Welchen Spamfilter nutz ihr was nützt er? (Ärger mit Sober.P)

Hi Leude,

bin in letzter Zeit ziemlich genervt weil mich meine Anwender alle Stunde mal anrufen...

Hilfe hilfe ich habe soviel Werbe-E-Mails im Postfach (70 Stück) ...äh grübel..grübel bei mir nicht. :suspect:

Dann beim Anwender nachgeschaut und tatsächlich ein haufen E-Mails mit den Texten von Sober.P => http://www.bsi.de/av/vb/soberp.htm :mad:

Nerven tuts mich eigentlich nur weil ich dachte ich hätte das nötige getan. (Spamfilter beim Provider ..glaube von Sophos...und bei uns nochmal der Intelligent Message Filter):

Gateway Blocking: SCL 7

Junkmail: SCL 5

Leider erkennt die Providerspamlösung und der IMF die Nachrichten mit dem Betreff:

Tuerkei in die EU

Du wirst ausspioniert ....! usw.

nicht als Spam und unser IMF vergibt nur eine SCL von 2. Was ziemlich nervig ist. :(

1. Was macht ihr gegen solche Nachrichtenfluten? Die der Spamfilter nicht erkennt?

2. Gibt es in Exchange Serverseitig eine Möglichkeit Betreffzeilenabhängig zu filtern?

3. Hatte ihr auch die nervigen Sober.P Nachrichten?

4. Nebenbei hätte ich noch ne Frage.. bezüglich falscher Empfänger Adressen der Sober Nachrichten (SMTP Newbie sry):

Die Sober Nachrichten gehen bei user1@firma.de ein in seinem Outlook 2k3 werden Sie aber mit der "An-Zeile: freemail@firma.de" angezeigt..diesen Alias gibts aber in unserem AD/Exchange 2k3 System garnicht.

Ok .. E-Mail Header angeschaut ID rausgesucht und im Message Tracking Center die E-Mail rausgesucht..

E-Mail gleich gefunden...aber was ist das die E-Mail geht nicht an freemail@firma.de sondern an user1@firma.de, user2 usw..

Bei den Usern im Postfach ist Sie auch angekommen aber warum steht dann bei den Usern im Postfach eine falsche Empfängerzeile... wo liegt da der Hund begraben??

Please help me!!!

LG Gadget

Arbeite seit mehr als zwei Jahren mit dem Gratisprogramm K9 (keir.net). Das hat durch das lange Training und die entstandene Datenbank mittlerweile eine so hohe Erkennungsrate, dass auch die neuste Spamwelle nicht durchschwappt. Gleichzeitig werden aber erwünschte E-Mails zuverlässig zugestellt.

Verwende SpamAsassin auf einem Linux-Mailgateway vor dem Exchange. Wird immer besser *g*

Hi Kohn

Das liegt daran, dass Soeber.P keine Spam Mails verschickt. Ist ja auch ein Virus, und der kann auch aus Domänen stammen, welche nicht ge-blacklisted sind. Der Spam-Filter kann meines Wissen ja auch nur nach entweder einer Blacklist arbeiten oder aber gewissen Stichwörtern, was aber heikel ist da damit die fals-positive Rate ansteigt.

Wie das mit der gespooften E-Mail Empfänger Adresse funktioniert kann dir vielleicht der Header der Mail verraten: http://www.johnru.com/active-whois/trace-email.html

Gruss

Velius

....noch mehr zum Thema:

Like U.S. Mail, Electronic mail has two sets of addresses. Email has an envelope address that is used to actual deliver email to the correct person. You don't see this envelope address information when you receive the message, even if you look at the full-headers. The envelope address is used by programs on the email servers (i.e., email.med.yale.edu, omega.med.yale.edu, biomed.med.yale.edu) that actually direct the mail delivery to individual email accounts (i.e., mcgrathf@biomed.med.yale.edu). Just like there is an address as part of the text of a letter inside a U.S. mail envelope, email has a second set of addresses in the header of the email message. These are the addresses you normally see in the To: and From: headers of the email message (examples: normal/brief headers and full-headers). As with the U.S. Mail, these addresses need not be correct for you to receive the message. In fact, the sender can make these be anything they wish.

To: and From: Email Headers can be Spoofed/Forged

Knapp erklärt:

Es gibt einen angezeigten Wert, und einen tatsächlich durch den jeweiligen E-Mail Server verarbeiteten Wert. Der angezeigte kann beliebig verändert werden....

EDIT: Und noch was, weil's so lustig ist.... :( :D

http://www.windowsecurity.com/articles/Email-Spoofing.html

Vor allem der Abschnitt "Technological Solutions" ist sehr interessant, da zukünftige Lösungen besprochen werden.

Hi Velius,

danke für die zwei guten Links/Erklärungen. Der Zweite Link beschreibt genau das Prob was ich mir schon gedacht habe..

