Exchange 2010 + SPAM mit Worddokumenten

[KarlHubert 12]

Hallo,

 

eine Frage, gibt es ohne Drittanbietersoftware die Möglichkeit die momentane SPAM-Welle mit Word-Dokumenten, aktuell http://www.heise.de/security/meldung/Aktuell-im-Umlauf-Trojaner-Mail-im-Namen-des-Kopierers-verschickt-3088536.html

zu unterbinden?

 

Ich habe hier einen veröffentlichten Exchange 2010, der massig SPAM mit Absenderadressen Kopierer oder Scanner bekommt

 

Oder welche Lösungen setzt ihr hier ein?

 

Danke für eure Antworten

Gruß

Karlhubert

bearbeitet 2. Februar 2016 von KarlHubert

[fuuussiiidiel 52]

Ein SPF Check könnte dein Problem eindämmen. 

 

Wir haben eine Sophos UTM vor dem Mailserver.

bearbeitet 2. Februar 2016 von fuuussiiidiel

[Nobbyaushb 1.372]

Wir haben auch zwei getrennte Lösungen davor (u.a. Reddoxx), trotzdem kommt was durch.

 

Frank hat dazu was geschrieben:

http://www.msxfaq.de/spam/officeanlagen.htm

 

Oft sind es gehackte Konten.

http://www.msxfaq.de/spam/gehackte_mailaccounts.htm

 

Da hilft es nur, die User zu sensibilisieren.

 

[KarlHubert 12]

Danke für eure Antworten, also als SPF hab ich beim Provider v=spf1 ip4:IP-Adresse -all angelegt. Allerdings ist das schon geraume Zeit her. Stimmt dieser Eintrag so?

Und auf dem Exchange muss ich hier auch noch etwas zusätzlich setzen?

 

Den IP-Sperrlistenanbieter SPAMHaus habe ich auch konfiguriert, allerdings scheint der hier nicht zu greifen

[fuuussiiidiel 52]

Habe gerade keinen Exchange 2010 hier, aber im Internet habe ich folgenden Eintrag gefunden für die SPF Prüfung:

 

Excellent. We have a result. SPF is working. We just need to get Exchange to act on them.
1. Go to Organization Configuration, Hub Transport, Anti-spam.
2. Go to Properties of Content Filtering.
3. Set Reject messages that have a SCL rating greater than or equal to: 5

Quelle: http://www.experts-exchange.com/questions/27221694/Exchange-2010-won't-check-SPF-Record.html

 

Den Eintrag kannst du hier prüfen: http://mxtoolbox.com/spf.aspx

[KarlHubert 12]

Alles klar. Vielen Dank

[zahni 525]

Z.B. Per GPO nur gültig signierte Word-Macros erlauben.

Proxy benutzen, der ausführbare Dateien blockiert (dann läuft das Macro ins Leere)

Software Restriction Policy geschickt einsetzen.

 

Das folgende NSA (!)  Dokument beschreibt dies gut:  https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf

[NorbertFe 1.835]

Ein SPF Check könnte dein Problem eindämmen. 

 

Wir haben eine Sophos UTM vor dem Mailserver.

Wenn ich das richtig sehe, hilft das nicht. Denn meine Kunden haben das auch, und die haben im Allgemeinen SPF Records. ;)

[datmox 26]

Mail Protection -> SMTP -> Antispam ->
 

 

This blacklist is matched against the envelope sender of incoming SMTP sessions. You can use ’*’ as a wildcard.

Please note that the user-defined blacklist and whitelist can be viewed and edited in the advanced user settings.

 

 

*@example.com sollte hier Abhilfe schaffen. Natürlich mit Vorsicht zu genießen falls man doch iwo von extern Mails mit der eigenen Domain empfängt

[fuuussiiidiel 52]

Wenn ich das richtig sehe, hilft das nicht. Denn meine Kunden haben das auch, und die haben im Allgemeinen SPF Records. ;)

 

Ich gucke heute Abend nochmal in meinem Testlab, aber vom Prinzip her sollte es das doch eindämmen/verhindern? Weißt du warum es das nicht tut, wenn es das wirklich nicht funktionieren sollte?

 

Kommt am Gateway eine Mail von kopierer@domain.tld an, wird der SPF Check durchgeführt und wenn die Spam IP nicht auftaucht wird geblockt.

 

Ich gebe morgen mal mein Feedback.

[monstermania 53]

Mail Protection -> SMTP -> Antispam ->

 

 

*@example.com sollte hier Abhilfe schaffen. Natürlich mit Vorsicht zu genießen falls man doch iwo von extern Mails mit der eigenen Domain empfängt

Vorsicht!

Viele nutzen Ihren Exchange ja auch um intern per SMTP Mails zu empfangen (z.B. Multifunktionsgeräte´). Diese haben dann oft auch eine Absenderadresse ala '@meinefirma.de'.

Und on der Exchange da unterscheiden kann weiß ich nicht (glaube ich auch nicht)! Kommt schließlich beides per SMTP rein.

Besser vorher auf einem vorgelagerten Gateway (z.B. UTM) filtern.

Ich filtere auf dem Gateway einfach nach Absenderadressen mit '@meinefirma.de'. Alles was so reinkommt wird gleich denied.

[tcpip 12]

Wir haben auch eine Reddoxx vor dem Exchange. Die Empfehlung von Reddoxx war Office Dokumente über den Antiviren Scanner zu blockieren und Absender und Admin darüber zu informieren. Landen dann in einer Quarantäne.

 

Da ist mir aufgefallen das zu 99% die alten Office Formate verwendet werden. .xls und .doc. Die neuen Formate habe ich dann wieder freigegeben.

 

Mittlerweile werden die meisten vom Spamfilter signatur basiert erkannt. Und die die mit unserer Maildomäne eingeliefert werden bleiben am Antispoof-Filter hängen.

 

Top

 

Gruß

 

tcpip

[fuuussiiidiel 52]

Wenn ich das richtig sehe, hilft das nicht. Denn meine Kunden haben das auch, und die haben im Allgemeinen SPF Records. ;)

 

Geht tatsächlich nicht. Macht für mich aber erstmal keinen Sinn :-O

[testperson 1.547]

Es ist ja jetzt auch nicht so, dass sich SPF nicht "umgehen" lässt: http://david.woodhou.se/why-not-spf.html

[NorbertFe 1.835]

Ähm wieso sollte SPf in dem Fall auch Zuschlagen? Es ist doch eher unwahrscheinlich, dass der envelope Sender tatsächlich deine Domäne nutzt. Wenn er das täte, würde dein spamfilter natürlich Zuschlagen. Und der umgehungsprozess ist das ewige pro und contra wie bei vielen Techniken. ;) ich könnte jetzt batv dazuzählen, ist aber nebensächlich.