5
E-Mail Security: Header From
Hallo Administratoren, kurze Frage zu Mails:
Wir bekommen PhisingMails von z.B. der Sparkasse. Mir ist aufgefallen, dass wir keine Möglichkeit im Mailsystem haben den Header_From zu prüfen oder?
Sicherheitsmeachnismen wie SPF, DKIM oder DMARC greifen ja nur, sofern der Spammer diese auch im DNS veröffentlich hat. Wird er wohl kaum machen, somit kommt die Mail einfach durch.
Gibt es irgendwelche sinvollen Techniken, dass man über ein Protokoll sicherstellt, dass Header From auch valide ist? Also auf die Adresse dort per RegEx z.b. die E-Mail rausfiltern und dann feststellen, dass der Absender Server nicht zu einer Sparkasse gehört?
Wie unterbinde ich, dass ein Spammer im Envelope From einen Mitarbeiter von mir Spooft?
VG
Wir bekommen PhisingMails von z.B. der Sparkasse. Mir ist aufgefallen, dass wir keine Möglichkeit im Mailsystem haben den Header_From zu prüfen oder?
Sicherheitsmeachnismen wie SPF, DKIM oder DMARC greifen ja nur, sofern der Spammer diese auch im DNS veröffentlich hat. Wird er wohl kaum machen, somit kommt die Mail einfach durch.
Gibt es irgendwelche sinvollen Techniken, dass man über ein Protokoll sicherstellt, dass Header From auch valide ist? Also auf die Adresse dort per RegEx z.b. die E-Mail rausfiltern und dann feststellen, dass der Absender Server nicht zu einer Sparkasse gehört?
Wie unterbinde ich, dass ein Spammer im Envelope From einen Mitarbeiter von mir Spooft?
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3339254610
Url: https://administrator.de/contentid/3339254610
Printed on: April 28, 2024 at 16:04 o'clock
5 Comments
Latest comment
Moin,
lg,
Slainte
Mir ist aufgefallen, dass wir keine Möglichkeit im Mailsystem haben den Header_From zu prüfen oder?
Ich weis nicht. Habt ihr? Bei Postfix geht das z.b. per Header_Check (Beispiel: https://serverfault.com/questions/932708/block-email-in-postfix-based-on ..)Sicherheitsmeachnismen wie SPF, DKIM oder DMARC greifen ja nur, sofern der Spammer diese auch im DNS veröffentlich hat
Hä?!? Weise doch einfach Mails mit fehlendem SPF/DKIM ab. Was muss der Spammer da im DNS machen? O.oWie unterbinde ich, dass ein Spammer im Envelope From einen Mitarbeiter von mir Spooft?
Kann auch durch Postfix gefiltert werden. Beispiel: https://superuser.com/questions/964958/make-postfix-reject-incoming-emai ...lg,
Slainte
Hallo,
warum möchtest Du den prüfen? Dieser Eintrag hat keinerlei Aussagekraft.
Verglichen mit der Briefpost: Du kannst auf einem Brief jede x-beliebige Absenderadresse auf deinen Umschlag schreiben. Diese wird nirgendwo überprüft und schon gar nicht bei der Post.
Ganz abgesehen davon, dass das Hauptrisiko in deinem Beispiel in den Prozessen und Arbeitsabläufen eures Unternehmens liegt: Wenn man sich darauf verlässt, dass man derartige Angriffe automatisiert "blockieren" kann, wird das eine trügerische Sicherheit schaffen die wiederum ein extremes Risiko darstellt.
Größtmögliche Sicherheit gibt es zumindest bei Phishing usw. dort, wo die Mitarbeiter zum Denken angehalten sind und ihr Handeln nicht vom Ergebnis einer Filterregel abhängig machen.
Gruß,
Jörg
warum möchtest Du den prüfen? Dieser Eintrag hat keinerlei Aussagekraft.
Verglichen mit der Briefpost: Du kannst auf einem Brief jede x-beliebige Absenderadresse auf deinen Umschlag schreiben. Diese wird nirgendwo überprüft und schon gar nicht bei der Post.
Ganz abgesehen davon, dass das Hauptrisiko in deinem Beispiel in den Prozessen und Arbeitsabläufen eures Unternehmens liegt: Wenn man sich darauf verlässt, dass man derartige Angriffe automatisiert "blockieren" kann, wird das eine trügerische Sicherheit schaffen die wiederum ein extremes Risiko darstellt.
Größtmögliche Sicherheit gibt es zumindest bei Phishing usw. dort, wo die Mitarbeiter zum Denken angehalten sind und ihr Handeln nicht vom Ergebnis einer Filterregel abhängig machen.
Gruß,
Jörg
Moin,
mit "ordentlichen" MTAs wie postfix, exim, Sendmail, etc. geht das natürlich. Gibt genügend Anleitungen dafür. nur Exchange ist da etwas eingeschränkt.
lks
PS: Die wenigsten Sparkassenspams haben im from sparkasse stehen. Der Test würde also i.d.r. ins leere laufen.
mit "ordentlichen" MTAs wie postfix, exim, Sendmail, etc. geht das natürlich. Gibt genügend Anleitungen dafür. nur Exchange ist da etwas eingeschränkt.
lks
PS: Die wenigsten Sparkassenspams haben im from sparkasse stehen. Der Test würde also i.d.r. ins leere laufen.
Wir haben eine Cisco ESA und leider kein PostFix im Einsatz. Hier habe ich keine vergleichbare Funktion wie Header_Check gefunden.
Ich kann doch nicht Pauschal alle ohne abweisen? Ich geh immer noch davon aus, dass noch genug valide Adressen ohne SPF/DKIM gibt oder nicht?
Okay, sowas habe ich bereits ähnlich umgesetzt, danke für den Hinweis!
Ich kann doch nicht Pauschal alle ohne abweisen? Ich geh immer noch davon aus, dass noch genug valide Adressen ohne SPF/DKIM gibt oder nicht?
Okay, sowas habe ich bereits ähnlich umgesetzt, danke für den Hinweis!
Hallo,
...und noch einmal: Die Absenderadresse ist kein aussagekräftiger Bestandteil einer E-Mail. Insofern: Ja - der größte Teil der validen Adressen nutzt kein SPF/DKIM.
Gruß,
Jörg
Zitat von @mismar:
Ich geh immer noch davon aus, dass noch genug valide Adressen ohne SPF/DKIM gibt oder nicht?
Ich geh immer noch davon aus, dass noch genug valide Adressen ohne SPF/DKIM gibt oder nicht?
...und noch einmal: Die Absenderadresse ist kein aussagekräftiger Bestandteil einer E-Mail. Insofern: Ja - der größte Teil der validen Adressen nutzt kein SPF/DKIM.
Gruß,
Jörg
