Wie Filtern, wenn nicht nach "MAIL FROM"?

[Tim321]

Ich bekomme in der letzten Zeit bösartige Mails, die zumindest Phishing versuchen, keine Ahnung, was mich auf den verlinkten Seiten erwarten würde, würde ich sie anklicken.

Die Mails kommen angeblich von comdirect. Tatsächlich sehen sie aber so aus:

Mail From irgendwas@dhl.de, Header From info@comdirect.de

Nun habe (bzw. inzwischen hatte) ich *@dhl.de auf meiner Whitelist, da es da immer mal Probleme mit dem Abweisen von erwünschten Mails gibt. Da ich aber effektiv stets nur nach dem MailFrom irgendwas verhindern kann, sind meine Möglichkeiten an der Stelle begrenzt.

Gibt es eine Möglichkeit anders weiter sinnvoll einzugrenzen?

Meines Erachtens sollten mindestens 2 Sachverhalte ebenfalls mit einem SCL versehen werden können:

Die Domäne von MailFrom und HeaderFrom weichen voneinander ab - ja, ich weiß, das kann schon sein, insb. gerne mal bei größeren Versicherungen, aber abstrafen können würde ich es dennoch gerne.
SPF/DKIM nicht vorhanden oder abweichend.

Damit könnte denke ich noch gut was erreichen und zumindest die sicher rauslesen, bei denen beides zutrifft oder eines von beiden und noch ein anderer SCL-Filter. Aktuell finde ich mich am Ende der Fahnenstange wieder oder ich kenne irgend einen Kniff nicht.

 

[Sören]

*@dhl.de

eine wirkliche Idee habe ich auch nicht...aber komplett die Filterung auszuhebeln auf wildcard dhl.de erachte ich alles andere als sinnvoll. Da wäre es schlauer nur die echten Adressen die mal geblockt wurden in diese Regel zu packen. Alternativ könntest du auch einfach dem Partner dhl.de 10 Vertrauenspunkte statisch geben.. der -SCL wird ja nur vergeben wenn die Mail von DHL auch authentifiziert ist.

 

[Tim321]

Nein, wildcard ist keine gute Idee, aber oft weiß man ja vorher nicht, was die exakte Absendeadresse ist bzw. ändern die sich gelegentlich.

Fehlendes spf und abweichende maildrom/headerfrom sollte finde ich dennoch sanktionierbar sein.

 

[Sören]

Fehlendes spf und abweichende maildrom/headerfrom sollte finde ich dennoch sanktionierbar sein.

Ich stehe auf dem Schlauch... dhl.de hat einen spf und abweichendes mail zu header from geben sowieso 2scl im Reputationsfilter. Natürlich auch nur dann wenn dieser aktiv ist und nicht durch whitelisting ausgehebelt wurde. Eine Bestrafung wenn SPF oder DKIM nicht vorhanden ist, kann nur dann passieren, wenn es einen SPF mit -all gibt oder aber ein DMARC gesetzt ist. Alles andere ergibt imho keinen Sinn.

Wie eine Lösung aussehen kann, habe ich dir aufgezeigt:

Alternativ könntest du auch einfach dem Partner dhl.de 10 Vertrauenspunkte statisch geben.. der -SCL wird ja nur vergeben wenn die Mail von DHL auch authentifiziert ist

 

[Tim321]

Danke für die Antwort Sören und auch danke für den Vorschlag, der sicherlich funktioniert. Ich versuche natürlich nicht eine "dhl-spezial-regel" zu bauen, sondern mein ganzes Konzept vernünftig zu überarbeiten.
Vermutlich verstehe ich den Reputationsfilter falsch. Was macht der "Multiplikator"? Im Reputationsfilter kann ich SCL-Werte für unterschiedliche Sachverhalte vergeben, für den ganzen Filter dann zusätzlich eine Einstellung für einen "Multiplikator" einstellen. Wird dann zuerst alles aufaddiert was im Reputationsfilter und schlussendlich multipliziert? Heißt Multiplikator auf 2, im Reputationsfilter schlagen ein Sachverhalt mit SCL1 und einer mit SCL2 an - gibt das dann 6 SCL für Mail?
Ich tendiere eher dazu, eine weitere Whitelisting Regel zu bauen, die den Reputationsfilter drin hat, aber die anderen Filter nicht enthält. Über die Jahre werden die Regeln ohnehin recht granular.

 

[Sören]

Wird dann zuerst alles aufaddiert was im Reputationsfilter und schlussendlich multipliziert?

so ist es

Ich tendiere eher dazu, eine weitere Whitelisting Regel zu bauen, die den Reputationsfilter drin hat, aber die anderen Filter nicht enthält.

auch ein Ansatz, gute Idee