mismar
Goto Top

E-Mail Security: Header From

Hallo Administratoren, kurze Frage zu Mails:

Wir bekommen PhisingMails von z.B. der Sparkasse. Mir ist aufgefallen, dass wir keine Möglichkeit im Mailsystem haben den Header_From zu prüfen oder?

Sicherheitsmeachnismen wie SPF, DKIM oder DMARC greifen ja nur, sofern der Spammer diese auch im DNS veröffentlich hat. Wird er wohl kaum machen, somit kommt die Mail einfach durch.

Gibt es irgendwelche sinvollen Techniken, dass man über ein Protokoll sicherstellt, dass Header From auch valide ist? Also auf die Adresse dort per RegEx z.b. die E-Mail rausfiltern und dann feststellen, dass der Absender Server nicht zu einer Sparkasse gehört?

Wie unterbinde ich, dass ein Spammer im Envelope From einen Mitarbeiter von mir Spooft?

VG

Content-ID: 3339254610

Url: https://administrator.de/contentid/3339254610

Printed on: November 10, 2024 at 18:11 o'clock

SlainteMhath
SlainteMhath Jul 14, 2022 at 13:53:58 (UTC)
Goto Top
Moin,

Mir ist aufgefallen, dass wir keine Möglichkeit im Mailsystem haben den Header_From zu prüfen oder?
Ich weis nicht. Habt ihr? Bei Postfix geht das z.b. per Header_Check (Beispiel: https://serverfault.com/questions/932708/block-email-in-postfix-based-on ..)

Sicherheitsmeachnismen wie SPF, DKIM oder DMARC greifen ja nur, sofern der Spammer diese auch im DNS veröffentlich hat
Hä?!? Weise doch einfach Mails mit fehlendem SPF/DKIM ab. Was muss der Spammer da im DNS machen? O.o

Wie unterbinde ich, dass ein Spammer im Envelope From einen Mitarbeiter von mir Spooft?
Kann auch durch Postfix gefiltert werden. Beispiel: https://superuser.com/questions/964958/make-postfix-reject-incoming-emai ...

lg,
Slainte
117471
117471 Jul 14, 2022 at 14:41:00 (UTC)
Goto Top
Hallo,

warum möchtest Du den prüfen? Dieser Eintrag hat keinerlei Aussagekraft.

Verglichen mit der Briefpost: Du kannst auf einem Brief jede x-beliebige Absenderadresse auf deinen Umschlag schreiben. Diese wird nirgendwo überprüft und schon gar nicht bei der Post.

Ganz abgesehen davon, dass das Hauptrisiko in deinem Beispiel in den Prozessen und Arbeitsabläufen eures Unternehmens liegt: Wenn man sich darauf verlässt, dass man derartige Angriffe automatisiert "blockieren" kann, wird das eine trügerische Sicherheit schaffen die wiederum ein extremes Risiko darstellt.

Größtmögliche Sicherheit gibt es zumindest bei Phishing usw. dort, wo die Mitarbeiter zum Denken angehalten sind und ihr Handeln nicht vom Ergebnis einer Filterregel abhängig machen.

Gruß,
Jörg
Lochkartenstanzer
Lochkartenstanzer Jul 14, 2022 updated at 14:46:30 (UTC)
Goto Top
Moin,

mit "ordentlichen" MTAs wie postfix, exim, Sendmail, etc. geht das natürlich. Gibt genügend Anleitungen dafür. nur Exchange ist da etwas eingeschränkt.

lks

PS: Die wenigsten Sparkassenspams haben im from sparkasse stehen. Der Test würde also i.d.r. ins leere laufen.
mismar
mismar Jul 14, 2022 at 14:45:53 (UTC)
Goto Top
Wir haben eine Cisco ESA und leider kein PostFix im Einsatz. Hier habe ich keine vergleichbare Funktion wie Header_Check gefunden.

Ich kann doch nicht Pauschal alle ohne abweisen? Ich geh immer noch davon aus, dass noch genug valide Adressen ohne SPF/DKIM gibt oder nicht?

Okay, sowas habe ich bereits ähnlich umgesetzt, danke für den Hinweis!
117471
117471 Jul 14, 2022 at 14:48:23 (UTC)
Goto Top
Hallo,

Zitat von @mismar:

Ich geh immer noch davon aus, dass noch genug valide Adressen ohne SPF/DKIM gibt oder nicht?

...und noch einmal: Die Absenderadresse ist kein aussagekräftiger Bestandteil einer E-Mail. Insofern: Ja - der größte Teil der validen Adressen nutzt kein SPF/DKIM.

Gruß,
Jörg