Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Spamcheck nach Absender IP Problem

Frage Sicherheit Erkennung und -Abwehr

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

30.05.2014 um 10:31 Uhr, 2804 Aufrufe, 13 Kommentare, 2 Danke

Hallo,

diese ist eher eine strategische Frage, als eine technische.

Wir setzten in unseren Unternehmen den Spamfilter von Barracuda sein. In letzter Zeit häufen sich die Blockierungen von Mails mit der Begründung Barracuda Reputation. Das bedeutet, dass die Barracuda die IP des DSL Anschlusses mit in die Spambewertung aufnimmt und prüft, ob diese geblacklistet ist.

Sobald ein Kunde von seinen heimischen PC, privater DSL Anschluß mit dynamischer IP Adresse, eine Mail per Mailclient und nicht per Webportal sendet, steht im Header der Mail auch die IP des DSL Anschlusses. Ist diese IP bereits geblacklistet, wird die Mail geblockt.

Das kann ja zwei Gründe haben.

1. Pech bei der dynamischen Zuweisung der IP.
2. Der PC des Kunden ist mit Schadsoftware infiziert und sendet unbemerkt im Hintergrund Spam, weshalb die IP das Kunden geblacklistet wird.

Für uns in der IT entsteht dabei ein großes Problem. Wir müssen immer wieder erklären, weshalb die E-Mail geblockt wurde und diese Erklärung ist nun mal sehr technisch. Sie stößt selten auf Zustimmung. Wir wollen uns von dieser Spamprüfung nicht trennen, weil die meisten Barracuda Reputation Blocks absolut gerechtfertigt sind. Aber eben diese wenigen Ausnahmen sorgen für schlechte Stimmung.

Da das Problem eigentlich nicht bei uns liegt, können wir kaum etwas unternehmen, um es zu lösen. Wir können nur informieren.

Wie geht Ihr mit solchen Situationen um?
Spamschutz minimieren, damit jede Mail rein kommt oder auch den Ärger kassieren?
Habt Ihr Ideen, wie man das Problem "lösen" kann?

Danke und Gruß,
mexx
Mitglied: lindi200000
30.05.2014 um 10:43 Uhr
Hallo,
eins versteh ich nicht, wieso steht die Dyn IP im Header, normalerweise versendet man ja von zuhause aus über einen Smarthost und nicht direkt.
Direkt macht man ja nur wenn eine Feste IP mit reverse DNS exestiert.
Bitte warten ..
Mitglied: SlainteMhath
30.05.2014 um 10:51 Uhr
Moin,

Wie geht Ihr mit solchen Situationen um?
Spamschutz minimieren, damit jede Mail rein kommt oder auch den Ärger kassieren?
Bei uns werden grundsätzliche alle Mails von den Dyn-IP Ranges der Provider per DNS-RBL geblockt. Ärger ist dabei keiner zu erwarten, da ja nicht IPs in irgendwelchen Headern geprüft werden (sollten), sondern die tatsächliche IP von der aus der Connect zu unserem Mailserver aus initiiert wird.

DNS-RBLs zusammen mit Greylisting (beides auf einer Debian Büchse mit Postfix realisiert) reduzieren bei uns das Spamaufkommen um mehr als 99,5% - und das für lau

lg,
Slainte
Bitte warten ..
Mitglied: wiesi200
30.05.2014 um 10:59 Uhr
Hallo,

erst mal zu dem Thema mit welcher IP die Mail versendet wird.
Grundsätzlich kannst du von jedem Rechner z.b. mit Putty eine E-Mail an einen Mailserver versenden.
Du kannst aber wie auch schon erwähnt per Smarthost versenden dann hast du die IP des Smart Host in der Mail.

Wenn man eine Dynamische IP verwendet und dann direkt E-Mails versendet ist das grundsätzlich schon mal eine "schlechte" Konfiguration. Und deine Kunden sollte da auch auf anderer Seite Probleme haben.

Das Problem hat man nu aber einfach wenn man einen gewissen Kundenkreis hat und kann das ja selbst nicht ändern.

