19
CEO - Fraud - welche Massnahmen?
Hallo zusammen,
Welche Massnahmen habt Ihr betreffend CEO - Fraud im Einsatz?
Wir haben in der Firma immer wieder das Problem das Kunden von unserem CEO mit einer fake Mailadresse aber mit der richtigen Domain Endung angeschrieben werden.
Für mich wäre die einfachste Lösung, digitale Signatur der Mails einzuführen. Der Empfänger sieht dann anhand des Zertifikatsicon sofort ob das Mail wirklich vom CEO versandt wurde oder nicht.
Danke für Eure Inputs,
Grüsse,
Adrian
Welche Massnahmen habt Ihr betreffend CEO - Fraud im Einsatz?
Wir haben in der Firma immer wieder das Problem das Kunden von unserem CEO mit einer fake Mailadresse aber mit der richtigen Domain Endung angeschrieben werden.
Für mich wäre die einfachste Lösung, digitale Signatur der Mails einzuführen. Der Empfänger sieht dann anhand des Zertifikatsicon sofort ob das Mail wirklich vom CEO versandt wurde oder nicht.
Danke für Eure Inputs,
Grüsse,
Adrian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2901394022
Url: https://administrator.de/contentid/2901394022
Printed on: May 10, 2024 at 14:05 o'clock
19 Comments
Latest comment
Moin,
im Kopf jeder Mail steht bei uns, dass diese von Extern kommt.
Diese technische Maßnahme mit einer Schulung der MAs ist wichtig/ der sinnvollste Weg.
Gruß
em-pie
im Kopf jeder Mail steht bei uns, dass diese von Extern kommt.
Diese technische Maßnahme mit einer Schulung der MAs ist wichtig/ der sinnvollste Weg.
Gruß
em-pie
2
Hallo
Verstehe ich richtig? Externe Partner erhalten eMails von fakeceo@euerkunde.de? Dann solltet ihr zuerst einmal SPF für die Domain einrichten. Natürlich müssen die Empfänger den SPF dann auch auswerten. Das ist für beide Seiten aber schnell gemacht und kostet nichts.
Außerdem wäre natürlich anhand der Logs und Header zu prüfen, ob die Mails nicht vielleicht tatsächlich über den Mailserver eures Kunden verschickt werden. Könnte ja sein, dass jemand den Server übernommen hat.
Manuel
Verstehe ich richtig? Externe Partner erhalten eMails von fakeceo@euerkunde.de? Dann solltet ihr zuerst einmal SPF für die Domain einrichten. Natürlich müssen die Empfänger den SPF dann auch auswerten. Das ist für beide Seiten aber schnell gemacht und kostet nichts.
Außerdem wäre natürlich anhand der Logs und Header zu prüfen, ob die Mails nicht vielleicht tatsächlich über den Mailserver eures Kunden verschickt werden. Könnte ja sein, dass jemand den Server übernommen hat.
Manuel
Moin,
Gruß,
Dani
Welche Massnahmen habt Ihr betreffend CEO - Fraud im Einsatz?
wir setzen dabei auf eine Kombination von SPF, DKIM und MTA-STS. Wobei letzteres noch sehr unbekannt und unverbreitet auch ist. DKIM ist natürlich im Vergleich zu SPF das beste Mittel der Wahl. Denn durch die Signatur ist die Identität zu 99% nachvollziehbar.Gruß,
Dani
Dann solltet ihr zuerst einmal SPF für die Domain einrichten. Natürlich müssen die Empfänger den SPF dann auch auswerten. Das ist für beide Seiten aber schnell gemacht und kostet nichts.
Und taugt auch leider wenig.
SPF hat so viele konzeptionelle Probleme, dass es - wenn man ausschließlich auf SPF setzt - vollkommen unzureichend ist und eine falsche "Sicherheit" vorgaukelt.
DMARC-Records sind der bessere Weg, können notfalls auch mit SPF kombiniert werden. Aber tatsächlich sollte man sich insgesamt eher auf DKIM verlassen. Das ist aufwendiger, aber auch kein Hexenwerk.
Wenn die eigene Domain für Spamversand missbraucht wird und was man dagegen tun kann
@adrian138
welches Mailsystem verwendet ihr und habt ihr POP3 Abholung oder direkten Mailempfang?
welches Mailsystem verwendet ihr und habt ihr POP3 Abholung oder direkten Mailempfang?
Es heißt nicht umsonst TOM. Technisch-Organisatorische-Maßnahmen.
Unternehmen die die GF per Mail z. B. Geld zur Zahlung anweisen lassen, haben ganz andere Probleme als SPF, DKIM oder sonstige Signaturen.
Unternehmen die die GF per Mail z. B. Geld zur Zahlung anweisen lassen, haben ganz andere Probleme als SPF, DKIM oder sonstige Signaturen.
Hi,
man muss aber sagen, dank Hafnium und Co ist es nicht ausgemacht, dass von extern versandt wird. Hier sollte zu vorderst die Prüfung anstehen, was der Grund für diese Mails ist.
man muss aber sagen, dank Hafnium und Co ist es nicht ausgemacht, dass von extern versandt wird. Hier sollte zu vorderst die Prüfung anstehen, was der Grund für diese Mails ist.
Hoppala,
Hab oben überlesen, dass eure Kunden ja von eurem CEO vermeidlich eine Mail erhalten….
Eigentlich sollte es ja auch eure Lieferanten treffen. Wenn der Absender weiß, wer euer Kunde ist, solltet ihr mal weiter recherchieren…
Informiert pauschal eure Partner. Zeigt auch, dass ihr das Thema ernst nehmt!
