This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mail-Manager / SMTP-Protokoll

Guten Morgen, 

ich beobachte seit ca 2 Monaten im SMTP-Protokoll seltsame E-Mails, die ich nicht verstehe und nicht zuordnen kann.

Und zwar kommen in unregelmäßigen Abständen, über mehrere Wochen, 2-3 E-Mails angeblich von unseren Firmenaccounts z.B. info@ba.....de an die selbe Emailadresse an.

Diese werden geblockt mit der Meldung [Abgelehnt: RDNS/HELO (RDNS missing)]. Ist ja auch gut soweit, nur Ist der abgesendete Host nicht einsehbar.

In den letzten 2 Monaten gab es nun drei Wellen, wo vorhandene E-Mails aber auch nicht vorhandene und erfundene Mails, aber mit der passenden @ba....de gesendet wurden. 

Meine Fragen:

Welcher Sinn steckt dahinter?
Besteht eine Gefahr für unseren Exchange-Server oder für die Sophos?
Wie kann das unterbunden werden?

und welche zusätzlichen Schutzmasnahmen sollten auf dem Server, Sophos oder Client PCs getroffen werden.

P.S. Falls es hierzu schon eine Anleitung/Lösung gibt oder das Thema schon abgearbeitet wurde, entschuldige ich mich für diesen Post. Da mir die Suchparameter nichteinfielen.



This thread was automatically locked due to age.
  • (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    41.115.26.198 is in South Africa where they have so many cyber criminals, the ISPs don't even offer abuse addresses to report such activity.  The SMTP Proxy is doing its job in this case - rejecting emails that are from IPs not configured with rDNS.

    I would also make sure your domain's authoritative name server has an SPF record using the -all parameter.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thank you for your reply Bob. Where and how do I set this up?

  • Here's a good explanation: https://mailtrap.io/blog/spf-records-explained/

    You might have a txt record like

         v=spf1 a mx ipv4:91.32.112.123 -all

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks for the link, I'll read that carefully and give it a try.

  • Warum das passiert? Da versuchen Spammer in eurem (Domain)Namen euch selber Mails zuzusenden. Sie versuchen euch zu täuschen mit den identischen Domainnamen, der sehr einfach zu fälschen ist. Die Sophos erkennt, dass diese Spam E-Mails nicht von der IP von eurem Mailserver sind und blockiert diese dann. 

    Auf Domainebene bietet sich da an, die Technologie SPF, DMARC und DKIM einzurichten und zu nutzen.

    Ihr könnt den SPF Record Generator nutzen, der ist sehr einfach: https://www.spf-record.de/generator

    DKIM ist schon eher fortgeschritten: https://www.frankysweb.de/sophos-utm-und-dkim/

    und DMARC wiederum sehr einfach einzurichten.

    Als extra RBL-Zonen könnt ihr auf der Sophos unter Anti-Spam folgende Zonen hinterlegen:

    ix.dnsbl.manitu.net
    dnsbl-1.uceprotect.net
    zen.spamhaus.org
    b.barracudacentral.org
    bl.spamcop.net
    bl.score.senderscore.com
    bl.spameatingmonkey.net
    fresh.spameatingmonkey.net