This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mail-Manager / SMTP-Protokoll

Guten Morgen, 

ich beobachte seit ca 2 Monaten im SMTP-Protokoll seltsame E-Mails, die ich nicht verstehe und nicht zuordnen kann.

Und zwar kommen in unregelmäßigen Abständen, über mehrere Wochen, 2-3 E-Mails angeblich von unseren Firmenaccounts z.B. info@ba.....de an die selbe Emailadresse an.

Diese werden geblockt mit der Meldung [Abgelehnt: RDNS/HELO (RDNS missing)]. Ist ja auch gut soweit, nur Ist der abgesendete Host nicht einsehbar.

In den letzten 2 Monaten gab es nun drei Wellen, wo vorhandene E-Mails aber auch nicht vorhandene und erfundene Mails, aber mit der passenden @ba....de gesendet wurden. 

Meine Fragen:

Welcher Sinn steckt dahinter?
Besteht eine Gefahr für unseren Exchange-Server oder für die Sophos?
Wie kann das unterbunden werden?

und welche zusätzlichen Schutzmasnahmen sollten auf dem Server, Sophos oder Client PCs getroffen werden.

P.S. Falls es hierzu schon eine Anleitung/Lösung gibt oder das Thema schon abgearbeitet wurde, entschuldige ich mich für diesen Post. Da mir die Suchparameter nichteinfielen.



This thread was automatically locked due to age.
Parents
  • (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    41.115.26.198 is in South Africa where they have so many cyber criminals, the ISPs don't even offer abuse addresses to report such activity.  The SMTP Proxy is doing its job in this case - rejecting emails that are from IPs not configured with rDNS.

    I would also make sure your domain's authoritative name server has an SPF record using the -all parameter.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Here's a good explanation: https://mailtrap.io/blog/spf-records-explained/

    You might have a txt record like

         v=spf1 a mx ipv4:91.32.112.123 -all

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks for the link, I'll read that carefully and give it a try.

Reply Children
No Data