Spoofing Mails - wie ist das möglich?

[Assassin 13]

Servus,

gibt es eine erklärung dazu wie, bzw. warum es möglich ist, mit einer falschen Absender-Domain zu senden, ohne das irgendetwas geblockt wird?

 

Wir selber bekommen ab und an Emails mit diesen berühmten Zip-Anhämngen (invoice...) wo entweder der Locky Virus, oder ein anderer Crypto-Trojaner drin steckt. Das Krasse daran ist - der Absender sind angeblich wir selber. Schaut man aber in den quelltext rein sieht man, das bei dem absender wo unsere @domain.de geschrieben ist, eine IP Adresse ,welche entweder in Polen liegt, oder irgendwo unauffindbar im außland.

Das Problem haben auch einige andere wie ich schon mitbekommen habe - also nicht nur wir selber.

Da fragt man sich natürlich wie das möglich ist, das jemand andere mit unserer domain mails verschickt. Über unseren Exchange ging nie eine derartige mail raus. Wir haben auch einen Kunden, welcher klassisch über Pop3 abruft (eine sehr kleine firma) und selbst da ist es so. Die Passwörter sind sehr sicher (komplex), auch ein ändern der Passwörter brachte garnichts.

Mich wundert es nur - sollte es nicht eigentlich immer eine art reverse-DNS auflösung zu der absender-adresse geben, womit überprüft wird, ob das wirklich der absender ist?

 

Wie kann man sich vor sowas schützen? Den es ist schon nicht wirklich schön, wenn ein angestellter eine mail von sich selbst bekommt, bzw. von einem Kollegen - welche er aber nie geschickt hat - und diesen anhang öffnet und der Locky Virus es schafft ca. 20 dateien zu verschlüsseln bevor die Verhaltensüberwachung vom Virenprogramm greift.

 

Ein Netzwerkweiter Virenscan wurde natürlich schon ausgeführt- aber ohne befund.

 

 

im Einsatz ist z.B. Exchange2010, Exchange 2013, oder eben auch Pop3 über Outlook 2016...je nach fall den ich so gehört habe.

Daher würde ich mich gern mal mit anderen Administratoren austauschen, was ihr so dagegen unternehmt, oder wie man das blocken kann?

 

[fuuussiiidiel 52]

Moin, 

 

schau dir mal folgendes an:

 

http://markgossa.blogspot.de/2016/01/block-spoofed-email-exchange-2010-2013-2016-part1.html

[NilsK 2.785]

Moin,

 

SMTP kennt keine Absenderverifizierung. Daher kann man als Absender eintragen, was man will.

 

Da das natürlich schlecht ist, gibt es verschiedene Ansätze, das "nachträglich" abzusichern, aber die kranken daran, dass sie nicht flächendeckend genutzt werden und bisweilen Kompatibilitätsprobleme aufwerfen.

 

Gruß, Nils

[monstermania 53]

im Einsatz ist z.B. Exchange2010, Exchange 2013, oder eben auch Pop3 über Outlook 2016...je nach fall den ich so gehört habe.

Daher würde ich mich gern mal mit anderen Administratoren austauschen, was ihr so dagegen unternehmt, oder wie man das blocken kann?

Wir blocken die gespooften Emails bereits auf unserem Mailgateway bzw. auf der UTM.

SMTP-Traffic von extern, der mit unseren Domains als Absender ankommt wird geblockt. Dabei muss man jedoch aufpassen, dass man nicht eigene gewünschte Anwendungen (z.B. den eigenen Webserver) rausschießt. Da diese jedoch in der Regel über eine feste IP kommen, kann man entsprechende Ausnahmen definieren.

[NorbertFe 1.800]

Damit blockst du bei dir die mit deiner Adresse gespooften Domain ankommen. ICh denke es geht auch um fremde Domains, und da bist du eben auf Mechanismen wie SPF usw. angewiesen, die vom Besitzer der Domain abhängen und nicht von deinem Spamfilter. ;)

[monstermania 53]

ICh denke es geht auch um fremde Domains, und da bist du eben auf Mechanismen wie SPF usw. angewiesen, die vom Besitzer der Domain abhängen und nicht von deinem Spamfilter. ;)

SPF ist prinzipiell eine tolle Sache.

Machen leider nur viel zu Wenige, als dass es große Auswirkungen auf das allgemeine Aufkommen von Spoofing-Mails hätte...

