alex.b
Goto Top

Mail Spoofing Exchange 2010

Ich hoffe mir kann jemand weiterhelfen

Hallo,

Habe folgendes Problem.
Wir haben seit kurzem ein Problem mit Spooofing. Wir betreiben einen Exchange 2010 Server ohne Edge Transport Server und leider einem Avira SBS Exchange Security, bei der wohl auf eine Blacklisteinstellungsmöglichkeit verzichtet worden scheint.

Wir haben mehrere Akzeptierte Domänen deren alle Email Adressen über den Exchange laufen. Somit würde mir auch eine Einstellung reichen bei der alle externe Mails mit unseren Domänen abgeblockt werden. Allerdings bin ich noch nicht darauf gekommen, wie man das einstellen kann...

Viele Dank schonmal!

Content-Key: 201772

Url: https://administrator.de/contentid/201772

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: Luie86
Luie86 14.02.2013 um 15:31:03 Uhr
Goto Top
Hallo,

versteh ich das richtig:

Ein Externer kommt mit euer Domain @example.loc als Absender
und verschickt an eure anderen Domain's oder @example.loc eine Mail ?
Ist so etwas, nicht standardmäßig schon geblockt?

Oder geht es um ein Open Relay?

Ich wäre für ein Beispiel dankbar, denn ich versteh es eigentlich nicht.


Gruß Daniel
Mitglied: alex.b
alex.b 14.02.2013 um 15:49:52 Uhr
Goto Top
Es sind interne Relay Domains...
Und ja. Wir bekommen von unseren eigenen Adressen Mails
z.B.
jobs@unseredomain.com an jobs@unseredomain.com
oder auch an verschiedene intern wirklich vorhandene Mailadressen
Teilweiße mit Chinesischen Zeichen manchmal aber auch mit fast sinnvollen Texten..
Mitglied: Onitnarat
Onitnarat 14.02.2013 um 16:19:47 Uhr
Goto Top
Hi,
prüfe mal im Header dieser Mails ob der Absender wirklich jobs@unseredomain.com ist. Ich schätze nämlich, dass dem NICHT so ist. Wir haben gelegentlich auch solche Mails, da stehen dann aber meisten irgendwelche @gmail.com oder @yahoo.com Adressen im FROM.
Dann wirst Du kaum eine Chance haben diese zu filtern.

Gruß
Marcus
Mitglied: alex.b
alex.b 14.02.2013 um 16:29:33 Uhr
Goto Top
Guter Einwand.
Hab leider grad kein Zugang zu den Mails.

Ist es in dem Fall nicht trotzdem möglich irgendwo zentral eine Regel eintragen in dem man eben bei externen Mails unsere Domänen blockt?
Mitglied: Onitnarat
Onitnarat 14.02.2013 um 17:01:30 Uhr
Goto Top
wie gesagt, das wird schwer...Du kannst natürlich auf dem Exchange eine Transportregel einrichten, die alle Mails mit "jobs@unseredomain.com" im Absender und Empfänger löscht, aber wenn im FROM etwas anderes steht greift die Regel nicht.

Warum sind denn die Domänen interne Relay Domänen?
Mitglied: Alchimedes
Alchimedes 15.02.2013 um 11:25:25 Uhr
Goto Top
Hallo ,

das klingt nach einer Harvest Attacke oder Backscattering.

Wir hatten das gleiche Problem. Absender waren Adressen aus der eigenen Domain somit sind Sie nicht als Spam herausgefiltert.
Die Spammer schicken Tausende mails mit allen Moeglichen Buchstabenkombies. Die Mail die Sie nicht
als Unzustellbar zurueckbekommen wissen Sie das Sie eine b.z.w mehrere richtige Mailadressen erkannt haben.

Oder die Mail wird als nicht Zustellbar an den Server geschickt und der reicht die dann an die Clients weiter.

Abhilfe schaffen neue Blacklist.
Wir haben bl.spamcop.net, ix.dnsbl.manitu.net , und zen.spamhaus.org hinzugefuegt dann war Schluss.

Gruss