Jetzt wie geht man damit um. Ich selbst hab das vor kurzer Zeit bei uns auch umgestellt. Dazu hier auch eine Anleitung.
Zuerst setze ich einen relativ schwachen Filter der mir das gröbste vom Hals hält (lustiger Weise ist das bei mir die Barracuda RBL und ich finde jetzt das die wirklich etwas viel durch lässt) und dann im Anschluss habe ich noch einen schärferen der mir einen Stamp im Betreff setzt und die werden dann automatisch in den Junk Mail Ordner von Outlook verschoben. Somit kann man da bei bedarf das ganze noch mal überfliegen.
Bitte warten ..
Mitglied: wiesi200
30.05.2014, aktualisiert um 11:02 Uhr
Zitat von SlainteMhath:

DNS-RBLs zusammen mit Greylisting (beides auf einer Debian Büchse mit Postfix realisiert) reduzieren bei uns das
Spamaufkommen um mehr als 99,5% - und das für lau

Bringt mich auf ne Frage, ich bin bei Greylisting noch am überlegen.
Habt ihr da keine Problem gehabt?

Meine Anleitung hier ist eben für so ein Postfix Gateway
Bitte warten ..
Mitglied: SlainteMhath
30.05.2014, aktualisiert um 11:14 Uhr
Bringt mich auf ne Frage, ich bin bei Greylisting noch am überlegen.
Habt ihr da keine Problem gehabt?
Nein, gar keine.

Es gab vorher eine Mail an alle MAs, das Mailzustellungen wg. Spamüberprüfung ggfs. 5 Minuten verzögert werden, und gut.
Von technischer Seite her auch problemlos; alle Mailserver due hier Mails abliefern halten sich tatsaechlich an die RFCs und senden nach einer 4xx SMTP-Meldung nach 5-10 Minuten die Mails erneut.

Ergebnis: eingehender Spam mit einem Schlag um 95% reduziert, die DNS-RBLs erledigen noch am knapp 5%, den Rest kann man dem Junkmail-Filter von Outlook überlassen

Postfix + Postgrey arbeitet - wie man es erwarten würde - 100% stabil.

/EDIT:
Wenn man eine Dynamische IP verwendet und dann direkt E-Mails versendet ist das grundsätzlich schon mal eine "schlechte" Konfiguration. Und deine Kunden sollte da auch auf anderer Seite Probleme
haben.

Ich würde sogar behaupten wer von Dyn-.IP Ranges versendet wird seine kaum mehr zugestellt bekommen.
Bitte warten ..
Mitglied: mexx
30.05.2014 um 11:19 Uhr
Kann man denn die Mails die Barracuda Reputation in die Junk Ordner des Empfängers weiterleiten?
Bitte warten ..
Mitglied: wiesi200
30.05.2014 um 11:29 Uhr
Grundsätzlich kann der ja erst mal nur sagen: "Meiner Meinung nach SPAM oder HAM"

wo du den Dienst eingebunden hast und wie der darauf reagiert ist wieder ein ganz anderes Thema.

Wenn du jetzt aber von der Appliance redest, keine Ahnung. Vermutlich kriegt man das aber schon hin.
https://www.barracuda.com/products/spamfirewall
Bitte warten ..
Mitglied: AndiEoh
30.05.2014 um 12:31 Uhr
Hallo,

falls Barracuda tatsächlich die Mail-Header auf IP-Adressen überprüft wäre das absolut Banane. Die Header lassen sich sehr einfach fälschen und wie du bereits bemerkt hast werden dynamische Adressen immer wieder neu verteilt, d.h. es ist durchaus möglich das ich am meinem sauberen DSL Anschluss eine IP-Adresse erhalte von der gestern noch munter gespammt wurde. Was üblicherweise getan wird ist die IP Adresse des SMTP Clients zu überprüfen welcher eine Mail einliefern will, allerdings natürlich nicht für authentifizierte MUAs. Man sollte also ganz genau trennen zwischen MUA -> MTA und MTA -> MTA.

