Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 11 replies
  • Answers 2 answers
  • Subscribers 7 subscribers
  • Views 3310 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

E-Mails mit gefälschten FROM: Header

Patrick Lachmann

Sehr geehrte Kolleginnen und Kollegen,

 

mich beschäftigt folgendes Problem:
Der Mailserver sowie die DNS-Server sind funktionsfähig mit SPF, DKIM, DMARC und ADSP konfiguriert.

Eingehende Mails werden mit fast allen UTM-möglichen funktionen kontrolliert, ausgenommen "Do strict RDNS checks", greylisting und BATV.

"envelope-from" und "from:" wird scheinbar nicht von der UTM richtig oder gar nicht geprüft. Ich wäre davon ausgegangen, dass die UTM DKIM und DMARC Prüfungen durchführt, aber scheinbar greift das hier nicht.
Das führt zu einem herben Problem, da mit der Zeit die Mails für den normalen User nicht mehr zu prüfen ist und so von der Echtheit der Mail ausgeht.
Wie wird man dem hier Herr?

Nun ist das so, dass ich folgende E-Mail erhalte und die UTM teilweise sogar zustellt:

(domain-mailhost.tld ist der Platzhalter für unsere Domain)
(domain-postbox.tld ist der Platzhalter für unsere Domain)

 

Received: from ratedispatch.top ([106.75.77.128]:48121) by mail.domain-mailhost.tld with esmtps (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256) (Exim 4.82_1-5b7a7c0-XX) (envelope-from <quarantine_email_security@domain-postbox.tld>) id 1jT2Bc-00038g-08 for info@domain-postbox.tld; Mon, 27 Apr 2020 13:44:32 +0200
X-CTCH-RefID: str=0001.0A782F29.5EA6C53A.0084,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
From: domain-postbox.tld <quarantine_email_security@domain-postbox.tld>
To: info@domain-postbox.tld
Subject: Domain Email Quarantine domain-postbox.tld
Date: 27 Apr 2020 13:39:27 +0200
Message-ID: <20200427133926.DDAD97FBC4B6C75B@domain-postbox.tld>
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----=_NextPart_000_0012_40E829CC.17462ACC"
INFO: ---
INFO: ---
INFO: ---
X-Spam-Result: Spam
------=_NextPart_000_0012_40E829CC.17462ACC
Content-Type: text/html;
 charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD>
[...]

Gruß, Patrick



This thread was automatically locked due to age.
  • 0

    Hallo,

    was hier angesprochen wird ist das sogenannte "Impersonation" Problem, sprich from und envelope-from passen nicht wirklich zusammen.

    Nicht-Sensibilisierte User fallen auf solche gefakten Mails rein.

    Leider ist die UTM mit dem SMTP-Proxy nicht in der Lage dies abzufangen.

     

    Lösungsansätze:

    - Nutzung anderen SMTP-Proxy

    - Usersensibilisierung (Ein Blick in den Mail-Header grade bei Mails aus Führungskreis)

     

    Die UTM bietet das nicht.

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • 0 in reply to zaphod

    Interessanterweise sind aber "from" und "envelope-from" absolut identisch.

    Ein User kann nur noch die Mail dann als Fälschung erkennen, wenn er weiß woher die Postfach-Domain kommt.

  • 0 in reply to Patrick Lachmann

    Das <from> Feld ist gefälscht. Dies lässt sich leider nicht verhindern. Ausser eben durch Impersonation.

    Beispiel:

    Firma:    topfima.de

    Geschäftsfüher: Mrx@topfirma.de

    Der Mailheader sieht dann so aus: Mrx <mrx@toppfirma.de>

     

    Jeder der flüchtig schaut denkt ist von Mrx, dem Geschäftsführer.

    Mit Impersonation werden im Prinzip nur Listen geführt die Mrx erlaubte Absender-Adressen zuordnen.

    Ist gängig in vielen anderen Firewalls z.b. von Fortigate. Sophos bietet sowas auch in der Central Email Lösung an.