Aber irgendwann wird Alles besser.  :D

bearbeitet 2. November 2016 von monstermania

[NorbertFe 1.800]

Eigentlich nicht. Es gibt nur leider viel zu viele, die entweder fehlerhafte SPF Records nutzen und damit dann trotzdem durchkommen, oder eben ihre eigenen Records nicht im Griff haben und von Hosts senden und erwarten dann vom Empfänger, dass er gefälligst zu whitelisten hat. Namhafte Weltfirmen gehören da genauso dazu, wie irgendwelche Firmen die von Krautern administriert werden. ;)

[testperson 1.529]

Und dann gibt es ja auch noch die SPF Gegner: http://david.woodhou.se/why-not-spf.html

Und da mit SPF schon viel zu viele überfordert sind braucht man von DKIM und DMARC wohl noch gar nicht träumen

[NorbertFe 1.800]

Naja diese "Gegner" haben als Argument aber meist auch nur das Mailinglistenproblem. Und das ist leider eben kein Problem vom SPF sondern meiner Meinung nach falsches Handling solcher Systeme. Aber damit kommt man leider nicht weiter. ;)

[testperson 1.529]

Diese "Gegner" scheinen mir auch allesamt aus der Aluhuttragenden-Chemtrails-Geschädigten-ohne-Personalkonto-der-BRD-GmbH-Ecke zu kommen.. Bei mir waren die bislang immer sehr speziell ;)

[NorbertFe 1.800]

Naja es gibt eben einige technische Schwächen, die sich mal mehr oder weniger stark auswirken. Nur wenn ich eben immer mit diesem Argument komme, wird's irgendwann auch langweilig und vor allem nicht besser. ;)

[Assassin 13]

Wenn ich das richtig verstehe ereicht man mit diesem SPF Record aber lediglich das man keine gefälschen Mails erhält die die eigene Domäne verwenden, oder?

 

Aber ander Spam-Mails die ebenfalls eine gefälsche Domäne verwenden kommen dennoch durch, oder?

Mich wundert es ja sehr, das es da noch keine neuerung gibt, ein SMTPv2 oder soewas, was eben auch das fälschen der Absenderdomäne nicht mehr möglich macht.

das ist doch höhst ärgerlich soetwas. Nicht selten gibt es kunden, die die Absenderdomäne kennen, sich zwar wundern was das für eine komische mail ist - diese aber dann dennoch öffnen, weil eben der absender bekannt ist :-/

 

gibt es den echt keinen schutz gegen diese Spam-Mails wo laufend irgendwelche invoice rechnungen drin sind als zip datei, oder als doc-dokument? Einer der größten deutschen Antivieren-Programm entwickler (Gdata) sagt das es dagegen keinen schutz gibt, weil sich der inhalt der dateien ständig ändern, und die dateien selber nicht das Virus sind, sondern das Virus erst damit heruntergeladen wird :(

bearbeitet 3. November 2016 von Assassin

[NilsK 2.785]

Moin,

 

du hast genau das Kernproblem von SMTP getroffen. Es ist nun mal ein "Simple"-Protokoll, das noch dazu "uralt" ist und daher kaum Sicherheitsmechanismen hat.

 

Seit Jahren und Jahrzehnten gibt es Bemühungen, das zu ändern, aber die werfen eben immer Kompatibilitätsprobleme auf oder erschweren die Nutzung, daher haben sie sich nicht richtig durchgesetzt. Ja, das ist ärgerlich, aber keineswegs neu.

 

Gruß, Nils

[Dukel 436]

Es gibt "Sandbox" Scanner von verschiedenen Herstellern. Bei diesen werden Anhänge in einer Sandbox geöffnet und das Verhalten analysiert. Hierbei lassen sich auch unbekannte Malware erkennen. Dies ist ein weiterer Baustein für den Schutz.

[Sunny61 773]

Software Restriction Policys und keine Adminrechte auf den Rechnern, sind ein weiterer Baustein in der Mauer. Und zu guter Letzt kann auch etwas Brain 2.0 bei den Usern nicht schaden. Wenn den Leuten schon die Mail auffällt, warum müssen sie die Mail dann unbedingt öffnen? Warum kann man nicht beim bekannten Absender anrufen und nachfragen? Die Neugier quält sie alle, gegen die Neugier ist keine Kraut gewachsen.