askando
Goto Top

Wie gelangen Spammer an Korrespondenz Daten?

Guten Morgen,

wir haben generell keine Probleme mit Spams.
Jedoch landen ab und an mal welche im Spam Ordner des Nutzers. (Quote ist ca. 20 pro Tag bei 250 Postfächern)

Wie ein Spamfiltern funktioniert weiß ich. Was mir jedoch nicht bekannt ist, ist die Art und Weise wie Spammer an ich nenne sie mal Korrespondenz Daten kommt.
Es gibt zwei Szenarien die ich täglich immer wieder sehe.

1.
Kunde oder Lieferant der uns real bekannt ist schickt vermeintlich eine Mail.
Die Mailadresse ist zwar irgendeine xyz@gmail.com, aber bei Outlook 2016 sehen die Mitarbeiter auf dem ersten Blick nur den Anzeigenamen, der dann suggeriert der Kunde zu sein.
In diesem Fall sind meistens sogar die originalen Signaturen des Kunden gefaked.

Das heißt der Bot vom Spammer hat im Vorfeld schon folgende Dinge herausgefunden und damit die Spam Mail verschleiert.
- Email Adresse A kommuniziert mit Email Adresse B.
- Signaturen ausgelesen
- Anzeigenamen ausgelesen

2.
Die Spam Mail kommt mit dem Anzeigenamen eines Mitarbeiters.
Wir haben ein Signatur tool laufen, dass zwischen externen und internen Signaturen unterscheidet und je nachdem eine spezielle Signatur anhängt.
Bekommt Mitarbeiter A eine Spam Mail mit dem Anzeigenamen von Mitarbeiter B, steht dort wie im Szenario 1. der Anzeigename gefälscht drin - wieder eine dubiose Mail Adresse im Hintergrund, jedoch diesmal sogar mit der internen Signatur.
Unsere internen Mails verlassen nicht einmal das Haus.

extern haben wir unsere Postfächer bei einem Provider liegen.
Holen sie mit einem pop connector ab und verteilen sie an die exchange Postfächer.

kann mir jemand sagen wie Spammer also an sowohl Signaturen die zu Inhaltsdaten zählen, als auch an Daten kommen das Person A mit B kommuniziert?

Vielen Dank!

Content-Key: 393406

Url: https://administrator.de/contentid/393406

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: 121416
Lösung 121416 21.11.2018 um 11:10:42 Uhr
Goto Top
Wir haben den gleichen Fall, jedoch ohne Signaturen.
Mal abgesehen davon, dass der Sender und der Empfänger korrumpiert ist, hast du noch einen Provider dazwischen, welcher korrumpiert sein kann.
Die Sicherheit bei den meisten Providern ist zwar sehr hoch, aber auch ein beliebtes Ziel. Erst gestern habe ich die Benachrichtigung bekommen, dass unser Provider korrumpiert sein könnte.
Als erste Maßnahme würde ich nicht mehr die Mails abholen lassen, sondern die eigene IP als MX-Eintrag angeben.
Mitglied: askando
askando 21.11.2018 um 14:18:40 Uhr
Goto Top
vielen Dank erstmal für Antwort.
Ich habe eben mit dem provider verschiedene Situationen durch getestet.
Sowohl Mails abholen über den connector als auch das versenden erfolgt alles über TLS.
Die Korrumpierung erfolgt aber höchst wahrscheinlich an einer anderen Stelle.

Im Falle einer versendeten Mail - verschlüsselt unser Mailserver die Mails und sendet sie an den Provider. Dieser Übertragt die Daten ebenso verschlüsselt an den Ziel Provider. Wenn dann am Ende jedoch der Kunde die Mails von seinen eigenen Provider unverschlüsselt abholt und auf diesen Port wird mit gelauscht - ist der Inhalt dann blank.

Wenn man dann Mails hat die von einem internen an den nächsten ging und dann im Verlauf die interne Signatur zu sehen ist und sie am Ende an einen Kunden oder Lieferanten weitergeleitet wird - der dann kein Wert auf Verschlüsselung legt, sind somit alle Attribute offen gelegt.

