Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 8 subscribers
  • Views 697 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Phishing E-Mails die scheinbar aus der eigenen Domäne gesendet werden jedoch von extern kommen blocken

Sascha Bäcker

Hallo Forum,

ich bin Anwender unseres Unternehmens und nur bedingt mit den Funktionen unserer Firewall vertraut.

Aktuell setzen wir eine XGS2300 Firewall ein, diese wird jedoch nicht von uns betreut sondern von einem Dienstleister.

Leider haben wir seit einiger zeit das Problem, dass wir vermehrt E-Mails von externen Quellen erhalten die jedoch im Absender unsere Domäne verwenden.

Hier ein Beispiel:

Wir erhalten eine E-Mail in dessen Absender der Name unseres Geschäftsführers auftaucht, diese sieht zum Verwechseln ähnlich aus wie eine normale E-Mail die dieser sonst immer versendet.

In solchen E-Mails wird dazu aufgefordert ein wichtiges Dokument von einem Share Pont herunterzuladen, dort müssen dann die Domänen-Login Daten eingegeben werden.

Diese E-Mail wird durch die Firewall zwar als Nachricht von außerhalb der Organisation (teilweise auch mit dem Zusatz " und der Absender konnte nicht überprüft werden") gekennzeichnet, jedoch ist es tatsächlich bereits vorgekommen, dass ein Mitarbeiter dennoch den dort vorhandenen Link verwendet und seine Zugangsdaten eingegeben hat.

Der Absender ist zum Beispiel dieser: Vorname.Name@Eigene-Domände.de

Nun habe ich unseren Dienstleister darauf hin angesprochen ob es denn keine Möglichkeit gibt solche E-Mails von vorneherein zu blocken.

Seine Antwort war hier, dass dies nicht technisch möglich sei.

Ich kann dies jedoch nicht so ganz glauben, da es ja ziemlich genaue Kenner gibt die so etwas eindeutig machen.

1. Die E-Mail kommt von außerhalb der Domäne (wir verwenden einen Exchange Server und wenn E-Mails intern versendet werden, kommen diese ja immer von innerhalb der Domäne) 

2. Der Absender ist klar zu definieren: *@Eigene-Domände.de

Die Firewall soll dann ja nur diese E-Mails blocken die diese beiden Bedingungen erfüllt.

Leider bin ich hier zu weit vom Thema entfernt, als dass ich dies bis in die Tiefe verstehe und muss erst einmal unserem Dienstleister glauben.

Aus diesem Grunde stelle ich hier im Forum nochmals meine Frage, eventuell gibt es ja doch einen professionellen Trick wie man so eine Anforderung mit der vorhandenen Firewall umsetzen könnte.

Erst einmal vielen dank für eure Hilfe und schöne Grüße

Sascha  



Added TAGs
[edited by: Erick Jan at 1:18 PM (GMT -7) on 8 Jun 2023]
  • 0

    Hallo Sascha,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Have you configured SPF for your domain?

    (I'll move your thread to the Sophos Firewall (XG) Community

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML