Bester Schutz gegen Spamwellen?

[Lukikum 8]

Moin zusammen,

 

ich weiß nicht ob ihr auch betroffen seid, allerdings trudeln bei uns momentan viele Spammails mit neuem Muster ein.

Und zwar scheinen wohl Postfächer von engen Dienstpartnern geknackt worden zu sein. Die haben dann Original gesendete Mails von unserem Unternehmen geklaut und fügen darüber einen Phishinglink ein. Dann kommt dann sowas wie "Hast du das Dokument dazu schon gesehen?". Und das geht dann an die Personen zurück die ursprünglich die Mail verschickt hat, oder an Verteiler etc.  Am Absender könnte man erkennen, dass es Phishing ist, allerdings achtet natürlich nicht jeder User direkt auf den Absender...

Jedenfalls sehen die Mails vertraulich aus und das schlimmste ist, dass es für die Spamfilter unmöglich ist, diese Mails von Spammails zu unterscheiden.

Nun bin ich dabei zu überlegen was man am besten gegen diese Spamwellen unternehmen sollte. Es würde mich freuen wenn ihr eure Ideen und Meinungen dazu äußern würdet, weil ich noch sehr unsicher bin.

Nr 1, Betreff von externen Mails mit [EXTERN] markieren:

Vorteile:
Mails sind dadurch relativ einfach von internen Mails zu unterscheiden.

Nachteile:
Ich denke der Effekt ist eher gering und zeigt nach ein paar Monaten kaum noch Wirkung, da diese Markierung schon zu vertraut sein wird.

Nr2, Betreff und Mailbody mit einer Warnung versehen:
 

Vorteile:
Offensichtliche Warnung, da bei vielen Clients auch farbliche Markierung im Body möglich sind.

Nachteile:
SMIME Signaturen und Verschlüsselungen würden damit nicht mehr funktionieren und die Mail kaputt machen.
Eventuell Datenschutz Probleme ?

 

Nr3, Social Engineering Präventionstraining

Vorteile:
Würde dem Nutzer selbstständiges denken beibringen
könnte man mit Nr 1 verbinden

Nachteile:
Müsste regelmäßig stattfinden

Ist sehr aufwändig für den Betrieb
 

 

 

Wie seht ihr das ? Habt ihr mit Nr3 eventuell schon gute Erfolge erzielt? Danke für eure Zeit.

LG
Lukas

 

[Nobbyaushb 1.471]

Gefakte Absender erkennt z.B. NoSpamProxy

 

Ich habe ORF, der kann das auch

 

Erstgenanntes Produkt erkennt auch böse Links 

bearbeitet 11. November 2022 von Nobbyaushb

[teletubbieland 167]

Moin,

 

persönlich halte ich 1+2 für sinnlos, da die Benutzer Meldungen gerne einfach weg klicken und eben sich somit auch an Markierungen gewöhnen und Diese überlesen.

Punkt 3 führe ich stetig durch und habe die meisten Anwender soweit, dass sie rückfragen, wenn sie sich nicht sicher sind.

Abgesehen davon rechnet sich langfristig die Anschaffung einer professionellen Lösung wie NoSpamProxy o. Ä.

 

[Lukikum 8]

vor 2 Minuten schrieb Nobbyaushb:

Gefakte Absender erkennt z.B. NoSpamProxy

 

Ich habe ORF, der kann das auch

 

Erstgenanntes Produkt erkennt auch böse Links 

Wie werden denn die "gefakten Absender" erkannt? Die Angreifer hatten eigene SMTP Server, die mit SPF Records eingerichtet waren. Außerdem wurde aus Deutschland/Niederlande angegriffen.  Stell ich mir für einen Algorithmus schwer vor zu erkennen. Die E-Mail Domains kann ich zwar sperren, allerdings ist der Schaden dann schon entstanden.
 

vor 7 Minuten schrieb teletubbieland:

Moin,

 

persönlich halte ich 1+2 für sinnlos, da die Benutzer Meldungen gerne einfach weg klicken und eben sich somit auch an Markierungen gewöhnen und Diese überlesen.

Punkt 3 führe ich stetig durch und habe die meisten Anwender soweit, dass sie rückfragen, wenn sie sich nicht sicher sind.

Abgesehen davon rechnet sich langfristig die Anschaffung einer professionellen Lösung wie NoSpamProxy o. Ä.

 

Sehe ich ähnlich. Von was für einer Unternehmensgröße reden wir bei dir für Nr3 circa ?

Wir haben bei unserem Smarthost bereits ein Spamfilter basierend auf Spamassasin. Der blockt natürlich schon viele Mails, aber ein paar kommen natürlich trotzdem durch. Vorallem wenn Angriffe gezielt aufs Unternehmen abgezielt sind. Würde da ein zusätzlicher Filter viel Unterschied machen?

