bauschan
Goto Top

Probleme Mail Reputation - Sophos UTM 9

Hallo Leute,

ich habe vor kurzem eine neue Umgebung übernommen und damit auch eine total verkonfigurierte Sophos UTM. Seit ich dort angefangen habe, werden in unregelmäßigen Abständen regelrechte Mail Attacken ausgeübt.

Zur Umgebung:

Die Sophos UTM 9 scannt den kompletten eingehenden und ausgehenden Mailverkehr.
Unter "Antispam" sind in der Sophos folgende Einstellungen gemacht:

Reject at SMTP Time: "Confirmed Spam"
RBL's werden nicht genutzt
Spam Action: Quarantine
Confirmed Spam Action: "Blackhole"
Kein Expression Filter
Advanced Anti-Spam Features: Reject Invalid HELO / missing RDNS, Use Greylisting, Use BATV (kein strict RDNS check und kein SPF-Check)

Unter Relaying ist nur der vorhandene Exchange zur Authentifikation an der Sophos berechtig.
-> Hier lag vor ein paar Wochen das erste Problem: Unter Relaying war das gesamt AD zur Authentifizierung am SMTP Proxy berechtigt, sodass am Tag tausende Authentifikationsversuche an eben diesem Proxy stattgefunden haben. Ein zufälliger Treffer war dann ein im AD existierender User mit einem schwachen Passwort über den eine Authentifikation geklappt hat und über den dann tausende Spam Mails verschickt wurden. Das Problem war dann natürlich die Poor Reputation für unseren Mailserver (auch auf einigen Blacklists sind wir gelandet) - einige Mailserver haben dann unsere Mails nicht mehr angenommen (ganz schönes Desaster).

Jetzt wurde die Schwachstelle in der Sophos geschlossen und Zack, das nächste Problem kommt: Seit der Zugang für die AD-User am SMTP Proxy ausgeschaltet war, werden wir mit zig tausenden Mails bombardiert, die auch alle schön Rejected werden. Das Problem ist jetzt bloss, dass die zurückgewiesenen Mails ja auch einen Einfluss auf die Mail Reputation haben. Die Mails sollen alle an Empfänger gehen, die es in unserem System nicht gibt. Der Spuk ist auch noch nicht vorbei, es kommen die ganze Zeit weitere Mails an, die Rejected werden - die Meisten mit dem Hinweis: "Recejted RDNS/HELO RDNS Missing".

Noch ist unsere Mail Reputation in Ordnung, ich sehe aber jetzt schon, dass auf der Cisco Senderbase Seite www.senderbase.com unser Volumen seit gestern um 2500% nach oben gegangen ist....meist folgt danach eine poor reputation (die zur Zeit noch auf "good" steht).

Wie soll man denn für eine anständige Reputation sorgen, wenn man E-Mails an nicht existierende Empfänger nicht sofort zurückweisen kann...
Hatte hier vielleicht zufällig irgendjemand mal ähnliche Probleme oder kann mir irgendwelche Tips geben?

Vielen Dank und ein schönes Wochenende

Content-ID: 312553

Url: https://administrator.de/contentid/312553

Ausgedruckt am: 26.11.2024 um 08:11 Uhr

DerSchorsch
DerSchorsch 13.08.2016 um 13:01:03 Uhr
Goto Top
Wenn die Sophos Mails an nicht existierende Empfänger nicht sofort abweist, hast du was falsch konfiguriert:

So habe ich unsere eingestellt:
Email-Protection: SMTP
  • allgemein: Einfacher Modus (wir haben nur eine Domain und einen Exchange)
  • Routing: Domäne: unsere Maildomain; statische Hostliste; Hostliste: unser Exchange; Empfänger verifizieren: mit Serveranfrage
  • Malware: Schadsoftware während SMTP-Übermittlung ablehnen; Zweifachscan; MimeTyp-Filter und Dateiendungen: alles was irgendwie ausführbar ist oder Macros enthalten kann.
  • Antispam: Während Übermittlung ablehnen: Bestätigten Spam; RBLs aktiv; Spamfilter: Quarantäne; Erweitert: ungültige Helo/fehlende RDNS, BATV, SPF
  • Relaying: nur Hostbasiertes Relay: unser Exchange; Relay-Nachrichten (ausgehend) scannen
  • Erweitert: Kopfzeilenänderung: -Received; TLS-Zertifikat (ein "echtes"); zufälliger BATV-Schlüssel, Mailgröße identisch zu dem Limit im Exchange

Der Exchange muss der Sophos noch zurückmelden, wenn es den Empfänger nicht gibt. Das ist aber standardmäßig aktiv.
Beim 2010 kann man das hier prüfen: Organisationskonfiguration, Hub-Transport, Antispam, Empfängerfilterung: aktiv
Alternativ kannst du in der Sophos bei Routing/Empfänger Verifizierung auch übers AD gehen.
Auch Antispam/Greylisting ist eine Überlegung wert, macht zwar manchmal Probleme, aber bis der aktuelle Angriff vorbei ist, vielleicht sinnvoll.

Gruß
Schorsch