DFN-MailSupport https://www.mailsupport.dfn.de/ de Copyright Fri, 21 Jun 2024 22:52:24 +0200 Fri, 21 Jun 2024 22:52:24 +0200 TYPO3 news-75 Mon, 29 Apr 2024 16:03:38 +0200 Fehlfunktion des New-Domain-Checks https://www.mailsupport.dfn.de/news/fehlfunktion-des-new-domain-checks Heute gegen 14:30 Uhr  stellten wir fest, dass der Check "FROM_FMBLA_NEWDOM" im Spamassassin eine Fehlfunktion hatte. Dieser Check bewertet normalerweise Mails von neu registrierten Domains mit Spampunkten, die häufig extra für Spamwellen angemeldet werden. Heute jedoch bewertete er auch sehr "alte" Domains in dieser Weise, s.a. http://fmb.la/pages/about unter "fresh.fmb.la". Dieser Check wird wie eine  Blocklist abgefragt.


Wir haben daher den Spamwert für diesen Check reduziert, damit keine Mails mehr abgewiesen werden und werden die Situation in den nächsten Tagen beobachten, um den Check in seiner gewünschten Form wieder aktivieren zu können.

Update 30.4.2024: kurz nach dem Auftreten des Fehlers wurde dieser offenbar behoben. Wir haben nach Sichtung der Logs heute gegen 15:45 den Check auf die ursprünglichen Spampunkte zurückgebaut, so dass er wieder wie gewünscht anschlägt.

]]>
news-74 Thu, 25 Jan 2024 11:21:11 +0100 Google plant Verschärfung der Mailannahmeregeln https://www.mailsupport.dfn.de/news/google-plant-verschaerfung-der-mailannahmeregeln Google hat angekündigt, ab Februar 2024 die Mailannahme-Policy zu verschärfen. Im folgenden finden Sie eine Zusammenfassung der geplanten Maßnahmen, die Originalquellen sind:

1. Policy

Die Regeln fallen je nach versendeter Anzahl Mails/Tag in Richtung Google unterschiedlich scharf aus.

1.a. für alle Mailversender

  • Passende A- und PTR-Records für Mailserver müssen im DNS vorhanden sein.
  • SPF oder DKIM. Entweder müssen im DNS passende SPF-Records vorhanden oder die Mails müssen DKIM-signiert sein.
  • Im From:-Header werden keine Google-Domains akzeptiert.
  • Server, die Mails unverändert weiterleiten , sollen ARC-Header einfügen.
  • Mailinglisten sollen in die Mails einen List-ID:-Header einfügen.
  • Spamraten müssen unter 0,1% liegen.

1.a. ab 5000 Mails/Tag

Ab 5000 Mails/Tag an Google wird man als Absender von Massen-E-Mails / bulk sender betitelt. Hier kommen weitere Anforderungen hinzu:

  • SPF und DKIM und DMARC. Man muss einen DMARC-Record im DNS veröffentlichen.
  • Kommerzielle Marketing-Mails benötigen unsubscribe-Links nach RFC 8058.

1.c. Ausnahmen

Mails an Google-Workspace-Konten unterliegen diesen Regeln nicht.

2. Konsequenzen bei Verstößen

  • Google beachtet die Policy im DMARC-Record, siehe https://support.google.com/a/answer/10032169
  • Mails werden eventuell als Spam markiert zugestellt.
  • Bei Spamraten über 0,3% werden alle Mails pauschal abgelehnt.
  • Google plant einen Übergangszeitraum von Februar bis April, in dem schrittweise ein Ratelimiting mittels temporärer Ablehnungen (4xx) eingeführt wird.
  • Ab April sollen dann analog harte Ablehnungen (5xx) hinzukommen.
  • Ab Juni sollen die Inhalte der Mails auf unsubscribe-Links kontrolliert werden.

Zur Mitigation von Problemen bei der Zustellung (Googlesprech: Minderung) bietet Google folgendes Formular an: https://support.google.com/mail/contact/gmail_bulk_sender_escalation?hl=en

3. Zusätzliche Empfehlungen

Man soll den eigenen Maileingang bei Google mit Hilfe der Google-Postmaster-Tools beobachten. Einsehbar sind dort die Spamrate, die IP-Reputation der eigenen Mailserver, die Domain-Reputation sowie Zustellungsfehler. Details sind hier zu finden: https://support.google.com/mail/answer/9981691 Zur Nutzung dieser Tools wird ein Google-Konto benötigt.

