Artikel-ID: 130616215

Mails mit gefälschter Absenderdomäne blocken

Schlagwörter:  IBM Domino  Wall

SMTP-Mails sind beliebig konfigurier- und manipulierbar. Es gibt mittlerweile wohl keinen Spammer mehr, der unter seiner echten Absenderadresse E-Mails versendet. Diese Fakemails oder Spoofingmails können durch unterschiedliche Maßnahmen mit der iQ.Suite als Spam erkannt und gefiltert werden.

E-Mails, die als Absenderdomäne die eigene SMTP-Domäne haben, sind ein Fall, der sich einfach prüfen lässt. Wenn dies zutrifft, so ist eine solche Mail typischerweise eine Spammail mit gefälschtem ("faked", "spoofed") Absender. Um dies zu verstehen und zu unseren Zwecken nutzen zu können, müssen wir uns zunächst die grundsätzliche Arbeitsweise der iQ.Suite ansehen:

Alle Adressinformationen aus einer E-Mail (also Sender- und Empfängeradressen) werden vor der Prüfung an das NAB gegeben. Dort wird versucht, einen passenden Eintrag zu finden und diesen zu "normalisieren". Eine E-Mail mit der ursprünglichen SMTP-Empfängeradresse "admin@training.local" wird dann zu "domino admin/training@training". Es gibt also jemanden im NAB, der die o. g. SMTP-Mailadresse hat.

Im Absenderfall ist die ursprüngliche Adresse typischerweise der Common Name des Absenders, z. B. "CN=Domino Admin/O=training@training". Auch in diesem Fall wird normalisiert: Die Adresse, die es zu vergleichen gilt, ist dann "domino admin/training@training".

Im Normalfall kommt eine E-Mail von einem internen Absender also niemals mit einer SMTP-Adresse an. Von "admin@training.local" kann es nicht geben. Auch hier gehen wir wieder von der Standardarchitektur aus: Interne E-Mails werden in Form von Notesmails versandt.

In manchen Umgebungen ist dies teilweise oder nicht gegeben. Die folgenden Maßnahmen werden in diesen Fällen ungewollte Ergebnisse liefern! Wenn Sie sich nicht sicher sind, ob interne E-Mails nicht ausschließlich in Form von Notesmails versendet werden, so sollten Sie die folgende Konfiguration erst nach Absprache mit einem unserer Consultants realisieren!

E-Mails, die angeblich von unserer eigenen SMTP-Domäne kommen, sind also typischerweise Spammails. Sie lassen sich vergleichsweise leicht filtern.

Um E-Mails von Absendern der eigenen SMTP-Domäne zu blocken, gehen Sie wie folgt vor:

Konfigurieren Sie eine Mail-Adressregel "Spoofed Sender" (Global - Mail-Regeln - Neu):

Absender - in Absenderliste
Absenderbedingung - enthalten
Absenderliste - ~*@training.local

Anstatt training.local müssen Sie natürlich Ihre eigene SMTP-Domäne einsetzen.

Wichtig hierbei ist, dass Sie die Tilde ~ nicht vergessen!

Basics
iQ.Suite Adressregel

Konfigurieren Sie einen einfachen Wall-Mailjob (Wall - Mail-Jobs - Neu - Wall Mail Job):

Priorität: Passen Sie die Prioriät an Ihre Umgebung an. Dieser Job kann recht "früh" laufen, im Rahmen der Antispam-Jobs, auf jeden Fall nach dem Virenscan.

Läuft auf: Ausgewählte Mails

Unter Bearbeitung der Regeln klicken Sie auf Auswahl und nehmen die Regel Spoofed Sender in die Liste der positiven Regeln auf (oberes Fenster).

Gültig für Absender: Alle

Operations - Denied Recipients
Operations
  • Aktion bei Alarm: Mail löschen
  • Kategorie in Quarantäne-Bericht: spoofed (oder SPAM)
  • Liste Empfänger: Alle in Liste: *@*
Misc
Misc - Quarantänekonfiguration

Quarantänekonfiguration: DEFAULT - Quarantine configuration

Alle anderen Einstellungen können Sie so belassen, wie sie im Job per Default eingestellt sind.

Jetzt können Sie den Job aktivieren und testen: Schreiben Sie eine gefakte E-Mail mit einer SMTP-Absenderadresse aus Ihrer Firma. Direkt nach Eintreffen der E-Mail werden Sie sie in der Quarantänedatenbank unter der Kategorie "spoofed" (oder "SPAM") finden. Sie sollten auch eine E-Mail mit gültigen Absenderangaben und eine von intern schreiben, um zu überprüfen, dass diese zugestellt wird.

Bitte beachten Sie, dass unser Support nur Fragen zur Konfiguration der iQ.Suite beantworten kann. Weitergehende Informationen zu SMTP, Mail-Client- und Dominoserver-Einstellungen, etc. erhalten Sie aus den gängigen Dokumentationen aus dem Internet oder beim Hersteller. Einige Hintergründe zu SMTP und seinen Mechnismen, warum dieser Job mit genau diesen Einstellungen funktioniert und viele weitere Methoden zur effektiven Spam-Bekämpfung erfahren Sie in unseren Schulungen.

Zuletzt aktualisiert am 13.06.2016


« vorheriger Artikel nächster Artikel »

Wie bewerten Sie diesen Artikel?

0/5 Sterne (0 Stimmen)
Mails mit gefälschter Absenderdomäne blocken 0 5 0

Ihr Kommentar


Captcha

Zurück

Cookies erleichtern die Bereitstellung dieser Webseite. Mit der Nutzung dieser Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Mehr >>