Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie schütze ich ein Netzwerk vor Outbound-SPAM?

Frage Sicherheit Firewall

Mitglied: stukenbrook

stukenbrook (Level 1) - Jetzt verbinden

25.01.2010 um 21:31 Uhr, 3061 Aufrufe, 5 Kommentare

Hallo zusammen,

in unserer Computerwerkstatt ist neuerdings folgendes Problem aufgetreten:
Ein Kundengerät war wahrscheinlich infiziert und hat so viel SPAM verschickt, dass die Telekom uns angerufen hat.

Ich würde diese Situation gerne nicht noch einmal auftreten lassen und suche nun nach einer Lösung. Nun bin ich relativ unerfahren was Netzwerksicherheit angeht und bräuchte einen Schubser in die richtige Richtung.

Wie könnte ich ausgehenden SPAM blockieren? Gibt es z.B. eine Hardware-Firewall die erhöhtes Traffic-Aufkommen auf bestimmten Ports erkennt und den Client, von dem dieser Traffic ausgeht blockiert? Wie macht man das normalerweise.

Vielen Dank für eure Hilfe im Voraus
Peter
Mitglied: 62929
25.01.2010 um 21:39 Uhr
Hallo Peter,

zuerst würde ich mal herausbekommen warum die Kiste SPAM verschickt hat. Schlecht konfigurierter MTA? Schadscripte (ich denke da speziell an PHP)?

Gruß
dante!
Bitte warten ..
Mitglied: datasearch
25.01.2010 um 21:49 Uhr
Das die Telekom anruft habe ich auch noch nicht gehört. Finde ich aber gut, sonst hättet ihr warscheinlich noch ernsthafte Probleme bekommen.

Um Nachrichten zu verschicken, muss der Bot irgendwie entweder

A)
Direkt mit Mailservern kommunizieren und den Spam von deiner IP zustellen

B)
Nachrichten an ein offenes Relay oder Zombieserver weiterleiten

Möglichkeit A bekommst du in den Griff, indem zu aus dem Testnetz jegliche Kommunikation mit Servern auf Port 25/TCP verbietest. Eueren Outgoing SMTP kannst du ja von dieser Regel ausnehmen. Zudem kannst du (wenn du entsprechende Firewalls hast) alle DNS-Abfragen nach MX Einträgen für Domains verbieten oder auf einen Honeypot umleiten (meine Lösung). Clients machen keine MX abfragen. Solltest du Server betreiben, kannst du diese ja in einem extra Segment aufstellen.

Möglichkeit B ist fast nicht zu kontrollieren. Alle Möglichkeiten wie in A plus zusätzlich eine Möglichkeit, aktiv SMTP-Sessions zu blockieren, die über andere Ports laufen. Allerdings verwenden neuere Bots zur Kommunikation mit den Zombieservern SSL Verschlüsselte Tunnel, was schon aktive L5-7 Proxys oder Deep Packet Inspection erfordert.

Sehr auswendig sich vor so etwas sicher zu schützen. Heutzutage kann alles über jedes Protokoll getunnelt werden.
Bitte warten ..
Mitglied: cardraft
26.01.2010 um 01:16 Uhr
Interessant wäre zu wissen, welche Software du zum senden einsetzt ??
Bitte warten ..
Mitglied: n.o.b.o.d.y
26.01.2010 um 08:29 Uhr
Hallo,


da muß ich jetzt aber mal nachfragen: Heißt das, dass Du bis jetzt die Kunden-PCs mit in das Firmen-LAN gehängt hast? Wenn, ja nenne ich das echt mutig! Ansonsten würde ich die Kunden-PCs einfach in ein eigenes LAN hängen, ohne Internetzugang, oder durch eine Firewall getrennt, die nur Port 80 für Downloads offen hat.
Bitte warten ..
Mitglied: datasearch
26.01.2010 um 10:13 Uhr
Heißt das, dass Du bis jetzt die Kunden-PCs mit in das Firmen-LAN gehängt hast?
Und er hat es getan

Wenn, ja nenne ich das echt mutig!
Dann sind wir schon zwei.

Aber was solls. Durch solche "Probleme" lernt man, das es nicht besonders gut ist alles und jeden in sein Produktivnetz zu "hängen". Wieder ein Pro für 802.1x und Proxys
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2016 Spam (8)

Frage von halington zum Thema Exchange Server ...

Windows Server
Firewall mit benutzerspezifischen Outbound-Traffic Filtern

Frage von Temmo1 zum Thema Windows Server ...

iOS
SPAM Einladungen im iCloud Kalender löschen (1)

Tipp von Frank zum Thema iOS ...

Microsoft Office
Pivot Tabelle schützen ohne Datenabschnitt (1)

Frage von lupi1989 zum Thema Microsoft Office ...

Neue Wissensbeiträge
Multimedia

Raspberry Pi als Digital-Signage-Computer

Information von BassFishFox zum Thema Multimedia ...

Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(15)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
Freigabe aus anderem Netz nicht erreichbar (21)

Frage von McLion zum Thema Router & Routing ...

Windows Server
Kennwort vergessen bei Hyper vserver 2012r (20)

Frage von jensgebken zum Thema Windows Server ...

Batch & Shell
Batch Programm verhalten bei shoutdown -p (19)

Frage von Michael-ITler zum Thema Batch & Shell ...

Festplatten, SSD, Raid
Raidcontroller funktioniert nur, wenn unter Legacy-Boot gestartet wird (13)

Frage von DerWoWusste zum Thema Festplatten, SSD, Raid ...