Mails von gmail.com-Adressen, die als DisplayName korrekte interne Usernamen nutzen - evtl. CxO-Fraud Detection nutzen?

[mabu]

Hallo.

Wir haben seit knapp zwei Wochen das Problem, dass Mails von gmail.com-Adressen bei uns in Postfächern landen. Dabei wird als DisplayName der Name von mehreren tatsächlich existierenden Usern genutzt.

Die Namen sind nicht so schwer zu ermitteln. Marketing-Team ist dabei, auch durch Social Media Präsenz keine wirkliche Überraschung. Name de Vorstandes tauchte da nun auch auf. Dies steht natürlich auch auf unserer Homepage.

Technisch ist die Mail einwandfrei. Einzig der falsche DisplayName und der Inhalt des Schreibens sind auffällig.

Leider hat im Marketing jemand auf eine dieser Mails geantwortet und erst im Anschluss gemerkt, dass es gar nicht der richtige Absender war. Dabei die private Mobilfunknummer geschickt, nach der in der Mail gefragt wurde.

Wir nutzen bisher "CxO-Fraud" im NSP noch nicht. Die Doku bringt mich dazu nicht wirklich weiter.

Die grundlegende Aktivierung erfolgt im automatischen Benutzerimport. Dort habe ich ja eigentlich für den Import eine Gruppe zugeordnet, für die die gewünschten Grundeinstellungen inkl. "autom. Schlüsselanforderung" eingetragen sind. Dort füge ich nun eine 2. Gruppe hinzu, in der ich die CxO-Fraud-Detection aktiviere --> was passiert beim Import mit Usern, die in beiden Gruppen sind?

In der Aktion in der NSP-Regel selbst kann ich dann ja aber nur "Accept", "Reject" und "Reroute" wählen. Somit erstmal nur "Accept" und dann schauen, wie es in der Nachrichtenverfolgung aussieht.

Dadurch einen Disclaimer in die eingehende Mails bringen ist nicht direkt möglich, oder?

Die Funktion inkl. der Auswirkungen sind für mich aktuell nicht so wirklich abschätzbar - ähnlich wie beim "URL Safeguard".

Danke vorab für Rückmeldungen.

 

[StefanCink]

Die grundlegende Aktivierung erfolgt im automatischen Benutzerimport. Dort habe ich ja eigentlich für den Import eine Gruppe zugeordnet, für die die gewünschten Grundeinstellungen inkl. "autom. Schlüsselanforderung" eingetragen sind. Dort füge ich nun eine 2. Gruppe hinzu, in der ich die CxO-Fraud-Detection aktiviere --> was passiert beim Import mit Usern, die in beiden Gruppen sind?

Das ist kein Problem, da unterschiedliche Funktionen zugeordnet werden. Einmal die Zertifikatszuordnung und einmal die CxO-Fraud-Funktion.

Schau Dir das gerne an, aber Du hast zusätzlich die Level-of-Trust-Ausnahme, falls mal jemand von seinem privaten Postfach sich eine E-Mail an das dienstliche Postfach schicken möchte. Das geht dann nur, wenn man sich vorher eine E-Mail an das private Postfach geschickt hat.

Ein Disclaimer ist nicht möglich.
Gruß Stefan

 

[mabu]

Okay. Dann habe ich das mal eingerichtet. Erstmal nur in der Standard-Inbound-Regel dazu und dort trotzdem auf "Accept".

In die genutzte Gruppe mal User unserer IT und aus dem Marketing hinzugefügt.

Das Powershell-Skript von Jan habe ich dazu auch gleich in Betrieb genommen. Schickt mir jede Nacht eine Mail mit den Treffern des letzten Tages.

Bin mal gespannt, was da so angezeigt wird. Und dann mal schauen, ob ich das dann später doch mal scharf schalte. --> wie sind denn da so die Erfahrungen bei den Kunden?

Auch noch einen Feature Request erstellt (zumindest im Prüfbericht könnte das Ergebnis ja angezeigt werden).

 

[mabu]

Verständnisfrage dazu:

• es geht um die private @gmail.com-Adresse eines Users
• es gibt Mails von intern an diese Mailadresse - somit "weiß" der NSP, dass es von innen dahin Kommunikation gibt
• gestern schickt User eine Mail von dieser @gmail.com-Adresse an einen internen Empfänger
• Ergebnis: "Möglicher CxO-Fraud" - ABER kein Hinweis zu "vertrauenswürdige Mail"

Frage dazu: war da bei den größeren Mailanbietern wie gmail.com, web.de, ... nicht was, dass es hier keine Bewertung als vertrauenswürdige Mail gibt? Das wäre aber hier recht hinderlich. Sollte es hier nicht einen Level-of-Trust für exakt diese Mailadresse (nicht die ganze Domain) geben?

