randerscheinungen, die ich für interessierte Leser in Kurzfassung aufführe.
- Der Maschinen- und Anlagenbauer Dürr AG und Holzverarbeiter HOMAG Group sind von Cyberangriff betroffen. Details finden sich in der Bietigheimer Zeitung.
- Der Landmaschinenhändler LAREMO GmbH ist von der LockBit 3.0 Ransomware betroffen – wie ich auf Twitter mitbekommen habe.
- Der schwedische Versorger GEAB ist laut diesem Tweet von einem DDoS-Angriff betroffen.
- Bei Burton, das ist der größte Händler von Snowboards, gab es einen Sicherheitsvorfall (danke an den Leser für den Hinweis). Der Anbieter meldet: Burton recently experienced a cyber incident, which is impacting some of our operations. We are working closely with third-party specialists to investigate the incident and determine the full nature and scope. We are also making every effort to get our operations back up and running, but unfortunately are not able to process orders at this time.
- Atlassian ist ein Anbieter von Softwarelösungen für Softwareentwickler mit Sitz in London und operativer Hauptzentrale in Sydney. Cyberkriminellen ist es gelungen, Daten von tausenden Angestellten zu kopieren, die jetzt Online gestellt wurden. Berichte finden sich bei Bleeping Computer und z.B. heise.
- Der US-Hoster GoDaddy (ist auch Eigentümer von HostEurope) ist Opfer eines Cyberangriffs geworden. Anfang Dezember 2022 beschwerten sich eine kleine Anzahl von Kunden darüber, dass ihre Websites zeitweise umgeleitet wurden. Eine Analyse ergab, dass die intermittierenden Weiterleitungen bei scheinbar zufälligen Websites auf den GoDaddy cPanel-Shared-Hosting-Servern auftraten und von GoDaddy nicht einfach reproduziert werden konnten, nicht einmal bei derselben Website. Das Unternehmen stellte fest, dass ein unbefugter Dritter Zugriff auf die Server hatte. Es wurden wohl auch Daten gestohlen.
- Die Tage kam mir auch diese Meldung über eine schwere Sicherheitslücke in Samsung Smartphones unter die Augen – basiert auf diesem Artikel der NCC Group und bezieht sich auf die Galaxy App.
2015
lrabb wird wohl für
LandratsAmtBöBlingen stehen ;-)
So ist es.
BB ist das KFZ-Kennzeichen des Landkreises Böblingen.
Ui, Leudde, ihr habt den Joke Ernst genommen?
Ja, war tatsächlich ohne Ironie-Tags schwer zu identifizieren :-)
Das Unternehmen.
Eintausend Server (!) für 3600 respektive 5000 Mitarbeiter … respekt.
Gruss
Itchy
Ich tippe darauf, dass es ein Rechenzentrum in Wuppertal war, bei dem "auch die IT der Stadt" gehostet wurde (vSever gehen mir durch den Kopf). Aber irgendwie hätte ich mir da mehr Details von den IT-Verantwortlichen der Stadt gewünscht.
Vielleicht meldet sich ja mal ein Insider anonym bei mir – Mail-Adresse steht ja im Impressum.
https://www.heise.de/investigativ/
Fa gibt es auch novh weitere Hinweise.
Aber bitte nicht über das Firmen Netz ansurfen, auch wenn man garnichts whislen will oder kann..
Es soll schon vorgekommen sein, das Admins die Logfiles im Backup/Archiv hatten und verbotener Weise alles mitgeloggt wurde, weil ja, emm, alles für die Staatssicherheit mal gefährlich sein könnte…oder so..
Und da gerade ein Sicherheitsvorfall war könnte man das loggen, man müßte aber nicht sagen, wie man auf diesen Mitarbeiter kam…
In Deutschland ist die Lobby sehr stark und sogar wer klar kriminelles meldet kann sich der Kündigung sicher sein, weil ja der AG kein Vertrauen mehr hat…
Wahrscheinlich 1000 Pi's. One Job, one 'Server'. Und dann hat die Putzfrau die große Steckdosenleiste … Und als sie sie wieder eingesteckt hat, hat dann auch noch der Automat ausgelöst. Irgendwie so oder ähnlich …
Spaß beiseite. 1000 halte ich eher für eine Zehnerpotenz zu hoch. Wenn es wirklich 1000 Maschinen waren, die alle in einem Rechenzentrum ausgefallen sein sollten, dann frage ich mich, wie das in so einem Ausmaß passieren konnte und wer außer der Stadt noch betroffen war, denn die können niemals ausschließlich alle für die Stadt betrieben worden sein. Das wäre wohl Wahnsinn. Allein die Lizenzkosten.
