CEO - Fraud - welche Massnahmen?

adrian138
Goto Top
Hallo zusammen,

Welche Massnahmen habt Ihr betreffend CEO - Fraud im Einsatz?

Wir haben in der Firma immer wieder das Problem das Kunden von unserem CEO mit einer fake Mailadresse aber mit der richtigen Domain Endung angeschrieben werden.

Für mich wäre die einfachste Lösung, digitale Signatur der Mails einzuführen. Der Empfänger sieht dann anhand des Zertifikatsicon sofort ob das Mail wirklich vom CEO versandt wurde oder nicht.

Danke für Eure Inputs,
Grüsse,

Adrian

Content-Key: 2901394022

Url: https://administrator.de/contentid/2901394022

Ausgedruckt am: 04.07.2022 um 05:07 Uhr

Mitglied: em-pie
em-pie 26.05.2022 um 10:20:26 Uhr
Goto Top
Moin,

im Kopf jeder Mail steht bei uns, dass diese von Extern kommt.
Diese technische Maßnahme mit einer Schulung der MAs ist wichtig/ der sinnvollste Weg.

Gruß
em-pie
Mitglied: manuel-r
manuel-r 26.05.2022 um 11:40:37 Uhr
Goto Top
Hallo

Verstehe ich richtig? Externe Partner erhalten eMails von fakeceo@euerkunde.de? Dann solltet ihr zuerst einmal SPF für die Domain einrichten. Natürlich müssen die Empfänger den SPF dann auch auswerten. Das ist für beide Seiten aber schnell gemacht und kostet nichts.

Außerdem wäre natürlich anhand der Logs und Header zu prüfen, ob die Mails nicht vielleicht tatsächlich über den Mailserver eures Kunden verschickt werden. Könnte ja sein, dass jemand den Server übernommen hat.

Manuel
Mitglied: Dani
Dani 26.05.2022 um 13:09:38 Uhr
Goto Top
Moin,
Welche Massnahmen habt Ihr betreffend CEO - Fraud im Einsatz?
wir setzen dabei auf eine Kombination von SPF, DKIM und MTA-STS. Wobei letzteres noch sehr unbekannt und unverbreitet auch ist. DKIM ist natürlich im Vergleich zu SPF das beste Mittel der Wahl. Denn durch die Signatur ist die Identität zu 99% nachvollziehbar.


Gruß,
Dani
Mitglied: LordGurke
LordGurke 26.05.2022 um 13:23:42 Uhr
Goto Top
Dann solltet ihr zuerst einmal SPF für die Domain einrichten. Natürlich müssen die Empfänger den SPF dann auch auswerten. Das ist für beide Seiten aber schnell gemacht und kostet nichts.

Und taugt auch leider wenig.
SPF hat so viele konzeptionelle Probleme, dass es - wenn man ausschließlich auf SPF setzt - vollkommen unzureichend ist und eine falsche "Sicherheit" vorgaukelt.
DMARC-Records sind der bessere Weg, können notfalls auch mit SPF kombiniert werden. Aber tatsächlich sollte man sich insgesamt eher auf DKIM verlassen. Das ist aufwendiger, aber auch kein Hexenwerk.
https://administrator.de/tutorial/wenn-die-eigene-domain-fuer-spamversan ...
Mitglied: ManuManu2021
ManuManu2021 26.05.2022 um 13:55:02 Uhr
Goto Top
@adrian138
welches Mailsystem verwendet ihr und habt ihr POP3 Abholung oder direkten Mailempfang?
Mitglied: unbelanglos
unbelanglos 26.05.2022 um 14:01:53 Uhr
Goto Top
Es heißt nicht umsonst TOM. Technisch-Organisatorische-Maßnahmen.

Unternehmen die die GF per Mail z. B. Geld zur Zahlung anweisen lassen, haben ganz andere Probleme als SPF, DKIM oder sonstige Signaturen.
Mitglied: some1.sys
some1.sys 26.05.2022 um 14:08:24 Uhr
Goto Top
Hi,

man muss aber sagen, dank Hafnium und Co ist es nicht ausgemacht, dass von extern versandt wird. Hier sollte zu vorderst die Prüfung anstehen, was der Grund für diese Mails ist.
Mitglied: ManuManu2021
ManuManu2021 26.05.2022 aktualisiert um 15:46:04 Uhr
Goto Top
Mitglied: em-pie
em-pie 26.05.2022 um 18:39:30 Uhr
Goto Top
Hoppala,

Hab oben überlesen, dass eure Kunden ja von eurem CEO vermeidlich eine Mail erhalten….