Falls dies bei solchen Mailadressen in der Praxis so ist, dass diese durch CxO-Fraud nicht durchkommen würden, müsste ich hier mit einer extra Regel für diese Mailadressen arbeiten. Irgendwie unschön.

Oder spielt im oben beschriebenen Beispiel noch was mit rein, was ich nicht bedacht habe?

 

[StefanCink]

Jain, wir vergeben für die Free-Mailer keine Domainbonuspunkte. Für das Adresspärchen geht das aber sehr wohl. Wichtig ist nur, dass vorher eine ausgehende E-Mail geschickt wurde UND Level of Trust in der Regel für die ausgehende E-Mail aktiviert ist. Und natürlich muss die eingehende Nachricht authentifiziert sein! Das siehst Du in den Eigenschaften des MessageTracks. SPF und oder DKIM muss funktioniert haben.
Gruß Stefan

 

[mabu]

Mal schauen, ob ich meine Frage zu diesem Thema mit folgendem Praxisbeispiel für Euch nachvollziehbar schildern kann

MA1@gmail.com besitzt auch interne Mailadresse unseres Unternehmens MA1@abc.de. Habe in den letzten 14 Tagen die GMail-Adresse ein paar Mal in der Nachrichtenverfolgung. Tabelle ist chronologisch von alt zu neu.

Drei andere Mailadressen von @abc.de habe ich mal mit intern1 bis 3 bezeichnet.

Am Ergebnis ist zu erkennen, dass das erwähnte Adresspärchen die Bonuspunkte genau für diese Paarung berücksichtigt (z.B. 18. und 19.03.).

Am 20.03. bei der eingehenden Mail an intern2@abc.de würde es bei aktivem Blocken von CxO-Fraud aber schief gehen (FRAGE: bekommt der Absender hier dann entsprechend einen NDR?).

Ich verstehe, dass Domainbonuspunkte für gmail.com nicht möglich sind. Wäre es aber nicht doch auch irgendwie sinnvoll, wenn in diesem Fall die Adresse MA1@gmail.com auch bei eingehender Mail an andere interne Mailadressen als vertrauenswürdig eingestuft wird?

Intern2 und Intern3 müssten in diesem Fall ja einmal eine Mail an MA1@gmail.com schicken, damit der Mailempfang eingehend von dort auch akzeptiert wird.

Habe noch keine Ahnung, wie ich dies intern kommunizieren sollte, wenn wir CxO-Fraud-Detection wirklich scharf schalten. Nutze aber zumindest eine AD-Gruppe mit ausgewählten Usern und somit nicht alle im Unternehmen.

Hat jemand, der CxO-Fraud-Detection aktiv nutzt, da eine Info für mich, was die Kommunikation der davon abgedeckten User angeht?

Datum	von	an	Bewertung	Hinweis
18.03.	intern1@abc.de	MA1@gmail.com
19.03.	MA1@gmail.com	intern1@abc.de	möglicher CxO-Fraud, aber vertrauenswürdig	90 Vertrauenspunkte für Beziehung zwischen Absender MA1@gmail.com und Empfängern
20.03.	intern1@abc.de	MA1@gmail.com
20.03.	MA1@gmail.com	intern2@abc.de	möglicher CxO-Fraud - wäre geblockt worden	keine Vertrauenspunkte
25.03.	MA1@gmail.com	MA1@abc.de	möglicher CxO-Fraud - aber vertrauenswürdig	31 Vertrauenspunkte für Beziehung zwischen Absender MA1@gmail.com und Empfängern
26.03.	intern1@abc.de	MA1@gmail.com
31.03.	MA1@gmail.com	intern2@abc.de	möglicher CxO-Fraud - wäre geblockt worden	keine Vertrauenspunkte
31.03.	MA1@gmail.com	intern3@abc.de	möglicher CxO-Fraud - wäre geblockt worden	keine Vertrauenspunkte
31.03.	MA1@gmail.com	intern1@abc.de	möglicher CxO-Fraud - aber vertrauenswürdig	65 Vertrauenspunkte für Beziehung zwischen Absender MA1@gmail.com und Empfängern

 

[Sören]

FRAGE: bekommt der Absender hier dann entsprechend einen NDR?

ja

Nutze aber zumindest eine AD-Gruppe mit ausgewählten Usern und somit nicht alle im Unternehmen.

richtig, in der Gruppe sollten wirklich nur die Personen sein, die Entscheidungsträger sind... für alle anderen ergibt das keinen Sinn.

Wäre es aber nicht doch auch irgendwie sinnvoll, wenn in diesem Fall die Adresse MA1@gmail.com auch bei eingehender Mail an andere interne Mailadressen als vertrauenswürdig eingestuft wird?

würde einen Umbau des LoT bedeuten und ich weiß noch nicht, ob ich das begrüßen würde


und abschließend mal meine five cents: Datenschutz und so warum schreiben deine User von amerikanischen freemailern an Company User und umgekehrt? Halte sowas immer für hochgradig bedenklich.