Frage Gute Idee? Eingehende E-Mails mit unserer eigenen Domainendung ablehnen? (Weil sie gefälscht sein müssen)


Ich habe eine Frage zu unserem Exchange Server: Denkst du, es ist eine gute Idee, eingehende externe E-Mails abzulehnen, die am Ende unsere eigene Domain haben?

Wie externe eMail von fake@example.com?

Denn wenn es von einem echten Absender in unserer Firma käme, würde die E-Mail nie von draußen kommen.

Wenn ja, wie geht das am besten?


32
2017-07-05 21:45


Ursprung


Haben Sie gerade eine Lösung zur Spam-Filterung? - ewwhite
Sie sollten überprüfen, dass Sie keine Anbieter von Webanwendungen haben, die versuchen, aus Ihrer eigenen Domäne zu senden. Zum Beispiel, wenn Sie ein Gehaltsabrechnungssystem haben, das E-Mails von "payroll@example.com" an Ihre Mitarbeiter senden könnte. Überprüfen Sie auch, ob Marketing oder HR einen externen Massenpostdienst verwenden und dass die Mitarbeiter diese Nachrichten erhalten sollen. Normalerweise haben diese Nachrichten einen Absender oder zumindest eine Antwortadresse von jemandem in Marketing oder HR. In diesen Situationen können Sie normalerweise die E-Mail-Server des Dienstes in eine Liste mit Zulassungsanforderungen aufnehmen und Ihre eigene eingehende Domäne blockieren (was wir tun). - Todd Wilcox
@ NeilMcGuigan Was würde das bedeuten? Die Mail sollte immer noch von einem internen Mail-Server stammen? Es würde nicht von außerhalb des Netzwerks kommen, nur weil er physisch nicht anwesend ist. - Matt
@Matt Gotya, brainfart - Neil McGuigan
Wenn Sie automatisierte E-Mail-Benachrichtigungen von einem Ihrer Server erhalten haben, z. B. Benachrichtigungen über fehlgeschlagene Cron-Jobs oder versuchte Verletzung von IDS oder Ressourcennutzungsmonitor, sind sie so konfiguriert, dass ihre Absenderadresse mit Ihrem Domainnamen übereinstimmt. Sie müssen darauf achten, diese E-Mails entweder über Ihren internen Mailserver weiterzuleiten oder diese Server als erlaubte Absender auf die weiße Liste zu setzen. - Lie Ryan


Antworten:


Ja, wenn Sie wissen, dass die E-Mail für Ihre Domain nur von Ihrem eigenen Server kommen soll, sollten Sie alle E-Mails für diese Domain blockieren, die von einem anderen Server stammen. Selbst wenn sich der E-Mail-Client des Absenders auf einem anderen Host befindet, sollten Sie sich auf Ihrem Server (oder dem von Ihnen verwendeten E-Mail-Server) anmelden, um E-Mails zu senden.

Wenn Sie noch einen Schritt weiter gehen, können Sie Ihren Server so konfigurieren, dass er SPF-Datensätze überprüft. So viele Hosts verhindern diese Art von E-Mail-Aktivität. SPF-Einträge sind ein DNS-Eintrag, ein TXT-Eintrag, der Regeln darüber enthält, welche Server E-Mails für Ihre Domain senden dürfen. Die Aktivierung der Überprüfung von SPF-Datensätzen hängt von Ihrem E-Mail-Dienst ab und würde den Rahmen der hier behandelten Themen sprengen. Glücklicherweise verfügen die meisten Hosting-Umgebungen und -Software über Dokumentation für die Arbeit mit SPF-Datensätzen. Vielleicht möchten Sie mehr über SPF im Allgemeinen erfahren. Hier ist der Wikipedia-Artikel: https://en.wikipedia.org/wiki/Sender_Policy_Framework


