Mailspoofing am Exchange Server verhindern
Hallo Zusammen,
wir haben aktuell das Problem, dass vermehrt Mails von vermeintlichen Mitarbeiter an andere Mitarbeiter gesendet werden - im Anhang natürlich ein Trojaner. Es kommt häuft vor, dass z. B. eine Mail von "scanner@firma.de" an "mitarbeiter@firma.de" geht. Für den User sieht das natürlich normal aus. Wie lässt sich das nun verhindern, dass intern kein Mailspoofing mehr betrieben wird? Ich hab mich etwas informiert und bin auf den SPF Record gestoßen. Nun war ich mir allerdings nicht sicher, inwieweit ich den SenderID Agent am Exchange aktivieren und dort was konfigurieren muss? Aktuell setzen wir noch Exchange 2010 ein, welcher aber bis Jahresende auf 2016 migriert werden soll. Unser Exchange empfäng Mails über MX und sendet selbst über einen Smarthost (in unserem Fall der Hoster der Domain). Ich habe im DNS des Providers den SPF Record "v=spf1 mx -all" gesetzt, wenn ich es verstanden habe heißt das, dass nur der im MX eingetragene Mailserver versenden darf (unser Exchange).
wir haben aktuell das Problem, dass vermehrt Mails von vermeintlichen Mitarbeiter an andere Mitarbeiter gesendet werden - im Anhang natürlich ein Trojaner. Es kommt häuft vor, dass z. B. eine Mail von "scanner@firma.de" an "mitarbeiter@firma.de" geht. Für den User sieht das natürlich normal aus. Wie lässt sich das nun verhindern, dass intern kein Mailspoofing mehr betrieben wird? Ich hab mich etwas informiert und bin auf den SPF Record gestoßen. Nun war ich mir allerdings nicht sicher, inwieweit ich den SenderID Agent am Exchange aktivieren und dort was konfigurieren muss? Aktuell setzen wir noch Exchange 2010 ein, welcher aber bis Jahresende auf 2016 migriert werden soll. Unser Exchange empfäng Mails über MX und sendet selbst über einen Smarthost (in unserem Fall der Hoster der Domain). Ich habe im DNS des Providers den SPF Record "v=spf1 mx -all" gesetzt, wenn ich es verstanden habe heißt das, dass nur der im MX eingetragene Mailserver versenden darf (unser Exchange).
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351552
Url: https://administrator.de/forum/mailspoofing-am-exchange-server-verhindern-351552.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
14 Kommentare
Neuester Kommentar
Hi,
setzt ihr denn keinen E-Mailschutz ein? Der sollte solche Versuche direkt unterbinden, insofern die E-Mails tatsächlich von extern kommen und nicht durch die Übernahme des genannten Accounts verschickt werden.
Ansonsten das hier schon probiert? https://www.frankysweb.de/exchange-server-mailspoofing-verhindern/
Gruß,
Thomas
setzt ihr denn keinen E-Mailschutz ein? Der sollte solche Versuche direkt unterbinden, insofern die E-Mails tatsächlich von extern kommen und nicht durch die Übernahme des genannten Accounts verschickt werden.
Ansonsten das hier schon probiert? https://www.frankysweb.de/exchange-server-mailspoofing-verhindern/
Gruß,
Thomas
Dann scheint es ja bei euch zu funktionieren. Hast du diese Mails genauer untersucht, kommen die wirklich von extern und nicht durch einen übernommen Account oder einem Trojaner aus dem internen Netz? Ich meine damit nicht, das Senderfeld anzugucken, sondern den Mailheader. Den zeigt Outlook standardmäßig nicht an.
Ja wird schwierig gegen diese Welle anzukommen
https://www.heise.de/security/meldung/Achtung-Aktuelle-Spam-Mails-faelsc ...
Haben diverse Kunden die auch solche Mails bekommen und andere nicht gibt dafür wohl momentan keine richtige Lösung.
https://www.heise.de/security/meldung/Achtung-Aktuelle-Spam-Mails-faelsc ...
Haben diverse Kunden die auch solche Mails bekommen und andere nicht gibt dafür wohl momentan keine richtige Lösung.
Ich habe im DNS des Providers den SPF Record "v=spf1 mx -all" gesetzt, wenn ich es verstanden habe heißt das,
dass nur der im MX eingetragene Mailserver versenden darf (unser Exchange).
dass nur der im MX eingetragene Mailserver versenden darf (unser Exchange).
Richtig. Hilft dir selbst aber nur dann, wenn auf eurem SPAM Filter nach SPF gefiltert wird.
Haben diverse Kunden die auch solche Mails bekommen und andere nicht gibt dafür wohl momentan keine richtige Lösung.
Doch. Der SPAM Filter muss nur so konfiguriert werden, dass Mails von Domänen, die als autoritative Domänen im Exchange eingetragen und von extern kommen nicht angenommen werden.
LG Günther
Was bringt mir dann genau der SPF Record?
Im SPF Record sind die Mailserver eingetragen, die für die jeweiligen Domänen senden dürfen. Das heißt, wenn bei euch der SPF Record gesetzt ist, kann der Empfänger überprüfen ob die Mail tatsächlich von euch stammt.
Das Problem ist, dass der SPF Record nicht zwingend verbindlich ist, weil sich wie üblich ein paar Große wieder nicht einigen konnten. Somit ist der SPF Record nur ein Teil der SPAM - Filterkette, da bei nur aktiviertem SPF Filter jede Menge False Positive Treffer auftreten (daher, erwünschte Mails ohne SPF Eintrag landen im SPAM).
Ich hab nun in der Firewall eingestellt, dass alle Mails, die von außen kommen
und von "*@unserefirma.de" senden, von unserer Firewall zurückgewiesen werden.
und von "*@unserefirma.de" senden, von unserer Firewall zurückgewiesen werden.
Das ist die einfachste Methode bei diesem Problem.
LG Günther
Das heißt für mich, dass mir der SPF Record, den ich im DNS setze aktiv nichts bringt?
Sicher. Deine Domäne ist damit wesentlich sicherer nicht versehtlich als Spammer auf einer Blacklist zu landen.
Spam und das Spoofing kann ich durch die Firewall verhindern.
Das gilt ja für den Empfang und nicht für den Versand
Was ich nicht verhindern kann ist, dass unsere Domain für den Versand missbraucht wird, oder?
Doch, genau dafür ist ja des SPF Record da.
Über einen PHP Mailer kann ich ja so Mails versenden, dass der Empfänger Domain XYZ sieht.
Klar. Aber wenn ich das z.B. mache, und eine E-Mail mit dem Namen eurer Domäne versende, dann stimmt meine IP Adresse mit der ich sende nicht mit der in eurem SPF Record überein und Empfänger weiß, dass er diese Mail als Mail verwerfen kann.
LG Günther
Der SPF Record schützt meine Domain dann nur insoweit, dass der Empfänger Mailserver prüfen muss,
ob die Mail auch von dem Server kommt, der im SPF Record steht.
ob die Mail auch von dem Server kommt, der im SPF Record steht.
Korrekt
Der Exchange arbeitet ja anscheinend per default nicht so, dass er das prüft.
Doch, nennt sich Sender-ID - https://technet.microsoft.com/de-de/library/bb125259(v=exchg.141).aspx
In unserem Fall sendet der Exchange nicht direkt, sondern über den Smarthost des Providers.
Dann muss natürlich die IP des Smarthost angegeben werden. Der darf ja für eure Domäne Nachrichten versenden.
Verwende diesen Assistenten zum Erstellen des Eintrages - http://www.spf-record.de/generator
LG Günther