Die Quote klingt nicht ungewöhnlich. Die IT von Kommunen kann recht komplex sein. Wenn man so eine Stadt mit einer Firma vergleichen will, dann könnte man sagen, dass eine Stadt ungefähr 5000 Dienstleistungsprodukte für alle denkbaren Kundengruppen, in diversen Kategorien anbieten kann. Nur die Verwaltung. Und das braucht viel Software. Dann nach dem Schema ein Dienst = mindestens ein Server arbeiten und es kommt richtig was zusammen.
Wir haben derzeit eine Quote von 1 Server pro 2 Mitarbeiter, fassen aber auch Funktionsbereiche Dienste auf Servern zusammen.
Hardware-Hosts sinds natürlich dramatisch weniger, da tummeln sich ja diverse Server auf einem Host.
Mir fällt zu dem Thema das Stichwort "Verwaltungsvereinfachung" ein. Jeder Anlauf hat die Zahl der Aufgaben (Didnstleistungen), die Anzahl der Beteiligten und damit den IT-Aufwand und die Mitarbeiterzahl erhöht.
Vermutlich eine Lösung mit virtuellen Desktops (VDI) basierend auf Linked Clones.
>>> Mitarbeiter der IT waren dazu am Wochenende im Einsatz. Hinterlässt bei mir dann doch Rätselraten – einmal wegen der vielen Server und zudem wegen des Umstands, dass die Ausfallursache nach wie vor unklar ist.
Hm – mir hat es in einer Shared Storage-Umgebung auch mal mehrere Volumens zerrissen ohne das jemals ein Grund gefunden wurde. Konkret waren es 3 Volumens auf 2 Stück Blech, wobei die Volumens NICHT Blech übergreifend waren. Und das Blech nicht identisch. Weder der Remote Support von VMWare hat etwas gefunden, noch der Remote Support vom Hardware Hersteller, noch der Field Support vom Hersteller. Alle Controller waren schick, alle Backplanes fein, alle HDDs fein, alle SSDs fein, alle Switche gut – nix nada – auch die Logs haben Null hergegeben. Keine Auffälligkeiten in der Stromversorgung, keine Probleme mit anderen Systemen. Keine Anzeichen eines Hacks oder von Sabotage – nix. Nachdem die korrupten Volumens gelöscht und neu angelegt waren, lief die Kiste noch mehrere Jahre ohne jede Auffälligkeit. Das dritte Blech in der Gruppe war gänzlich fehlerfrei. Hätten wir ein Replikat gehabt, hätte es die kaputten Daten wohl auch einfach repliziert. Hätte also auch nix genutzt. Ergebnis war der Verlust einiger Daten von knapp 20 Minuten. Rest war bereits im Backup.
Der Wiederaufbau hat trotzdem mehrere Wochen gedauert. Einmal um die Hardware vom Hersteller intensiv prüfen zu lassen, dann um das System einige Zeit mitlaufen zu lassen um zu sehen ob noch mal etwas passiert? Die Boxen mussten also erst wieder "Vertrauen" erwerben, bevor man Produktivlast drauf gibt. Das Ersatz-System war dann voll am Anschlag – also lief die gesamte Umgebung mit Handbremse, bis das Hauptsystem wieder produktiv geschaltet wurde.
Redundanzen hin oder her. Wenn Murphy anklopft tut er das und fertig.
Das könnte auch ein kosmischer Partikelsturm gewesen sein, der ein paar Bits im RAM oder Flash hat kippen lassen.
Phorensic an den Daten habt ihr sicher nicht gemacht, das Teil mußte ja wieder laufen und ob man was findet…
(Ich habe auf diese Weise mal gesehen, daß Daten den Anfangs Bereich der Platte übermangelt hatte…
Aber warum stand da leider nicht bei.)