Eigentlich sollte es ja auch eure Lieferanten treffen. Wenn der Absender weiß, wer euer Kunde ist, solltet ihr mal weiter recherchieren…

Informiert pauschal eure Partner. Zeigt auch, dass ihr das Thema ernst nehmt!

Ansonsten könnte ihr bedingt was machen. SPF/ DMARC/ DKIM wäre Werkzeuge, die ihr einsetzen könnt. Hilft aber auch nur, wenn die anderen Systeme die Mechanismen verwenden und die Mails nicht von eurem System ausgehen.
Mitglied: NordicMike
NordicMike 26.05.2022 um 19:43:03 Uhr
Goto Top
SPF hat so viele konzeptionelle Probleme

Die Aufgabe erledigt es doch ganz gut. Da kommt ganz sicher keine Email von außen mehr rein, das die eigene Domain als Absender hat.
Mitglied: adrian138
adrian138 26.05.2022 um 20:08:03 Uhr
Goto Top
Vielen Dank für die vielen hilfreichen Rückmeldungen.

Wir brauchen Exchange 2016 mit dem neusten CU.

Wie sollte ein richtiger SPF aussehen?
unser sieht so aus:

v=spf1 ip4:188.94.249.248/29 ip4:188.94.250.248/29 ip4:188.94.251.248/29 ip4:188.94.252.252/30 ip4:185.15.192.32/27 ip4:178.16.56.32/27 ip4:185.15.192.32/28 ip4:153.92.196.160/28 ip4:37.202.1.52/30 ip4:37.202.6.52/30 ~all
Mitglied: em-pie
em-pie 26.05.2022 um 20:14:12 Uhr
Goto Top
Und euer Mailserver kann von diesen ganzen IPs versenden?

Das ist, für einen Mailserver, ne ganz schöne IP-Schlacht!?
Mitglied: unbelanglos
unbelanglos 26.05.2022 um 20:19:38 Uhr
Goto Top
Das bedeutet ja nur dass er mit einer dieser IP senden kann.
Die Anzahl der IPs ist ohne Bedeutung.
Mitglied: Dani
Dani 26.05.2022 um 22:02:36 Uhr
Goto Top
@em-pie
Und euer Mailserver kann von diesen ganzen IPs versenden?
Es handelt sich dabei um Adressen von Mittwald. Vermutlich wird dort eine oder mehrere Internetseiten gehostet. Der Eintrag entspricht dem Best Practices seitens Mittwald.


Gruß,
Dani
Mitglied: em-pie
em-pie 26.05.2022 um 22:13:24 Uhr
Goto Top
@dani. Danke fürs checken.
Hatte die IPs, muss ich gestehen, nicht geprüft. Oben wurde ja zuvor explizit der Exchange 2016 mit aktuellem CU genannt, ging also von einer OnPrem-Lösung ohne Smarthost aus…
Mitglied: NordicMike
NordicMike 27.05.2022 um 08:57:30 Uhr
Goto Top
Die Mittwald IP Adressen können raus. Evtl vorhandene Webseiten könnten kompromitiert sein und sollten nicht von selbst Emails verwenden. Sie sollen es erst zum internen Mail Server schicken, bevor es in die weite Welt raus geht, dan hat man auch ein zentrales Logging darüber.
Mitglied: adrian138
adrian138 27.05.2022 um 09:40:00 Uhr
Goto Top
Vielen Dank!

Mir ist bekannt das Marketing Newsletter über die Webseite versendet werden, ich werde dies prüfen und die SPF IP's von Mittelwald reduzieren.

Persönlich finde ich die Lösung einer Digital signierten Mail gut. So kann man den Kunden mitteilen, dass alle Mails von unserer Domäne herkommend mit dem Zertifikaticon wirklich von uns kommen. Authentizität und Integrität sind so sichergestellt.
Mitglied: JanSuly
JanSuly 30.05.2022 um 11:23:23 Uhr
Goto Top
Zitat von @em-pie:

Moin,

im Kopf jeder Mail steht bei uns, dass diese von Extern kommt.
Diese technische Maßnahme mit einer Schulung der MAs ist wichtig/ der sinnvollste Weg.

Gruß
em-pie

Haben wir ebenfalls im Einsatz. Ist praktisch und gibt dem Benutzer und warnt Benutzer schon beim Eingang der Mail.
Mitglied: bauinformatiker
bauinformatiker 02.06.2022 um 11:45:51 Uhr
Goto Top
Zitat von @adrian138:
Wir haben in der Firma immer wieder das Problem das Kunden von unserem CEO mit einer fake Mailadresse aber mit der richtigen Domain Endung angeschrieben werden.

Nehmt eurem CEO sämtliche Geräte weg, mit denen er E-Mails versenden kann!
face-wink