Forseti2003 14 Geschrieben 10. Februar 2016 Melden Teilen Geschrieben 10. Februar 2016 Hallo in die Runde, hab seit einigen Tagen ein recht merkwürdiges Problem. Ich erhalte in diversen Postfächern Mails aus meiner (angeblich) eigenen Domain. Diese Absenderadressen exisitieren aber nicht. Beispielsweise orders@meine.domain.de. Im Ereignislog meines Spam-Gateway wird der Eintrag so aufgeführt: 09.02.2016 16:54:24 [sPAM] RE: unpaid order orders@meine.domain.de meineMail@meine.domain.de 108.47.155.2 2,9 Die letzten beiden Werte sind die IP-Adresse des absendenden Mailserver und die 2,9 für das Scoring des SPAM-Filters. Der SPAM-Bericht wirft folgende Bewertung aus: Spam-Bericht * 0.4 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL * [108.47.155.2 listed in zen.spamhaus.org] * 1.0 OBFU_DOC_ATTACH BODY: MS Document attachment with generic MIME type * -0.0 BAYES_40 BODY: Bayes spam probability is 20 to 40% * [score: 0.3472] * 1.6 XPRIO Has X-Priority header Soweit so gut, am Exchange-Server selbst (ein 2013) sind folgende Einträge unter SenderIDConfig gesetzt: SpoofedDomainAction: Reject TempErrorAction: StampStatus BypassedRecipients: {} BypassedSenderDomains: {} Enabled: True ExternalMailEnabled: True InternalMailEnabled: False Müsste nun nicht der Transportdienst bei Eingang dieser Mail feststellen, das der Absender gar nicht stimmen kann und diese komplett verwerfen? Oder hab ich da einen Gedankenfehler? Kleiner Nachtrag, im Header der Mail stehen folgende Kommentare vom Exchangeserver: Return-Path: orders@meine.domain.de X-MS-Exchange-Organization-PRD: meine.domain.de X-MS-Exchange-Organization-SenderIdResult: None Received-SPF: None (Mail.meine.domain.de: orders@meine.domain.de does not designate permitted sender hosts) X-MS-Exchange-Organization-Network-Message-Id: 80574b59-9375-4e0f-81a6-08d3316945d9 X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0 X-MS-Exchange-Organization-AuthSource: Mail.meine.domain.de X-MS-Exchange-Organization-AuthAs: Anonymous Also obwohl er den Mailserver auf der anderen Seite, als externen Mailserver ansieht, sagt er bei Received-SPF: none - als wenn er nicht merken würde, dass das nicht sein kann. Grüße Forseti Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 10. Februar 2016 Melden Teilen Geschrieben 10. Februar 2016 Moin, willkommen, in dem Moment kam auf meinem privatem Exchange genau so eine Mail an, mit der inzwischen bekannten Anhang einer doc-Datei, natürlich infiziert. Und das durch dreistufige Prüfung.... Aktuell hilft wohl nur die Sensibilisierung der Mitarbeiter. In der Firma blocken wir am Gateway Anhänge, *.doc, *.xls usw. ;) PS: dazu hat Frank erst neulich was geschrieben: http://www.msxfaq.de/spam/officeanlagen.htm Das die jetzt noch scheinbar aus dem Haus kommen, ist neu. Zitieren Link zu diesem Kommentar
Forseti2003 14 Geschrieben 10. Februar 2016 Autor Melden Teilen Geschrieben 10. Februar 2016 Die Mitarbeiter-Sensibilisierung läuft permanent, aber genau mit derartigen Mailadressen hab ich so mein Problem. "Copier" "Orders" "No-Reply" - alles mit der eigenen Domain versehen, wir hatten vor zwei Wochen auch SPAM der sich als Scannmail vom Hersteller SHARP ausgegeben hat, genau solche Scanner haben wir auch, aber nie auf Mailversand eingestellt, aber die Unsicherheit ist dann schon recht hoch. Dachte aber das beim Spoofing der Exchange-Server prüft ob der absender Server überhaupt für die Domain berechtigt ist und dann entsprechend ablehnt, ist ja schließlich seine eigene Domain die er da gerade untergejubelt bekommt. Auch das die Absenderadresse nicht bei ihm geführt ist, wäre ein klarer Hinweis, das da was nicht stimmt. Zitieren Link zu diesem Kommentar