Weiter beachtet Google die DMARC-Report-Option rua und versendet entsprechende Berichte: https://support.google.com/a/answer/10032472.

4. Unterstützung im DFN-MailSupport

Unsere Hotline unterstützt Sie gerne bei der Umsetzung, hier finden Sie nähere Informationen zu den technischen Details:

 

]]>
news-73 Fri, 22 Dec 2023 17:20:13 +0100 Mitigation SMTP-Smuggling https://www.mailsupport.dfn.de/news/mitigation-smtp-smuggling Kurz vor Weihnachten lieferte SEC Consult eine böse Bescherung an alle SMTP-Server-Entwickler weltweit:

Einige Details des SMTP-Protokolls werden von verschiedenen SMTP-Softwarepaketen nicht korrekt umgesetzt bzw. im Falle des Postfix werden solche Verstöße aus Kompatibilitätsgründen per Default akzeptiert.

Einem Angreifer ist es hiermit möglich, im Rahmen einer SMTP-Session zusätzliche Mails zu verschicken, bei denen die Envelope-From- und Header-From-Mailadressen gefälscht sein können, ohne dass der SPF-Check und damit der DMARC-Check dies bemerken. So übermittelte Phishing-Mails könnten dadurch etwas glaubhafter aussehen.

Details hierzu sind hier zu finden:

Da hier leider die Gefahr besteht, auch gute Mails abzulehnen, schalten wir die empfohlene Mitigation nicht per Default scharf, sondern nur explizit auf Wunsch. Bitte wenden Sie sich hierfür an unsere Hotline.
 

Update 2.1.2024:

Wir haben seit heute die mit dem long-term fix versehene postfix-Version 3.5.23 im Einsatz, die Smugglingversuche erkennt und ablehnt.

]]>
news-72 Wed, 08 Nov 2023 17:36:33 +0100 Aktivierung der Cookie-Funktionalität des AAI-Discoveryservices https://www.mailsupport.dfn.de/news/aktivierung-der-cookie-funktionalitaet-des-aai-discoveryservices Seit heute abend ist die Cookieverwendung des Discovery-Services auf dem MailSupport-Portal aktiviert. Damit können Sie einstellen, dass für einen bestimmten Zeitraum die Frage nach dem IdP ihrer Einrichtung übersprungen wird und Sie automatisch zum zuletzt ausgewählten IdP weitergeleitet werden.

]]>
news-71 Tue, 15 Aug 2023 16:35:49 +0200 Mailablehnungen infolge eines Konfigurationsfehlers https://www.mailsupport.dfn.de/news/mailablehnungen-infolge-eines-konfigurationsfehlers Infolge eines Konfigurationsfehlers wurden heute zwischen 15:15 und 15:40 in einigen Instanzen ungerechtfertigterweise Mails mit Client host rejected: Access denied abgelehnt. Wir bedauern die Umstände und bitten bei unseren Nutzern und ihren Mailpartnern um Entschuldigung.

]]>
news-70 Wed, 29 Mar 2023 16:34:37 +0200 Update Spamassassin auf die Version 4.0.0 https://www.mailsupport.dfn.de/news/update-spamassassin-auf-die-version-400 Heute abend rollen wir die neueste Version 4.0.0 des Spamassassin auf den Mailgateways aus. Es handelt sich um das erste Major-Release seit sieben Jahren und es wurden etliche Bugfixes, Performanceverbesserungen und neue Features eingebaut. Die bemerkenswertesten Features vor allem hinsichtlich dem Problemfeld Phishing sind:

  • DMARC + ARC
    Diese Checks können Fälschungen der Absenderadresse im Header-From erkennen. Details finden Sie auf unseren neuen Seiten DMARC und ARC.
  • DecodeShortURLs
    Dies ermöglicht ein rekursives Auflösen von Short-URLs bis zur tatsächlichen URL und unterstützt so die Checks gegen URL-Blacklisten.
  • OLEVBMacro
    Die Erkennung von Makros in Office-Dokumenten wurde stark verbessert.

Auf den Spamassassin-Webseiten finden Sie eine Übersicht aller Änderungen.

]]>
news-69 Thu, 16 Mar 2023 18:01:49 +0100 Temporäre Deaktivierung einzelner Virenscanner https://www.mailsupport.dfn.de/news/temporaere-deaktivierung-einzelner-virenscanner Um recht unspezifischen Zustellproblemen auf die Spur zu kommen, schalten wir für die nächsten Tage testweise einen der drei Virenscanner ab. Wir vermuten, dass unter höherer Last dessen Scanzeiten überproportional ansteigen und es dadurch im Zusammenspiel mit einzelnen Mailprovidern zu Effekten wie langen Zustellzeiten und Mailverdoppelungen kommt. Zwei Virenscanner bleiben aber stets im Einsatz, um einen zuverlässigen Virenschutz zu garantieren.

