Wie gefälschte von echten E-Mail Absendern unterscheiden?

[SlyFox]

Hallo,

wir haben ein großes Problem mit einem Geschäftspartner in Asien. Teilweise werden unter seinem Absender sehr professionell gefälschte E-Mails an uns gesendet und angeblich von uns an ihn.

Wenn man die Header untersucht, kann man feststellen, dass diese E-Mails nicht von unserem bzw. dem Server des Geschäftspartners stammen.

Jetzt gab es die Überlegung, ob man über eine digitale Signatur (z. B. von Symantec) dieses Problem lösen kann. Aber wie kann man beim Eingang einer neuen E-Mail feststellen, ob diese digital signiert wurde (und damit echt ist)?

Bitte nicht den Kopf abreißen, falls das für euch ein lächerlich einfaches Problem ist. Für uns ist das ein ernsthaftes Problem.

Vielen Dank für ein Stichwort oder einen Link.

Christoph

[hallo.dirk]

Meiner Meining nach würde das unter Domino nur mit 3.rd part Produkten gehen.
Zum Beispiel hat die iQ-Suite zumindest ein Modul welches Signaturen prüfen könnte, aber das musst du die Firma (GBS) selber fragen.

Ich hätte da noch einen anderen Ansatz:
Wenn es wirklich ein guter Geschäftspartner ist, baut euch doch untereinander ein VPN auf, darüber dann die SMTP Verbindung laufen zu lassen wäre dann leicht zu konfigurieren.
Dann könntest Du am eigentlichen Mail Gateway diese Adresse blocken....

[SlyFox]

Hallo Dirk,

danke erst mal für die schnelle Antwort.

Ich befürchte, dass eine VPN-Verbindung leider nicht infrage kommt. Ich hoffe, dass es noch andere Vorschläge gibt, wie man die Echtheit des Absenders überprüfen kann.

Schöne Grüße

Christoph

[MacSpudik]

Hallo Christoph,

unabhängig vom Domino/Notes Umfeld wird da derzeit viel gemacht und weiterentwickelt.
Schaut Euch mal Themen wie SFP (Sender Policy Framework), DKIM (Domainkey Identified Mail) und DMARC (Domainbased Message Authentication, Reporting and Conformance) an.
Da gibt es u.a. gute Wiki Artikel als Einstieg.

Das ist zwar etwas, was man nicht in den nächsten 5 Minuten umgesetzt hat, aber mittelfristig lohnt es sich, so etwas umzusetzen

Und bei der Gelegenheit sollte auch TLS, d.h. die Transportprotokollverschlüsselung nicht fehlen. Da gab es ja im letzten Jahr eine Menge Wirbel drum, nicht nur bei Domino. Da findet man auch so einiges hier im Forum. 

Grüße von
Sebastian

[SlyFox]

Hallo Sebastian,

vielen Dank. Das sind ja schon mal viele nützliche Informationen. Ich werde mir das durchlesen.

Schöne Grüße

Christoph

[hallo.dirk]

zum Thema SPF und DKIM hätte ich noch ein Video:
SPF, DKIM, Greylisting: Der neue Spamschutz ?

ist zwar schon etwas älter, aber ich meine da hat sich nicht viel getan...


Edit:
Und da wir im Domino Board sind hier noch ein Hinweis zum DMARC Feature unter Domino

http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=24E9E651C9EA971385257D63002D1F94


Ich habe mich da auch schon eingetragen....

[MacSpudik]

Und da wir im Domino Board sind hier noch ein Hinweis zum DMARC Feature unter Domino

http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=24E9E651C9EA971385257D63002D1F94

Hallo Dirk,

den kannte ich noch nicht. Da häng ich mich auch gleich mal dran ...

Grüße von
Sebastian

[MacSpudik]

Nochmal ein Aufruf an alle, die gerne DMARC in Domino implementiert hätten:
Beteiligt Euch mittels PMR an SPR #LCAY9PEEH4 / APAR LO82157.

LO82157 wurde bereits geschlossen, wie ich eben vom IBM Support erfahren habe. Je mehr sich am SPR beteiligen, desto höher die Wahrscheinlichkeit und desto schneller wird DMARC implementiert.


Hier die Antwort des IBM Support:
At this moment the APAR is closed and when development decides to fix it, it will be made public (will be found in the new Domino release as fixed. Eg: http://www-10.lotus.com/ldd/fixlist.nsf/%28Progress%29/$First?OpenDocument). Also adding that the higher the number of requests for this APAR, the quicker the fix will be implemented. I am providing the details to this APAR below:

Status -closed as an Enhancement Request
Code Stream - we do not have any further details on the moment
Description:
The customer requests an enhancement to add DMARC support to
Domino. DMARC (Domain-based Message Authentication, Reporting,
and Compliance) is a mechanism defined in the IETF Network
Working Group Internet Draft as "a mechanism by which mail
operators leverage existing authentication and policy
advertisement technologies to enable both message-stream
feedback and enforcement of policities against unauthenticated
mail."

DMARC incorporates SPF and DKIM (enhancement request SPR #
JFBM7ELEQY), using both in conjunction with the RFC5322 From
address to determine how the receiver should handle the mail
and how the sending domain should be notified, implemented
using a TXT type DNS record.

Grüße von
Sebastian