• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Ursache für spezielle DNS Abfragen vom NSP

MarkusB

Active member
Hallo Zusammen,

eine ATP Kundenfirewall hat eine verdächtige DNS Anfrage für eine Domäne vom NSP gemeldet.

Im Log der Firewall ist ersichtlich, dass es sich um eine DMARC Abfrage handelt.
Die DNS Abfrage für DMARC der verdächtigen Domäne wird täglich zu unterschiedlichen Uhrzeiten gemeldet.

Zu diesem Zeitpunkt findet keine Emailkommunikation statt und auch mit der Domäne gab es die letzten 90 Tage keine Kommunikation.

Weitere Analyse hat ergeben, dass die Domäne aber in den Partnern mit vertrauen "0" gelistet ist.

Daher die Frage: was hat es mit den DMARC Abfragen auf sich und werden diese in unregelmäßigen Abständen für jeden Partner etc. ausgeführt?

Im Log des DNS Servers, sind um diese Zeit auch sehr viele weiteren Abfragen anderer DMARC Domains vom NSP ersichtlich (wozu es auch keine Email Kommunikation gibt). 

Zudem sind nicht alle abgefragten Domains als Partner gelistet. 
Handelt es sich hier ggf. um weitere Domains / Adressbeziehungen aus dem LevelOfTrust System, welche via GUI erstmal nicht zu erkennen sind?
 
Hallo,
das ist nicht zufällig ne Sophos? :)
Sieht bei mir nämlich gelegentlich so aus.

Anhang anzeigen 4
Anhang anzeigen 5

der DNS Name des Absenders wird geprüft und die DNS Abfrage läuft über die Sophos die merkt dann natürlich das die DNS Abfrage zu einem Server verweist die als "böse" markiert wurde 
die Sophos in meinem Fall blockiert die DNS Abfragen und meldet das.

https://mxtoolbox.com/SuperTool.aspx?action=blacklist:qqziyuanwang.com&run=toolpage

Cyren hat die bereits schon wegen der IP Adresse blockiert.
 

Anhänge

  • 13-04-_2022_11-48-21.jpg
    13-04-_2022_11-48-21.jpg
    47.9 KB · Aufrufe: 7
  • 13-04-_2022_11-49-24.jpg
    13-04-_2022_11-49-24.jpg
    28.2 KB · Aufrufe: 6
Ja, ist eine Sophos. Der Weg der DNS Abfrage ist klar (NSP <--> DC <--> Sophos UTM mit ATP <--> Extern). Die Sophos blockt zu recht. 

Das Spannende aber hier ist ja, dass es keine Email dazu gibt und was NSP da genau macht und was die Anfrage antriggert.
 
Hallo zusammen,
da bringt vermutlich nur ein DNS Log von NoSpamProxy wirklich Licht ins Dunkel. Das muss dann von unserem Support ausgewertet werden.
Gruß Stefan
 
DNS Log Gateway Rolle haben wir schon gemacht und ausgewertet, dort taucht die Domäne nirgends auf.
Wir haben zuletzt den Partner Eintrag entfernt, um zu sehen ob jetzt immer noch eine DNS Abfrage dafür generiert wird.

Also gibt es keine Wartungstasks etc. wo Partner / LevelOfTrust Einträge auch ohne eine aktuelle ein/ausgehende Email via DNS abgearbeitet werden?
(weil dies hat so den Anschein laut DNS Log des DC's)
 
Hallo Markus,

wir gehen für Level of Trust ein paar sachen durch. Dazu gehört auch die DMARC Abfrage der vorhandenen Partner.
Da hier die Intranet Rolle sich um alles kümmert sollte es auch im Log dieser zu finden sein und nicht in der Gateway Rolle.
Dieses Verhalten haben wir in v14 geändert.

Durch das löschen des Partners sollte dann auch keien Abfrage mehr bei euch zu finden sein.

Gruß
Jan
 
Hallo Jan,

genau so ist es - nach Entfernung des Partner-Eintrags gestern keine Abfrage mehr von dieser Domäne :)

Gruß
Markus
 
Zurück
Oben