Mich deucht, dass hier, in Deutschland, die Augenbinden immer fester geknotet werden, will meinen: Die Zahl der Angriffe dürfte erst jetzt richtig losgehen und jede Firma hofft übersehen zu werden.
Liegt es wirklich nur an der Qualität der SW seitens Microsoft oder nicht auch oder mehr an der Administrierung durch IT'ler?
Bevor auf die IT'ler schaue würde ich zunächst einen Blick in die Unternehmens-, Institutions- oder Amtsleitung werfen.
Dort werden Prioritäten definiert und Budgets freigegeben … oder eben nicht.
Oder auch an der Schulung der Leute.
Das Pishingangriffe immer noch zum Erfolg führen liegt einfach an der mangelnden Schulung der Leute.
Bei mir in der Firma ist es strengstens verboten, auf Links in Mails zu klicken.
Egal, von wem die kommen.
Zudem wird wohl auch im Falle des BRs der Mailserver nicht richtig konfiguriert sein.
Emails, die von außerhalb der Organisation kommen, aber einen Absender innerhalb der Organisation haben, darf der Mailserver nicht zustellen!
Ist Microsoft für Produkte aus dem Hause VMware verantwortlich?
1000 Server?
Hat sich da einer mehrere goldene Nasen "verdient"?
(Oder fue Clients mitgezählt?)
Klar kann man 400 Server oder mehr auf einem Großblech laufen lassen.
Was kostet das an Lizenzen?
Das die für jeden Mitarbeiter eingene VM spendiert haben, weil die Fortran 85 Software (oder das MS-Access? ) nicht multthreading fähig war, man aber die gewachsene Software mit all ihren Rucksäcken nicht mehr anfassen kann?
Wäre das mal nicht was für das Informations freiheits Gesetz und "Frag den Staat"? das riecht doch irgendwie nach Steuerverschwendung?
Naja, sind ja vielleicht 1000 Server für etwa 350 000 Anwender (sprich Bürger).
Und wenn auf Container oder ähnliches gesetzt wird, sind 1000 schnell erreicht.
Ich hatte von ein paar Jahren mal den Lauf einer Email durch ein städtisches eMail system verfolgt.
Die Tropfe hatten immer alle Header fleißig mitkopiert, ist ja default.
So konnte ich als Bürger sehen, das die Email uber rund 10 Server bei unterschiedlichen Providern geleitet wurde. Das war historisch gewachsen.
Mein Hinweis wurde natürlich ignoriert.. Geht mich ja auch nix an.
So viele VMs/Server/Services kann eigentlich nur durch einen Storage Ausfall lahm liegen.
Hab's in meiner Heimatgemeinde auch schon, die hatten von HPE einen Cluster und ein SSD Firmware Update hat all Nodes zugleich getötet.
Storage Ausfall wurde ja schon gesagt. Das paßt dann ja ganz gut. Auslöser war Vodafone mit der Telefonanlage..? Falschen Stecker gezogen?
Aber was macht man mit 1000 Servern für 300.000 Bürger? Vielleicht denke ich zu klein…
Ich kann mir auch irgendwie nicht vorstellen, wie 3000 Mitarbeiter manuell diese Rechen-Leistungen für ein bisschen Verwaltung verbrauchen können…wenn jeder selbst noch einen Rechner auf dem Tisch hat.
Oder machen die da alle RDP resp Terminalserver??
Also wenn Dir die USVs gehören ist es kein Problem 1000 Server aufeinmal runterfallen zu lassen…
Wenn diese dann noch nach 8 Jahren Betrieb wegen eines Firmware Bugs nicht mehr alle wieder hochkommen oder in einer falschen Reihenfolge schwitzt der Admin (aber ernsthaft : wer benutzt 8 Jahre alte Server?)
Es wird wirklich spannend was die Ursache war.
Es soll auch schon vorkommen sein, das wer den Stecker für die Notstromversorgung gezogen hat, ohne vorher den USVs Bescheid gegeben zu haben…
Warum assoziiert ihr nicht alle Dokumente in Mails nicht mit Word und dem Document "Meine Kündigung"?
