Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Externe Mail mit interner Domain wird zugestellt

Mitglied: redhorse

redhorse (Level 1) - Jetzt verbinden

17.09.2020, aktualisiert 08:25 Uhr, 411 Aufrufe, 8 Kommentare

Guten Morgen,

folgender Sachverhalt:

Wir setzten eine Sophos UTM in aktuellster Version als Mail Gateway ein, diese ist der MX für unsere Domain.

Als akzeptierte Domain ist firma.de eingetragen, als erlaubtes Mail-Relay der interne Exchange.

Für die Domain gibt es einen SPF-Record der ausschließlich die UTM erlaubt.

Nun passiert folgendes:

1. Wir erhalten von extern eine Mail mit Absender xyz@firma.de und Empfänger abc@firma.de
-> Mail wird abgelehnt, da der Absender nicht unter @firma.de senden darf

2. Wir erhalten von extern eine Mail mit Absender F=<SRS0=aG35vD=CZ=firma.de=name@anderedomain.de> und Empfänger abc@firma.de
-> Mail wird akzeptiert, erscheint jedoch durch das SRS beim Empfänger als Absender xyz@firma.de

Es scheint also so, als wenn die UTM keine Überprüfung der maskierten Adresse vornimmt.

Hat jemand Erfahrung damit? Wie lösen andere dieses Problem?

Auf diesem Wege lässt sich nicht verhindern, dass von extern Mails mit vermeintlich internem Absender an unsere Mitarbeiter gesendet werden.

Ad-hoc fällt mir nur ein die Mails von extern zu Kennzeichen, so wie das größere Unternehmen bereits häufig machen (z.B. Dell)
Mitglied: Lochkartenstanzer
17.09.2020 um 08:32 Uhr
Zitat von redhorse:

Guten Morgen,

folgender Sachverhalt:

Wir setzten eine Sophos UTM in aktuellster Version als Mail Gateway ein, diese ist der MX für unsere Domain.

Als akzeptierte Domain ist firma.de eingetragen, als erlaubtes Mail-Relay der interne Exchange.

Für die Domain gibt es einen SPF-Record der ausschließlich die UTM erlaubt.

Nun passiert folgendes:

1. Wir erhalten von extern eine Mail mit Absender xyz@firma.de und Empfänger abc@firma.de
-> Mail wird abgelehnt, da der Absender nicht unter @firma.de senden darf

2. Wir erhalten von extern eine Mail mit Absender F=<SRS0=aG35vD=CZ=firma.de=name@anderedomain.de> und Empfänger abc@firma.de
-> Mail wird akzeptiert, erscheint jedoch durch das SRS beim Empfänger als Absender xyz@firma.de

Es scheint also so, als wenn die UTM keine Überprüfung der maskierten Adresse vornimmt.

Works as designed. Wie soll die UTM denn wissen, daß die Darstellung Euch was anderes vorgaukelt? Für die UTM sieht das wie ein normale Maiadresse von außen aus. Du kannst natürlich Address-Rewriting machen oder einen ordentlichen Client einsetzen, der eben Dir auch die Originaladresse anzeigt.

Hat jemand Erfahrung damit? Wie lösen andere dieses Problem?

Ordentlicher Mailclient oder Address rewriting.

Auf diesem Wege lässt sich nicht verhindern, dass von extern Mails mit vermeintlich internem Absender an unsere Mitarbeiter gesendet werden.

Genau.

Ad-hoc fällt mir nur ein die Mails von extern zu Kennzeichen, so wie das größere Unternehmen bereits häufig machen (z.B. Dell)

Das wäre auch eine Möglichkeit.

lks
Bitte warten ..
Mitglied: redhorse
17.09.2020 um 09:16 Uhr
Zitat von Lochkartenstanzer:

Works as designed. Wie soll die UTM denn wissen, daß die Darstellung Euch was anderes vorgaukelt? Für die UTM sieht das wie ein normale Maiadresse von außen aus. Du kannst natürlich Address-Rewriting machen oder einen ordentlichen Client einsetzen, der eben Dir auch die Originaladresse anzeigt.

Naja, die UTM sieht laut SMTP-Log folgendes:

F=<SRS0=aG35vD=CZ=firma.de=name@anderedomain.de>

Daraus macht die UTM selbst im eigenen Log im Webinterface xyz@firma.de. Die UTM hat also alle notwendigen Informationen um die Maskierung zu erkennen und eine entsprechende Prüfung vorzunehmen.


Hat jemand Erfahrung damit? Wie lösen andere dieses Problem?

Ordentlicher Mailclient oder Address rewriting.