     

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • +1 in reply to zaphod

    Moin,

     

    vielleicht kannst Du dem Problem noch weiter gegen steuern, wenn Du weitere RBLs verwendest:

     

    bl.spamcop.net
dnsbl-1.uceprotect.net (sehr wirksam, Dislisting ist aber mit Kosten verbunden)
ix.dnsbl.manitu.net
    b.barracudacentral.org
zen.spamhaus.org
  • 0 in reply to ThorstenSult

    Guter Einwand.

    Gibt es eigentlich eine Liste, mit welchen Sophos UTM Default läuft? Dazu habe ich noch nichts gefunden.

     

    > dnsbl-1.uceprotect.net (sehr wirksam, Dislisting ist aber mit Kosten verbunden)

    Für den Spamversender nehme ich an, daher nicht für uns relevant, oder verstehe ich das falsch?

    "Die meist erzählte Lüge ist, daß man bei uns bezahlen muß, um von der Blackliste entfernt zu werden.
    Die Wahrheit ist, daß jede gelistete IP 7 Tage nachdem sie zuletzt wegen Mißbrauch aufgefallen ist, automatisch entfernt wird."

     

    Die Schreibweise auf der Website ist aber nicht ganz so neutral.

  • 0 in reply to Patrick Lachmann

    Hi,

     

    bei uceprotect muss man halt Geld latzen um nicht 7 Tage warten zu müssen. Bei anderen RBLs kann man ein Dislisting relativ einfach und kostenlos durchführen. Das ist aber nur relevant für diejenigen, die halt gelistet sind.

  • 0 in reply to Patrick Lachmann

    Patrick Lachmann said:

    Guter Einwand.

    Gibt es eigentlich eine Liste, mit welchen Sophos UTM Default läuft? Dazu habe ich noch nichts gefunden.

    Standardmäßig werden die folgenden RBLs abgefragt:

    Commtouch IP Reputation (cyren.org) und cbl.abuseat.org

    Steht so sogar in der Online Hilfe. 

  • 0 in reply to ThorstenSult

    Ich habe gestern u.a. "uceprotect" (Level 1) aktiviert und auch deren Onlineauftritt eingehend studiert.

    Negativ aufgefallen ist, dass auffällig viele "guten" Mails abgelehnt wurden, dadurch habe ich das erst einmal wieder rausgenommen und analysiere den Unterschied.

     

    Was mir gar nicht so gefällt: Die passiv aggressive / sehr unseriöse Wortwahl auf der Website. Die Aufmachung selbst ist auch sehr ... ich sag mal Basic und dass kein HTTPS in der heutigen Zeit implementiert ist, ist auch heftig.
    Man stützt sich ziemlich hart auf München, aber sonst gibt es keine Referenzen.

    Ich würde die Blacklisten eher für ein Scoring benutzen, aber nicht direkt auf Grundlager dieser blocken. Das gibt aber die UTM so nicht her.

    Das Gerät bzw. deren Software gefällt mir als Grundgedanke sehr gut.

  • 0

    UTM does not check the Message From address, which is the root of the problem.

    Most RBLs are checking the Source IP, so they will not necessarily help either.

    You need another spam filter, one which can check the Message From and use it effectively in the filtering process.

    Here are my thoughts on what a spam filter should do.  Send me a private message if you want to know the non-Sophos product referenced at the end of my post.

    https://community.sophos.com/products/unified-threat-management/f/mail-protection-smtp-pop3-antispam-and-antivirus/120105/what-you-need-in-an-email-spam-filter

  • 0

    Hallo Patrick,

    wir schaut der SPF für domain-postbox.tld aus, ist da die IP 106.75.77.128 des Absenders damit erlaubt?
    Wenn auf der UTM die Option "Perform SPF check" gesetzt ist, müsste der SPF-Filter ansonsten zuschlagen weil als "envelope from" wurde domain-postbox.tld benutzt.

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

Unfiltered HTML