Massive Zunahme von Spam und Phishing-Mails

[Tim321]

Hi,

ich habe unsere Regeln gegen Spam und Phishing recht knackig eingestellt. Als noch Cyren mit an Bord war, haben wir Unternehmensweit ein bis zwei Spam-Mails im Quartal bekommen, die durch kamen. Nachdem Cyren weg war, hat sich das auf fünf bis 10 Spam-Mails im Monat erhöht. Seit ca. drei bis vier Wochen allerdings kommen 20-30 Spam und Phishing-Mails in der Woche durch... das ist mir empfunden ein viel zu großes Sicherheitsrisiko.

Hat auch jemand anderes dieses Verhalten beobachtet oder ist es ein Problem bei uns? Ich habe schon gesucht, aber nichts gefunden. Meine Blacklist wächst, meine Fliter für die "common-spam-words" auch, aber das ist ja nur ein hilfloses mit den Armen wedeln.

Ich habe auch schon überlegt auf eine Positiv-Liste umzustellen, also erstmal *.* zu blocken und dann davor Ausnahmen zu generieren, die ich dann wieder zulasse, damit überhaupt Mailverkehr ankommt, aber das ist dann auch extrem aufwändig in der Pflege. Etliche top-lvl-domainendungen habe ich schon gesperrt, aber das hilft ja auch kaum mehr, da es inzwischen tausende Endungen gibt - und die teilweise auch von seriösen Absendern verwendet werden.

Haben noch mehr das Problem (dem Grunde nach klar, hat ja jeder, ich meine in letzter Zeit vermehrt) und hat zufällig jemand einen funktionierenden "Masterplan" wie was man noch tun könnte?

Danke im Voraus

Tim

 

[JanJäschke]

Hallo Tim,

den letzten Erfahrungen und Rückmeldungen von Kunden sollte derzeit eigentlich kein generelles Problem vorliegen.
Auf Welcher NSP Version bist du und wie sieht deine Konfiguration aus?
Sind alle notwendigen Netzwerkausnahmen gesetzt (ist ggf. ein Web Proxy in Verwendung?)?

Die Kombination aus Reputationsfilter, CoreAntispam Engine und 32Guards sollten grade simple "Domain" recht sauber raus halten.

LG
Jan

 

[StefanCink]

Ich empfehle an dieser Stelle gerne die Lektüre dieses Blogartikels, weil die dort beschriebene Konfigurationsmöglichkeit, oftmals nicht bekannt ist. Der Artikel bezieht sich zwar auf eine ältere Version, ist aber immer noch aktuell: https://www.nospamproxy.de/de/standardfiltereinstellungen-in-nospamproxy-14/
Vielleicht hilft das ja schon weiter.
Gruß Stefan

 

[Tim321]

Sorry, dass ich jetzt erst dazu komme zu antworten.

Mein Version ist 15.1.0

Meine Regeln zum Mailempfang sind wie folgt:
Whitelist ohne Einschränkung außer Viren - aktiv nur Malwarescanner

