philipp711
Goto Top

Sophos UTM Mail Security - Empfängerverifizierung im Profilmodus

Hallo liebe Community,

ich habe ein kleines Problem bei der Konfiguration der E-Mail Protection einer Sophos UTM im Profilmodus (Der Austausch gegen eine XGS ist für 2025 geplant). Die UTM soll neuerdings als SMTP-Gateway für mehrere Domänen bzw. mehrere on Prem Mailserver (Exchange 2019) fungieren. Ich habe versucht es hier kurz aufzuzeichnen:

screenshot 2024-05-22 161821

Zusammengefasst:

Es gibt mehrere Domains deren MX auf die öffentliche IP unserer UTM "zeigen" - im Beispiel nennen wir Sie Hauptdomain.de und Zusatzdomain.de. Durch den Profilmodus ist die UTM angewiesen, je nach Maildomain die Mail entweder an Exchange 1 in der Active Directory 1 oder an den Exchange in der Active Directory 2 zu versenden.

Bisher "lief" die UTM im Einfachen Modus. Durch den "Zuwachs" eines weiteren on Prem Exchange musste die UTM im Profilmodus konfiguriert werden. Nach der Aktivierung des Profilmodus haben wir an sich nichts mehr an der Konfiguration geändert. Allein unter "SMTP_Profile" wurde ein einziges weiteres Profil hinzugefügt, um die Mails einer bestimmten Domäne an den "neuen" Exchange weiterzuleiten (siehe Screenshot).

screenshot2

Leider funktioniert diese Konfiguration nur, wenn wir in dem neuen Profil die Empfängerverifizierung deaktivieren - mit aktivierter Empfängerverifizierung funktioniert der "Spaß" leider nicht. Das Log meldet bei aktivierter Verifizierung nur "Address unkown". Mit deaktivierter Verifizierung geht die Mail durch - d.h. das Postfach ist grundsätzlich verfügbar. Mir scheint es so, also ob die UTM bei aktivierter Empfängerverifizierung bei Mails für die Zusatzdomain auf dem falschen bzw. dem Haupt-Exchange "nachschaut".

Könnt ihr mir einen kurzen Denkanstoß geben? Ich würde ungern die Emfpängerverifizierung für diese Domains deaktivieren.

Vielen Dank!

Content-Key: 4399480243

Url: https://administrator.de/contentid/4399480243

Printed on: June 12, 2024 at 19:06 o'clock

Member: ThePinky777
ThePinky777 May 22, 2024 updated at 15:06:15 (UTC)
Goto Top
mal ne ernst gemeinte frage, was bringt dir empfänger verifizierung?
Bring mal ein argument das dafür spricht.
Was ich damit sagen will >>
entweder gibts den empfänger, dann wird die email durchgestellt (wenns nicht wegen was anderem geblockt wurde),
oder es gibt ihn nicht, dann gibt der Exchange dann halt response "unknown recipient".
Einzigstes szenario wo es sinn macht wäre wenn du einen mega angriff mit zig tausend emails bekommst der versucht deinen exchange DDOS attacke mässig down zu bekommen, indem er eben zigtausendmal unknown recipient answers provuziert..
diese wahrscheinlichkeit, das das überhaupt klappt liegt bei ziemlich null.
Dann aktivier lieber graylisting, SPF, RDNS usw... als mechanismus aktivieren...

Wenn ihr wenig mit gewissen anderen kontinenten zu tun habt, empfehl ich auch SMTP Traffic im Country Blocking Bereich zu blocken. dann wird der traffic erst garnicht angenommen. So hab ich z.B chinesischen und asiatischen spam auf Null runter gebracht... und da wir dort keine Geschäftsbeziehungen hatten ging das problemlos. Gleiches für Russland und Südamerikanischen Karibik raum... das reduziert auch nochmal den angriffsvektor...
Member: mbehrens
mbehrens May 22, 2024 at 22:24:24 (UTC)
Goto Top
Zitat von @Philipp711:

Mir scheint es so, also ob die UTM bei aktivierter Empfängerverifizierung bei Mails für die Zusatzdomain auf dem falschen bzw. dem Haupt-Exchange "nachschaut".

Bestätigen die Logdateien der UTM dies?

Hat die Prüfung ergeben, dass das Exchange Zielsystem unbekannte Empfänger sofort ablehnt und die E-Mail nicht erst angenommen wird?
Member: mbehrens
mbehrens May 22, 2024 at 22:27:21 (UTC)
Goto Top
Zitat von @ThePinky777:

mal ne ernst gemeinte frage, was bringt dir empfänger verifizierung?

Viel.
U. a. kein unnötiger Traffic, kein Übergang der E-Mail in den eigenen Hoheitsbereich, kein Backscatter.
Member: ThePinky777
ThePinky777 May 23, 2024 updated at 06:41:37 (UTC)
Goto Top
Backscatter

Backscatter (ursprünglich ein Begriff aus der Physik, siehe Rückstreuung) bei E-Mails ist Rückstreuung durch Delivery Status Notifications, wenn diese auf gefälschte Absenderadressen antworten. Die Funktionsweise von E-Mail-Backscatter ist vergleichbar mit Distributed Reflected Denial of Service Angriffen (kurz DRDoS-Angriff) auf Netzwerkebene. Hab ich ja oben gesagt...

Ich hatte noch nie auf dem Mail System in den letzten Jahren sowas, bedeutet maximal paar verirrte Emails von Mitarbeitern die nicht mehr existierten, was ja einigermassen erträglich ist... davon raucht kein Email Server ab.
Daher wenn es sich nicht beheben lässt, und ich behaupte man kann das vergessen zu versuchen zu fixen, ich hatte ne UTM mit ca. 10 Email Domains am laufen, die sogar über ein und den selben Exchange liefen, selbst da hats nicht geklappt...
hab es dann aufgegeben gehabt und nie nen negativen aspekt diesbezüglich gehabt.
Wie gesagt dann lieber ne Country Protection reinhauen, bringt mehr, vor allem wenn man mit dem teil der welt keine geschäftsbeziehungen hat.

Und ja natürlich kommts auf die Grösse des Unernehmens an, aber ich sag mal 50-500 Mann Bude seh ich da kein grosses Problem. wenn man Greylisting aktiviert hat kann es so in dem sinne auch kaum ne DDOS attacke geben die den email server irgendwie beeinflussen könnten kapazitätstechnisch. Weil da ist die sophos ziemlich penetrant, bedeutet mit greylisting kanns schon mal 15-120 Minuten verzögerung geben, teilweise wird bis zu 5 mal gesagt >>> schicks mir später... das ging dann so weit das wir unsere hauptgeschäftspartner in einer exeptionlist vom greylisting dann ausgenommen haben...
Member: LordGurke
LordGurke May 23, 2024 at 17:10:10 (UTC)
Goto Top
Zitat von @ThePinky777:
Backscatter (ursprünglich ein Begriff aus der Physik, siehe Rückstreuung) bei E-Mails ist Rückstreuung durch Delivery Status Notifications, wenn diese auf gefälschte Absenderadressen antworten. Die Funktionsweise von E-Mail-Backscatter ist vergleichbar mit Distributed Reflected Denial of Service Angriffen (kurz DRDoS-Angriff) auf Netzwerkebene. Hab ich ja oben gesagt...

Es geht beim Backscatter weniger darum ob dein Server überlastet wird, sondern dass du durch den Backscatter auf Blacklisten landest und dort auch so lange bleibst, bis du keinen Backscatter mehr schickst.
Denn Backscatter wird - unter anderem - auch für Mailbombing verwendet um einzelne Postfächer zuzumüllen damit irgendwelche wichtigen Mails untergehen. Das ist dann vergleichbar wie UDP-Reflection, nur halt mit E-Mail.
Dagegen hilft auch Greylisting oder SPF oder wasauchimmer nicht zwingend, da hierfür durchaus von legitimen Mailservern gesendet wird. Die Reflection ist nur notwendig, um durch ein eventuelles IP- oder Domainbasiertes Rate-Limiting auf der Empfängerseite durchzubrechen - denn durch den Backscatter kommen zigtausend E-Mails von zigtausend verschiedenen Mailservern statt nur von einem.
Es ist ja schön dass dein Mailserver damit klar kommt, aber auf der anderen Seite wird dann ein Postfach zugebombt. Und wer sich an sowas wissentlich mittelbar beteiligt, sollte keinen Mailserver ins Internet halten.
Member: ThePinky777
ThePinky777 May 24, 2024 updated at 12:49:08 (UTC)
Goto Top
also Wenn dann hat ja der Empfänger des Backscatters selbst ein Sicherheitsproblem, und verwendet weder SPF noch DKIM um die echtheit seiner versendeten EMails zu garantieren.
Ansonsten könnte ja keiner im Namen eines Empfängers schicken und bei "mir" reinkommen, da ich ja SPF Checks + RDNS Check mache... und da es bei mir gleich geblockt wird deswegen, ist das ein block weils ein block ist.
Ergo ist dein szenario weit hergeholt, und wenn dann nur von nicht secure verwaltenen email konten möglich... und das ist dann irgendwie der ihr problem dann sollten sie backscatter abbekommen.
Meine Meinung dazu face-smile