Jump to content

Spoofing Mails - wie ist das möglich?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Servus,

gibt es eine erklärung dazu wie, bzw. warum es möglich ist, mit einer falschen Absender-Domain zu senden, ohne das irgendetwas geblockt wird?

 

Wir selber bekommen ab und an Emails mit diesen berühmten Zip-Anhämngen (invoice...) wo entweder der Locky Virus, oder ein anderer Crypto-Trojaner drin steckt. Das Krasse daran ist - der Absender sind angeblich wir selber. Schaut man aber in den quelltext rein sieht man, das bei dem absender wo unsere @domain.de geschrieben ist, eine IP Adresse ,welche entweder in Polen liegt, oder irgendwo unauffindbar im außland.

Das Problem haben auch einige andere wie ich schon mitbekommen habe - also nicht nur wir selber.

Da fragt man sich natürlich wie das möglich ist, das jemand andere mit unserer domain mails verschickt. Über unseren Exchange ging nie eine derartige mail raus. Wir haben auch einen Kunden, welcher klassisch über Pop3 abruft (eine sehr kleine firma) und selbst da ist es so. Die Passwörter sind sehr sicher (komplex), auch ein ändern der Passwörter brachte garnichts.

Mich wundert es nur - sollte es nicht eigentlich immer eine art reverse-DNS auflösung zu der absender-adresse geben, womit überprüft wird, ob das wirklich der absender ist?

 

Wie kann man sich vor sowas schützen? Den es ist schon nicht wirklich schön, wenn ein angestellter eine mail von sich selbst bekommt, bzw. von einem Kollegen - welche er aber nie geschickt hat - und diesen anhang öffnet und der Locky Virus es schafft ca. 20 dateien zu verschlüsseln bevor die Verhaltensüberwachung vom Virenprogramm greift.

 

Ein Netzwerkweiter Virenscan wurde natürlich schon ausgeführt- aber ohne befund.

 

 

im Einsatz ist z.B. Exchange2010, Exchange 2013, oder eben auch Pop3 über Outlook 2016...je nach fall den ich so gehört habe.

Daher würde ich mich gern mal mit anderen Administratoren austauschen, was ihr so dagegen unternehmt, oder wie man das blocken kann?

 

Link to comment

Moin,

 

SMTP kennt keine Absenderverifizierung. Daher kann man als Absender eintragen, was man will.

 

Da das natürlich schlecht ist, gibt es verschiedene Ansätze, das "nachträglich" abzusichern, aber die kranken daran, dass sie nicht flächendeckend genutzt werden und bisweilen Kompatibilitätsprobleme aufwerfen.

 

Gruß, Nils

Link to comment

im Einsatz ist z.B. Exchange2010, Exchange 2013, oder eben auch Pop3 über Outlook 2016...je nach fall den ich so gehört habe.

Daher würde ich mich gern mal mit anderen Administratoren austauschen, was ihr so dagegen unternehmt, oder wie man das blocken kann?

Wir blocken die gespooften Emails bereits auf unserem Mailgateway bzw. auf der UTM.

SMTP-Traffic von extern, der mit unseren Domains als Absender ankommt wird geblockt. Dabei muss man jedoch aufpassen, dass man nicht eigene gewünschte Anwendungen (z.B. den eigenen Webserver) rausschießt. Da diese jedoch in der Regel über eine feste IP kommen, kann man entsprechende Ausnahmen definieren.

Link to comment

ICh denke es geht auch um fremde Domains, und da bist du eben auf Mechanismen wie SPF usw. angewiesen, die vom Besitzer der Domain abhängen und nicht von deinem Spamfilter. ;)

SPF ist prinzipiell eine tolle Sache.

Machen leider nur viel zu Wenige, als dass es große Auswirkungen auf das allgemeine Aufkommen von Spoofing-Mails hätte...

Aber irgendwann wird Alles besser.  :D

Edited by monstermania
Link to comment

Eigentlich nicht. Es gibt nur leider viel zu viele, die entweder fehlerhafte SPF Records nutzen und damit dann trotzdem durchkommen, oder eben ihre eigenen Records nicht im Griff haben und von Hosts senden und erwarten dann vom Empfänger, dass er gefälligst zu whitelisten hat. Namhafte Weltfirmen gehören da genauso dazu, wie irgendwelche Firmen die von Krautern administriert werden. ;)

Link to comment

Wenn ich das richtig verstehe ereicht man mit diesem SPF Record aber lediglich das man keine gefälschen Mails erhält die die eigene Domäne verwenden, oder?

 

Aber ander Spam-Mails die ebenfalls eine gefälsche Domäne verwenden kommen dennoch durch, oder?

Mich wundert es ja sehr, das es da noch keine neuerung gibt, ein SMTPv2 oder soewas, was eben auch das fälschen der Absenderdomäne nicht mehr möglich macht.

das ist doch höhst ärgerlich soetwas. Nicht selten gibt es kunden, die die Absenderdomäne kennen, sich zwar wundern was das für eine komische mail ist - diese aber dann dennoch öffnen, weil eben der absender bekannt ist :-/

 

gibt es den echt keinen schutz gegen diese Spam-Mails wo laufend irgendwelche invoice rechnungen drin sind als zip datei, oder als doc-dokument? Einer der größten deutschen Antivieren-Programm entwickler (Gdata) sagt das es dagegen keinen schutz gibt, weil sich der inhalt der dateien ständig ändern, und die dateien selber nicht das Virus sind, sondern das Virus erst damit heruntergeladen wird :(

Edited by Assassin
Link to comment

Moin,

 

du hast genau das Kernproblem von SMTP getroffen. Es ist nun mal ein "Simple"-Protokoll, das noch dazu "uralt" ist und daher kaum Sicherheitsmechanismen hat.

 

Seit Jahren und Jahrzehnten gibt es Bemühungen, das zu ändern, aber die werfen eben immer Kompatibilitätsprobleme auf oder erschweren die Nutzung, daher haben sie sich nicht richtig durchgesetzt. Ja, das ist ärgerlich, aber keineswegs neu.

 

Gruß, Nils

Link to comment

Software Restriction Policys und keine Adminrechte auf den Rechnern, sind ein weiterer Baustein in der Mauer. Und zu guter Letzt kann auch etwas Brain 2.0 bei den Usern nicht schaden. Wenn den Leuten schon die Mail auffällt, warum müssen sie die Mail dann unbedingt öffnen? Warum kann man nicht beim bekannten Absender anrufen und nachfragen? Die Neugier quält sie alle, gegen die Neugier ist keine Kraut gewachsen.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...