Name	Funktion	Fliter	Aktion	Einschränkungen auf
Whitelist ohne Einschränkung	sicherer Empfang der Mail	keiner	Malware-Scanner	gezielte einzelne Adressen
Whiteliste ohne URL-Safeguard und ohne Fraud	Emfang von Mails ohne Umschreibung der Link und ohne Fraud	keiner	S/MIME und PGP überprüfung, Malware-Scanner	gezielte einzelne Adressen i.d.R. Privatadressen Mitarbeiter
Ausnahmen Blacklist	zulassen von Blacklist-top lvl domains	SPAM URI Realtime Blocklists, Wortübereinstimmungen, Echtzeit-Blocklisten, Reputationsfilter, CSA Certified IP-List, Core AutospamEngine, 32 Guards	S/MIME und PGP überprüfung, Malware-Scanner, CxO-Fraud-Detection, Greylisting, URL-Safeguard, 32 Guards	gezielte einzielne Domains
Blacklist	sperren von Adressen, Domains und top-lvl-Domains	keiner	32 Guards	gezielte einzelne Domains und etliche top-lvl-domains, wenige einzelne adressen
Autoreply Postmaster	senden einer automatischen Antwort bei Mail an postmaster@	SPAM URI Realtime Blocklists, Wortübereinstimmungen, Echtzeit-Blocklisten, Reputationsfilter, CSA Certified IP-List, Core AutospamEngine, 32 Guards	S/MIME und PGP überprüfung, Malware-Scanner, CxO-Fraud-Detection, Greylisting, URL-Safeguard, 32 Guards, Automatische Antwort	dient ausschließlich dazu, eine automatisch Antwort zu senden, dass diese Adresse ausschließlich dem Einlesen von S/MIME-Zertifikaten dient
alle anderen eingehenden Mails	Verarbeitung aller restlichen Mails	SPAM URI Realtime Blocklists, Wortübereinstimmungen, Echtzeit-Blocklisten, Reputationsfilter, CSA Certified IP-List, Core AutospamEngine, 32 Guards	S/MIME und PGP überprüfung, Malware-Scanner, CxO-Fraud-Detection, Greylisting, URL-Safeguard, 32 Guards	keine

Ich weise bei "Ausnahmen Blacklist", "Autoreply Postmaster" und "alle anderen eingehenden Mails" bei einem SCL von 4 ab. Jeder der Filter gibt jeweils ein SCL von 2. Die Wortübereinstimmungen pflege ich bei nahezu jeder Spam-Mail die reinkommt - allerdings erscheint mir die Erkennung etwas zweifelhaft. Bei den Wortübereinstimmungen verwende ich Platzhalter. Dank KI werden die Spammails leider immer besser und die "Autoren" phantasievoller.

Heute, ganz aktuell kam mal wieder eine wirklich schlecht gemachte durch:


dazu die Nachrichtenverfolgung:


Da wir eine Steuerkanzlei sind kann ich gerade bei Spammalis mit weitestgehend wirtschaftlichem Inhalt nicht so "in die Vollen" gehen hinsichtlich der "common spam words" wie ich es gerne würde. Allerdings hätte mir die Wortübereinstimmung auch nicht viel gebracht, denn auch mit SCL 2 wäre die Mail zugestellt worden.

Sind alle notwendigen Netzwerkausnahmen gesetzt (ist ggf. ein Web Proxy in Verwendung?)?

Hallo Jan, das würde ich gerne beantworten, allerdings weiß ich nicht was mit der Frage gemeint ist, bzw. wo die Auswirkung auf das Spam-Aufkommen an der Stelle betroffen sein würde.

 

[JanJäschke]

Hey,

Ich denke @Sören wird hier die Woche mal reagieren. Ich bin erstmal im Urlaub.
Aber dein Beispiel weißt auf etwas „falsches“ hin:
Die E-Mail wurde von der „Alle anderen ausgehenden Mails“ Regel verarbeitet.
Da ihr eine Steuerkanzlei seid denke ich ist „healthnow.org“ nicht eure Domäne und damit sollte die E-Mail zumindest von der Benennung her auf keinen Fall durch diese Regel laufen wenn sie empfangen wird

Im Worst-Case habt ihr euch ein Open-Relay gebaut, aber den teufel möchte ich mal noch nicht an die wand malen. Aber das erklärt zumindest eure massiven Probleme

Du kannst ja mal grob schauen ob der andere Spam auch vorwiegend über diese Regel rein gekommen sein.

LG
Jan

 

[Tim321]

Stimmt! Ist mir gar nicht aufgefallen…
Aber erklären kann ich es mir nicht.
Alle ausgehende Mails hat als „Absendebereich“ „Unternehmensdomäne“.
Im Routing ist unter „email-server des Unternehmens“ als erlaubte domäne unsere domäne hinterlegt.

 

[Sören]

Stimmt! Ist mir gar nicht aufgefallen…

Schick mir mal bitte per PN:

den Messagetrack
einen Screenshot von E Mail Server des Unternehmens