Outlook scheint mir im Exchange-Umfeld immernoch der Platzhirsch zu sein, aber ich sehe hier auch nicht das Problem bei dem Client, da genau hierfür SRS ja eingesetzt wird.
Bitte warten ..
Mitglied: Lochkartenstanzer
17.09.2020, aktualisiert um 11:18 Uhr
Zitat von redhorse:

Naja, die UTM sieht laut SMTP-Log folgendes:

F=<SRS0=aG35vD=CZ=firma.de=name@anderedomain.de>

Daraus macht die UTM selbst im eigenen Log im Webinterface xyz@firma.de.

Du verwechselt Darstellung und Codierung. Das mag zwar im Webinterface wie xyz@firma.de aussehen, ist aber vermutlich immer noch als F=<SRS0=aG35vD=CZ=firma.de=name@anderedomain.de codiert. Daraus kann die UTM nicht schließen, daß es in der Darstellung wie xyz@firma.de aussieht. Schau mal in den HTML-Code, wie es da aussieht.

Das ist genauso wie manche Spammer Codes von anderen Alphabeten (z.B. kyrillisch oder griechisch) verwenden, deren Glyphen wie die im lateinischen Alphabet aussehen. In der Darstellung liest sich das so, als ob es z.B. von Amazon kommen würde, aber die Absender-Domain ist fake und sieht nur in der Darstellung so aus.

Man müßte daher erstmal ein Verzeichnis aller Kombinationen machen und die dann prüfen, was faktisch sehr aufwendig ist und daher kaum gemacht wird.


lks

PS: Аmаzon.de und Amazon.de sind zwei verschiedene Strings, auch wenn sie hier im Browser gleich aussehen:
Bitte warten ..
Mitglied: NordicMike
17.09.2020 um 10:16 Uhr
Du kannst ja hinter dem Sophos (Exchange, was auch immer) eine Transportregel definieren, das die maskierte Adresse im Header überprüft.
Bitte warten ..
Mitglied: Lochkartenstanzer
17.09.2020 um 11:19 Uhr
Zitat von NordicMike:

Du kannst ja hinter dem Sophos (Exchange, was auch immer) eine Transportregel definieren, das die maskierte Adresse im Header überprüft.

Das hilft aber nur gegen diesen einen String. Es gibt unzählige Variationen, wie man die interne Adresse vorgaukeln kann.

lks
Bitte warten ..
Mitglied: redhorse
17.09.2020 um 16:30 Uhr
Vielen Dank für eure Antworten, das hat mir geholfen das ganze Prinzip noch besser zu verstehen.

Ich werde wohl anregen, dass wir externe Mails kennzeichnen, ggf. alternativ je nach Möglichkeit den Filter für diese Konstellation anpassen.
Bitte warten ..
Mitglied: filippg
18.09.2020 um 00:35 Uhr
Hallo,

macht denn das UTM ausgehend SRS?
Eine SRS-Adresse darf eigentlich nur von dem wieder in eine "normale" Adresse umgewandelt werden, der sie erstellt hat. Die Adresse ist dazu... naja... "kryptografisch" abgesichert wäre übertrieben. Das "CZ" in deinem Beispiel sollte ein Timestamp sein, damit ist eine solche Adresse nur wenige Tage gültig (wie lange legt der fest, der sie erstellt). Das aG35vD in einem Beispiel sollte ein Hashwert sein, der aus der gesamten Adresse sowie einem Secret gebildet wird.
Wenn ein System, das SRS-Adressen generiert, eine Mail mit einer solchen Adresse empfängt, dann müsste es prüfen, ob diese gültig ist (Timestamp nicht abeglaufen und Hash gültig) und dann und nur dann die Adresse zurückübersetzen.
Du müsste also auch im Message Tracking auf der UTM eine ausgehende Nachricht _an_ SRS0=aG35vD=CZ=firma.de=name@anderedomain.de finden. Hast du danach schonmal gesucht?

Grüße

Filipp
Bitte warten ..
Mitglied: redhorse
18.09.2020 um 08:06 Uhr
Zitat von filippg:
macht denn das UTM ausgehend SRS?

Nee, wir selbst machen kein SRS.

Eine SRS-Adresse darf eigentlich nur von dem wieder in eine "normale" Adresse umgewandelt werden, der sie erstellt hat. Die Adresse ist dazu... naja... "kryptografisch" abgesichert wäre übertrieben. Das "CZ" in deinem Beispiel sollte ein Timestamp sein, damit ist eine solche Adresse nur wenige Tage gültig (wie lange legt der fest, der sie erstellt). Das aG35vD in einem Beispiel sollte ein Hashwert sein, der aus der gesamten Adresse sowie einem Secret gebildet wird.
Wenn ein System, das SRS-Adressen generiert, eine Mail mit einer solchen Adresse empfängt, dann müsste es prüfen, ob diese gültig ist (Timestamp nicht abeglaufen und Hash gültig) und dann und nur dann die Adresse zurückübersetzen.
Du müsste also auch im Message Tracking auf der UTM eine ausgehende Nachricht _an_ SRS0=aG35vD=CZ=firma.de=name@anderedomain.de finden. Hast du danach schonmal gesucht?