Nur was will man als Admin machen? Tausende Kunden bitte anweisen zukünftig doch mehr Wert auf ihre security zu legen? Kommt bestimmt gut an.... -.-
Mitglied: Bem0815
Bem0815 21.11.2018 aktualisiert um 14:39:31 Uhr
Goto Top
Wenn hier auch Szenario 2 auftritt dürfte ein Problem bei euch bestehen bzw. ein Rechner kompromittiert sein.

Ist in der Signatur der Name mit angegeben?
Wenn ja, kommen Spam Mails mit interner Signatur nur von bestimmten Mitarbeitern oder kann hier jeder bei den Spam Mails als Absender vorkommen?

Wenn es nur bestimmte Nutzer sind dann würde ich genau bei diesen Mitarbeitern mal die PCs auf Schadsoftware scannen.


Bisher hört sich das für mich nämlich an als würden die Mails direkt bei euch im System abgefangen.
Das erklärt die internen Mails und auch bei den externen wären diese ja bereits wieder entschlüsselt wenn man sie direkt auf dem Zielclient abfängt. Sonst würde das keinen Sinn ergeben, dass auch interne Signaturen in den Spam Mails sind.

Damit hätte sich auch das anschreiben von Kunden zum Thema Security erledigt.

Übrigens als Anmerkung zu dem Thema: Eine unverschlüsselte Verbindung zum Mail Provider ist mittlerweile für Unternehmen nicht nur sicherheitstechnisch gesehen fahrlässig sondern auch ein Verstoß gegen die DSGVO und kann somit theoretisch hohe Strafen nach sich ziehen.
Mitglied: Bem0815
Bem0815 21.11.2018 um 15:15:37 Uhr
Goto Top
Zitat von @121416:
Als erste Maßnahme würde ich nicht mehr die Mails abholen lassen, sondern die eigene IP als MX-Eintrag angeben.

Ich nehme jetzt mal an das abholen via pop connector wird hier benutzt da keine Businessleitung mit fester IP verwendet wird.

Ein MX-Eintrag auf die eigene IP wäre in dem Fall sinnfrei.
Mails würden maximal einen Tag funktionieren.
Und man würde (weil die IP als dynamische IP gelistet ist) wohl mit der Domain erst mal ganz schnell auf vielen Mail Spam Blacklists landen.
Da wieder gelöscht zu werden benötigt einiges an Zeit.
Mitglied: 121416
121416 21.11.2018 um 15:44:50 Uhr
Goto Top
Oder 5 € im Monat für eine feste IP. Auch wird die Firma nicht so klein sein, wenn extra ein Tool für Signaturen verwendet wird. Den Aufwand wird man nicht bei 8 Leuten machen.
Mitglied: askando
askando 22.11.2018 aktualisiert um 10:47:48 Uhr
Goto Top
Also ich weiß nicht wie ihr zu solchen Aussagen kommt.
Was hat eine fest IP mit Postfächern beim Provider zu tun?
Wir haben mehrere feste IP's. Ebenso verfügen wir über mehrere synchrone Company Connect Leitungen....
Früher hat man einen ISA Server vor den Exchange gestellt, um diesen abzusichern.
Ich hatte mich damals für die ausgelagerte Variante entschieden.

Nach Rücksprache mit einem guten Freund, werden wir wohl die Postfächer nicht mehr beim Provider hosten, sondern nun auf ein Mailgateway umsteigen, das ein und ausgehende Mails analysiert auf spoofing viren etc und sie erst dann weitergibt. Also ein klassisches Mail Relay mit security features.

Unsere Firma hat mehrere Standorte. Wir haben security Konzepte und alle Rechner sind auch nach vordefinierten Standards installiert.
Also sowohl clients als alle Server sind mit aktuellen Virendefinitionen versorgt.
Ich habe gestern Nacht - alle clients aus der Ferne gestartet und mir die Protokolle der Firewalls angeschaut.
Wir haben keine Schadsoftware bzw. tools die von irgendeinen client aus versuchen Kontakt nach außen aufzunehmen.

