In NoSpamProxy sind unsere Mail-Server für ein- und ausgehende Mails konfiguriert. SPF für die e-Mail-Domäne eingerichtet. Trotzdem ist es möglich, dass sich ein beliebiger Mail-Server (selbst sendmail) mit dem NoSpamProxy verbindet. E-Mails werden zugestellt. Wie kann ich sicherstellen, dass NoSpamProxy Mails nur von bestimmten Servern annimmt?
-
Bewerte uns auf OMR Reviews: Klick
-
Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.
Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an.
-
Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick
NoSpamProxy nimmt e-Mails von beliebigen Mail-Servern
- Ersteller jub
- Erstellt am
Hallo jup,
ich muss die dumme Frage stellen
- du meinst das sich jeder Mailserver mit eurem NSP verbinden kann und bei euch E-Mails für Dritte abliefern kann z.B. @gmail.com, also nicht die eigenen Unternehmensdomains, ja? Also ein "Open relay"?!
LG
Fabian
ich muss die dumme Frage stellen
- du meinst das sich jeder Mailserver mit eurem NSP verbinden kann und bei euch E-Mails für Dritte abliefern kann z.B. @gmail.com, also nicht die eigenen Unternehmensdomains, ja? Also ein "Open relay"?!LG
Fabian
werden angenommen und Zugestellt. Mails an andere e-Mail-Adressen werden (zum Glück) zurückgewiesen. Dennoch wollen wir, das auch das erste nicht geht.Pheew 
Kann man sicherlich mit 2 Regel umsetzen z.B. Filter auf die Quell-IP.
Die erste Regel definiert die gewünschte IP-Range und Aktion Annahme (nach Prüfung/ SCL Schwellwert) und die 2. ohne Einschränkung und Annahme verweigern wie eine klassiche Blocklist.
Rein aus Neugierde: Wieso wöllte man das auf dem zentralen E-Mail Gateway umsetzen?
Dann ist es doch sinnbefreit? Wollt ihr den NSP rein als ausgehenden MTA nutzen?
Ggf. den MX umbiegen das er nicht gefunden wird?
Ich verstehe den Hintergrund noch nicht
LG
Fabian
Kann man sicherlich mit 2 Regel umsetzen z.B. Filter auf die Quell-IP.
Die erste Regel definiert die gewünschte IP-Range und Aktion Annahme (nach Prüfung/ SCL Schwellwert) und die 2. ohne Einschränkung und Annahme verweigern wie eine klassiche Blocklist.
Rein aus Neugierde: Wieso wöllte man das auf dem zentralen E-Mail Gateway umsetzen?
Dann ist es doch sinnbefreit? Wollt ihr den NSP rein als ausgehenden MTA nutzen?
Ggf. den MX umbiegen das er nicht gefunden wird?
Ich verstehe den Hintergrund noch nicht
LG
Fabian
- Registriert
- 12 September 2019
- Beiträge
- 1,399
- Reaktionspunkte
- 309
Hey,
ich bin grade auch etwas verwirrt was du versuchst zu erreichen.
In der Cloud hast du jedoch nicht die Möglichkeit auf IP Adressen zu filtern sondern nur auf den MAIL From. (Adresse/Domäne)
Gruß
Jan
ich bin grade auch etwas verwirrt was du versuchst zu erreichen.
In der Cloud hast du jedoch nicht die Möglichkeit auf IP Adressen zu filtern sondern nur auf den MAIL From. (Adresse/Domäne)
Gruß
Jan
Hi Fabian,
vielen Dank für die schnelle Antwort. doch hab ich unsere Konfiguration nochmal geprüft. Ja es gibt tatsächlich noch einen MX-Eintrag auf NoSpamProxy. Der sollte aber spätestens morgen weg sein.
Zum Sinn unserer Konfiguration: Wir haben 3 Mail-Gateways mit eigenen Sicherheitsmechanismen, die Mails annehmen sollen und über NoSpamProxy an Office 365 weiterleiten. Auf die Sicherheit der Gateways wollen wir nicht verzichten.
