Frage zu Filter in Nachrichtenfluss und IP

[mabu]

Hallo.



Im Rahmen einer Regel für eine Phishing-Kampagne eines externen Dienstleisters habe ich zur Sicherheit eine Frage, ob der NSP bei den Filterungen so reagiert, wie ich mir das vorstelle.



Sind noch auf Version 13.2.21327


Ich habe vom Dienstleister erhalten: (lalelu ist Platzhalter )

• mailsender: mailer2@lalelu.de
• mailserver: mx.lalelu.de

Laut MXToolbox gibt es für diese Domäne auch nur den einen Mailserver im MX-Eintrag und dazu habe ich nun eine IP (noch nicht bekannt, ob dies eine feste IP ist - gehe aber mal davon aus).




In der Inbound-Regel dafür nutze ich bei "Nachrichtenfluss" die Filterung auf den Absender "mailer2@lalelu.de" an beliebige Empfänger. Und unter IP-FIlterung trage ich die IP-Adresse des MX-Servers ein. Unter "Filter" stelle ich direkt auf "Annehmen der E-Mail".




Frage: werden die beiden Filter bei "Nachrichtenfluss" und "IP-Filterung" hier wie gewünscht greifen und auch nur diese Phishing-Mails betreffen?



Würdet Ihr da irgendwas anders machen?




Danke im Voraus für Eure Rückmeldungen.

 

[869288141]

Hallo mabu,

[font=Tahoma, Verdana, Arial, sans-serif]Laut MXToolbox gibt es für diese Domäne auch nur den einen Mailserver im MX-Eintrag und dazu habe ich nun eine IP (noch nicht bekannt, ob dies eine feste IP ist - gehe aber mal davon aus).[/font]

damit weißt du nur, an welcher Mailserver du E-Mails einlieferst. Es lässt absolut keine Schlüsse auf versendete Server zu. Von daher weiß ich nicht, ob die IP-Adresse überhaupt zur Markierung nutzen kannst.

[font=Tahoma, Verdana, Arial, sans-serif]In der Inbound-Regel dafür nutze ich bei "Nachrichtenfluss" die Filterung auf den Absender "mailer2@lalelu.de" an beliebige Empfänger. Und unter IP-FIlterung trage ich die IP-Adresse des MX-Servers ein. Unter "Filter" stelle ich direkt auf "Annehmen der E-Mail".[/font]

Ich würde das wie 

1. eine neue dedizierte Regel erstellen
2. Die Absender-Adresse und IP-Adresse konfigurieren, dazu auch noch SPF und DKIM. Cyren IP Reputation würde ich außen vor lassen.
3. Die Regel vor der Standardregel für eingehende E-Mails platzieren.

[font=Tahoma, Verdana, Arial, sans-serif]Würdet Ihr da irgendwas anders machen?[/font]

Jede benutzerdefinierte Regel birgt Gefahren. Vor allem wenn es immer mehr werden. Daher immer minimalistisch einrichten, wenn es keinen Ausweg gibt.


Viele Grüße,
Daniel

 

[mabu]

Hallo Daniel.

Mit dem MX hast Du natürlich vollkommen recht. Hab ich voll verpeilt.

Der Dienstleister der Kampagne hat mir ja tatsächlich "mailsender: mx..." mitgeteilt. Daher vermute ich, dass es passt.

Wegen SPF und DKIM frage ich dort nochmal an. SPF-Eintrag für die Domäne gibt es zumindest

 

[JanJäschke]

Guten Morgen Martin,

wenn es darum geht diese E-Mails auf jeden Fall zu akzeptieren bist du mit der Regel soweit richtig.
Im Bereich der Filter einfach auf annehmen stellen und im Bereich Aktionen keine Aktionen hinterlegen.

Dank der Absender und IP Filterung sind dann auch nur entsprechende E-Mails betroffen. Um ganz sicher zu gehen würde ich die Regel noch einmal duplizieren und direkt hitner die erste legen und den Absender Fitler entfernen. Hitnergrund:
Falls die beim Versand der Absender versucht werden soltle zu fälschen kann es ggf. dazu kommen, dass die Regel nicht greift. Da ist das Fall-Back auf IP only dann eine weitere Absicherung.

Wichtig ist, dass du dir bewusst bist, dass dann auch wirklich alles für diese Konfiguration am NSP angenommen wird.


Gruß
Jan