Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
Sicherheitsbedenken: Fake Mail (Mail-Spoofing) oder echt?
CarstenH:
Itemize ist das Erzeugen der Felder ("Items") in der Mail, das macht bei eingehenden Mails der erste Domino, bei IMAP/POP3 dein Client.
Das Itemize wird im Dokument gespeichert und bleibt Bestandteil des Headers.
Serialize ist das Umwandeln der o.g. Items wieder zurück in ein darstellbares Format, das macht üblicherweise der Client, mit dem du die Mail gerade geöffnet hast.
Da das Darstellen der Mail nur temporär stattfindet wird es nur während des Betrachtens des Headers angezeigt und steht nirgendwo in der Mail selbst.
Beweis 1: Schau dir die Mail mit einem anderen Client an, z.B. iNotes zeigt dann sowas wie X-MIMETrack: Serialize by HTTP Server on Domino/Server/ORG/DE (Release 11.0.1)
Beweis 2: Schau dir den Mailheader genauer an - Serialize complete at - die Uhrzeit ist immer aktuell jetzt gerade wenn du die Mail anschaust
Der Spoofer hat rein gar nichts außer einer Mailadresse und streut diese Art Mails zu Milliarden in die Welt. Bei uns sind heute auch einige gelandet (allerdings mit der Postmasteradresse einer unserer Domains, alle anderen wurden brav abgelehnt).
No Panic - das nämlich ist genau das, was der Verursacher erreichen will =)
Gut gemacht ist der Fake auch nicht wirklich, da gibt's andere Kaliber ;)
Wie man sich in erster Linie schützen kann habe ich im ersten Post schon beschrieben.
Carsten
Ice-Tee:
Dankeschön. Ich gelobe Besserung und beschäftige mich nun konkret mit dem Thema um das bestmöglich zu unterbinden.
Ice-Tee:
Unter der Sophos UTM musste lediglich ein Eintrag unter "Envelope Sender" Blacklist hinzugefügt werden in der Form:
*@unsere-domain.de
Damit ist der Spuk vorbei und alle Mails von extern mit unserer Domain werden abgelehnt:
Abgelehnt: Absender-Blacklist (wimpy62@unsere-domain.de blacklisted)
Dabei habe ich in den Logs gerade noch festgestellt, das wir gerade wohl unter Beschuß stehen.
Ca. 10 -30 Spoofing-Mails pro Minute.
Na ja, die knallen ja jetzt vor die Wand ...
Danke noch mal.
michael-r:
Wir prüfen in unseren Gateway auf die einliefernden Systeme, wenn es keins von uns ist, und der Sender eine interne E-Mail Adresse hat, wird es abgelehnt.
Die meisten Daten wie die Angabe "ich habe dein Passwort", können wohl auch aus leaks stammen oder sind erfunden.
Schön sind auch noch die Mails mit "mein_Name@firma.de"<spammer@wasauchimmer.doamain>.
In der Mail, wenn man keine Details anzeigen lässt, sieht es dann mal abgesehen, dass die Mailadresse da steht, vielleicht wie eine echte Mail aus.
Unschön ist es ja auch noch wenn solche Mails gefakt bei einem Kunden oder Interessenten von der Firma aufschlagen, ohne das diese wirklich von da geschickt wurden.
MFG Michael
Navigation
[0] Themen-Index
[*] Vorherige Sete
Zur normalen Ansicht wechseln