darkened1645
Goto Top

Zu viel Spam auf der Sophos-UTM

Schönen Abend zusammen!

Ich habe folgendes Problem, ich habe für mich und meine Familie vor längerer Zeit einen Exchange-2019 aufgesetzt, mit einer Sophos-UTM als Spamfilter davor. Der Server befindet sich in einer virtualisierten Umgebung mit einer statischen IPv4-Adresse.

Zum Spam, ich bekomme zum Glück nur gelegentlich Spam. Bei meiner Freundin sieht das alles schon etwas anders aus. Für Sie haben wir eine E-Mail Weiterleitung von ihrer @web.de E-Mail auf die Exchange-Adresse hinterlegt. Leider bekommt Sie hier extrem viele Spam-Nachrichten. Gute 15 - 20 Stück am Tag. Die Weiterleitung herausnehmen will Sie bedauerlicherweise auch nicht. Kann man da vielleicht etwas mit RBL-Listen machen? Oder gibt es eine andere Möglichkeit?

Vorhandene RBL-Listen:
- bl.spamcop.net
- ix.dnsbl.manitu.net
- dul.dnsblsorbs.net
- bb.barracudacentral.org
- db.wpbl.info
- drone.abuse.ch
- zen.spamhaus.org
- nixspam.rbls.de
- wildcard.rbls.de

Besonders auffällig sind Absender wie:
- smart-shopping-news.de
- finanzencheck.de
- fantastischeneuigkeiten.de

Ich meine klar, ich könnte diese auf die Blacklist setzen, aber vielleicht gibt es einen Weg sich die "Manuelle Arbeit" zu sparen.

Vielen Dank an alle!

UTM-Config:
utm-config

Content-Key: 73674374936

Url: https://administrator.de/contentid/73674374936

Printed on: July 14, 2024 at 15:07 o'clock

Member: LordGurke
LordGurke Jun 13, 2024 at 18:26:49 (UTC)
Goto Top
Bei Weiterleitungen kannst du da mit RBLs wenig ausrichten, du siehst ja nur die IP des mxfwd von web.de.
Aaaber: Erfahrungsgemäß haben die weitergeleiteten Mails Header von web.de, die angeben ob sie das für Spam halten.
Auf die kannst du prüfen und dann aussortieren.
Member: Darkened1645
Darkened1645 Jun 13, 2024 at 18:30:14 (UTC)
Goto Top
Okay danke, das ist schon einmal ein Ansatz!

Da ich sowieso mit dem Gedanken spiele mal auf die XG zu wechseln, kann ich diese dann aussortieren? Weißt du zufällig auch wie?

Eine Migration auf XG macht aufgrund der EOL der UTM Sinn, oder? Oder gibt es Gründe, dies nicht zutun?
Member: mbehrens
mbehrens Jun 13, 2024 at 19:24:32 (UTC)
Goto Top
Zitat von @Darkened1645:

Eine Migration auf XG macht aufgrund der EOL der UTM Sinn, oder? Oder gibt es Gründe, dies nicht zutun?

Die Hardware ist in einem dreivierteljahr EOL. Dann wohl eher eine XGS.
Member: Darkened1645
Darkened1645 Jun 13, 2024 at 19:36:54 (UTC)
Goto Top
Ich rede hier von der virtualisierten Firewall. Eine Hardware-Firewall ist nicht in Gebrauch.
Member: Lochkartenstanzer
Lochkartenstanzer Jun 13, 2024, updated at Jun 14, 2024 at 04:24:43 (UTC)
Goto Top
Moin,

Bei nur 15 Spam-Mails am Tag redest Du von extrem viel?

Zum Problem: Du könntest auch den Spamfilter von Web.de einschalten. Das sollte bremsen.