]]>
news-68 Fri, 03 Feb 2023 11:43:11 +0100 Sperrung von Microsoft OneNote-Anhängen https://www.mailsupport.dfn.de/news/sperrung-von-microsoft-onenote-anhaengen OneNote-Anhänge mit der Dateiendung .one werden aktuell massiv für Phishing-Angriffe benutzt und werden daher seit heute von unserem Anhangscheck markiert bzw. abgelehnt. Weiterführende Informationen finden Sie hier:

]]>
news-67 Thu, 08 Dec 2022 15:16:44 +0100 Erweiterung des Amavis-Logzeilenformats https://www.mailsupport.dfn.de/news/erweiterung-des-amavis-logzeilenformats In der Amavis-Syslogzeile, in der er die Filterergebnisse darstellt, werden wir ab morgen Vormittag vor dem letzten Partikel From: ein neues Partikel helo: einfügen. Es enthält den vom einliefernden Mail-Server im SMTP-Protokoll angegebenen HELO- respektive EHLO-String.

Hintergrund dieser Maßnahme ist der Umstand, dass vom Spamassassin auch SPF-Checks auf eben diese HELO-Strings durchgeführt werden, aber bisher mangels Auftauchen letzterer im Syslog das Filterergebnis in zweifelhaften Fällen nicht nachvollzogen und geprüft werden konnte.

]]>
news-66 Thu, 10 Nov 2022 11:47:30 +0100 Erweiterung der Spamhaus-Blacklist https://www.mailsupport.dfn.de/news/vergroesserung-der-spamhaus-blacklist Spamhaus hat angekündigt, ihre CSS-Blacklist, die als Teil der ZEN-Blacklist im DFN-MailSupport verwendet wird, um circa 1,5 Mio Adressen zu erweitern:

https://www.spamhaus.com/resource-center/additional-protection-with-an-expanding-css-dataset/

Spamhaus wird in den nächsten Wochen jeweils pro Tag etwa 50.000 IP-Adressen aufnehmen, da das Auftreten von false positives nicht ganz auszuschließen ist. Falls dies passiert melden Sie sich bitte an unserer Hotline, wir pflegen dann die passenden Whitelisten.

]]>
news-65 Fri, 17 Jun 2022 15:22:41 +0200 Neuer Check für verschlüsselte Anhänge https://www.mailsupport.dfn.de/news/neuer-check-fuer-verschluesselte-anhaenge Im Zuge der aktuellen Emotet-Welle haben wir einen Check auf verschlüsselte Anhänge aktiviert. Er erkennt verschlüsselte zip- bzw. 7zip-Archive und pdf-Dateien und kann diese wahlweise blocken. Wenden Sie sich hierfür bitte an unsere Hotline. Hier finden Sie die Details zu unseren Anhangschecks.

]]>
news-64 Fri, 04 Mar 2022 16:19:59 +0100 Delivery zu Google erschwert https://www.mailsupport.dfn.de/news/delivery-zu-google-erschwert Seit etwa vier Tagen hat Google (gmail.com) offensichtlich die Filter für den Empfang von Mails verschärft. Es wird nun ein gewisser Prozentsatz der Mails mit:

550-5.7.26 This message does not have authentication information or fails to
           pass authentication checks. To best protect our users from spam, the
           message has been blocked. Please visit
            support.google.com/mail/answer/81126 for more
           information.

abgelehnt. Google hatte bekanntermaßen bereits seit längerer Zeit verschärfte Regeln im IPv6 aktiv, scheint jedoch dies nun auch in den IPv4-Bereich hinein auszudehnen. Der Inhalt der Webseite hinter dem Link in der Meldung deutet darauf hin, dass Google nun SPF und/oder DKIM beim Empfang erzwingen will. Aus einer Analyse des Maillogs kann man jedoch nicht auf ein eindeutiges Verhalten der gmail-Server schließen, Ablehnungen korrelieren nicht mit dem Vorhandensein von SPF-Records oder deren Inhalte, das Verhalten sieht mehr nach einem zufallsbasierten Würfeln aus.

Die Zahlen deuten jedoch darauf hin, dass ein korrekter SPF-Record die Wahrscheinlichkeit etwas erhöht, dass eine Mail nicht abgelehnt wird. Auch gab es bislang noch keinen Fall, in dem eine DKIM-signierte Mail abgelehnt wurde.