Ansonsten könnte ihr bedingt was machen. SPF/ DMARC/ DKIM wäre Werkzeuge, die ihr einsetzen könnt. Hilft aber auch nur, wenn die anderen Systeme die Mechanismen verwenden und die Mails nicht von eurem System ausgehen.
Hab oben überlesen, dass eure Kunden ja von eurem CEO vermeidlich eine Mail erhalten….
Eigentlich sollte es ja auch eure Lieferanten treffen. Wenn der Absender weiß, wer euer Kunde ist, solltet ihr mal weiter recherchieren…
Informiert pauschal eure Partner. Zeigt auch, dass ihr das Thema ernst nehmt!
Ansonsten könnte ihr bedingt was machen. SPF/ DMARC/ DKIM wäre Werkzeuge, die ihr einsetzen könnt. Hilft aber auch nur, wenn die anderen Systeme die Mechanismen verwenden und die Mails nicht von eurem System ausgehen.
SPF hat so viele konzeptionelle Probleme
Die Aufgabe erledigt es doch ganz gut. Da kommt ganz sicher keine Email von außen mehr rein, das die eigene Domain als Absender hat.
Vielen Dank für die vielen hilfreichen Rückmeldungen.
Wir brauchen Exchange 2016 mit dem neusten CU.
Wie sollte ein richtiger SPF aussehen?
unser sieht so aus:
v=spf1 ip4:188.94.249.248/29 ip4:188.94.250.248/29 ip4:188.94.251.248/29 ip4:188.94.252.252/30 ip4:185.15.192.32/27 ip4:178.16.56.32/27 ip4:185.15.192.32/28 ip4:153.92.196.160/28 ip4:37.202.1.52/30 ip4:37.202.6.52/30 ~all
Wir brauchen Exchange 2016 mit dem neusten CU.
Wie sollte ein richtiger SPF aussehen?
unser sieht so aus:
v=spf1 ip4:188.94.249.248/29 ip4:188.94.250.248/29 ip4:188.94.251.248/29 ip4:188.94.252.252/30 ip4:185.15.192.32/27 ip4:178.16.56.32/27 ip4:185.15.192.32/28 ip4:153.92.196.160/28 ip4:37.202.1.52/30 ip4:37.202.6.52/30 ~all
Und euer Mailserver kann von diesen ganzen IPs versenden?
Das ist, für einen Mailserver, ne ganz schöne IP-Schlacht!?
Das ist, für einen Mailserver, ne ganz schöne IP-Schlacht!?
Das bedeutet ja nur dass er mit einer dieser IP senden kann.
Die Anzahl der IPs ist ohne Bedeutung.
Die Anzahl der IPs ist ohne Bedeutung.
@em-pie
Gruß,
Dani
Und euer Mailserver kann von diesen ganzen IPs versenden?
Es handelt sich dabei um Adressen von Mittwald. Vermutlich wird dort eine oder mehrere Internetseiten gehostet. Der Eintrag entspricht dem Best Practices seitens Mittwald.Gruß,
Dani
@Dani. Danke fürs checken.
Hatte die IPs, muss ich gestehen, nicht geprüft. Oben wurde ja zuvor explizit der Exchange 2016 mit aktuellem CU genannt, ging also von einer OnPrem-Lösung ohne Smarthost aus…
Hatte die IPs, muss ich gestehen, nicht geprüft. Oben wurde ja zuvor explizit der Exchange 2016 mit aktuellem CU genannt, ging also von einer OnPrem-Lösung ohne Smarthost aus…
Die Mittwald IP Adressen können raus. Evtl vorhandene Webseiten könnten kompromitiert sein und sollten nicht von selbst Emails verwenden. Sie sollen es erst zum internen Mail Server schicken, bevor es in die weite Welt raus geht, dan hat man auch ein zentrales Logging darüber.
Vielen Dank!
Mir ist bekannt das Marketing Newsletter über die Webseite versendet werden, ich werde dies prüfen und die SPF IP's von Mittelwald reduzieren.
Persönlich finde ich die Lösung einer Digital signierten Mail gut. So kann man den Kunden mitteilen, dass alle Mails von unserer Domäne herkommend mit dem Zertifikaticon wirklich von uns kommen. Authentizität und Integrität sind so sichergestellt.
Mir ist bekannt das Marketing Newsletter über die Webseite versendet werden, ich werde dies prüfen und die SPF IP's von Mittelwald reduzieren.
Persönlich finde ich die Lösung einer Digital signierten Mail gut. So kann man den Kunden mitteilen, dass alle Mails von unserer Domäne herkommend mit dem Zertifikaticon wirklich von uns kommen. Authentizität und Integrität sind so sichergestellt.
Zitat von @em-pie:
Moin,
im Kopf jeder Mail steht bei uns, dass diese von Extern kommt.
Diese technische Maßnahme mit einer Schulung der MAs ist wichtig/ der sinnvollste Weg.
Gruß
em-pie
Moin,
im Kopf jeder Mail steht bei uns, dass diese von Extern kommt.
Diese technische Maßnahme mit einer Schulung der MAs ist wichtig/ der sinnvollste Weg.
Gruß
em-pie
Haben wir ebenfalls im Einsatz. Ist praktisch und gibt dem Benutzer und warnt Benutzer schon beim Eingang der Mail.
Zitat von @adrian138:
Wir haben in der Firma immer wieder das Problem das Kunden von unserem CEO mit einer fake Mailadresse aber mit der richtigen Domain Endung angeschrieben werden.
Wir haben in der Firma immer wieder das Problem das Kunden von unserem CEO mit einer fake Mailadresse aber mit der richtigen Domain Endung angeschrieben werden.
Nehmt eurem CEO sämtliche Geräte weg, mit denen er E-Mails versenden kann!