Das kann ich leider erst nächste Woche nachsehen, ist aber eine interessante Information.

Wenn ich es richtig verstehe, dann versucht hier nun jemand von einem externen MX anderedomain.de an unseren MX an firma.de eine Mail zuzustellen, soweit alles normal. Nun wird über SRS versucht, die Absenderadresse als eine interne zu maskieren. Da der eigentliche Absender anderedomain.de ist, greift der SPF für firma.de nicht.

Du sagst nun, dass diese SRS-Rückübersetzung eigentlich nur vorgenommen werden sollte, wenn es vorher eine entsprechende ausgehende Mail von unserer UTM gab?
Bitte warten ..
Ähnliche Inhalte
DNS
Externe Domain intern auflösen
Frage von Maik20DNS1 Kommentar

Hallo, ich versuche gerade eine externe Domain intern auf einen internen Server umzuleiten. Folgende Ausgangssituation: Es gibt die Adresse ...

Exchange Server

Exchange Journal Problem extern und intern

Frage von AkroshExchange Server

Hallo zusammen, wir verwenden für die Sicherung unserer E-Mails die Journaling-Funktion vom Exchangeserver damit wir diese E-Mails ohne Usereinwirkung ...

Windows Netzwerk

DNS: Externe Domain intern umleiten

gelöst Frage von patriwagWindows Netzwerk6 Kommentare

Hi, stehe vor folgendem Problem. Ich möchte server.example.com auf eine Interne IP umleiten. Dazu habe ich nun eine Zone ...

Exchange Server

E-Mail werden angeblich nicht zugestellt

gelöst Frage von neuling6Exchange Server20 Kommentare

Hallo, Wir haben Exchange 2013 im Einsatz. Bei einem Postfach werden angeblich manche Mails nicht zugestellt, obwohl der Spamfilter ...

E-Mail

Fehlermeldung Mailserver Mail wird aber zugestellt

Frage von BAMA1971E-Mail5 Kommentare

Hallo @ ALL Wir schicken an einen bestimmten Kunden bis zum 21.06.2017 täglich Mails und diese kommen auch immer ...

DNS

DNS intern und extern auflösung AD Domäne

gelöst Frage von SoccerdeluxDNS9 Kommentare

Hallo zusammen, ich habe ein kleines Problem und vielleicht könnt ihr mir weiterhelfen. Meine Domain lautet abc.de - darunter ...

Heiß diskutierte Inhalte
Batch & Shell
Mehrere Server anpingen positive und negative Ergebnis in Datei schreiben
Frage von tommhiiBatch & Shell27 Kommentare

Hallo ich hab eine Frage ich habe in einer Liste mehrere Server eingetragen die ich per batch anpingen will. ...

Schulung & Training
Präsentation mit Gestensteuerung (Schnipsen)
gelöst Frage von battalgaziSchulung & Training18 Kommentare

Hallo, ich habe vor kurzem an einer MLP Paresentation teilgenommen, der Dozent hat mit einem Schnipsen die Folien gesteuert. ...

Microsoft Office
Office 2010 Starter SetupConsumerC2ROLW.exe Datei
gelöst Frage von ITAzubi2Microsoft Office18 Kommentare

Moin moin, ich bin frischer IT Azubi und soll auf ein neues Notebook mit Win 10 Office 2010 Starter ...

Webbrowser
Websites als site.mht abspeichern wie im "guten" alten IE
Frage von DerWoWussteWebbrowser16 Kommentare

Servus. Eine kleine, niedliche Frage für den Freitagnachmittag: Wer wie ich öfter Anleitungen von Websites abspeichern möchte, kennt das ...

JavaScript
Subtraktion in Javascript für ausfüllbares PDF
gelöst Frage von imebroJavaScript15 Kommentare

Hallo liebe User, ich habe ein Adobe PDF-Dokument in ein ausfüllbares PDF-Dokument umgewandelt. Grds. funktioniert alles sehr gut. Auch ...

Switche und Hubs
Aruba VSF-2930F DHCP Problem
Frage von fbe280tSwitche und Hubs15 Kommentare

Hallo Ihr da draußen, wir haben drei Aruba VSF-2930F zu einem virtuellen Switch zusammengefügt und haben dort mehrere V-Lans ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN