Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mailspoofing am Exchange Server verhindern

Mitglied: MasterPhil

MasterPhil (Level 1) - Jetzt verbinden

12.10.2017, aktualisiert 12:00 Uhr, 579 Aufrufe, 14 Kommentare

Hallo Zusammen,

wir haben aktuell das Problem, dass vermehrt Mails von vermeintlichen Mitarbeiter an andere Mitarbeiter gesendet werden - im Anhang natürlich ein Trojaner. Es kommt häuft vor, dass z. B. eine Mail von "scanner@firma.de" an "mitarbeiter@firma.de" geht. Für den User sieht das natürlich normal aus. Wie lässt sich das nun verhindern, dass intern kein Mailspoofing mehr betrieben wird? Ich hab mich etwas informiert und bin auf den SPF Record gestoßen. Nun war ich mir allerdings nicht sicher, inwieweit ich den SenderID Agent am Exchange aktivieren und dort was konfigurieren muss? Aktuell setzen wir noch Exchange 2010 ein, welcher aber bis Jahresende auf 2016 migriert werden soll. Unser Exchange empfäng Mails über MX und sendet selbst über einen Smarthost (in unserem Fall der Hoster der Domain). Ich habe im DNS des Providers den SPF Record "v=spf1 mx -all" gesetzt, wenn ich es verstanden habe heißt das, dass nur der im MX eingetragene Mailserver versenden darf (unser Exchange).
Mitglied: Thomas2
12.10.2017 um 12:04 Uhr
Hi,

setzt ihr denn keinen E-Mailschutz ein? Der sollte solche Versuche direkt unterbinden, insofern die E-Mails tatsächlich von extern kommen und nicht durch die Übernahme des genannten Accounts verschickt werden.
Ansonsten das hier schon probiert? https://www.frankysweb.de/exchange-server-mailspoofing-verhindern/

Gruß,
Thomas
Bitte warten ..
Mitglied: MasterPhil
12.10.2017 um 12:12 Uhr
setzt ihr denn keinen E-Mailschutz ein? Der sollte solche Versuche direkt unterbinden, insofern die E-Mails tatsächlich von extern kommen und nicht durch die Übernahme des genannten Accounts verschickt werden.
Vergessen zu erwähnen - wir setzten eine Watchguard Firewall ein, die auch auf SPAM prüft. Es wird jede Menge SPAM erkannt, aber die Mails mit "scanner@firma.de", die lt. Header von Extern kommen, werden nicht gefiltert.

Wenn ich auf der Seite http://www.sendanonymousemail.net/ bei Receiver und Sender ein internes Postfach eintrage, kommt hier keine Mail an.
Bitte warten ..
Mitglied: Thomas2
12.10.2017 um 12:30 Uhr
Dann scheint es ja bei euch zu funktionieren. Hast du diese Mails genauer untersucht, kommen die wirklich von extern und nicht durch einen übernommen Account oder einem Trojaner aus dem internen Netz? Ich meine damit nicht, das Senderfeld anzugucken, sondern den Mailheader. Den zeigt Outlook standardmäßig nicht an.
Bitte warten ..
Mitglied: MasterPhil
12.10.2017 um 12:47 Uhr
Ich meine damit nicht, das Senderfeld anzugucken, sondern den Mailheader. Den zeigt Outlook standardmäßig nicht a
Ich habe den Header schon analysiert und die Mails kommen tatsächlich von Extern.
Bitte warten ..
Mitglied: Mobsmonster
12.10.2017 um 13:47 Uhr
Ja wird schwierig gegen diese Welle anzukommen
https://www.heise.de/security/meldung/Achtung-Aktuelle-Spam-Mails-faelsc ...
Haben diverse Kunden die auch solche Mails bekommen und andere nicht gibt dafür wohl momentan keine richtige Lösung.
Bitte warten ..
Mitglied: MasterPhil
12.10.2017 um 14:00 Uhr
Zitat von Mobsmonster:

Ja wird schwierig gegen diese Welle anzukommen
https://www.heise.de/security/meldung/Achtung-Aktuelle-Spam-Mails-faelsc ...
Haben diverse Kunden die auch solche Mails bekommen und andere nicht gibt dafür wohl momentan keine richtige Lösung.
Ich dachte eben, dass genau für sowas der SPF Record sinnvoll ist?
Bitte warten ..
Mitglied: GuentherH
12.10.2017 um 14:03 Uhr
Ich habe im DNS des Providers den SPF Record "v=spf1 mx -all" gesetzt, wenn ich es verstanden habe heißt das,
dass nur der im MX eingetragene Mailserver versenden darf (unser Exchange).

Richtig. Hilft dir selbst aber nur dann, wenn auf eurem SPAM Filter nach SPF gefiltert wird.

Haben diverse Kunden die auch solche Mails bekommen und andere nicht gibt dafür wohl momentan keine richtige Lösung.

Doch. Der SPAM Filter muss nur so konfiguriert werden, dass Mails von Domänen, die als autoritative Domänen im Exchange eingetragen und von extern kommen nicht angenommen werden.

LG Günther
Bitte warten ..
Mitglied: MasterPhil
12.10.2017 um 14:18 Uhr
Zitat von GuentherH:

Ich habe im DNS des Providers den SPF Record "v=spf1 mx -all" gesetzt, wenn ich es verstanden habe heißt das,
dass nur der im MX eingetragene Mailserver versenden darf (unser Exchange).

Richtig. Hilft dir selbst aber nur dann, wenn auf eurem SPAM Filter nach SPF gefiltert wird.

Haben diverse Kunden die auch solche Mails bekommen und andere nicht gibt dafür wohl momentan keine richtige Lösung.

Doch. Der SPAM Filter muss nur so konfiguriert werden, dass Mails von Domänen, die als autoritative Domänen im Exchange eingetragen und von extern kommen nicht angenommen werden.

LG Günther

Kann ich dann mit unserem aktuellen SPF Record "v=spf1 mx -all" was anfangen? In der Firewall aktivieren ich dann SPF und diese sollte dann prüfen, ob der Mailserver mit dem SPF Record übereinstimmt?
Bitte warten ..
Mitglied: MasterPhil
12.10.2017 um 15:14 Uhr
Nachtrag: Ich hab nun in der Firewall eingestellt, dass alle Mails, die von außen kommen und von "*@unserefirma.de" senden, von unserer Firewall zurückgewiesen werden. Jetzt ist ruhe.

Was bringt mir dann genau der SPF Record? Das habe ich noch nicht ganz verstanden und leuchtet mir auch anhand diverser Artikel nicht ein. Ich meine wir sind dadurch ja jetzt "sicher". Es kann aber doch sein, dass externe Benutzer Mails vermeintlich von uns erhalten.
Bitte warten ..
Mitglied: GuentherH
12.10.2017 um 15:56 Uhr
Was bringt mir dann genau der SPF Record?

Im SPF Record sind die Mailserver eingetragen, die für die jeweiligen Domänen senden dürfen. Das heißt, wenn bei euch der SPF Record gesetzt ist, kann der Empfänger überprüfen ob die Mail tatsächlich von euch stammt.
Das Problem ist, dass der SPF Record nicht zwingend verbindlich ist, weil sich wie üblich ein paar Große wieder nicht einigen konnten. Somit ist der SPF Record nur ein Teil der SPAM - Filterkette, da bei nur aktiviertem SPF Filter jede Menge False Positive Treffer auftreten (daher, erwünschte Mails ohne SPF Eintrag landen im SPAM).

Ich hab nun in der Firewall eingestellt, dass alle Mails, die von außen kommen
und von "*@unserefirma.de" senden, von unserer Firewall zurückgewiesen werden.

Das ist die einfachste Methode bei diesem Problem.

LG Günther
Bitte warten ..
Mitglied: MasterPhil
12.10.2017, aktualisiert um 16:22 Uhr
Das heißt für mich, dass mir der SPF Record, den ich im DNS setze aktiv nichts bringt? Spam und das Spoofing kann ich durch die Firewall verhindern. Was ich nicht verhindern kann ist, dass unsere Domain für den Versand missbraucht wird, oder? Über einen PHP Mailer kann ich ja so Mails versenden, dass der Empfänger Domain XYZ sieht.
Bitte warten ..
Mitglied: GuentherH
12.10.2017 um 18:52 Uhr
Das heißt für mich, dass mir der SPF Record, den ich im DNS setze aktiv nichts bringt?