Besonders auffällig sind Absender wie:
- smart-shopping-news.de
- finanzencheck.de
- fantastischeneuigkeiten.de

Sind das Newsletter in die sie sich eingetragen hat? Und was ist das Problem, die auf die Blacklist zu setzen?

lks
Member: commodity
commodity Jun 13, 2024 at 22:49:24 (UTC)
Goto Top
Und was ist das Problem, die auf die Blacklist zu setzen?
Das habe ich mich auch gefragt face-big-smile

Vor allem, wenn man schon einen Exchange und eine Sophos aufgesetzt hat ist das doch im Verhältnis ein Witz.
Dieses Setup finde ich i.Ü. äußerst fragwürdig und geeignet, ganz andere Probleme mit sich zu bringen, als nur Spam... Mit nem gehackten Server (Stichwort Unternehmenskultur) empfängt man dann nicht nur Spam, man versendet sie auch face-big-smile

Wenn Du, lieber TO, Spam vermeiden möchtest, hilft

a) ein vernünftiger Provider. Zwischen solchen, die gut filtern und solchen, die weniger gut filtern liegen Welten.

b) Mail-Hygiene. Nimm halt nicht eine Mail für alles, sondern (mindestens) eine "Wegwerf"-Adresse für Shopping-Kram u.ä., die Du regelmäßig alle paar Jahre wegwerfen kannst, wenn zuviel Müll kommt.

Noch besser ist die Nutzung von z.B. Firefox-Relay, womit man jedem genutzten/fragwürdigen Dienst eine Mailadresse zuweisen kann. Dann sieht man sehr schön, welcher Kontakt für den Spam verantwortlich ist und schmeißt die Adresse halt weg.

c) (wenn es selbst gehostet sein soll: ) Einen vernünftigen Mailserver mit zeitgemäßem Spamschutz (so geht's natürlich auch). Da kann man sich dann auch den Sophos-Müll ersparen.

Viele Grüße, commodity
Member: kpunkt
kpunkt Jun 14, 2024 at 05:28:55 (UTC)
Goto Top
Also bei mir privat kommen täglich immer so 80 bis 100 Spammails rein. Okay, sind 5 Mailadressen, wobei eine noch aus den 1990ern und sowas von verbrannt ist. Liegen alle bei GMX.
Filtert der Mailanbieter aus. Spamfilter. Die restlichen paar, die durchkommen hau ich, wenn ich mal Lust dazu hab, in die Filter des Mailcient.

Die auffälligen Absender sind eher Mailinglists. Da rutscht man immer wieder mal gern rein, aber man kann gut damit arbeiten, weil man sich bei denen austragen kann.

Ich sehe insgesamt das Problem nicht ganz. Außer vielleicht überhaupt der Einsatz des Exchange für sowas.

Aber weil nach anderen Möglichkeiten gefragt wurde. Auch andere Mütter....
Member: nachgefragt
nachgefragt Jun 14, 2024 updated at 08:51:52 (UTC)
Goto Top
Zitat von @Darkened1645:
Eine Migration auf XG macht aufgrund der EOL der UTM Sinn, oder? Oder gibt es Gründe, dies nicht zutun?
Die SG230 hat bis 06/2026 Support, zumindest meine beiden.
Welchen Vorteil die XGS dir bringt und du dies heute schon brauchst, kann Upgrade. Ohne Gegenwehr wird Sophos dir heute schon die Lizenzkosten von morgen aufbrumen, dann sieht das Upgrade nicht mehr so teuer aus so deren Sicht.

Schau dir für E-Mails Gateways wie z.B. Proofpoint an, vielleicht ist Sophos da nicht das Richtige und du kannst dir das Modul sparen.

Ich muss aber hier auch OPNsense erwähnen, welches sich mehr und mehr als Alternative herauskristalisiert.
https://docs.opnsense.org/manual/how-tos/mailgateway.html

Weg von Sophos / Astaro zu OPNsense - Zwei Jahre in sieben Stunden!
https://www.youtube.com/watch?v=tUN7mzJ_rUU
Member: MysticFoxDE
MysticFoxDE Jun 14, 2024 at 07:05:55 (UTC)
Goto Top
Moin @commodity,

Und was ist das Problem, die auf die Blacklist zu setzen?
Das habe ich mich auch gefragt face-big-smile

Vor allem, wenn man schon einen Exchange und eine Sophos aufgesetzt hat ist das doch im Verhältnis ein Witz.

ist es eben nicht, weil es in dem von TO beschriebenen Fall und so wie @LordGurke bereits angemerkt hat, bei einer Weiterleitung nicht möglich ist und zwar nicht nur bei Sophos sondern auch bei jedem anderen Mail-Gateway.
Denn die meisten Schutzmassnahmen von modernen Mail-Gateways funktionieren nur dann, wenn der MX direkt auf die externe IP des entsprechenden Mail-Gateways verweist und oder per NAT auf dieses umgeleitet wird.