Interne Signaturen werden bekannt, wenn ein bot oder hacker bei einem kunden oder lieferanten bei einer unverschlüsselten Verbindung bei denen mit lauscht. Und wenn intern mails weitergeleitet werden und am Ende der Kunde oder Lieferant dann eine zusätzliche Weiterleitung bekommt - dann stehen auch die internen signaturen im Verlauf.
Bei uns muss ich gestehen, habe ich mich jedoch im Vorfeld versehen. Die Spoofing mails haben nicht die interne signatur, sondern eine falsche signatur. Nur das Signatur tool - erkennt die domain und hängt dann automatisch die interne signatur dran, was der spoofing mail in die Karten spielt. Also selbst ich habe mich da auf den ersten Blick versehen.

Tatsache ist das spoofing ein generelles Problem ist und es nicht gleich heißt, das man selber gehacked wurde.

Danke trotzdem für eure Antworten.
Mitglied: 121416
121416 22.11.2018 um 11:08:16 Uhr
Goto Top
Die feste IP bezog sich auf folgende Aussage:
Zitat von @Bem0815:
Ich nehme jetzt mal an das abholen via pop connector wird hier benutzt da keine Businessleitung mit fester IP verwendet wird.

Ein MX-Eintrag auf die eigene IP wäre in dem Fall sinnfrei.
Mails würden maximal einen Tag funktionieren.
Und man würde (weil die IP als dynamische IP gelistet ist) wohl mit der Domain erst mal ganz schnell auf vielen Mail Spam Blacklists landen.
Da wieder gelöscht zu werden benötigt einiges an Zeit.
Dies hat natürlich nichts mit dem Provider zu tun.
Mitglied: Bem0815
Bem0815 22.11.2018 um 15:09:31 Uhr
Goto Top
Gut wenn das so ist mit der internen Signatur dann mag das doch nicht an euch liegen.

Dann sieht das wieder anders aus.

Ein Mailgateway scheint mir da eine gute Entscheidung.
Das sollte ja im Normalfall Spoofing unterbinden können indem zum Absender per Reverse-DNS eine HELO/EHLO anfrage gesendet wird.

Wenn die IP Adresse des gefälschten Absenders dann nicht mehr zu der IP passt die beim HELO/EHLO per Reverse-DNS ausgegeben wird, weiß das Gateway, dass der Absender gefälscht ist.
Mitglied: askando
askando 06.12.2018 aktualisiert um 11:03:55 Uhr
Goto Top
Würde mich wundern, wenn das so gemacht wird.
Was machen dann die ganzen office365 kandidaten deren mail jedes Mal einen anderen carrier verlässt, da cloud dienst?

Einfach die Regeln die ein Mailrelay anwenden kann sind der Vorteil. Man kann an der Stelle verschiedene Ansätze fahren.
Dort kann halt mehr gegen spoofing getan werden, als bei einem 0815 Hoster. Es geht in erster Linie darum die Methoden die genutzt werden proaktiv zu bekämpfen und nicht nur 0815 Filter einzusetzen.
Mitglied: Bem0815
Bem0815 06.12.2018 um 12:39:47 Uhr
Goto Top
Das wird aber definitiv so gemacht.

Ich hab hier in der Firma (mittelständisches Unternehmen) selbst eine Sophos stehen die bei uns alleine mit dieser Technik bereits mehr als 95% der unerwünschten Mails abhält (über 200 pro Tag) ohne das bis hierhin überhaupt irgendein Text der E-Mail oder des Betreffs analysiert wurde.

Mit weiteren Spamfiltern die dann noch die Texte analysieren kommt man hier gerne auf über 99%.

Die Office Kandidaten würden wohl einfach auf ihren Public DNS Eintrag den Sie für Mails verwenden alle Office365 Server eintragen. Sofern es denn tatsächlich der Fall ist, dass die Mails hier ständig von verschiedenen Servern gesendet und empfangen werden. Das würde ich dagegen mal stark bezweifeln.

Sorry aber einen Helo/Ehlo-Filter gehört in so gut wie allen brauchbaren Anti-Spam Lösungen zum quasi Standard. Das ist kein 0815 Filter.