Spamschutz eigener Mailserver
Moin,
wir betreiben einen Exchange 2013, vor kurzem wurde ein Konto eines Domänen-Users kompromittiert und zum massenhaften Versand von Spam missbraucht. Autsch.
Damit sowas nicht wieder passiert, plane ich folgendes:
- Einsatz des PRTG-Sensors "Mail-Blacklist" (klar, wenn der schreit, liegt das Kind schon im Brunnen)
- Überwachung der versendeten Emails, die von unserem Server gesendet werden
- Beschränkung der maximal versendbaren Mails jedes Users pro Tag (250 oder sowas). Mir ist noch nicht ganz klar, wie ich das mache, aber wahrscheinlich mit Throttling Policy?
Wie handhabt Ihr das bei Euch? Weitere Tipps oder Anregungen? Präventive Maßnahmen wie Mitarbeiterschulung habe ich schon einkalkuliert.
Gruß
wir betreiben einen Exchange 2013, vor kurzem wurde ein Konto eines Domänen-Users kompromittiert und zum massenhaften Versand von Spam missbraucht. Autsch.
Damit sowas nicht wieder passiert, plane ich folgendes:
- Einsatz des PRTG-Sensors "Mail-Blacklist" (klar, wenn der schreit, liegt das Kind schon im Brunnen)
- Überwachung der versendeten Emails, die von unserem Server gesendet werden
- Beschränkung der maximal versendbaren Mails jedes Users pro Tag (250 oder sowas). Mir ist noch nicht ganz klar, wie ich das mache, aber wahrscheinlich mit Throttling Policy?
Wie handhabt Ihr das bei Euch? Weitere Tipps oder Anregungen? Präventive Maßnahmen wie Mitarbeiterschulung habe ich schon einkalkuliert.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 379167
Url: https://administrator.de/forum/spamschutz-eigener-mailserver-379167.html
Ausgedruckt am: 08.04.2025 um 23:04 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @Coreknabe:
wir betreiben einen Exchange 2013, vor kurzem wurde ein Konto eines Domänen-Users kompromittiert und zum massenhaften Versand von Spam missbraucht. Autsch.
wir betreiben einen Exchange 2013, vor kurzem wurde ein Konto eines Domänen-Users kompromittiert und zum massenhaften Versand von Spam missbraucht. Autsch.
Moin,
wie genau ist das passiert und ist das Einfallstor geschlossen worden?
Gruss
Hallo Coreknabe,
1. Verstärkung der PW Richtlinie
2. UTM, die bei übermäßigem Mailtraffic warnt
3. Prüfung der Richtlinien von wo nach wo darf versandt werden, gibt es offene Relays.
Dann brauchst du i.d.R auch kein Throttling. Übrigens sind die Maßnahmen nicht durch Auflistungsfolge gewichtet.
Ggf. fehlt euch auch eine umfassende IT-Sicherheitsrichtlinie (Ansatz siehe oben), denn mit dieser wäre es wohl nicht zur Kompromittierung gekommen.
Viele Grüße,
Christian
certifiedit.net
1. Verstärkung der PW Richtlinie
2. UTM, die bei übermäßigem Mailtraffic warnt
3. Prüfung der Richtlinien von wo nach wo darf versandt werden, gibt es offene Relays.
Dann brauchst du i.d.R auch kein Throttling. Übrigens sind die Maßnahmen nicht durch Auflistungsfolge gewichtet.
Ggf. fehlt euch auch eine umfassende IT-Sicherheitsrichtlinie (Ansatz siehe oben), denn mit dieser wäre es wohl nicht zur Kompromittierung gekommen.
Viele Grüße,
Christian
certifiedit.net
Moin,
Ich sag's mal so:
keine Nutzungs von anonymer Authentifizierung, keine offenen Relays, jeder Service hat sein eigenes E-Mailpostfach, Benutzerrechte entsprechend eingeschränkt, evtl. beschränkte Empfänderadressen und es sollte sehr ruhig werden.
Gruß,
Dani
2. UTM, die bei übermäßigem Mailtraffic warnt
das kannst du bei kleinen Umgebungen machen. Aber alles aufwärts mit 100 Postfächern und mehr, führt zu mehr Fehlarlarmen als Nutzen. 3. Prüfung der Richtlinien von wo nach wo darf versandt werden, gibt es offene Relays.
offene Relays ist schon einmal ein guter Ansatz.Jupp, das ist dicht, Useraccount ist deaktiviert, da User im Urlaub...
Für entsprechende Gegenmaßennahmen wäre interessant zu wissen, wie das Einfallstor ausgesehen hat.Beschränkung der maximal versendbaren Mails jedes Users pro Tag (250 oder sowas).
Was passiert wenn jemand einen Verteiler auswählt und somit darin mehr als 250 Empfänger sind? Ich halte davon nichts.Ich sag's mal so:
keine Nutzungs von anonymer Authentifizierung, keine offenen Relays, jeder Service hat sein eigenes E-Mailpostfach, Benutzerrechte entsprechend eingeschränkt, evtl. beschränkte Empfänderadressen und es sollte sehr ruhig werden.
Gruß,
Dani
Zitat von @Coreknabe:
Jupp, das ist dicht, Useraccount ist deaktiviert, da User im Urlaub... Ärgerliche Sache, von den meisten Sperrlisten sind wir
Jupp, das ist dicht, Useraccount ist deaktiviert, da User im Urlaub... Ärgerliche Sache, von den meisten Sperrlisten sind wir
Was genau war denn das Einfallstor, das interessiert mich.