Ursache für spezielle DNS Abfragen vom NSP

[MarkusB]

Hallo Zusammen,

eine ATP Kundenfirewall hat eine verdächtige DNS Anfrage für eine Domäne vom NSP gemeldet.

Im Log der Firewall ist ersichtlich, dass es sich um eine DMARC Abfrage handelt.
Die DNS Abfrage für DMARC der verdächtigen Domäne wird täglich zu unterschiedlichen Uhrzeiten gemeldet.

Zu diesem Zeitpunkt findet keine Emailkommunikation statt und auch mit der Domäne gab es die letzten 90 Tage keine Kommunikation.

Weitere Analyse hat ergeben, dass die Domäne aber in den Partnern mit vertrauen "0" gelistet ist.

Daher die Frage: was hat es mit den DMARC Abfragen auf sich und werden diese in unregelmäßigen Abständen für jeden Partner etc. ausgeführt?

Im Log des DNS Servers, sind um diese Zeit auch sehr viele weiteren Abfragen anderer DMARC Domains vom NSP ersichtlich (wozu es auch keine Email Kommunikation gibt). 

Zudem sind nicht alle abgefragten Domains als Partner gelistet. 
Handelt es sich hier ggf. um weitere Domains / Adressbeziehungen aus dem LevelOfTrust System, welche via GUI erstmal nicht zu erkennen sind?

 

[ffischer]

Hallo,
das ist nicht zufällig ne Sophos?
Sieht bei mir nämlich gelegentlich so aus.

Anhang anzeigen 4
Anhang anzeigen 5

der DNS Name des Absenders wird geprüft und die DNS Abfrage läuft über die Sophos die merkt dann natürlich das die DNS Abfrage zu einem Server verweist die als "böse" markiert wurde 
die Sophos in meinem Fall blockiert die DNS Abfragen und meldet das.

https://mxtoolbox.com/SuperTool.aspx?action=blacklist:qqziyuanwang.com&run=toolpage

Cyren hat die bereits schon wegen der IP Adresse blockiert.

 

[MarkusB]

Ja, ist eine Sophos. Der Weg der DNS Abfrage ist klar (NSP <--> DC <--> Sophos UTM mit ATP <--> Extern). Die Sophos blockt zu recht. 

Das Spannende aber hier ist ja, dass es keine Email dazu gibt und was NSP da genau macht und was die Anfrage antriggert.

 

[ffischer]

Also ich hab bei mir eine email mit der Domain im Eingang vom NSP.
Wird aber blockiert.

Anhang anzeigen 8
[font=Tahoma, Verdana, Arial, sans-serif]Anhang anzeigen 7[/font]

 

[StefanCink]

Hallo zusammen,
da bringt vermutlich nur ein DNS Log von NoSpamProxy wirklich Licht ins Dunkel. Das muss dann von unserem Support ausgewertet werden.
Gruß Stefan

 

[MarkusB]

DNS Log Gateway Rolle haben wir schon gemacht und ausgewertet, dort taucht die Domäne nirgends auf.
Wir haben zuletzt den Partner Eintrag entfernt, um zu sehen ob jetzt immer noch eine DNS Abfrage dafür generiert wird.

Also gibt es keine Wartungstasks etc. wo Partner / LevelOfTrust Einträge auch ohne eine aktuelle ein/ausgehende Email via DNS abgearbeitet werden?
(weil dies hat so den Anschein laut DNS Log des DC's)

 

[JanJäschke]

Hallo Markus,

wir gehen für Level of Trust ein paar sachen durch. Dazu gehört auch die DMARC Abfrage der vorhandenen Partner.
Da hier die Intranet Rolle sich um alles kümmert sollte es auch im Log dieser zu finden sein und nicht in der Gateway Rolle.
Dieses Verhalten haben wir in v14 geändert.

Durch das löschen des Partners sollte dann auch keien Abfrage mehr bei euch zu finden sein.

Gruß
Jan

 

[MarkusB]

Hallo Jan,

genau so ist es - nach Entfernung des Partner-Eintrags gestern keine Abfrage mehr von dieser Domäne

Gruß
Markus