Sicher. Deine Domäne ist damit wesentlich sicherer nicht versehtlich als Spammer auf einer Blacklist zu landen.

Spam und das Spoofing kann ich durch die Firewall verhindern.

Das gilt ja für den Empfang und nicht für den Versand

Was ich nicht verhindern kann ist, dass unsere Domain für den Versand missbraucht wird, oder?

Doch, genau dafür ist ja des SPF Record da.

Über einen PHP Mailer kann ich ja so Mails versenden, dass der Empfänger Domain XYZ sieht.

Klar. Aber wenn ich das z.B. mache, und eine E-Mail mit dem Namen eurer Domäne versende, dann stimmt meine IP Adresse mit der ich sende nicht mit der in eurem SPF Record überein und Empfänger weiß, dass er diese Mail als Mail verwerfen kann.

LG Günther
Bitte warten ..
Mitglied: MasterPhil
12.10.2017 um 21:23 Uhr
Dann hier noch meine letzte Frage: Der SPF Record schützt meine Domain dann nur insoweit, dass der Empfänger Mailserver prüfen muss, ob die Mail auch von dem Server kommt, der im SPF Record steht. Der Exchange arbeitet ja anscheinend per default nicht so, dass er das prüft. Dazu hab ich noch keine Infos gefunden, wie das dann zu konfigurieren ist.

Muss im SPF Record dann zusätzlich zur Domain die IP bzw der externe DNS des Exchange stehen? In unserem Fall sendet der Exchange nicht direkt, sondern über den Smarthost des Providers.

Genügt dazu der SPF v=spf1 mx -all, Der schließt ja den MX Record ein, der ja auf den Exchange zeigt. Im Mailheader steht als Sender der öffentliche DNS Name cas.domain.de. Muss dieser dann zusätzlich in den SPF Record, also v=spf1 mx a:cas.domain.de -all
Bitte warten ..
Mitglied: GuentherH
12.10.2017 um 21:42 Uhr
Der SPF Record schützt meine Domain dann nur insoweit, dass der Empfänger Mailserver prüfen muss,
ob die Mail auch von dem Server kommt, der im SPF Record steht.

Korrekt

Der Exchange arbeitet ja anscheinend per default nicht so, dass er das prüft.

Doch, nennt sich Sender-ID - https://technet.microsoft.com/de-de/library/bb125259(v=exchg.141).aspx

In unserem Fall sendet der Exchange nicht direkt, sondern über den Smarthost des Providers.

Dann muss natürlich die IP des Smarthost angegeben werden. Der darf ja für eure Domäne Nachrichten versenden.

Verwende diesen Assistenten zum Erstellen des Eintrages - http://www.spf-record.de/generator

LG Günther
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Verhindern der Weiterleitung der Besprechungsanfragen unter Exchange 2010

Frage von it-officerExchange Server1 Kommentar

Hallo, ich würde gerne eine bestimmte Weiterleitung abschalten, weil es für uns überflüssig ist. Ist Zustand: Die beiden Windows ...

Windows Server

RDP-Verbindung zu einem RD-Server verhindern

gelöst Frage von WinaryWindows Server10 Kommentare

Guten Morgen, ich verzweifle gerade an einem Problem, von dem ich nicht gedacht hätte, dass es überhaupt so kompliziert ...

Exchange Server

Exchange 2010 - Terminüberschneidungen bei Equipment Postfächern verhindern

Frage von MartinADExchange Server1 Kommentar

Hallo, ich habe eine frage zu Exchange/Outlook 2010. Ich möchte ein Equipment Postfach für bestimmte Fertigungsmaschinen anlagen. Diese Maschinen ...

Server-Hardware

Serverausfall verhindern

Frage von aracaracServer-Hardware7 Kommentare

Hallo, wir haben einen Rootserver bei Server4you und betreiben einen Onlineshop auf diesem Server. Sollte es mal einen Hack ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 4 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 8 StundenCPU, RAM, Mainboards4 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 22 StundenRouter & Routing4 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...