Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie schütze ich ein Netzwerk vor Outbound-SPAM?

Frage Sicherheit Firewall

Mitglied: stukenbrook

stukenbrook (Level 1) - Jetzt verbinden

25.01.2010 um 21:31 Uhr, 3040 Aufrufe, 5 Kommentare

Hallo zusammen,

in unserer Computerwerkstatt ist neuerdings folgendes Problem aufgetreten:
Ein Kundengerät war wahrscheinlich infiziert und hat so viel SPAM verschickt, dass die Telekom uns angerufen hat.

Ich würde diese Situation gerne nicht noch einmal auftreten lassen und suche nun nach einer Lösung. Nun bin ich relativ unerfahren was Netzwerksicherheit angeht und bräuchte einen Schubser in die richtige Richtung.

Wie könnte ich ausgehenden SPAM blockieren? Gibt es z.B. eine Hardware-Firewall die erhöhtes Traffic-Aufkommen auf bestimmten Ports erkennt und den Client, von dem dieser Traffic ausgeht blockiert? Wie macht man das normalerweise.

Vielen Dank für eure Hilfe im Voraus
Peter
Mitglied: 62929
25.01.2010 um 21:39 Uhr
Hallo Peter,

zuerst würde ich mal herausbekommen warum die Kiste SPAM verschickt hat. Schlecht konfigurierter MTA? Schadscripte (ich denke da speziell an PHP)?

Gruß
dante!
Bitte warten ..
Mitglied: datasearch
25.01.2010 um 21:49 Uhr
Das die Telekom anruft habe ich auch noch nicht gehört. Finde ich aber gut, sonst hättet ihr warscheinlich noch ernsthafte Probleme bekommen.

Um Nachrichten zu verschicken, muss der Bot irgendwie entweder

A)
Direkt mit Mailservern kommunizieren und den Spam von deiner IP zustellen

B)
Nachrichten an ein offenes Relay oder Zombieserver weiterleiten

Möglichkeit A bekommst du in den Griff, indem zu aus dem Testnetz jegliche Kommunikation mit Servern auf Port 25/TCP verbietest. Eueren Outgoing SMTP kannst du ja von dieser Regel ausnehmen. Zudem kannst du (wenn du entsprechende Firewalls hast) alle DNS-Abfragen nach MX Einträgen für Domains verbieten oder auf einen Honeypot umleiten (meine Lösung). Clients machen keine MX abfragen. Solltest du Server betreiben, kannst du diese ja in einem extra Segment aufstellen.

Möglichkeit B ist fast nicht zu kontrollieren. Alle Möglichkeiten wie in A plus zusätzlich eine Möglichkeit, aktiv SMTP-Sessions zu blockieren, die über andere Ports laufen. Allerdings verwenden neuere Bots zur Kommunikation mit den Zombieservern SSL Verschlüsselte Tunnel, was schon aktive L5-7 Proxys oder Deep Packet Inspection erfordert.

Sehr auswendig sich vor so etwas sicher zu schützen. Heutzutage kann alles über jedes Protokoll getunnelt werden.
Bitte warten ..
Mitglied: cardraft
26.01.2010 um 01:16 Uhr
Interessant wäre zu wissen, welche Software du zum senden einsetzt ??
Bitte warten ..
Mitglied: n.o.b.o.d.y
26.01.2010 um 08:29 Uhr
Hallo,


da muß ich jetzt aber mal nachfragen: Heißt das, dass Du bis jetzt die Kunden-PCs mit in das Firmen-LAN gehängt hast? Wenn, ja nenne ich das echt mutig! Ansonsten würde ich die Kunden-PCs einfach in ein eigenes LAN hängen, ohne Internetzugang, oder durch eine Firewall getrennt, die nur Port 80 für Downloads offen hat.
Bitte warten ..
Mitglied: datasearch
26.01.2010 um 10:13 Uhr
Heißt das, dass Du bis jetzt die Kunden-PCs mit in das Firmen-LAN gehängt hast?
Und er hat es getan

Wenn, ja nenne ich das echt mutig!
Dann sind wir schon zwei.

Aber was solls. Durch solche "Probleme" lernt man, das es nicht besonders gut ist alles und jeden in sein Produktivnetz zu "hängen". Wieder ein Pro für 802.1x und Proxys
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst Netzwerk aufrüsten von 1Gbit zu 10Gbit (3)

Frage von WinLiCLI zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst WLAN Repeater über Kabel ins Netzwerk einbinden? (6)

Frage von cejayes zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(2)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

LAN, WAN, Wireless
gelöst Statische Routen mit ISC-DHCP Server für Android Devices (22)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Exchange Server
gelöst Migration Exchange 2007 zu 2013 - Public Folder teilweise weg (16)

Frage von Andy1987 zum Thema Exchange Server ...