• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Frage zu Filter in Nachrichtenfluss und IP

mabu

Well-known member
Hallo.



Im Rahmen einer Regel für eine Phishing-Kampagne eines externen Dienstleisters habe ich zur Sicherheit eine Frage, ob der NSP bei den Filterungen so reagiert, wie ich mir das vorstelle.



Sind noch auf Version 13.2.21327


Ich habe vom Dienstleister erhalten: (lalelu ist Platzhalter ;) )





Laut MXToolbox gibt es für diese Domäne auch nur den einen Mailserver im MX-Eintrag und dazu habe ich nun eine IP (noch nicht bekannt, ob dies eine feste IP ist - gehe aber mal davon aus).




In der Inbound-Regel dafür nutze ich bei "Nachrichtenfluss" die Filterung auf den Absender "mailer2@lalelu.de" an beliebige Empfänger. Und unter IP-FIlterung trage ich die IP-Adresse des MX-Servers ein. Unter "Filter" stelle ich direkt auf "Annehmen der E-Mail".




Frage: werden die beiden Filter bei "Nachrichtenfluss" und "IP-Filterung" hier wie gewünscht greifen und auch nur diese Phishing-Mails betreffen?



Würdet Ihr da irgendwas anders machen?




Danke im Voraus für Eure Rückmeldungen.
 
Hallo mabu,
[font=Tahoma, Verdana, Arial, sans-serif]Laut MXToolbox gibt es für diese Domäne auch nur den einen Mailserver im MX-Eintrag und dazu habe ich nun eine IP (noch nicht bekannt, ob dies eine feste IP ist - gehe aber mal davon aus).[/font]
damit weißt du nur, an welcher Mailserver du E-Mails einlieferst. Es lässt absolut keine Schlüsse auf versendete Server zu. Von daher weiß ich nicht, ob die IP-Adresse überhaupt zur Markierung nutzen kannst.

[font=Tahoma, Verdana, Arial, sans-serif]In der Inbound-Regel dafür nutze ich bei "Nachrichtenfluss" die Filterung auf den Absender "mailer2@lalelu.de" an beliebige Empfänger. Und unter IP-FIlterung trage ich die IP-Adresse des MX-Servers ein. Unter "Filter" stelle ich direkt auf "Annehmen der E-Mail".[/font]
Ich würde das wie 
  1. eine neue dedizierte Regel erstellen
  2. Die Absender-Adresse und IP-Adresse konfigurieren, dazu auch noch SPF und DKIM. Cyren IP Reputation würde ich außen vor lassen.
  3. Die Regel vor der Standardregel für eingehende E-Mails platzieren.
[font=Tahoma, Verdana, Arial, sans-serif]Würdet Ihr da irgendwas anders machen?[/font]
Jede benutzerdefinierte Regel birgt Gefahren. Vor allem wenn es immer mehr werden. Daher immer minimalistisch einrichten, wenn es keinen Ausweg gibt.


Viele Grüße,
Daniel
 
Hallo Daniel.

Mit dem MX hast Du natürlich vollkommen recht. Hab ich voll verpeilt.

Der Dienstleister der Kampagne hat mir ja tatsächlich "mailsender: mx..." mitgeteilt. Daher vermute ich, dass es passt.

Wegen SPF und DKIM frage ich dort nochmal an. SPF-Eintrag für die Domäne gibt es zumindest
 
Guten Morgen Martin,

wenn es darum geht diese E-Mails auf jeden Fall zu akzeptieren bist du mit der Regel soweit richtig.
Im Bereich der Filter einfach auf annehmen stellen und im Bereich Aktionen keine Aktionen hinterlegen.

Dank der Absender und IP Filterung sind dann auch nur entsprechende E-Mails betroffen. Um ganz sicher zu gehen würde ich die Regel noch einmal duplizieren und direkt hitner die erste legen und den Absender Fitler entfernen. Hitnergrund:
Falls die beim Versand der Absender versucht werden soltle zu fälschen kann es ggf. dazu kommen, dass die Regel nicht greift. Da ist das Fall-Back auf IP only dann eine weitere Absicherung.

Wichtig ist, dass du dir bewusst bist, dass dann auch wirklich alles für diese Konfiguration am NSP angenommen wird.


Gruß
Jan
 
Zurück
Oben