52
2017-07-05 21:57



@Kurtovic Ein gut konfigurierter E-Mail-Server sollte die E-Mail ablehnen, die er ablehnt, sodass der Absender benachrichtigt wird. - Calimo
@Calimo Nicht, wenn E-Mails als Spam abgelehnt werden. Dadurch könnte der Spammer einfach weiter versuchen, bis er erfahren hat, was Ihr Algorithmus zulässt und was nicht. - Jon Bentley
@Calimo - nein. "accept-and-bounce" ist die schlechteste Möglichkeit, die Sie ausführen können. Sie tragen zu Spam bei und werden schnell in die schwarze Liste aufgenommen. lehne einfach die unerwünschte Mail ab - damit umzugehen ist das Senden Host-Problem. Wenn Sie das nicht tun können, akzeptieren, überprüfen und verwerfen Sie Spam oder Malware. Nimm niemals an und hüpfe. - cas
@cas: Es gibt eine dritte Alternative: Ablehnen zur SMTP-Annahmezeit. Dies führt dazu, dass auf dem sendenden SMTP-Server eine Fehlerantwort erzeugt werden muss, und dies ermöglicht es vielen legitimen Absendern, zu sehen, ob ihre E-Mails zurückgewiesen wurden, während garantiert wird, dass Sie niemals selbst Spam produzieren werden. - R..
@R .. ich denke, du wirst feststellen, dass es keine dritte Alternative ist, es ist eine Paraphrase von dem, was ich gesagt habe "lehne einfach die unerwünschte Mail ab - damit umzugehen ist das Problem des sendenden Hosts." - cas


Es gibt einen Standard dafür, dies bereits zu tun. Es heißt DMARC. Sie implementieren es mit DKIM Signing (was eine gute Idee zu implementieren ist).

Die High-Level-Übersicht signiert jede einzelne E-Mail, die Ihre Domain mit einem DKIM-Header verlässt (was ohnehin gut ist). Dann konfigurieren Sie DMARC so, dass jede E-Mail, die Ihren Mail-Server trifft, von einer Domäne abgelehnt wird, die Sie besitzen und die nicht mit einem gültigen DKIM-Header signiert ist.

Dies bedeutet, dass Sie weiterhin externe Dienste bereitstellen können, die E-Mails an Ihre Domäne senden (wie gehostete Helpdesk-Software usw.), aber Spear-Phishing-Versuche blockieren können.

Das andere großartige an DMARC ist, dass Sie Fehlermeldungen erhalten, damit Sie die Ausnahmebehandlung nach Bedarf verwalten können.

Der Nachteil ist, dass Sie sicher sein müssen, dass Sie alles vorher gründlich durcheinander gebracht haben, oder Sie könnten legitime E-Mails löschen.


30
2017-07-06 11:21



Es wird dringend empfohlen, vor dem Testen von DMARC sowohl SPF als auch DKIM zu implementieren. - Todd Wilcox
Wie kann DMARC mit E-Mails arbeiten, die von einem anderen Server als Ihrem eigenen stammen, z. B. mit externen Diensten, da diese nicht von Ihrem Server signiert werden? - jpaugh
@jpaugh Sie fügen den anderen öffentlichen Schlüssel zu Ihren DMARC-Datensätzen in Ihrem DNS hinzu. Sie können Ihnen den Rekord hinzufügen. - Mark Henderson♦
Ich habe diese Antwort gegeben, weil es technisch korrekt ist - genau dafür ist DMARC und was es tut - aber DMARC ist eine sehr schlechte Idee, wenn Sie mit Dingen wie Mailinglisten interoperieren wollen, da es gegen RFCs und verhält sich in der Regel falsch. - MadHatter


Solch ein Block wird wahrscheinlich Spam reduzieren und möglicherweise Social Engineering erschweren, aber es kann auch legitime Mail blockieren. Beispiele hierfür sind Mail-Weiterleitungsdienste, Mailing-Listen, Benutzer mit falsch konfigurierten Mail-Clients, Webapps, die E-Mails direkt vom Webhost senden, ohne Ihren Haupt-Mailserver usw. einzuschließen.

Dkim kann dies in gewissem Maße abschwächen, indem es eine Möglichkeit bietet, eine Nachricht zu identifizieren, die von Ihrem Netzwerk gesendet wurde, durch eine Mailing-Liste oder Weiterleitung geloopt wurde und dann bei Ihrer Post empfangen wurde, aber es ist keine perfekte Heilung, einige Mailinglisten werden dkim Signaturen brechen und Sie haben immer noch das Problem, alle legitimen Mail-Ursprungspunkte aufzuspüren und sicherzustellen, dass sie einen dkim-Unterzeichner durchlaufen.

