5
Wie schütze ich ein Netzwerk vor Outbound-SPAM?
Hallo zusammen,
in unserer Computerwerkstatt ist neuerdings folgendes Problem aufgetreten:
Ein Kundengerät war wahrscheinlich infiziert und hat so viel SPAM verschickt, dass die Telekom uns angerufen hat.
Ich würde diese Situation gerne nicht noch einmal auftreten lassen und suche nun nach einer Lösung. Nun bin ich relativ unerfahren was Netzwerksicherheit angeht und bräuchte einen Schubser in die richtige Richtung.
Wie könnte ich ausgehenden SPAM blockieren? Gibt es z.B. eine Hardware-Firewall die erhöhtes Traffic-Aufkommen auf bestimmten Ports erkennt und den Client, von dem dieser Traffic ausgeht blockiert? Wie macht man das normalerweise.
Vielen Dank für eure Hilfe im Voraus
Peter
in unserer Computerwerkstatt ist neuerdings folgendes Problem aufgetreten:
Ein Kundengerät war wahrscheinlich infiziert und hat so viel SPAM verschickt, dass die Telekom uns angerufen hat.
Ich würde diese Situation gerne nicht noch einmal auftreten lassen und suche nun nach einer Lösung. Nun bin ich relativ unerfahren was Netzwerksicherheit angeht und bräuchte einen Schubser in die richtige Richtung.
Wie könnte ich ausgehenden SPAM blockieren? Gibt es z.B. eine Hardware-Firewall die erhöhtes Traffic-Aufkommen auf bestimmten Ports erkennt und den Client, von dem dieser Traffic ausgeht blockiert? Wie macht man das normalerweise.
Vielen Dank für eure Hilfe im Voraus
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 134333
Url: https://administrator.de/contentid/134333
Printed on: April 19, 2024 at 14:04 o'clock
5 Comments
Latest comment
Hallo Peter,
zuerst würde ich mal herausbekommen warum die Kiste SPAM verschickt hat. Schlecht konfigurierter MTA? Schadscripte (ich denke da speziell an PHP)?
Gruß
dante!
zuerst würde ich mal herausbekommen warum die Kiste SPAM verschickt hat. Schlecht konfigurierter MTA? Schadscripte (ich denke da speziell an PHP)?
Gruß
dante!
Das die Telekom anruft habe ich auch noch nicht gehört. Finde ich aber gut, sonst hättet ihr warscheinlich noch ernsthafte Probleme bekommen.
Um Nachrichten zu verschicken, muss der Bot irgendwie entweder
A)
Direkt mit Mailservern kommunizieren und den Spam von deiner IP zustellen
B)
Nachrichten an ein offenes Relay oder Zombieserver weiterleiten
Möglichkeit A bekommst du in den Griff, indem zu aus dem Testnetz jegliche Kommunikation mit Servern auf Port 25/TCP verbietest. Eueren Outgoing SMTP kannst du ja von dieser Regel ausnehmen. Zudem kannst du (wenn du entsprechende Firewalls hast) alle DNS-Abfragen nach MX Einträgen für Domains verbieten oder auf einen Honeypot umleiten (meine Lösung). Clients machen keine MX abfragen. Solltest du Server betreiben, kannst du diese ja in einem extra Segment aufstellen.
Möglichkeit B ist fast nicht zu kontrollieren. Alle Möglichkeiten wie in A plus zusätzlich eine Möglichkeit, aktiv SMTP-Sessions zu blockieren, die über andere Ports laufen. Allerdings verwenden neuere Bots zur Kommunikation mit den Zombieservern SSL Verschlüsselte Tunnel, was schon aktive L5-7 Proxys oder Deep Packet Inspection erfordert.
Sehr auswendig sich vor so etwas sicher zu schützen. Heutzutage kann alles über jedes Protokoll getunnelt werden.
Um Nachrichten zu verschicken, muss der Bot irgendwie entweder
A)
Direkt mit Mailservern kommunizieren und den Spam von deiner IP zustellen
B)
Nachrichten an ein offenes Relay oder Zombieserver weiterleiten
Möglichkeit A bekommst du in den Griff, indem zu aus dem Testnetz jegliche Kommunikation mit Servern auf Port 25/TCP verbietest. Eueren Outgoing SMTP kannst du ja von dieser Regel ausnehmen. Zudem kannst du (wenn du entsprechende Firewalls hast) alle DNS-Abfragen nach MX Einträgen für Domains verbieten oder auf einen Honeypot umleiten (meine Lösung). Clients machen keine MX abfragen. Solltest du Server betreiben, kannst du diese ja in einem extra Segment aufstellen.
Möglichkeit B ist fast nicht zu kontrollieren. Alle Möglichkeiten wie in A plus zusätzlich eine Möglichkeit, aktiv SMTP-Sessions zu blockieren, die über andere Ports laufen. Allerdings verwenden neuere Bots zur Kommunikation mit den Zombieservern SSL Verschlüsselte Tunnel, was schon aktive L5-7 Proxys oder Deep Packet Inspection erfordert.
Sehr auswendig sich vor so etwas sicher zu schützen. Heutzutage kann alles über jedes Protokoll getunnelt werden.
Interessant wäre zu wissen, welche Software du zum senden einsetzt ??
Hallo,
da muß ich jetzt aber mal nachfragen: Heißt das, dass Du bis jetzt die Kunden-PCs mit in das Firmen-LAN gehängt hast? Wenn, ja nenne ich das echt mutig! Ansonsten würde ich die Kunden-PCs einfach in ein eigenes LAN hängen, ohne Internetzugang, oder durch eine Firewall getrennt, die nur Port 80 für Downloads offen hat.
da muß ich jetzt aber mal nachfragen: Heißt das, dass Du bis jetzt die Kunden-PCs mit in das Firmen-LAN gehängt hast? Wenn, ja nenne ich das echt mutig! Ansonsten würde ich die Kunden-PCs einfach in ein eigenes LAN hängen, ohne Internetzugang, oder durch eine Firewall getrennt, die nur Port 80 für Downloads offen hat.
Heißt das, dass Du bis jetzt die Kunden-PCs mit in das Firmen-LAN gehängt hast?
Und er hat es getan 
Wenn, ja nenne ich das echt mutig!
Dann sind wir schon zwei.Aber was solls. Durch solche "Probleme" lernt man, das es nicht besonders gut ist alles und jeden in sein Produktivnetz zu "hängen". Wieder ein Pro für 802.1x und Proxys
