E-Mails mit gefälschten FROM: Header

Question

Sehr geehrte Kolleginnen und Kollegen,

mich beschäftigt folgendes Problem:
Der Mailserver sowie die DNS-Server sind funktionsfähig mit SPF, DKIM, DMARC und ADSP konfiguriert.

Eingehende Mails werden mit fast allen UTM-möglichen funktionen kontrolliert, ausgenommen "Do strict RDNS checks", greylisting und BATV.

"envelope-from" und "from:" wird scheinbar nicht von der UTM richtig oder gar nicht geprüft. Ich wäre davon ausgegangen, dass die UTM DKIM und DMARC Prüfungen durchführt, aber scheinbar greift das hier nicht.
Das führt zu einem herben Problem, da mit der Zeit die Mails für den normalen User nicht mehr zu prüfen ist und so von der Echtheit der Mail ausgeht.
Wie wird man dem hier Herr?

Nun ist das so, dass ich folgende E-Mail erhalte und die UTM teilweise sogar zustellt:

(domain-mailhost.tld ist der Platzhalter für unsere Domain)
(domain-postbox.tld ist der Platzhalter für unsere Domain)

Received: from ratedispatch.top ([106.75.77.128]:48121) by mail.domain-mailhost.tld with esmtps (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256) (Exim 4.82_1-5b7a7c0-XX) (envelope-from <quarantine_email_security@domain-postbox.tld>) id 1jT2Bc-00038g-08 for info@domain-postbox.tld; Mon, 27 Apr 2020 13:44:32 +0200

X-CTCH-RefID: str=0001.0A782F29.5EA6C53A.0084,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0

From: domain-postbox.tld <quarantine_email_security@domain-postbox.tld>

To: info@domain-postbox.tld

Subject: Domain Email Quarantine domain-postbox.tld

Date: 27 Apr 2020 13:39:27 +0200

Message-ID: <20200427133926.DDAD97FBC4B6C75B@domain-postbox.tld>

MIME-Version: 1.0

Content-Type: multipart/related; boundary="----=_NextPart_000_0012_40E829CC.17462ACC"

INFO: ---

INFO: ---

INFO: ---

X-Spam-Result: Spam

------=_NextPart_000_0012_40E829CC.17462ACC
Content-Type: text/html;
 charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD>
[...]

Gruß, Patrick

This thread was automatically locked due to age.

ThorstenSult · Answer

Moin, 
 
 vielleicht kannst Du dem Problem noch weiter gegen steuern, wenn Du weitere RBLs verwendest: 
 
 bl.spamcop.net
dnsbl-1.uceprotect.net (sehr wirksam, Dislisting ist aber mit Kosten verbunden)
ix.dnsbl.manitu.net b.barracudacentral.org
zen.spamhaus.org

zaphod · Answer

Hallo, 
 was hier angesprochen wird ist das sogenannte "Impersonation" Problem, sprich from und envelope-from passen nicht wirklich zusammen. 
 Nicht-Sensibilisierte User fallen auf solche gefakten Mails rein. 
 Leider ist die UTM mit dem SMTP-Proxy nicht in der Lage dies abzufangen. 
 
 L&ouml;sungsans&auml;tze: 
 - Nutzung anderen SMTP-Proxy 
 - Usersensibilisierung (Ein Blick in den Mail-Header grade bei Mails aus F&uuml;hrungskreis) 
 
 Die UTM bietet das nicht.