Dieses Setup finde ich i.Ü. äußerst fragwürdig und geeignet, ganz andere Probleme mit sich zu bringen, als nur Spam... Mit nem gehackten Server (Stichwort Unternehmenskultur) empfängt man dann nicht nur Spam, man versendet sie auch face-big-smile

Na ja, solange der TO nicht auch das OWA des Exchange veröffentlicht hat, sehe ich da eher weniger Probleme.

Gruss Alex
Member: kpunkt
kpunkt Jun 14, 2024 at 07:31:28 (UTC)
Goto Top
Zitat von @MysticFoxDE:

ist es eben nicht, weil es in dem von TO beschriebenen Fall und so wie @LordGurke bereits angemerkt hat, bei einer Weiterleitung nicht möglich ist und zwar nicht nur bei Sophos sondern auch bei jedem anderen Mail-Gateway.
Web.de (wie eigentlich jeder andere Mailprovider auch) hat ein Blacklist. Nennt sich dort Sperrliste.
Member: MysticFoxDE
MysticFoxDE Jun 14, 2024 at 08:20:49 (UTC)
Goto Top
Moin @kpunkt,

ist es eben nicht, weil es in dem von TO beschriebenen Fall und so wie @LordGurke bereits angemerkt hat, bei einer Weiterleitung nicht möglich ist und zwar nicht nur bei Sophos sondern auch bei jedem anderen Mail-Gateway.
Web.de (wie eigentlich jeder andere Mailprovider auch) hat ein Blacklist. Nennt sich dort Sperrliste.

ja, du hast recht, aber meine Aussage ist dennoch nicht falsch. ­čśë

Denn wenn ich die Frage des TO's richtig verstanden habe, so möchte er mit seiner Sophos, respektive mit deren Anti-SPAM Massnahmen, die von web.de weitergeleiteten SPAM's blocken und hierfür gilt weitestgehend das was @LordGurke und ich geschrieben haben, sprich, dass das so, zumindest mit der Sophos und auch anderen Mail-Gateway's, so nicht wirklich möglich ist, zumindest nicht sehr effektiv, da die meisten Schutzmaßnahmen, bis auf die AV Prüfung, in diesem Fall leider nicht greifen.

Sprich, ja, wenn der TO etwas gegen den SPAM machen möchte, dann muss er das über wed.de direkt regeln.

Gruss Alex
Member: ThePinky777
ThePinky777 Jun 14, 2024 updated at 11:37:08 (UTC)
Goto Top
beim anti Spam, Greylisting aktivieren.

kommen die Emails zwar verzögert rein aber dafür wenige spam.

Und man kann exeptions anlegen für Greylist, z.B. für Hauptkommunikations Firmen mit denen man viel zu tun hat die Emails domains vom Greylisting ausnehmen, dann gibts auch keine verzögerung.

Wenn du aus dem ausland spam bekommst und deine firma da nix am hut hat, kannste country blocking aktivieren,
z.B. so bin ich chinesischen spam losgeworden und russischen...

und ich hab selbst auch gewisse texte definiert als spam, einfach täglich mal den smtp verkehr checken an der sophos und schauen ob dir da spam auffällt und wenn ja dann entsprechend eben textbausteine davon nehmen um blocken...
und/oder selbst blacklist pflegen.

EDIT
sehe grad das daas ne weiterleitung von web.de ist...
da kannst du GAR NIX FILTERN

Die Web.de Adresse ist ja Echt und Freundlich (gehört ihr ja) und geht alles mit rechten dingen zu.
Daher hat die Sophos hier keine handhabe.
Ausser Text Erkennung manuell....
Oder Absender (in dem Fall Text Erkennung innerhalb der Email).
RBL greifen nicht weil es nicht mehr der original absender ist...
und RBL basiert auf DNS thematik, als DNS und IP des Absenders... da es web.de ist in dem fall ist alles recht und der filter der listen greift hier nicht.

Du kannst ihr in Outlook nen Ordner web.de Emails anlegen und ne Regel, dann landet der Müll wenigstens seperat und da kann sie reinschauen wenn sie spam sehen will face-smile
also zaubern geht halt noch nicht face-smile