NorbertFe 2.037 Geschrieben 10. Februar 2016 Melden Teilen Geschrieben 10. Februar 2016 Nein der Exchange hätte das nicht rauswerfen können/müssen, weil die Domain eben nicht "gespoofed" ist. Denn das was du im Header der Mail siehst, dürfte sich im Allgemeinen davon unterscheiden, was du in den Logfiles deines Spamgateways und den Transport-Logs/Protokoll-Logs des Exchange siehst. Abgesehen davon, frag ich mich, warum du Mails annimmst, die geblacklistet sind " [108.47.155.2 listed in zen.spamhaus.org]" Dann kannst dir den Kram auch sparen, wenn das nicht zu Block oder zumindest entsprechender Markierung führt. :rolleyes: Bye Norbert Zitieren Link zu diesem Kommentar
Forseti2003 14 Geschrieben 10. Februar 2016 Autor Melden Teilen Geschrieben 10. Februar 2016 (bearbeitet) Letzteres kann ich Dir sofort beantworten: Wir setzen Exchange Server Toolbox als Anti-Spam-Programm ein, dort werden Scores anhand der einzelnen Prüfschritte ermittelt und dann entweder abgelehnt oder zugestellt. Problem in dem Fall dieser Mail besteht darin, das er den Score auf 2,9 setzt und somit ihn passieren lässt. Warum der Hersteller aber nicht erst eine Prüfung auf Blacklists durchführt und selektiert und danach den Rest in der nächsten Phase weiterprüft, kann ich nicht beantworten. Ist mir aber nun auch schon mehrfach aufgefallen, das er sich so verhält, muss mal mit dem Hersteller darüber sprechen, was er dazu meint. Aber zum ersten Teil, im Transportlog sehe ich auch nichts auffälliges Sender Recipients Recipient Count Message Subject Time Stamp Event Id Message Id Internal Message Id Client Ip Client Hostname Server Ip Server Hostname Connector Id Source Related Recipient Address Return Path Message Latency Recipient Status Total KBytes orders@meine.domain.de meineMail@meine.domain.de 1 [sPAM] RE: unpaid order 09.02.2016 16:54 DELIVER <38646AA6.206F8147@meine.domain.de> 67018669687083 Mail.meine.Domain.de Mail STOREDRIVER orders@meine.domain.de 00:00:11.5070000 311,69 orders@meine.domain.de meineMail@meine.domain.de 1 [sPAM] RE: unpaid order 09.02.2016 16:54 HAREDIRECTFAIL <38646AA6.206F8147@meine.domain.de> 67018669687083 Mail SMTP orders@meine.domain.de 309,59 orders@meine.domain.de meineMail@meine.domain.de 1 [sPAM] RE: unpaid order 09.02.2016 16:54 RECEIVE <38646AA6.206F8147@meine.domain.de> 67018669687083 192.168.4.40 Mail.meine.Domain.de Mail MAIL\Default MAILEX01 EMSC SMTP orders@meine.domain.de 309,59 orders@meine.domain.de meineMail@meine.domain.de 1 [sPAM] RE: unpaid order 09.02.2016 16:54 AGENTINFO <38646AA6.206F8147@meine.domain.de> 67018669687083 Mail AGENT orders@meine.domain.de 311,6 orders@meine.domain.de meineMail@meine.domain.de 1 [sPAM] RE: unpaid order 09.02.2016 16:54 SEND <38646AA6.206F8147@meine.domain.de> 67018669687083 192.168.4.40 Mail Mail.meine.Domain.de Organisationsinterner SMTP-Sendeconnector SMTP orders@meine.domain.de 00:00:11.5070000 250 2.1.5 Recipient OK 311,69 bearbeitet 10. Februar 2016 von Forseti2003 Zitieren Link zu diesem Kommentar
NorbertFe 2.037 Geschrieben 10. Februar 2016 Melden Teilen Geschrieben 10. Februar 2016 Dann hast du offenbar für deine eigene Domain keinen SPF Record. Wäre jetzt eine Variante, alternativ kannst du natürlich auch eingehende Mails mit deiner eigenen Domain blocken. Dann hast du das Problem auf deiner Seite gelöst und nur deine Kunden usw. bekommen Mails mit deinem gefälschten Absendern. ;) Man könnte jetzt darüber diskutieren, ab wann ein Score dann Spam darstellt. Es heißt zwar immer, dass man sich nicht auf RBL usw. allein verlassen sollte, genauso wenig verlassen sollte man sich aber auf das konfigurierte Scoring. Ist wie immer eine Glaubens- und Abwägensfrage. Ich persönlich blocke, sobald ein Test Spam "schreit". Lieber bei einer Mail mal nachforschen, als dann bei solchem Müll zu knobeln. Bye Norbert Zitieren Link zu diesem Kommentar
Forseti2003 14 Geschrieben 10. Februar 2016 Autor Melden Teilen Geschrieben 10. Februar 2016 (bearbeitet) Ja, hier scheint der Hund begraben zu liegen, der SPF-Record fehlt. Soweit ich das jetzt weiss, muss das der Provider der Domain am Nameserver eintragen, korrekt? Oder muss ich da intern noch was setzen? bearbeitet 10. Februar 2016 von Forseti2003 Zitieren Link zu diesem Kommentar
NorbertFe 2.037 Geschrieben 10. Februar 2016 Melden Teilen Geschrieben 10. Februar 2016 Nur extern. Intern hilft für die lokal. Aaber auch nur, wenn deine Spamappliance nach intern abfragt. Für den "Schutz" deiner Domain würde ich das Ding extern publishen. Zitieren Link zu diesem Kommentar
Forseti2003 14 Geschrieben 10. Februar 2016 Autor Melden Teilen Geschrieben 10. Februar 2016 Hab es mal an den Provider weitergeleitet, damit es nachgetragen wird. Der Verweis auf alle MX-Einträge sollte ja ausreichen um besser geschützt zu sein. Den Hersteller von der Anti-Spam-Software hab ich dazu auch mal angeschrieben, damit er hier evtl. was nachbessern kann. Wenn nicht kann ich die Blacklist ja auch direkt in den Exchange eingeben, dann lehnt er ja eh ab - wobei das mal vor längerer Zeit ein Problem war, da dann einige Mails uns nicht mehr erreicht haben. Ich beobachte mal weiter. Zitieren Link zu diesem Kommentar
NorbertFe 2.037 Geschrieben 10. Februar 2016 Melden Teilen Geschrieben 10. Februar 2016 (bearbeitet) Das Eintragen von Blacklists auf dem Exchange, wenn du vor dem Exchange ein Antispamgateway laufen hast ist aber kontraproduktiv. Auch wenn dein Tool direkt auf dem Exchange installiert ist, ist die Kaskade von Antispamfiltern nicht wirklich sinnvoll. Spätestens wenn du Mails suchst, wird es schwer bis sehr schwer da noch die richtigen Logfiles zusammenzusuchen. Merke: Spam wird nur auf der erste Stufe geblockt und danach maximal getaggt. Nie andersrum! Bye Norbert bearbeitet 10. Februar 2016 von NorbertFe Zitieren Link zu diesem Kommentar
Forseti2003 14 Geschrieben 10. Februar 2016 Autor Melden Teilen Geschrieben 10. Februar 2016 okay, verstanden. Hab aber schon Rückmeldung vom Softwarehersteller, wir können das Scoring für den RBL höher setzen und später, wenn der Provider den SPF gemacht hat, die Software auf SPF umstellen. Dann sollte das erledigt sein, hoffe ich ;-) Danke für eure Mühen und Tipps. Zitieren Link zu diesem Kommentar
Dirk-HH-83 14 Geschrieben 16. Februar 2016 Melden Teilen Geschrieben 16. Februar 2016 Sorry habe noch nicht alles Rückwärts gelesen und kenne SPF nicht im Detail. Würde behaupten solange man kein CISCO IRONPORT hat kann man es nicht verhindern, das man von der eigenen Domain zugespamt wird. (ich meine da so eine bestimmte Funktion bzgl. "Fake Spoofing Mails von der eigenen Domain als Spam erkennen" (mir fällt der Name der Funktion gerade nicht ein) Mittels Klasse 2 Zertifikaten kann man dem Empfänger zumindest sofort zeigen, die Mail kam garantiert nicht vom offziellen Mailserver. Die Lösung das die gesamte Firma nur Mails versendet mit Klasse 2 Zertifikaten gab/gibt es ja auch. (m.W. nach nicht für Exchange/Outlook) (der Empfänger muss dazu kein Code bekommen) Klasse 2 Bei Zertifikaten der Klasse 2 findet neben der eMail-Überprüfung eine einfache Identitätsfestellung statt. Im Fall der Signaturzertifikate, die der Klasse 2 entsprechen, erfolgt diese Identitätsfestellung beispielsweise per Einschreiben auf dem Postweg. Zertifikate der Klasse 2 bieten eine hohe Sicherheit und besitzen rechtliche Gültigkeit. Zitieren Link zu diesem Kommentar
NorbertFe 2.037 Geschrieben 16. Februar 2016 Melden Teilen Geschrieben 16. Februar 2016 Ich hab keine ironport und ich kann dir versichern, dass hier keine Mails von extern mit meiner Domain reinkommen. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 16. Februar 2016 Melden Teilen Geschrieben 16. Februar 2016 Würde behaupten solange man kein CISCO IRONPORT hat kann man es nicht verhindern, das man von der eigenen Domain zugespamt wird. (ich meine da so eine bestimmte Funktion bzgl. "Fake Spoofing Mails von der eigenen Domain als Spam erkennen" (mir fällt der Name der Funktion gerade nicht ein) Da behauptest Du aber falsch! Jedes Mailgateway/UTM sollte so etwas können. Einfach den (externen) SMTP-Empfang von '@eigenedomäne.de' verhindern (Sollte natürlich sichergestellt sein, dass man nicht doch von irgendwoher Mails von der eignen Domäne bekommen soll (z.B. Kontaktformular Webseite o.ä.!). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.