Treten Sie vorsichtig vor, besonders wenn Sie dies auf einer bestehenden Domain implementieren.


10
2017-07-06 17:02





Vielleicht, aber es gibt einige Fälle, die Sie berücksichtigen müssen, bevor Sie eine solche Änderung vornehmen.

1) Verwendet jemand in Ihrem Unternehmen einen externen Dienst (z. B. Survey Monkey, Constant Contact usw.), um E-Mails zu senden, die scheinbar "von" Ihrer Domain stammen? Selbst wenn sie es heute nicht tun, könnten sie es in Zukunft tun?

2) Gibt es irgendwelche externen Adressen, die an Ihre Benutzer weitergeleitet werden? Angenommen, das Google Mail-Konto "mycompany.sales@gmail.com" wird an "sales@mycompany.com" weitergeleitet, und Ihr Nutzer "bob@mycompany.com" sendet an "mycompany.sales@gmail.com". In diesem Fall wird die Nachricht von "extern" kommen, aber mit einer "@ mycompany.com" Von: Adresse.

3) Hat einer Ihrer Benutzer externe Verteilerlisten abonniert, die die ursprüngliche "Von:" -Adresse für Nachrichten in der Liste beibehalten? Wenn Bob zum Beispiel "foo-list@lists.apple.com" abonniert und eine Nachricht sendet, erhält er eine eingehende Nachricht, die wie folgt aussieht:   Von: bob@meinefirma.com   An: foo-list@lists.apple.com   Absender:

Wenn Ihr Server den Header "From:" (anstelle von "Sender:") naiv betrachtet, wird diese Nachricht möglicherweise abgelehnt, da Sie sie von außen erhalten.

Aus all diesen Gründen ist es nicht immer machbar, eine Pauschalrichtlinie "... von einem echten Absender in unserem Unternehmen zu haben, die E-Mail würde niemals von außen kommen".


2
2017-07-07 13:09





Sie können dies in PowerShell tun, indem Sie Ihre Empfangsconnectorberechtigungen aktualisieren, um anonyme Benutzer davon abzuhalten, sie als autoritativen Domänensender zu senden:

Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender

Das Problem tritt jedoch auf, wenn Sie Remoteanwendungsserver haben, die Status-E-Mails an Sie senden müssen, da diese in der Regel Ihren Domänennamen in ihrer Absenderadresse verwenden. Es ist möglich, einen zusätzlichen Empfangsconnector für ihre spezifischen IP-Adressen zu erstellen, damit sie nicht versehentlich ausgeschlossen werden.


1
2017-07-07 10:45





Google Mail hat eine Einstellung, mit der Sie E-Mails mit einer Nicht-GMail-Domain senden können, vorausgesetzt, die E-Mail-Adresse wird zuerst überprüft. Ihre Entscheidung würde diese E-Mails blockieren.

Ob Sie Nutzer haben, die diese Google Mail-Funktion nutzen und ob es sinnvoll ist, sie zu berücksichtigen, hängt stark vom Verhalten in Ihrem Unternehmen ab.


0
2017-07-08 10:00





SPF wird dies nicht heilen, da der Umschlag einen geeigneten SPF-Pass haben könnte (d. H. Spammer, die einen kompromittierten Server verwenden), während sie die E-Mail innerhalb des Umschlags schmieden. Was Sie brauchen, ist eine Blockierung Ihrer eigenen Domain-E-Mail-Nachricht, die einen Absender-E-Mail-Server auf dem Umschlag nicht akzeptabel für Sie hat.


-1
2017-07-07 11:24



"Was Sie brauchen, ist eine Blockierung Ihrer eigenen Domain-E-Mail-Nachricht, die einen Absender-E-Mail-Server auf dem Umschlag nicht für Sie akzeptabel ist" - genau das machen Sie mit SPF, erstellen Sie eine Liste der legitimen E-Mail-Server für Ihre Domain. - GAThrawn