Wir nutzen die NoSpamProxy-Cloud. Wo kann ich da einen IP-Filter setzen?
vielen Dank für die schnelle Antwort. doch hab ich unsere Konfiguration nochmal geprüft. Ja es gibt tatsächlich noch einen MX-Eintrag auf NoSpamProxy. Der sollte aber spätestens morgen weg sein.
Zum Sinn unserer Konfiguration: Wir haben 3 Mail-Gateways mit eigenen Sicherheitsmechanismen, die Mails annehmen sollen und über NoSpamProxy an Office 365 weiterleiten. Auf die Sicherheit der Gateways wollen wir nicht verzichten.
Wir nutzen die NoSpamProxy-Cloud. Wo kann ich da einen IP-Filter setzen?
- Registriert
- 12 September 2019
- Beiträge
- 1,399
- Reaktionspunkte
- 309
Wie bereits erwähnt kannst du in der Cloud kein IP Filtering betreiben.
Bezüglich EICAR: das ist korrekt, EICAR wird nicht als gefährlich eingestuft. Ja ist zum Test suboptimal, aber dem ist in diesem Falle so.
Bezüglich EICAR: das ist korrekt, EICAR wird nicht als gefährlich eingestuft. Ja ist zum Test suboptimal, aber dem ist in diesem Falle so.
Ja, EICAR ist ein Test-Virus. Und sowohl unter Windows, als auch unter Linux hatte ich probleme, den Signatur-Text in einer Textdatei zu speichern, ohne dass sie sofort gelöscht wird. Auch mein Privater e-Mail-Provider hat eine solche Mail sofort zurück gewiesen, nur NoSpamProxy lässt den "gefährlichen Anhang" durch.
Ich habe jetzt eine Blocklist-Regel für eingehende Mails erstellt, die nur Mails annimmt, deren MAIL FROM aus unsterer Mail-Domain (*@unsere.domain.de) stammt. Trotz allem wird die Mail zugestellt.
Ich habe jetzt eine Blocklist-Regel für eingehende Mails erstellt, die nur Mails annimmt, deren MAIL FROM aus unsterer Mail-Domain (*@unsere.domain.de) stammt. Trotz allem wird die Mail zugestellt.
- Registriert
- 28 August 2019
- Beiträge
- 760
- Reaktionspunkte
- 201
wir wissen was EICAR ist, @JanJäschke hat ja was dazu geschrieben ... die Engines werden durch einen EICAR nicht getriggert das ist richtig so
Wenn du die Leistungsfähigkeit der Engines testen möchtest, dann benutze echte Samples ...zu finden gibts sowas auf malwarebazar oder services wie delivr.to
ich glaube wir alle drei, die dir hier antworten, verstehen überhaupt nicht was du machst oder vor hast
Woher kommen denn diese Mails? Kommen die von irgendwelchen Hosts aus dem Internet oder von deinen eigenen Gateways. Sind das inbound oder outbound Mails?
Nur zur Info: der MX muss zwingend in der Cloud auf NoSpamProxy zeigen. Vorgelagerte Systeme sind von uns nicht unterstützt, außer im Bereich "Encryption Only".
- Registriert
- 12 September 2019
- Beiträge
- 1,399
- Reaktionspunkte
- 309
Hey,
du scheinst mir das Regelwerk falsch verstanden zu haben.
Das was du derzeit eingerichtet hast sagt, dass alles was von "*@deine-domäne.tld" kommt geblockt werden soll. (ausgehend)
Du müsstest also eigentlich sagen "Jede 'MAIL-FROM' Adresse" an "*@deine-domäne.tld" damit du alles ablehnst.
(Soweit die Theorie ^^)
Sören hat es aber schon richtig beschrieben, beschreib uns dich mal was du vor hast?
Alternativ setz dich bitte mit deinem Partner in verbindung sollte das hier nicht diskutierbar sein.
Gruß
Jan
du scheinst mir das Regelwerk falsch verstanden zu haben.
Das was du derzeit eingerichtet hast sagt, dass alles was von "*@deine-domäne.tld" kommt geblockt werden soll. (ausgehend)
Du müsstest also eigentlich sagen "Jede 'MAIL-FROM' Adresse" an "*@deine-domäne.tld" damit du alles ablehnst.
(Soweit die Theorie ^^)
Sören hat es aber schon richtig beschrieben, beschreib uns dich mal was du vor hast?
