Mail-Manager / SMTP-Protokoll

Guten Morgen, 

ich beobachte seit ca 2 Monaten im SMTP-Protokoll seltsame E-Mails, die ich nicht verstehe und nicht zuordnen kann.

Und zwar kommen in unregelmäßigen Abständen, über mehrere Wochen, 2-3 E-Mails angeblich von unseren Firmenaccounts z.B. info@ba.....de an die selbe Emailadresse an.

Diese werden geblockt mit der Meldung [Abgelehnt: RDNS/HELO (RDNS missing)]. Ist ja auch gut soweit, nur Ist der abgesendete Host nicht einsehbar.

In den letzten 2 Monaten gab es nun drei Wellen, wo vorhandene E-Mails aber auch nicht vorhandene und erfundene Mails, aber mit der passenden @ba....de gesendet wurden. 

Meine Fragen:

Welcher Sinn steckt dahinter?
Besteht eine Gefahr für unseren Exchange-Server oder für die Sophos?
Wie kann das unterbunden werden?

und welche zusätzlichen Schutzmasnahmen sollten auf dem Server, Sophos oder Client PCs getroffen werden.

P.S. Falls es hierzu schon eine Anleitung/Lösung gibt oder das Thema schon abgearbeitet wurde, entschuldige ich mich für diesen Post. Da mir die Suchparameter nichteinfielen.

Parents
  • Warum das passiert? Da versuchen Spammer in eurem (Domain)Namen euch selber Mails zuzusenden. Sie versuchen euch zu täuschen mit den identischen Domainnamen, der sehr einfach zu fälschen ist. Die Sophos erkennt, dass diese Spam E-Mails nicht von der IP von eurem Mailserver sind und blockiert diese dann. 

    Auf Domainebene bietet sich da an, die Technologie SPF, DMARC und DKIM einzurichten und zu nutzen.

    Ihr könnt den SPF Record Generator nutzen, der ist sehr einfach: https://www.spf-record.de/generator

    DKIM ist schon eher fortgeschritten: https://www.frankysweb.de/sophos-utm-und-dkim/

    und DMARC wiederum sehr einfach einzurichten.

    Als extra RBL-Zonen könnt ihr auf der Sophos unter Anti-Spam folgende Zonen hinterlegen:

    ix.dnsbl.manitu.net
    dnsbl-1.uceprotect.net
    zen.spamhaus.org
    b.barracudacentral.org
    bl.spamcop.net
    bl.score.senderscore.com
    bl.spameatingmonkey.net
    fresh.spameatingmonkey.net

Reply
  • Warum das passiert? Da versuchen Spammer in eurem (Domain)Namen euch selber Mails zuzusenden. Sie versuchen euch zu täuschen mit den identischen Domainnamen, der sehr einfach zu fälschen ist. Die Sophos erkennt, dass diese Spam E-Mails nicht von der IP von eurem Mailserver sind und blockiert diese dann. 

    Auf Domainebene bietet sich da an, die Technologie SPF, DMARC und DKIM einzurichten und zu nutzen.

    Ihr könnt den SPF Record Generator nutzen, der ist sehr einfach: https://www.spf-record.de/generator

    DKIM ist schon eher fortgeschritten: https://www.frankysweb.de/sophos-utm-und-dkim/

    und DMARC wiederum sehr einfach einzurichten.

    Als extra RBL-Zonen könnt ihr auf der Sophos unter Anti-Spam folgende Zonen hinterlegen:

    ix.dnsbl.manitu.net
    dnsbl-1.uceprotect.net
    zen.spamhaus.org
    b.barracudacentral.org
    bl.spamcop.net
    bl.score.senderscore.com
    bl.spameatingmonkey.net
    fresh.spameatingmonkey.net

Children
No Data