[mwiederkehr 373]

Nr. 3 hilft, wenn die Leute die Wichtigkeit der Sache erkennen. Bei einem Kunden war das "richtige" Verhalten in den IT-Richtlinien definiert, die jeder Mitarbeiter unterschrieben hat. Hat aber niemanden wirklich interessiert. Dann gab es einen unangekündigten Phishing-Test, auf welchen prompt 30 % der Mitarbeiter hereingefallen sind. Danach eine Schulung, an der ich einige Fallbeispiele von Firmen in der Nähe gezeigt habe. Seither fragen die Leute fast etwas zu häufig nach in Zweifelsfällen.

 

Als zusätzlichen Schutz vor bösen Links ist ein Inhaltsfilter auf der Firewall nützlich.

[teletubbieland 167]

Unternehmensgröße 1-200 MA.

Und steter Tropfen höhlt den Stein.

 

Spamassassin habe ich auch im Einsatz aber er wird immer zahnloser nach meiner Einschätzung, so dass man an professionelleren Lösungen nicht mehr vorbei kommt.

 

[Lukikum 8]

vor 1 Minute schrieb teletubbieland:

Unternehmensgröße 1-200 MA.

Und steter Tropfen höhlt den Stein.

 

Spamassassin habe ich auch im Einsatz aber er wird immer zahnloser nach meiner Einschätzung, so dass man an professionelleren Lösungen nicht mehr vorbei kommt.

 

Den Eindruck bekomme ich langsam leider auch.. Wir trainieren den bis zum Umfallen und stecken viel Zeit in die Pflege und trotzdem kommen immer mehr Spammails.

Wir haben bereits eine SEPPmail Appliance im Einsatz worüber der ganze Emailverkehr läuft. Die haben auch eine anti Spam Funktion. Hat mit der evtl schon jemand Erfahrung?

LG

[NorbertFe 2.034]

vor einer Stunde schrieb Lukikum:

Wie werden denn die "gefakten Absender" erkannt? Die Angreifer hatten eigene SMTP Server, die mit SPF Records eingerichtet waren. Außerdem wurde aus Deutschland/Niederlande angegriffen.  Stell ich mir für einen Algorithmus schwer vor zu erkennen. Die E-Mail Domains kann ich zwar sperren, allerdings ist der Schaden dann schon entstanden.

Das hilft dir in diesem Falle NUR, wenn die gefakten Absender auch DMARC für ihre Domain konfiguriert haben. Dann würden diese Mails nämlich anhand der DMARC Richtlinie rejected oder in Quarantäne geschoben werden. Ich bevorzuge ersteres. Hatte den selben Fall wie du am Anfang der Woche, und mein Kunde hat DMARC konfiguriert, aber leider setzen viele Empfänger die DMARC Policy offensichtlich aus was auch immer für Gründen nicht um, so dass sie die gefakten Mails dann mit dem Vermerkt "Spamverdacht" oder ähnlichem bis zu deren Empfängern durchgelassen haben. Die stellen dann natürlich meinem Kunden die Frage, warum sie sowas denn bekommen. Und nein, mein Kunde ist NICHT gehackt worden, sondern das waren Mails, die er vor "Wochen" mal an Kunden geschickt hatte. Also ist nicht nachvollziehbar, wo die Daten abgeflossen sind. Kann nämlich auch bei anderen Kommunikationsteilnehmern geschehen sein.

 

Ich empfehle jedem Mailadmin usw. sich mit DMARC, DKIM (und SPF sowieso) zu beschäftigen. Das wird in Zeiten von Phishing immer wichtiger und ist keine Raketentechnik. Im Zweifel fragt man jemanden der sich auskennt. ;)

 

Bye

Norbert

vor 1 Stunde schrieb Lukikum:

Ich denke der Effekt ist eher gering und zeigt nach ein paar Monaten kaum noch Wirkung, da diese Markierung schon zu vertraut sein wird.

 

Der zeigt meiner Erfahrung nach Tagen schon keine Wirkung mehr, und bei Mailkommunikation die mehrfach hin- und hergeht, hat der Nutzer dann das Problem, dass dann mehrfach im Betreff dieser Kram auftaucht.

 

vor 1 Stunde schrieb Lukikum:

Nr2, Betreff und Mailbody mit einer Warnung versehen:

ist wie 1, und sorgt nur für zertorfte Mailbodies, die dann auch keiner mehr sinnvoll lesen kann/will. S/Mime hast du schon angesprochen, man macht sich also das kaputt, was als einziges eindeutig beweisen kann, dass die Mail korrekt vom Absender käme. ;)

Nr. 3 ist wichtig, darf aber nicht zu häufig stattfinden, weil das die Nutzer "belästigt", und das wollen die ja nicht. Im Zweifel hilft die Info an alle, dass sie lieber einmal zuviel fragen als einmal zu wenig. Geht natürlich nicht bei jedem Kunden.

 

Bye

Norbert