• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagetracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

Gelöst E-Mail abweisen, wenn From-Feld einem Benutzer entspricht

sbauhaus

sbauhaus

Member
Registriert
30 April 2024
Beiträge
12
Reaktionspunkte
3
Hallo zusammen,

wir bekommen aktuell viele gut gemachte, gezielt an uns gerichtete Phishing/Social engineering E-Mails.
Die "Angreifer" legen dafür bei Microsoft z.B. die Adresse "max.mustermann.unternehmen@outlook.com" an und benutzen den Namen des Mitarbeits im From-Feld. Der Inhalt der Mail passt auch zum Corporate Design.

Natürlich sind die Kollegen darauf geschult, auf die E-Mail-Adresse zu achten, allerdings ist diese in den aktuellen Fällen nicht total abwegig (immerhin nicht hacker2234234@gmail.com), sodass es in der Hektik des Alltags vorkommt, dass Benutzer auf diese E-Mails antworten.

Lange Einleitung, kurze Frage:
Ich würde gern alle E-Mails blockieren, bei der der Anzeigename mit einem unserer Kollegen übereinstimmt, die E-Mail-Adresse jedoch abweicht.
Also Name "Max Mustermann" und E-Mail-Adresse = "hacker123@gmail.com" --> Abweisen.

Mir ist bewusst, dass wir damit False-Positives bei häufig genutzten Namen provozieren, das würden wir allerdings in Kauf nehmen.

Gibt es hier einen Einsatz, den wir mit NSP Cloud umsetzen können?

Viele Grüße
Sebastian Bauhaus
 
Keine Lösung, sondern erstmal eine Nicht-Lösung: SPF/DKIM/DMARC-Prüfung prüft ja leider nicht den Anzeigename-Teil der Emailadresse: "Max Mustermann"<hacker123@gmail.com>, sondern nur die "echte" Email-Adresse im Header-From.

Man bräuchte sozusagen ein DMARC für den Displayname-Part der Emailadresse.
 
@sbauhaus : Danke für den Link. Ein interessanter Ansatz, aber auch etwas schwerfällig:
- maximal 100[-200] User pro ETR --> bei 10.000 User braucht man 100 ETRs (!!)
- es wird nur der exakte Match des Displaynames verglichen (keine Variationen).
- ETRs müssen regelmässig geupdatet werden.
 
Sakul schrieb:
@sbauhaus : Danke für den Link. Ein interessanter Ansatz, aber auch etwas schwerfällig:
- maximal 100[-200] User pro ETR --> bei 10.000 User braucht man 100 ETRs (!!)
- es wird nur der exakte Match des Displaynames verglichen (keine Variationen).
- ETRs müssen regelmässig geupdatet werden.
Zum Vergrößern anklicken....
Ist auf jeden Fall eher eine "Bastellösung". Bei uns passt es ganz gut, weil wir < 100 Benutzer haben. Das Script habe ich angepasst, sodass beide Schreibweisen "Nachname, Vorname" und "Vorname Nachname" beachtet werden.

Schöner wäre tatsächlich eine Implementierung direkt in NSP.
 
Hallo zusammen,

wie steht es um das CxO-Fraud-Filter von NSP?
Es sind zwar keine CxOs in diesem Fall, aber genau das wäre das Werkzeug der Wahl für diesen Fall: Anzeigename ähnlich der CxO-Gruppe!

Der CxO-Fraud-Filter kann zumindest im NSP-Server Bereich als separater Filter aufgenommen werden, bei der Cloud könnte er wo mit drin sein.
Dieser setzt dann ein X-Header mit welchen du via ETR dann weiterarbeiten kannst (Warnen, Quara/ Junk/ Droppen).

LG
Fabian
 
Fabian schrieb:
Hallo zusammen,

wie steht es um das CxO-Fraud-Filter von NSP?
Es sind zwar keine CxOs in diesem Fall, aber genau das wäre das Werkzeug der Wahl für diesen Fall: Anzeigename ähnlich der CxO-Gruppe!

Der CxO-Fraud-Filter kann zumindest im NSP-Server Bereich als separater Filter aufgenommen werden, bei der Cloud könnte er wo mit drin sein.
Dieser setzt dann ein X-Header mit welchen du via ETR dann weiterarbeiten kannst (Warnen, Quara/ Junk/ Droppen).

LG
Fabian
Zum Vergrößern anklicken....
Manchmal kann es so einfach sein... Vielen Dank für deinen Hinweis!
Ich bin davon ausgegangen, dass CxO nicht greift, wenn der Name abgewandelt wird. Tatsächlich war dieser bei uns gar nicht aktiviert, weil er per Default offenbar aus ist. Nachdem ich das Feature für alle Benutzergruppen aktiviert habe, werden die Mails ordnungsgemäß abgewiesen.

Danke und Gruß
Sebastian
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

Z
Mails von Absenderadresse, die die Unternehmensdomäne enthält, werden im RIP vernichtet
Antworten
7
Aufrufe
742
ZZB
Z
F
Secureportal E-Mail von Absender mit übertragen
Antworten
0
Aufrufe
1K
f.neuner
F
Zurück
Oben