Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1606 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Proxy FORGED FROM: Problem?!?

RichB_01
I have a SMTP problem.  I have Astaro 4.0, configured with SMTP proxy, with the following AntiSpam settings:  
Sender Address Verification (ON)
Use Callouts (ON)
Sender Blacklist (ON-but nothing in the Patterns)
SPAM Detection (ON-tried all Reasonable, Conservative, Aggressive)
Block RCPT Hacks (ON)
Virus Protection (ON)
RBL (Off)
File Extension Filter (ON-default)
Expression Filter (Off)

My internal Mail Server is Exchange 5.5, but I am not posting an Exchange question here.  
My situation is as follows.  

An internal (exchange) mail user (we will call him FRED@ABCcompany.com)  received an email from another internal (exchange) mail user (we will call her SALLY@ABCcompany.com).  The email was listed in FRED’s inbox as message from SALLY@ABCcompany.com.  FRED opened the email only to read some very derogatory information that could get SALLY fired (FRED is the CEO’s son).  FRED immediately has IT investigate.  Typical mail in an exchange environment has no header if it is from an internal user to an internal user.  This particular message HAS a header which I am listing below, so we know it was sent from another domain.  This is a classic example of a forged ‘FROM:’.  The sender’s idiocy leaves an easily auditable trail (which we have done) but that is not my issue.  Even though these messages are not really harmful (just annoying and idiotic), and easily traceable, how can we stop them?  I thought that the Astaro Sender address Verification ‘might’ catch these, or the Callout function ‘might’ as well, but since theoretically it IS a valid sender and valid mail server, it does not.  But when you hit the reply button in your mail client, it lists the FORGED address not the REAL sender.

Short of getting into an Exchange server configuration question (we have been racking our brain), anyone have any ideas?  I realize the AntiSpam settings in Astaro are designed to catch a more elegant spamming attempt (this guy is a REAL Dolt), but this is so silly, I would think I should be able to stop it.

Any help would be MUCH appreciated.  Here is the email header……….

Received: from XXXX.mail.pas.XXXXX.net ([XXX.XXX.XXX.XXX]) by merlin.ABCcompany.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13)
            id D99YBZST; Tue, 11 Feb 2003 18:28:58 -0500
Received: from IDIOTFORGER.dialup.mindspring.com ([XX.XX.XX.XX] helo=test)                                                                                             
            by XXXX.mail.pas.XXXXX.net with smtp (Exim 3.33 #1)
            id 18ijsG-0002vJ-00
            for FRED@ABCcompany.com; Tue, 11 Feb 2003 15:31:37 -0800
Message-ID: 
From: "SALLY@ABCcompany.com" 
To: "FRED@ABCcompany.com" 
Subject: BAD STUFF YOU SHOULD NOT SEND TO THE CEO’s SON!!
Date: Tue, 11 Feb 2003 18:27:25 -0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
            boundary="----=_NextPart_000_004D_01C2D1FB.3995A4A0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
 
This is a multi-part message in MIME format.

REALLY BAD STUFF YOU SHOULD NOT SEND TO THE CEO’s SON!!
 ****MESSAGE*****      


This thread was automatically locked due to age.
Parents
  • 0
    RichB,

    the problem you are describing is "well known" :-)
    You are right to question how and why ASL can not be of help.
    I didn´t check if there is a way to "hack" ASL to stop this kind of spoofing but what I can tell you is, that if you use e.g. sendmail as a mail relay you can restrict accepting emails that have SAME sender AND receipient domain.
    In your scenario, internal email will NEVER be forwarded to the relay since Exchange is taking care of routing. Only emails to external domains will beforwarded to the relay an NOT be blocked by the filter.

    techno.kid

    There is one situation I know about where this does not work: if you have outside departments that are sending email to your main location using using the same FROM domain.    
  • 0 in reply to techno.kid
    I did an experiment from another domain we have.  Another SE and I did various tests, through various SMTP servers we have access to.  Some at ISP's and some we own.  What we discovered is that even the ISP's (I will with-hold their names for reasons I have not thought of) would allow us to forge the FROM:.  You are correct in that our internal problem is one that Exchange (and we have verified) is configured properly for, and will not allow internal to internal FROM: to be forged.  The header is blank when it is internal, and populated when it is from external.  But educating users about this  and teaching them to read headers is something I cannot do.  At the moment, I am researching further to remedy the problem (MS is tattooed to the ass of most), unfortunatly replacing with sendmail is not an option at this point (I wish it were).  I will post back when I venture further, at the least, I will be somewhat educated on this and I will share what I discover.  Thanks for the response.   
  • 0 in reply to RichB_01
    If you do not succeed with Microsoft resp. Exchange you should consider to establish a mail-relay. In every network environment where security is a issue a mail-relay is a MUST have.

    I will not advertise sendmail if you are more a windows guy; out there are some other products (MAILSweeper if i remember right) that will meet your needs.

    As a last cosequence you might get yourself a consultant for this special issue...

    techno.kid   
  • 0 in reply to techno.kid
    Maybe I said it wrong...I dislike MS...I like Unix.  Unfortunately I am stuck (somewhat) with exchange for the moment.  I am familiar with sendmail..I don't like configuring it (like reading Egyptian at times)...but I am familiar.  I do not like getting stuck in a GUI like Exchange.  You feel at the mercy of MS and the Exchange database is a weird animal.

    I have been looking at Mail relays.  I thought the Astaro SMTP proxy was a "form" of mail relay...But I think that was my fault in misunderstanding that function.  We are looking at a few other mail relay products and I am trying to kill a few birds with one stone..maybe that is bad...you suffer from not getting best of breed when you go the "appliance-Swiss army knife" approach.  Pehaps I will break down all necessary components for my env and then build using sound technology...then compare with my env and go from there.  I will keep you posted...thank you.  
      
Reply
  • 0 in reply to techno.kid
    Maybe I said it wrong...I dislike MS...I like Unix.  Unfortunately I am stuck (somewhat) with exchange for the moment.  I am familiar with sendmail..I don't like configuring it (like reading Egyptian at times)...but I am familiar.  I do not like getting stuck in a GUI like Exchange.  You feel at the mercy of MS and the Exchange database is a weird animal.

    I have been looking at Mail relays.  I thought the Astaro SMTP proxy was a "form" of mail relay...But I think that was my fault in misunderstanding that function.  We are looking at a few other mail relay products and I am trying to kill a few birds with one stone..maybe that is bad...you suffer from not getting best of breed when you go the "appliance-Swiss army knife" approach.  Pehaps I will break down all necessary components for my env and then build using sound technology...then compare with my env and go from there.  I will keep you posted...thank you.  
      
Children
No Data