Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: MacSpudik am 27.12.17 - 12:34:06

Titel: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: MacSpudik am 27.12.17 - 12:34:06
Hallo liebe Notesgemeinde,

Weihnachten ist überstanden, das neue Jahr steht schon bereit und wie das immer so ist, es gibt immer etwas zu tun.
So ist der Mailsploit aktuell bei uns ein Thema: https://www.mailsploit.com/index (https://www.mailsploit.com/index) und http://web.synametrics.com/app?operation=blog&st=dispblog&fn=00000000071_1512670099985&BloggerName=catherine (http://web.synametrics.com/app?operation=blog&st=dispblog&fn=00000000071_1512670099985&BloggerName=catherine).
Habt Ihr Euch damit schon beschäftigt, bzw. vielleicht sogar einen Weg gefunden, dass die codierten Mails nicht mit dem gefälschten Absender erscheinen, sondern eben im reinen Code, dass es dem Anwender auffällt?


Ich wünsche Euch allen noch einen guten Rutsch ins Jahr 2018!

Viele Grüße von
Sebastian
Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: eknori am 27.12.17 - 12:55:10
Ich selber nicht, aber ein Kollege von einem anderen Unternehmen.

Es gibt dazu einen  PMR: 24140,073,724

Ein Fix ist in Arbeit und wird in FP10 enthalten sein. Möglicherweise gibt es auch noch einen IF für FP9

Mehr informationen liegen mir z.Zt. nicht vor.

Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: MacSpudik am 27.12.17 - 14:08:28
Super, vielen Dank Ulrich.
Das ist schon mehr als ich zu hoffen gewagt habe  ;D
Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: eknori am 27.12.17 - 18:59:23
Evtl kann man sich hiemiit behelfen https://lugi.jimdo.com/2017/12/27/additional-inbox-column-for-spam-malware-detection/
Nicht wirklich eine Löaung, aber der User bekommt zumindest einen Hinweis, dass was nicht stimmt.
Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: MacSpudik am 28.12.17 - 10:38:16
Danke für den Tipp!
Interessanterweise habe ich nach Anfrage des internen Security Gremiums schon vor über einem Jahr eine Hinweisspalte der Inbox hinzugefügt. Das funktioniert super und hilft sowohl unbedarften als auch unter overflow leidenden Powerusern, gute von schlechten und interne von externen Mails direkt zu unterscheiden.
Mich wundert, dass die IBM noch nicht auf die Idee gekommen ist, ein solch einfaches wenn auch effizientes Hilfsmittel der Inbox hinzuzufügen. Es braucht auch nicht viel Platz, ein kleines Symbol reicht schon.
Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: ronka am 28.12.17 - 11:00:34
Gibt es den "code" für den spalte irgendwo zu "haben" ?
Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: (h)uMan am 03.01.18 - 08:35:01
Zitat von: ronka am 28.12.17 - 11:00:34
Gibt es den "code" für den spalte irgendwo zu "haben" ?

Schließe mich an :)
Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: MacSpudik am 03.01.18 - 13:08:44
Ein  frohes Neues allerseits!

Erschlagt mich nicht für meine Programmierunkenntnis, aber eine Möglichkeit in @-functions wäre:

@If (@If(!@Contains(from;"eigene Domino Domäne");0;99) | @If(!@Contains(SMTPOriginator;"@eigene Internetdomäne, wenn Firewall eingehende Mails von außen mit Absender eigener Domäne blockt");0;99) | @If(!@Contains(SMTPOriginator;"@alternative eigene Internetdomäne");0;99) >1;99;

@If(!@Contains(@LowerCase(from);@LowerCase(@GetField ("SMTPOriginator")));131; 0))

Der erste Teil bis zur eigenen alternativen Internetdomäne vergibt eine grüne Raute an Mails von internen Absendern (inkl. der via internen SMTP verschickten Mails von nicht Domino Mailservern; hierbei sollten natürlich Mails vom Internet mit eigener Domäne zuvor abgewiesen werden)
Der zweite Teil checkt, ob sich "from" Feld vom SMTPOriginator unterscheidet und vergibt in diesem Falle einen roten Briefumschlag.

Bei Kapitalen Böcken oder anderen (Verbesserungs)Vorschlägen könnt Ihr dies hier gerne posten.

Grüße von
Sebastian
Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: Klafu am 03.01.18 - 14:48:51
Ich hab gerde das Thema auf dem Tisch, dass von einer TeamMaibox versendete Mails blockiert werden, da "Mail triggers known exploits per mailsploit.com" 10 Spam Punkte erhält. Nun suche ich grad, was der Unterschied zwischen diesen und von einer gewöhnlichen Datenbanken versendeten Mails ist.
Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: MacSpudik am 03.01.18 - 14:53:46
Vermutlich wird auch dort der technische Absender mit dem anzuzeigenden Absendernamen verglichen (also im Bsp. oben from mit smtporiginator) und diese beiden Felder stimmen bei der Teammailbox vermutlich nicht überein.
Davon unabhängig haben dann aber auch viele Automaten (also automatisch erzeugte Mails wie Newsletter usw.) ein Problem bei solchen Checks.
Titel: Re: Habt Ihr Euch schon mit dem mailsploit beschäftigt?
Beitrag von: Klafu am 03.01.18 - 15:09:13
Ich hatte das hier gefunden.

Code
Question

When sending messages from a mail-in database in Lotus Domino®, the From and/or Reply To Internet address is not always what you expect.
Answer

Domino populates the Reply To address in an outgoing message depending on the presence of several fields (From, iNetFrom, Principal, $iNetPrincipal) 
in the message. Each field corresponds to specific information available to Notes:


    From--> name on the Lotus Notes® ID being used.

    iNetFrom--> address specified in the Internet Address field in the Location Document being used.

    Principal--> name populated in the Mail File Owner field of the database being used.

When the From field is equal to the Principal field:

    Domino will use iNetFrom. If no iNetFrom field is present, it will use the Global Domain Document, Configuration Document, 
and Person Document settings to create the appropriate address.
http://www-01.ibm.com/support/docview.wss?uid=swg21238451


Mail aus eigener Mailbox:
From: CN=Max Muster/O=Firma/C=DE
INetFrom: Mailadresse aus Arbeitsumgebung
Principal: Eingetragener Besitzer der Mail DB im CN= Stil.
$INetPrincipal: Mailadresse aus dem Adressbuch?

Mail aus Teampostfach:
From: Eingetragene Mail Adresse (Beispiel@Firma.de)
INetFrom: Fehlt
Principal: Name der Teammailbox
$INetPrincipal Eingetragene Mail Adresse (Beispiel@Firma.de)