Alternativ setz dich bitte mit deinem Partner in verbindung sollte das hier nicht diskutierbar sein.
Gruß
Jan
Ok, dann versuche ich nochmal genauer zu beschreiben, was wir vohaben (auch wenn die eine oder andere Antwort von Euch schon klar macht, dass das so nicht geht):ich glaube wir alle drei, die dir hier antworten, verstehen überhaupt nicht was du machst oder vor hast
Aktuell betreiben wir im Unternehmen 3 Mail-Gateways (onPrem)
In der nächsten Zeit werden die Postfächer zu Office 365 migriert.
Der Nachrichtenfluss soll praktisch so konfiguriert sein:
mailgw1 <---------> nospamproxy <---------> Office365
mailgw2 <---------> nospamproxy <---------> Office365
mailgw3 <---------> nospamproxy <---------> Office365
Das ist aus unserer Sicht schon deshlab nötig, da unsere Mail-Gateways exakt auf unsere Sicherheitsanforderungen abgestimmt sind, was mit NoSpamProxy so nicht (oder nur bedingt) möglich ist, doch leistet NoSpamProxy beim verschlüsselten e-Mails gute Arbeit.
Wir wollen erreichen, dass NoSpamProxy nur Mails von unseren Mail-Gateways und Office 365 annimmt und entsprechen weiter verarbeitet.
Bei uns ist es gerade so, dass NoSpamProxy selbst Mails von Servern mit dynamischer IP, unverschlüsselt, ohne SPF und DKIM-Prüfung annimmt:
Hat jemand eine Idee, wie man diese Sicherheitsproblem lösen kann, ohne die Funktionalität einzuschränken?
Ahhh - jetzt kommt etwas Licht ins dunkle. Die 3 Mailgateways sind wohl alle der gleiche Anbieter? nur der MX je Gateway hat verschiedene Prioritäten, ja?
Die geforderten Sicherheitschecks (SPF, DKIM, dynamische IP) Aufgaben sollen bei den 3 GWs verbleiben, zumal NSP diese so nicht (in der Cloud-Variante bzw. im geforderten Umfang) anbietet.
Wenn du NSP nur für die Ver- und Entschlüsselung mit S/MIME nutzen willst, wäre dann nicht die Encryption-Only Variante als Cloud Angebot genau das richtige für dich?
Sonst könnte man sich NSP als Onpremvariante anschauen, hier kann man SCL für unverschlüsselte Verbindungen, SPF-Fail etc. vergeben ... jedoch im "verträglichen Maße" - keine Option für SCL Vergabe wenn insgesamt kein SPF vorhanden ist etc.
LG
Fabian
Die geforderten Sicherheitschecks (SPF, DKIM, dynamische IP) Aufgaben sollen bei den 3 GWs verbleiben, zumal NSP diese so nicht (in der Cloud-Variante bzw. im geforderten Umfang) anbietet.
Wenn du NSP nur für die Ver- und Entschlüsselung mit S/MIME nutzen willst, wäre dann nicht die Encryption-Only Variante als Cloud Angebot genau das richtige für dich?
Sonst könnte man sich NSP als Onpremvariante anschauen, hier kann man SCL für unverschlüsselte Verbindungen, SPF-Fail etc. vergeben ... jedoch im "verträglichen Maße" - keine Option für SCL Vergabe wenn insgesamt kein SPF vorhanden ist etc.
LG
Fabian
- Registriert
- 28 August 2019
- Beiträge
- 760
- Reaktionspunkte
- 201
ja... für fritz.box gibts auch keinen SPF und keinen DKIM
Und, ich hab mal in deinem Tenant nachgeschaut:
Da passiert dann folgendes und das steht so auch in der Doku:
schau dir mal bitte erstmal die Regeln an
Regeln
docs.nospamproxy.com
Wie bereits gesagt, der NoSpamProxy muss zwingend der MX sein, alle anderen Konfiguration werden von uns nicht unterstützt.
Eine Ausnahme stellt die Lizenz "Encryption Only Lizenz" dar. Dann werden gar keine Mails mehr aus dem Internet entgegengenommen und nur noch Mails von eigenen Server verarbeitet.