Was soll das?
Früher haben wir die Viewer assoziieren können.
AFAIK war es aber zu teuer, die Viewer weiter zu entwickeln…
Denn
Es gibt erstaunlich viele Mitarbeiter die innerlich gekündigt haben oder erfolglose Narzisten sind.
Die scheren sich nicht über ein solches Verbot, sondern klicken extra. Endlich passiert mal was….
"Emails, die von außerhalb der Organisation kommen, aber einen Absender innerhalb der Organisation haben, darf der Mailserver nicht zustellen!"
Schon mal etwas vom SPF und DKIM gehört?
Zur Info :
Mit SPF kann man definieren, welche Server rmalis mit der eigenen Domain versenden darf und wie man gefälschte Bounces erkennt.
Man darf SPF auch selbst anwenden.
Man kann damit gleich einen netten Reject erzeugen, der den wirklichen Absender erreichen kann.
Es ist etwas hirnakrobatik, aber immerhin nicht ganz so hirntot, wie dem User bei jeder externen Email einzublenden, das die (ganz normale Kundenemail!, jede) von einem externen Server kommt… Wie lange wird es dauern bis das keiner mehr wahrnimmt und ob des Stuss frustriert ist? Das jede gesignte Email kaputt ist opfert man gerne dem höheren Zweck…
Es ist schon traurig wieviel Geld aus Unwissen verbrannt wird.
Je komplexer es für Mitarbeiter wird mit "email geht schon wieder nicht raus/zum klicken", desto eher werden sie in Teilzeit-Admin-Firmen Workarounds suchen und finden, und Firmenkommunikation dann über obskure für Filterlisten gmx|web.de|yahoo uä. unbekannte Webmail oder ähnliches betreiben.
Was schreibst du da von Einblenden bei jeder externen Mail?
Wenn der Exchange der Domäne XYZ.de eine Email mit dem Absender abx@XYZ.de von einem fremden Mailserver erhält, lehnt er die Zustellung ab.
Das geht ganz ohne SPF und DKIM, der Exchange schaut einfach, ob die Mail über den Internetconnector rein kommt oder nicht.
Eingehende Mails mit anderen Absendern, die über den Internetconnector rein kommen, stellt er natürlich zu und zwar ohne irgendwelche Einblendungen etc.
Die Benutzer bekommen von dem absolut gar nichts mit.
"Zudem wird wohl auch im Falle des BRs der Mailserver nicht richtig konfiguriert sein."
BR = Betriebsrat?
Wie wäre er denn richtig konfiguriert?
Welcher Betriebsrat ist denn so besenkt und benutzt den (eMail-Server der Firma?
Hallo?
Wie wollen die denn die besonderen Datenschutz Anforderungen erfüllen, wenn Daten der Kollegen oder die Sitzung-Protokolle auf dem Server des Chefs liegen?
Welcher Admin würde seinen Job riskieren und sagen, das der Chef auch Rechte der Gruppe "Backup" haben will und so jede Datei auf dem Server lesen kann?
Wer sollte das nachprüfen?
Der vom Cheffe bezahlte externe Datenschutz beauftragte?
Es ist noch nie ein Arbeitgeber wegen des Verstoßes gegen das Betriebsverfassungs Gesetz in den Knast gegangen oder musste eine schmerzhafte Geldstrafe zahlen. Immerhin geht es ja auch um Arbeitsplätze, die mit Cheffe im Knast gefährdet wären.
Ist aber voll offtopic. Sorry.
BR = Bayerischer Rundfunk = Öffentlich-rechtliche Sendeanstalt wie NDR, MDR, SWR etc unter dem Dach der ARD.
Gruß aus dem Süden der Republik!
ibbsy
"Mitarbeiter haben Benutzerdaten eingegeben und deren Mail-Konten wurden übernommen."
Irgendwie verstehe ich nicht, wie man mittels Benutzerdaten einen Account auf Exchange übernehmen kann…
Ein externer kommt doch ohne VPN da garnicht ran.
Und die Webmail sollte man schon seit Jahren deaktiviert haben.
