• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Massive Zunahme von Spam und Phishing-Mails

Tim321

Member
Hi,

ich habe unsere Regeln gegen Spam und Phishing recht knackig eingestellt. Als noch Cyren mit an Bord war, haben wir Unternehmensweit ein bis zwei Spam-Mails im Quartal bekommen, die durch kamen. Nachdem Cyren weg war, hat sich das auf fünf bis 10 Spam-Mails im Monat erhöht. Seit ca. drei bis vier Wochen allerdings kommen 20-30 Spam und Phishing-Mails in der Woche durch... das ist mir empfunden ein viel zu großes Sicherheitsrisiko.

Hat auch jemand anderes dieses Verhalten beobachtet oder ist es ein Problem bei uns? Ich habe schon gesucht, aber nichts gefunden. Meine Blacklist wächst, meine Fliter für die "common-spam-words" auch, aber das ist ja nur ein hilfloses mit den Armen wedeln.

Ich habe auch schon überlegt auf eine Positiv-Liste umzustellen, also erstmal *.* zu blocken und dann davor Ausnahmen zu generieren, die ich dann wieder zulasse, damit überhaupt Mailverkehr ankommt, aber das ist dann auch extrem aufwändig in der Pflege. Etliche top-lvl-domainendungen habe ich schon gesperrt, aber das hilft ja auch kaum mehr, da es inzwischen tausende Endungen gibt - und die teilweise auch von seriösen Absendern verwendet werden.

Haben noch mehr das Problem (dem Grunde nach klar, hat ja jeder, ich meine in letzter Zeit vermehrt) und hat zufällig jemand einen funktionierenden "Masterplan" :D wie was man noch tun könnte?

Danke im Voraus :)

Tim
 
Hallo Tim,

den letzten Erfahrungen und Rückmeldungen von Kunden sollte derzeit eigentlich kein generelles Problem vorliegen.
Auf Welcher NSP Version bist du und wie sieht deine Konfiguration aus?
Sind alle notwendigen Netzwerkausnahmen gesetzt (ist ggf. ein Web Proxy in Verwendung?)?

Die Kombination aus Reputationsfilter, CoreAntispam Engine und 32Guards sollten grade simple "Domain" recht sauber raus halten.

LG
Jan
 
Sorry, dass ich jetzt erst dazu komme zu antworten.

Mein Version ist 15.1.0

Meine Regeln zum Mailempfang sind wie folgt:
Whitelist ohne Einschränkung außer Viren - aktiv nur Malwarescanner
NameFunktionFliterAktionEinschränkungen auf
Whitelist ohne Einschränkungsicherer Empfang der MailkeinerMalware-Scannergezielte einzelne Adressen
Whiteliste ohne URL-Safeguard und ohne FraudEmfang von Mails ohne Umschreibung der Link und ohne FraudkeinerS/MIME und PGP überprüfung, Malware-Scannergezielte einzelne Adressen i.d.R. Privatadressen Mitarbeiter
Ausnahmen Blacklistzulassen von Blacklist-top lvl domainsSPAM URI Realtime Blocklists, Wortübereinstimmungen,
Echtzeit-Blocklisten, Reputationsfilter, CSA Certified IP-List, Core AutospamEngine, 32 Guards
S/MIME und PGP überprüfung, Malware-Scanner, CxO-Fraud-Detection, Greylisting, URL-Safeguard, 32 Guardsgezielte einzielne Domains
Blacklistsperren von Adressen, Domains und top-lvl-Domainskeiner32 Guardsgezielte einzelne Domains und etliche top-lvl-domains, wenige einzelne adressen
Autoreply Postmastersenden einer automatischen Antwort bei Mail an postmaster@SPAM URI Realtime Blocklists, Wortübereinstimmungen,
Echtzeit-Blocklisten, Reputationsfilter, CSA Certified IP-List, Core AutospamEngine, 32 Guards
S/MIME und PGP überprüfung, Malware-Scanner, CxO-Fraud-Detection, Greylisting, URL-Safeguard, 32 Guards, Automatische Antwortdient ausschließlich dazu, eine automatisch Antwort zu senden, dass diese Adresse ausschließlich dem Einlesen von S/MIME-Zertifikaten dient
alle anderen eingehenden MailsVerarbeitung aller restlichen MailsSPAM URI Realtime Blocklists, Wortübereinstimmungen,
Echtzeit-Blocklisten, Reputationsfilter, CSA Certified IP-List, Core AutospamEngine, 32 Guards
S/MIME und PGP überprüfung, Malware-Scanner, CxO-Fraud-Detection, Greylisting, URL-Safeguard, 32 Guardskeine

Ich weise bei "Ausnahmen Blacklist", "Autoreply Postmaster" und "alle anderen eingehenden Mails" bei einem SCL von 4 ab. Jeder der Filter gibt jeweils ein SCL von 2. Die Wortübereinstimmungen pflege ich bei nahezu jeder Spam-Mail die reinkommt - allerdings erscheint mir die Erkennung etwas zweifelhaft. Bei den Wortübereinstimmungen verwende ich Platzhalter. Dank KI werden die Spammails leider immer besser und die "Autoren" phantasievoller.

Heute, ganz aktuell kam mal wieder eine wirklich schlecht gemachte durch:

1719743244580.png
dazu die Nachrichtenverfolgung:
1719743270812.png

Da wir eine Steuerkanzlei sind kann ich gerade bei Spammalis mit weitestgehend wirtschaftlichem Inhalt nicht so "in die Vollen" gehen hinsichtlich der "common spam words" wie ich es gerne würde. Allerdings hätte mir die Wortübereinstimmung auch nicht viel gebracht, denn auch mit SCL 2 wäre die Mail zugestellt worden.

Sind alle notwendigen Netzwerkausnahmen gesetzt (ist ggf. ein Web Proxy in Verwendung?)?
Hallo Jan, das würde ich gerne beantworten, allerdings weiß ich nicht was mit der Frage gemeint ist, bzw. wo die Auswirkung auf das Spam-Aufkommen an der Stelle betroffen sein würde.
 
Zuletzt bearbeitet:
Hey,

Ich denke @Sören wird hier die Woche mal reagieren. Ich bin erstmal im Urlaub.
Aber dein Beispiel weißt auf etwas „falsches“ hin:
Die E-Mail wurde von der „Alle anderen ausgehenden Mails“ Regel verarbeitet.
Da ihr eine Steuerkanzlei seid denke ich ist „healthnow.org“ nicht eure Domäne und damit sollte die E-Mail zumindest von der Benennung her auf keinen Fall durch diese Regel laufen wenn sie empfangen wird 😅

Im Worst-Case habt ihr euch ein Open-Relay gebaut, aber den teufel möchte ich mal noch nicht an die wand malen. Aber das erklärt zumindest eure massiven Probleme ;)

Du kannst ja mal grob schauen ob der andere Spam auch vorwiegend über diese Regel rein gekommen sein.

LG
Jan
 
Stimmt! Ist mir gar nicht aufgefallen…
Aber erklären kann ich es mir nicht.
Alle ausgehende Mails hat als „Absendebereich“ „Unternehmensdomäne“.
Im Routing ist unter „email-server des Unternehmens“ als erlaubte domäne unsere domäne hinterlegt.
 
Zurück
Oben