Bitte nochmal genau erkundigen welche IP Adressen Barracuda prüft.

Gruß

Andi
Bitte warten ..
Mitglied: Dobby
30.05.2014 um 13:38 Uhr
Hallo,

Bitte nochmal genau erkundigen welche IP Adressen Barracuda prüft.
Das wäre auch nicht unbedingt zukunftsorientiert, denn wenn IPv6 voll
und ganz im "Rennen" ist hat ein Spammer eigentlich unzählige IP Adressen
um Spam zu versenden, also das ist eben eine von mehreren Möglichkeiten
und wenn man die IP Adresse zusätzlich in die Kontrolle miteinbezieht ist das
sicher ok, aber ausschließlich würde ich mal zusehen dass ich für die Zukunft
eine andere Lösung in Betracht ziehe, die Lösung von Slainte hört sich wirklich
viel versprechend an und ein separater Server muss in Zeiten von VMs auch nicht
unbedingt mehr her.

Gruß
Dobby
Bitte warten ..
Mitglied: wiesi200
30.05.2014 um 14:43 Uhr
Hallo Dobby,

hab jetzt meine Anleitung noch um eine Empfängerfilterung und Graylisting erweitert.
Bei meiner VM spiele ich noch etwas mit den Spamassassin Paramertern und TLS Support.
Aber ansonsten läuft das Teil bis jetzt wirklich rund.
Bitte warten ..
Mitglied: Dobby
30.05.2014 um 17:39 Uhr
Ach ja da wäre noch eine super Anleitung von @wiesi200 in Bezug auf einen
Squid Proxy, der die Mail nach Spam und Viren checkt, also so etwas kann
man sich ja auch mal ansehen und ich denke wenn meine kleine "kiste" von
Lanner hier ist versuche ich mich da auch mal dran.

E-Mail Anti Spam Proxy mit CentOS
- Spam/Virenschutz
- Empfängeradressüberprüfung
- Greylisting
- AMaVis
- ClamAV
- Spamassassin

Gruß
Dobby
Bitte warten ..
Mitglied: AndiEoh
30.05.2014 um 22:31 Uhr
Das Problem liegt bei euch bzw. bei Barracuda :

https://community.barracudanetworks.com/forum/index.php?/topic/15412-rbl ...

http://comments.gmane.org/gmane.mail.postfix.user/226119

"Deep Header scan" ausschalten damit dieses dämliche Stück Software keine Schlussfolgerung aufgrund von Mailheadern zieht. Es ist wirklich erschreckend was für ein Mist für viel Geld verkauft wird.

Gruß

Andi
Bitte warten ..
Mitglied: Dani
01.06.2014, aktualisiert um 21:45 Uhr
Guten Abend mexx,
wir haben das Produkt ebenfalls im Einsatz und keinerlei Probleme, wie du sie beschreibst.
Es hört sich eher danach an, dass die Konfiguration fehlerhaft ist, was zu unerwünschten Nebeneffekten führt.

Grundsätzlich wäre interessant welchen Firmwarestand ihr gerade nutzt. Habt ihr eine spezielle Konfiguration (z.B. Outgoing-Routing via E-Mailadresse, Trusted Forwarder, Smarthost, etc...) oder Internet <-> BSF <-> Exchange?!

Kann man denn die Mails die Barracuda Reputation in die Junk Ordner des Empfängers weiterleiten?
Wenn der Filter entsprechend trainiert ist. gibt es kaum noch E-Mails die mit [SPAM] markiert werden. Wichtig ist, dass der Filter sowohl mit Passed als auch mit Blocked trainiert wird. Das dauert einfach seine Zeit und wenn ihr viele Mails geht das in 3-4 Wochen über die Bühne.


Grüße,
Dani
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
IP-Einstellungen werden falsch angezeigt (4)

Frage von schlumpf90 zum Thema Windows Server ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...

Windows Netzwerk
gelöst Problem mit PSexec64 von Sysinternals (8)

Frage von MaxMoritz6 zum Thema Windows Netzwerk ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...