Spam Versandt in eigenen Namen

[Stupid Killer]

Hallo Community,

ich bin Administrator eines kleineren Unternehmens das in einem Konzern steckt und aus diesem Grund arbeite ich auch mit der Konzern IT-Administration zusammen.

Kurz zu unserer Infrastruktur,wir haben bei STRATO ein Paket gemietet das u.a. den E-Mail dienst anbietet. Dort haben wir die E-Mail Konten angelegt , ein Teil der E-Mail Konten wird bei STRATO bearbeitet(E-Mails abgeholt etc.) und der andere Teil wird an unseren Exchange weitergeleitet. Diese Struktur habe ich so von meinem Vorgängen übernommen.

 

Vor gut 1 Monate hat es angefangen das im "Namen" meines Chefs E-Mails versendet wurden(smtp.mailfrom und From).

Ich habe leider keinen E-Mail Header mehr von so einer E-Mail , aber die E-Mail ist irgendwo in Südkorea gestartet und nahm dann ihren Lauf.

Teilweise wurde das lokale Outlook Adressbuch genutzt (Wir haben den Rechner auf Schadsoftware geprüft und diese entfernt).

 

Darauf hin habe ich mich näher mit dem Thema "Spam-Versandt" beschäftigt und musste feststellen das es doch sehr einfach ist E-Mails in "Namen" von jemanden zu versenden.

Weiterhin habe ich 3 Techniken gefunden um das ganze so gut wie möglich zu unterbinden SPF, DKIM und DMARC. Nur alle 3 in Verbindung machen aus meiner Sicht Sinn.

 

Leider ist es aufgrund unseren Aktuellen Infrastruktur nicht möglich alle zu verwenden ,sondern nur SPF und die Auswertung von SPF wird von vielen E-Mail Anbietern ignoriert. Momentan ist es nicht möglich die Struktur umzustellen, dies wird aber Demnächst(Denke Mitte / Ende nächsten Jahres) durchgeführt.

 

Und jetzt endlich zu meiner Frage gibt es noch weitere "Methoden" außer SPF,DKIM und DMARC die ich bis zu der Umstellung einführen kann ?

 

Mit freundlichen Grüßen

Sebastian

[Crash2001]

Natürlich gibt es auch noch mehr Möglichkeiten, um das Ganze abzusichern. Was davon mit einem externen Provider aber möglich ist, und was Sinn macht, ist die andere Frage.

Davon abgesehen verhindern alle Maßnahmen es nicht, dass einfach jemand den Header einer Mail anpasst und somit nur vorgaukelt wird, dass sie von euch kommen würde, solange sie nicht über euren Mailserver läuft.

Bearbeitet 9. November 2015 von Crash2001

[Stupid Killer]

vor 18 Minuten, Crash2001 sagte:

Natürlich gibt es auch noch mehr Möglichkeiten, um das Ganze abzusichern. Was davon mit einem externen Provider aber möglich ist, und was Sinn macht, ist die andere Frage.

Davon abgesehen verhindern alle Maßnahmen es nicht, dass einfach jemand den Header einer Mail anpasst und somit nur vorgaukelt wird, dass sie von euch kommen würde, solange sie nicht über euren Mailserver läuft.

Hallo Crash2001,

kannst du die anderen Möglichkeiten nennen ?

 

Rein Theoretisch würde es DMARC nicht verhanden aber dem empfangenden Mail Server empfelen das z.B. die E-Mail verworfen wird sobald kein Signierung/Verschlüsselung via DKIM gefunden wird.

[Crash2001]

Nunja, es kommt drauf an in welche Richtung man dabei gehen möchte.

Weitere Ansätze (zur Absicherung des Mailservers) könnte z.B. Portknocking sein, damit nach außen keine Ports offen sind, oder aber dass nur über eine VPN-Verbindung zum Server Mails verschickt werden können.
Ansonsten halt noch SSL-Verbindung zum Server usw. ...

Zusätzlich könnte man in der Firewall auch bestimmte IP-Address-Ranges verbieten / erlauben.

Das alles greift aber nur, falls jemand versuchen sollte, Mails über den Server zu verschicken und nicht den Header manipuliert, so dass es so aussieht, als ob sie von deinem Mail Server kommen würden.

Man könnte natürlich auch nur noch verschlüsselt kommunizieren - ist jedoch in der Praxis meist nicht wirklich möglich, solange man nicht innerhalb des Unternehmens bleibt, da sich die Verschlüsselung von Mails noch lange nicht durchgesetzt hat, auch wenn sie oftmals ganz einfach umsetzbar wäre. Ist aber halt ein Mehraufwand.

Bearbeitet 10. November 2015 von Crash2001

[Tician]

Also was ich bisher mitbekommen habe is das es verschiedene Arten von Malware gibt wenn es um das "Senden in meinem Namen" geht. Das eine ist Malware die tatsächlich den eigenen E-Mail-Account und Addressliste benutzt - den wird man los mit manuellen Handgriffen und ganz wichtig: auch andere Geräte prüfen mit denen sich im Postfach eingelogt wird. Passwort ändern natürlich.

Das andere ist Malware die die Addressliste "klaut" und in deinem Namen - aber von einer anderen E-Mail-Addresse - spamt, ich habe mir eure vorgeschlagenen Programme nicht angesehen, aber ich kenne bisher noch keine Methode um das, nachdem es geschehen ist, zu verhindern.

Und natürlich sollte sowas gar nicht erst auf den PC kommen, ein Ad-Blocker sollte Drive-By-Downloads ganz gut verhindern und jedes Virenprogramm ist nutzlos wenn der Benutzer nicht auch mitdenkt, also keine Anhänge von E-Mails öffnen die man nicht kennt (häufigste Ursache). Auch in letzter Zeit sehr beliebt sind die Verschlüsselungstrojaner die sich in einer perfekt deutschen Bewerbung tarnen mit einem "Dropbox-Anhang mit Bewerbungsunterlagen".

[Stupid Killer]

Ok,
also scheint es wirklich keine weiteren Methoden außer SPF,DKIM und DMARC zu geben dies das senden in eigenem Namen(über einen anderen Account) eindämmen.

 

Trotzdem Danke an Crash2001 und Tician.

 

[Crash2001]

Was man halt auch definitiv schauen sollte, ist dass der Server nicht als Open Relay konfiguriert ist.

Dafür gibt es diverse Tests, wie z.B. diesen hier.

Also folgende Schritte:

• Absicherung des Betriebssystems des Mailservers
• Absicherung des Mailservers (Config)
• Implementierung von weiteren Methoden zur Absicherung (verschlüsselte Kommunikation für Mailversand/-abruf, sinnvolles Zertifikat mit entsprechender Vertrauensstellung)
• Implementierung von SPF,DKIM und DMARC
• Absicherung der Clients gegen Malware

Zusätzlich kann man fordern, dass eine rDNS-Auflösung funktionieren muss. Damit schließt man aber viele private Mail-Server aus, die nur per DSL o.ä. angebunden sind und keine feste IP-Adresse haben. Bei mir habe ich sie ausgeschlossen.