7
Spamschutz eigener Mailserver
Moin,
wir betreiben einen Exchange 2013, vor kurzem wurde ein Konto eines Domänen-Users kompromittiert und zum massenhaften Versand von Spam missbraucht. Autsch.
Damit sowas nicht wieder passiert, plane ich folgendes:
- Einsatz des PRTG-Sensors "Mail-Blacklist" (klar, wenn der schreit, liegt das Kind schon im Brunnen)
- Überwachung der versendeten Emails, die von unserem Server gesendet werden
- Beschränkung der maximal versendbaren Mails jedes Users pro Tag (250 oder sowas). Mir ist noch nicht ganz klar, wie ich das mache, aber wahrscheinlich mit Throttling Policy?
Wie handhabt Ihr das bei Euch? Weitere Tipps oder Anregungen? Präventive Maßnahmen wie Mitarbeiterschulung habe ich schon einkalkuliert.
Gruß
wir betreiben einen Exchange 2013, vor kurzem wurde ein Konto eines Domänen-Users kompromittiert und zum massenhaften Versand von Spam missbraucht. Autsch.
Damit sowas nicht wieder passiert, plane ich folgendes:
- Einsatz des PRTG-Sensors "Mail-Blacklist" (klar, wenn der schreit, liegt das Kind schon im Brunnen)
- Überwachung der versendeten Emails, die von unserem Server gesendet werden
- Beschränkung der maximal versendbaren Mails jedes Users pro Tag (250 oder sowas). Mir ist noch nicht ganz klar, wie ich das mache, aber wahrscheinlich mit Throttling Policy?
Wie handhabt Ihr das bei Euch? Weitere Tipps oder Anregungen? Präventive Maßnahmen wie Mitarbeiterschulung habe ich schon einkalkuliert.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 379167
Url: https://administrator.de/contentid/379167
Printed on: April 19, 2024 at 00:04 o'clock
7 Comments
Latest comment
Zitat von @Coreknabe:
wir betreiben einen Exchange 2013, vor kurzem wurde ein Konto eines Domänen-Users kompromittiert und zum massenhaften Versand von Spam missbraucht. Autsch.
wir betreiben einen Exchange 2013, vor kurzem wurde ein Konto eines Domänen-Users kompromittiert und zum massenhaften Versand von Spam missbraucht. Autsch.
Moin,
wie genau ist das passiert und ist das Einfallstor geschlossen worden?
Gruss
Jupp, das ist dicht, Useraccount ist deaktiviert, da User im Urlaub... Ärgerliche Sache, von den meisten Sperrlisten sind wir wieder runter, da wir ansonsten aber nicht so viele externe Mails verschicken, drücken 5000 Mails auf einmal natürlich die Reputation.... Habe auch noch ein Ticket bei senderbase.org eröffnet.
Hallo Coreknabe,
1. Verstärkung der PW Richtlinie
2. UTM, die bei übermäßigem Mailtraffic warnt
3. Prüfung der Richtlinien von wo nach wo darf versandt werden, gibt es offene Relays.
Dann brauchst du i.d.R auch kein Throttling. Übrigens sind die Maßnahmen nicht durch Auflistungsfolge gewichtet.
Ggf. fehlt euch auch eine umfassende IT-Sicherheitsrichtlinie (Ansatz siehe oben), denn mit dieser wäre es wohl nicht zur Kompromittierung gekommen.
Viele Grüße,
Christian
certifiedit.net
1. Verstärkung der PW Richtlinie
2. UTM, die bei übermäßigem Mailtraffic warnt
3. Prüfung der Richtlinien von wo nach wo darf versandt werden, gibt es offene Relays.
Dann brauchst du i.d.R auch kein Throttling. Übrigens sind die Maßnahmen nicht durch Auflistungsfolge gewichtet.
Ggf. fehlt euch auch eine umfassende IT-Sicherheitsrichtlinie (Ansatz siehe oben), denn mit dieser wäre es wohl nicht zur Kompromittierung gekommen.
Viele Grüße,
Christian
certifiedit.net
Moin,
Ich sag's mal so:
keine Nutzungs von anonymer Authentifizierung, keine offenen Relays, jeder Service hat sein eigenes E-Mailpostfach, Benutzerrechte entsprechend eingeschränkt, evtl. beschränkte Empfänderadressen und es sollte sehr ruhig werden.
Gruß,
Dani
2. UTM, die bei übermäßigem Mailtraffic warnt
das kannst du bei kleinen Umgebungen machen. Aber alles aufwärts mit 100 Postfächern und mehr, führt zu mehr Fehlarlarmen als Nutzen. 3. Prüfung der Richtlinien von wo nach wo darf versandt werden, gibt es offene Relays.
offene Relays ist schon einmal ein guter Ansatz.Jupp, das ist dicht, Useraccount ist deaktiviert, da User im Urlaub...
Für entsprechende Gegenmaßennahmen wäre interessant zu wissen, wie das Einfallstor ausgesehen hat.Beschränkung der maximal versendbaren Mails jedes Users pro Tag (250 oder sowas).
Was passiert wenn jemand einen Verteiler auswählt und somit darin mehr als 250 Empfänger sind? Ich halte davon nichts.Ich sag's mal so:
keine Nutzungs von anonymer Authentifizierung, keine offenen Relays, jeder Service hat sein eigenes E-Mailpostfach, Benutzerrechte entsprechend eingeschränkt, evtl. beschränkte Empfänderadressen und es sollte sehr ruhig werden.
Gruß,
Dani
das kannst du bei kleinen Umgebungen machen. Aber alles aufwärts mit 100 Postfächern und mehr, führt zu mehr Fehlarlarmen als Nutzen.
je nach dem, Benutzerbasiert sicher ein Ansatz, aber wie ich schon schrieb, das muss ein Gesamtkonzept sein. Nicht nur Emailing...
Zitat von @Coreknabe:
Jupp, das ist dicht, Useraccount ist deaktiviert, da User im Urlaub... Ärgerliche Sache, von den meisten Sperrlisten sind wir
Jupp, das ist dicht, Useraccount ist deaktiviert, da User im Urlaub... Ärgerliche Sache, von den meisten Sperrlisten sind wir
Was genau war denn das Einfallstor, das interessiert mich.
Moin,
offenes Relay verbietet sich ja von selbst, oder?
Verstärkung der PW-Richtlinie nehme ich mal mit auf, im nächsten Jahr wechseln unsere Clients komplett auf Win10, dann stellen wir auf das Pin-System um. In der Hoffnung, dass das auch einiges erleichtert und die User zu besseren Passwörtern zu bewegen sind.
Beschränkung der versendbaren Mails sollte kein Problem sein, für die User, die eine größere Anzahl von Mails verschicken müssen, kann ich Ausnahmen generieren.
Einfallstor war ein Mitarbeiterkonto, dessen Passwort scheinbar geknackt wurde.
Gruß und danke für Euren Input!
offenes Relay verbietet sich ja von selbst, oder?
Verstärkung der PW-Richtlinie nehme ich mal mit auf, im nächsten Jahr wechseln unsere Clients komplett auf Win10, dann stellen wir auf das Pin-System um. In der Hoffnung, dass das auch einiges erleichtert und die User zu besseren Passwörtern zu bewegen sind.
Beschränkung der versendbaren Mails sollte kein Problem sein, für die User, die eine größere Anzahl von Mails verschicken müssen, kann ich Ausnahmen generieren.
Einfallstor war ein Mitarbeiterkonto, dessen Passwort scheinbar geknackt wurde.
Gruß und danke für Euren Input!