Was nutzt einem Bösen der Login?
"Martin" "Fruchtlos." sind Mein Username und Password auf meinem Raspi.
Was nutzt das einem Dritten, der nicht in meinem lokalen Netz ist?
Wenn so ein erphishter Account missbraucht wird, habe ich doch ein weit größeres Problem, oder?
"Ein externer kommt doch ohne VPN da garnicht ran."
Richtig, nur ist auch vielen IT-"Fachkräften", die Verantwortung für Mail-Server tragen, dieser vermeidbare Angriffspunkt nicht bekannt und es heißt: OWA für alle und jeden.
Wir reden über den öffentlichen Sektor.
Da ist eine IT-Fachkraft, die Verantwortung für Mail-Server trägt, eher selten.
Entscheidungen werden meist abseits der IT und abseits von Fachwissen getroffen.
Ich will jetzt mal kein konkretes Beispiel nennen, aber stelle dir ein elektronisches System vor, in dem Du eine Genehmigung des zuständigen Vorgesetzten für jede Änderung einholst.
Das kann gerne derselbe sein, der nicht arbeiten konnte, weil Stromstecker und Steckdose nicht zusammenbringen konnte.
Und in das System hast Du jetzt vor vielen Jahren die Änderung eingespeist, dass OWA aus Sicherheitshgründen nicht mehr im Internet erreichbar sein.
Wenn Du Glück hattest, dann wurde das genehmigt, wenn nicht dann abgelehnt und im schlimmsten Fall liegt der Antrag trotz aller Anstrengungen immer noch neben den hunderten gleichartig ignorierten.
Nach Einführung der Hackerparagraphen ins StGB sind IT-Fachkräfte in der Regel nur noch Befehlsempfänger, die aufgrund ihrer Gefährlichkeit vor allem sehr genau beäugt werden.
> sollte man schon seit Jahren deaktiviert haben.
Sollte. Und kann kam eine ganz gefährliche Pandemie vorbei und alle mussten ganz streng zuhause bleiben und hatten als Arbeitsmittel den Windows Vista Laptop der Tochter über einen Reseller Festnetz DSL Anbieter oder Alditalk im ständigen Wechsel mit irgeneiner internationalen SIM wegen Datenvolumen oder das WLAN des Friseurs unten an der Ecke, und schwups, wurden Türen zu Firmen ganz weit geöffnet und teils einfach vergessen.
Realität vs. Elfenbeinturm-Denke a la "sollte/hätte/dürfte aber nicht/usw" im digitalen Deutschland.
Früher(tm) gab's ne Liste wie man sein Windows "härten" konnte. Heute ist das wirkungslos, weil der Betriebssystem Hersteller die Türen immer wieder aufmacht.
Früher ™ kam der User genau bis zum Router in der Firewall mit seinem Ping oder NTP.
Warum sollte er weiter kommen?
Man konnte infizierte Rechner einfach daran erkennen, daß diese IP Adressen verwenden wollten, die extern lagen. Heute muß (?) jeder Client vollen Internet Zugriff haben, weil der Betriebssystem Hersteller seine Telemetrie Daten haben will…
Selbst wenn die Kern Systeme in der Cloud sind, müssen die Clients sich direkt mit jedem Rechner der Welt verbinden können.
Warum?
> Warum?
Das ist die Grundfrage, die von vermeintlichen Fachkräften in der IT-Verantwortung viel zu wenig/nie gestellt wird.
Die Antworten würden verunsichern und die totale Abhängigkeit von externen Firmen/Diensten/Regierungen für die eigene gesamte Arbeitsfähigkeit und Datenhaltung aufzeigen.
Tanz auf dem Vulkan…
wegen dem BR:
Habe mir die SPF/DKIM/DMARC Config angeschaut.
Alleine im SPF sind über 505 Server, autorisiert, als br.de emails zu verschicken.
+spf.crsend.com+Microsoft Cloud.
Kein DKIM,kein DMARC.
Da brauchen die sich über eine gefälschte BR Mail nicht wundern.
Es ist ständig so. Kein Admin kümmert sich sauber um SPF/DKIM/DMARC
Ein Trauerspiel, nicht nur beim BR.