# The ENVELOPE address can NOT be spoofed. This address is used to deliver email to the correct recipient.

# The address in the HEADERS of the message can be spoofed. Addresses that appear in the To: and From: messege headers are NOT the addresses used in the delivery of the message.

# When you are reading an email message you can view the address in the message HEADERS, but you can not view the ENVELOPE address.

Nun stellt sich mir aber die Frage - in wie weit man einer E-Mail überhaupt noch trauen kann...garnicht wenn man die eigentliche Versandadresse niemals sehen kann (außer am Server übers Message Tracking Center). Wie kann jetzt aber der Anwender überhaupt noch einer E-Mail glauben oder das Medium sicherer gestalten.

Geht nix mehr ohne PGP signing bei wichtigen E-Mails...was meinst du dazu?

Ne gescheite Serverlösung zur Fälschungssicherheits gibts nicht oder?

http://www.msexchangefaq.de/spam/faelschung.htm

EDIT:

EDIT: Und noch was, weil's so lustig ist....

Merci, Merci ...da hab ich was zum Lesen in der Arbeit - wenn ich dazu komme...nehm ich mir einfach ...weil wichtiges Thema ;)

LG Gadget

Den Mails trauen??

Na ja, so ganz einfach ist es ja nicht die (Empfänger) Adresse zu faken, mit "normalen" SMTP Kommandos geht das jedenfalls nicht, oder mir wäre nicht aufgefallen wie. Man kann es ja austesten indem man ein Mail über Telnet auf Port 25 zu senden versucht.

Ausserdem ist ja die IETF un unter anderem auch MS an Lösungen wie SPF (Sender Policy Framework) oder reverse MX-Records dran....

Mal schauen. Wie in den Links erwähnt, E-Mail Verschlüsselung wie PGP oder S/MIME ist noch alles andere als weit verbreitet...

Hallo,

ich nutze Mailsweeper von Clearswift.

Habe da immer ein bisschen Administratons-Arbeit, aber ohne ist´s ja auch langweilig.

Habe jetzt in 20 Stunden ca. 600 Sober.P-Mails gekickt. Auch der Virenschutz und die Erkennung von sonstigen Spam ist super.

mfg

thomson26

hi

also ich hab IMF am exchange laufen

zusätzlich gleiche ich ihm noch mit einer blacklist ab (wenn man das so sagen kann)

http://www.spamhouse.org

lg

rossi

Den Mails trauen??

 

Na ja, so ganz einfach ist es ja nicht die (Empfänger) Adresse zu faken, mit "normalen" SMTP Kommandos geht das jedenfalls nicht, oder mir wäre nicht aufgefallen wie. Man kann es ja austesten indem man ein Mail über Telnet auf Port 25 zu senden versucht.

 

 

Ausserdem ist ja die IETF un unter anderem auch MS an Lösungen wie SPF (Sender Policy Framework) oder reverse MX-Records dran....

Mal schauen. Wie in den Links erwähnt, E-Mail Verschlüsselung wie PGP oder S/MIME ist noch alles andere als weit verbreitet...

jupp, da schliess ich mich mal an. beim BSI gibts ein aktuelles paper dazu...

Wir verwenden in der Frima ORFEE (Open Relay Filter Enterprise Edition) und sind damit wirklich sehr zufriden kann man nur empfehlen.

Gruß

Ralle

hi all.

Wir setzen GFI Mailessentails 10.1 ein.

Mit SPF, rmx , der bayanerischer Filterung und der Abfrage bei den beiden Blacklist betreibern spamhaus.org und spamcop.net, kommt fast kein mail mehr durch das nicht sollte :)

Dennoch gibst halt manchmal auch legitime mails die ins spam postfach fallen.

Leider kein virenschutz mit dabei.

Aber bin sehr zufrieden mit GFI.

Grüsse

Darkmind

SpamAsassin und Expurgate.

Läuft top :)

HIHO,

wir verwenden SpamAsassin vor dem Exchange. IMF hat einfach dass Problem, dass die eMails letztendlich doch im Postfachspeicher landen .

Natürlich muss man bei der ganzen Filterung die gesetzlich Rahmenbedingungen beachten. Nur mal so, aber Ihr wisst ja, dass eine Diskussion über diese rechtlichen Aspekte hier nicht so gerne gesehen ist :D .

SpamDefense von Sybari ist da eine wirklich gute Alternative. Die Spammails werden auf einem exteren Gateway ausgefiltert und landen erst gar nicht im Postfachspeicher. Der User bekommt dann von dem Gateway einmal in der Woche ein Report per eMail und kann dann mit den eMails verfahren wie er will. Zusätzlich zu den vorgegebenen globalen Spameinstellugen kann der User ein eigenes Regelwerk aufstellen. Somit ist man rechtlich auf der sicheren Seite, z.B. wenn es keine Betriebsvereinbarung oder ähnliches gibt.

Gruß Data