Mails mit gefälschter Absenderdomäne blocken

SMTP-Mails sind beliebig konfigurier- und manipulierbar. Es gibt mittlerweile wohl keinen Spammer mehr, der unter seiner echten Absenderadresse E-Mails versendet. Diese Fakemails oder Spoofingmails können durch unterschiedliche Maßnahmen mit der iQ.Suite als Spam erkannt und gefiltert werden.

E-Mails, die als Absenderdomäne die eigene SMTP-Domäne haben, sind ein Fall, der sich einfach prüfen lässt. Wenn dies zutrifft, so ist eine solche Mail typischerweise eine Spammail mit gefälschtem ("faked", "spoofed") Absender. Um dies zu verstehen und zu unseren Zwecken nutzen zu können, müssen wir uns zunächst die grundsätzliche Arbeitsweise der iQ.Suite ansehen:

Alle Adressinformationen aus einer E-Mail (also Sender- und Empfängeradressen) werden vor der Prüfung an das NAB gegeben. Dort wird versucht, einen passenden Eintrag zu finden und diesen zu "normalisieren". Eine E-Mail mit der ursprünglichen SMTP-Empfängeradresse "admin@training.local" wird dann zu "domino admin/training@training". Es gibt also jemanden im NAB, der die o. g. SMTP-Mailadresse hat.
Im Absenderfall ist die ursprüngliche Adresse typischerweise der Common Name des Absenders, z. B. "CN=Domino Admin/O=training@training". Auch in diesem Fall wird normalisiert: Die Adresse, die es zu vergleichen gilt, ist dann "domino admin/training@training".

Im Normalfall kommt eine E-Mail von einem internen Absender also niemals mit einer SMTP-Adresse an. Von "admin@training.local" kann es nicht geben. Auch hier gehen wir wieder von der Standardarchitektur aus: Interne E-Mails werden in Form von Notesmails versandt.

In manchen Umgebungen ist dies teilweise oder nicht gegeben. Die folgenden Maßnahmen werden in diesen Fällen ungewollte Ergebnisse liefern! Wenn Sie sich nicht sicher sind, ob interne E-Mails nicht ausschließlich in Form von Notesmails versendet werden, so sollten Sie die folgende Konfiguration erst nach Absprache mit einem unserer Consultants realisieren!

E-Mails, die angeblich von unserer eigenen SMTP-Domäne kommen, sind also typischerweise Spammails. Sie lassen sich vergleichsweise leicht filtern. Hier liegt der gleiche Mechanismus wie in den Tipps & Tricks aus September 2008 zugrunde:

Um E-Mails von Absendern der eigenen SMTP-Domäne zu blocken, gehen Sie wie folgt vor:

• Konfigurieren Sie eine Mail-Adressregel "Spoofed Sender" (Global - Mail-Regeln - Neu):
  Absender - in Absenderliste
  Absenderbedingung - enthalten
  Absenderliste - ~*@training.local
  
  Anstatt training.local müssen Sie natürlich Ihre eigene SMTP-Domäne einsetzen.
  Wichtig hierbei ist, dass Sie die Tilde ~ nicht vergessen!

• Konfigurieren Sie einen einfachen Wall-Mailjob (Wall - Mail-Jobs - Neu - Wall Mail Job):
  Basics
  • Priorität: Passen Sie die Prioriät an Ihre Umgebung an. Dieser Job kann recht "früh" laufen, im Rahmen der Antispam-Jobs, auf jeden Fall nach dem Virenscan.
  • Läuft auf: Ausgewählte Mails
  • Unter Bearbeitung der Regeln klicken Sie auf Auswahl und nehmen die Regel Spoofed Sender in die Liste der positiven Regeln auf (oberes Fenster).
  • Gültig für Absender: Alle

Operations - Denied Recipients

• Aktion bei Alarm: Mail löschen
• Kategorie in Quarantäne-Bericht: spoofed (oder SPAM)
• Liste Empfänger: Alle in Liste: *@*

Misc

• Quarantänekonfiguration: DEFAULT - Quarantine configuration

Alle anderen Einstellungen können Sie so belassen, wie sie im Job per Default eingestellt sind.

Jetzt können Sie den Job aktivieren und testen: Schreiben Sie eine gefakte E-Mail mit einer SMTP-Absenderadresse aus Ihrer Firma. Direkt nach Eintreffen der E-Mail werden Sie sie in der Quarantänedatenbank unter der Kategorie "spoofed" (oder "SPAM") finden. Sie sollten auch eine E-Mail mit gültigen Absenderangaben und eine von intern schreiben, um zu überprüfen, dass diese zugestellt wird.

Bitte beachten Sie, dass unser Support nur Fragen zur Konfiguration der iQ.Suite beantworten kann. Weitergehende Informationen zu SMTP, Mail-Client- und Dominoserver-Einstellungen, etc. erhalten Sie aus den gängigen Dokumentationen aus dem Internet oder beim Hersteller. Einige Hintergründe zu SMTP und seinen Mechnismen, warum dieser Job mit genau diesen Einstellungen funktioniert und viele weitere Methoden zur effektiven Spam-Bekämpfung erfahren Sie in unseren Schulungen.