Verständnisfrage, warum solche Mails durchgehen

[mabu]

Hallo.

Ich versuche mal, alle Infos hier zusammenzubekomme. Evtl. übersehe ich noch was, um die Annahme solcher Mails direkt verhindern zu können.

Wir haben heute früh im Zeitraum zwischen 9:37 und 10:00 Uhr 57 Mails von support-12345678@reverlex.com an unterschiedliche Mailadressen bei uns erhalten (12345678 sind zufällige Folgen wie 722dd676 oder 25e76024). Immer der gleiche Betreff. Diese wurde durch Greylisting temporär abgewiesen.

32Guards hat 2 SCL vergeben. Ansonsten alles absolut okay (besser, als viele Unternehmen in Deutschland von der Mailkonfig her). SPF, DKIM, DMARC, DNS - alles okay.


Ab 10:07 Uhr kamen davon in der Wiederholung 17 Stück noch einmal und diese wurden auch angenommen.

Als "lesbarer" Absender wurde united-Domains genutzt. Das passt bei uns auch (sind dort Kunde). Text absolut okay. URL im Link dann leicht als Problem zu erkennen.


Die Überprüfung der Mail sieht dann nun so aus:


Gibt es Vorschläge, was man im Regelwerk anpassen kann, um solche Mails zukünftig evtl. doch direkt zu unterbinden?

 

[JanJäschke]

Du schreibst "Als "lesbarer" Absender wurde united-Domains genutzt.", das klingt für mich als wäre im Header From etwas von united-Domains genutzt worden und als Mail From eben reverlex.com.
Wenn sich die Domänen wirklich unterscheiden sollte im Standard der Reputationsfilter ebenfalls anschlagen da sich die Domänen utnerscheiden.
Da dies bei dir im Screenshot nicht der Fall ist gibt es nun drei Möglichkeiten:
- ich habe dich falsch verstanden
- der Reputationsfilter hat nicht gegriffen
- du hast die Prüfung des entsprechenden Filters im Reputationsfilter nicht aktiv

Falls du das Troubleshooting log beim Empfang zufällig aktiv hattest würde das bei Punkt zwei helfen.
Punkt drei kannst du in der Regel Prüfen, der letzte "Header-From" Check sollte der entsprechende für unterschiedliche Domänen sein.

Dadurch wäre es dann auch passend mit 4 SCL (im Standard) zur Ablehnung gekommen.

 

[mabu]

Mail-From und Head-From sind identisch

Beim User (in einer an mich weitergeleiteten Mail) sieht es dann so aus:


Und das "United-domains AG" müsste doch dann im Outlook angezeigt werden, oder?

Aktivitäten sehe in dieser Mail dann so aus:


Ich habe alle angenommenen Mails davon als Fehlklassifizierung gemeldet

Solche Konstellationen kommen zwischenduch immer mal wieder vor. Also für Empfänger offensichtlich Fake. Aber technisch alles okay.

Ist mir bisher aber nicht offensichtlich in dieser Menge aufgefallen. Und da hätte ich gedacht, dass evtl. auch 32Guards durch Metadaten von anderen Kunden hier schon in der Zeit des Greylistings aktiv werden würde.

Für einige Spammails habe ich schon angefangen, einen Wortfilter zu nutzen. Bekommen da häufiger Mails mit "rezept-frei" in allen möglichen Schreibweisen. Mittlerweile kommen da aber auch wieder welche durch - "rezeptfre-i" war glaube ich nun die Schreibweise, die ich noch nicht im Filter hatte. Kommt man aber auch nicht hinterher. Und von der Bewertung her ist ansonsten alles okay.

Bin mir nicht sicher, ob man damit leben muss oder nicht doch noch was in den Einstellungen möglich ist.

 

[Tim_ist-zu-kurz]

Moin Martin, bin hier nen bissschen late to the party aber weils noch niemand beantwotet hat:

Der sendende Server gehört zur Domaine reverlex.com, so dass alle Sicherheitsüberprüfungen erfolgreich durchgeführt werden konnten. Es ist technisch gesehen ne valide Mail von nem validen Server - mit nem gefakten Absendernamen (das ist immer möglich) und nem bösen Mailinhalt.

Und der 32Guards hat ja auch als einziger angeschlagen, eben weil er durch die Verbreitung bei (möglichst) allen NSP Instanzen nen guter Sensor für Spam ist.

Gefakte Absender von validen (geknackten oder extra dafür neu registrierten) Mailservern kommen immer häufiger vor, weshalb es ja so wichtig ist, den Fokus der Anwender auf die Adresse statt den Namen zu lenken um den auf Plausi zu prüfen.

Wie @JanJäschke schreibt, hätte die Mail tatsächlich über den 32Guards gefiltert werden können, dazu müssen in der Regel aber die Filter Multiplikatoren geprüft und das Abweiseverhalten ab SCL 4 gesetzt werden.

Darüber hinaus, ja, müssen wir mit solchen Mails leben.

Schönen Gruß
Tim

 

[mabu]

Hallo Tim.

Ich habe mir jetzt mal gefiltert nach SCL 2 die Mails der letzten Tage angesehen. Und bei allen Mails, die ich zufällig da mal in der Nachrichtenverfolgung geöffnet hatte, scheint es wirklich zu passen, wenn ich den Multiplikator für 32Guards auf 2 erhöhe.

Die Mails, die auf jeden Fall ankommen mussten, waren bei 32Guards grün und haben sich die 2 SCL anderweitig erarbeitet.

Damit sollte eine Verbesserung der Abweisquote drin sein.

Danke für den Hinweis.

 

[mabu]

Ich muss jetzt doch gleich was zu meiner Änderung des Multiplikators für 32Guards auf x2 und die heute erfolgten Auswirkungen schreiben.

Anscheinend wurde eine korrekte Mitarbeiterbefragung durch ein externes Unternehmen heute früh an unsere User verschickt. Also eigentlich gewollte Mails.

Bei den ersten gab es noch eine temporäre Ablehnung (Greylisting). Dann wurden einige dieser Mails angenommen (32Guards ohne Auffälligkeit). Aber ein paar Minuten später werde die Mails direkt abgelehnt - 32Guards vergibt 2 SCL -> mit Multiplikator somit 4.


"Dann nehme ich den Absender doch in eine Regel mit weniger strikten Vorgaben auf" - aber da geht es ja um "MAIL FROM".


"Header-From" wäre in den Mails gleich. Das brauche ich für Regel aber nicht, wenn ich mich recht entsinne.
Und "MAIL FROM" ist jedes Mal anders. Wow.

Habe nun ein paar der abgelehnten Mails als Fehlklassifizierung gemeldet. Im Regelwerk sehe ich da gerade nicht so wirklich eine Chance.

Und ich weiß auch nicht, wie ich hier im Vorfeld hätte mit umgehen sollen. Kann ja immer mal wieder vorkommen, dass so eine gewollte Mail an einen Großteil unserer User verschickt werden muss.

hmmm.