Falls Sie solche Probleme bei sich beobachten, raten wir daher zum Einsatz von SPF und/oder DKIM.

]]>
news-63 Fri, 04 Mar 2022 10:12:23 +0100 Einführung von DKIM-Signaturen https://www.mailsupport.dfn.de/news/einfuehrung-von-dkim-signaturen wir freuen uns, den Nutzern des ausgehenden Filterns ein neues Feature anbieten zu können: Auf Wunsch versehen unsere Gateways die ausgehenden Mails nun mit einer DKIM-Signatur. Weitere Details hierzu finden Sie in unserer Dokumentation.

]]>
news-62 Mon, 26 Apr 2021 10:38:21 +0200 DFN-Mailsupport erneut nach ISO 27001 auf der Basis von IT-Grundschutz zertifiziert https://www.mailsupport.dfn.de/news/dfn-mailsupport-erneut-nach-iso-27001-auf-der-basis-von-it-grundschutz-zertifiziert Nach der erfolgreichen Zertifizierung in 2018 ist das für DFN-MailSupport entworfene Betriebskonzept inklusive der genutzten Infrastruktur erneut erfolgreich nach ISO 27001 auf der Basis von IT-Grundschutz auditiert und zertifiziert worden. Die Zertifikate werden vom BSI grundsätzlich befristet für eine Dauer von 3 Jahren verliehen und müssen anschließend neu absolviert werden.

Den aktualisierten BSI-Button samt Zertifizierungsnummer finden Sie links unter dem Menü auf dieser Webseite.

Wir möchten uns hiermit ausdrücklich bei allen Kolleginnen und Kollegen bedanken, die uns – unbeeinträchtigt vom Pandemiegeschehen – an unseren Daten verarbeitenden Standorten im X-WiN, so herzlich und bestens vorbereitet empfangen und unterstützt haben!

]]>
news-61 Wed, 07 Apr 2021 16:27:04 +0200 Neues interaktives Portal betriebsbereit https://www.mailsupport.dfn.de/news/neues-interaktives-portal-betriebsbereit Wir freuen uns heute, Ihnen mitteilen zu können, dass das neue interaktive Portal zum Dienst DFN-MailSupport nunmehr unter https://portal.mailsupport.dfn.de/ bereitsteht.

Über das Portal können teilnehmende Einrichtungen einige Eckdaten zu ihrem Dienst selbstständig ändern, wie z.B. Maildomains und Mailserver, sowie Black- und Whitelists.

Sollten Sie als teilnehmende Einrichtung noch keinen Zugang (über DFN-AAI) haben, kommen Sie bitte auf uns zu unter hotline@mailsupport.dfn.de.

 

]]>
news-60 Tue, 24 Nov 2020 14:57:44 +0100 Dynamische Blacklisten im Syslog https://www.mailsupport.dfn.de/news/dynamische-blacklisten-im-syslog Ab heute bekommen Sie die Aktionen des dynamischen Blacklistens auch im Syslog-Stream. Näheres hierzu finden sie in der Dokumentation.

]]>
news-59 Wed, 23 Sep 2020 08:24:34 +0200 Aktivierung der TLSA-Records https://www.mailsupport.dfn.de/news/aktivierung-der-tlsa-records Nachdem gestern DNSSEC für unsere Domain dfn.de in Betrieb genommen wurde, haben wir heute die für DANE notwendigen TLSA-Records aktiviert. Damit werden einliefernde Mailserver nun in die Lage versetzt, mittels DANE die TLS-Zertifikate unserer Mailgatways zu verifizieren.

Nähere Informationen rund um DNSSEC, DANE & Co im MailSupport finden Sie hier: https://www.mailsupport.dfn.de/dokumentation/komponenten/dns

 

]]>
news-58 Fri, 04 Sep 2020 14:09:41 +0200 Einführung DNSSEC https://www.mailsupport.dfn.de/news/einfuehrung-dnssec Nach erfolgreichem Abschluß der DNSSEC-Pilotphase werden wir am 22.9.2020 in der DNS-Zone unserer Mailgateways mx.srv.dfn.de DNSSEC aktivieren. Damit einhergehend werden TLSA-Records für die verwendeten Zertifikate veröffentlicht. Mit diesem Schritt wird die Überprüfung unserer Zertifikate mittels DANE für den eingehenden Mailverkehr ermöglicht. Details zu unserem DNS-Setup finden Sie unter  /dokumentation/komponenten/dns.

 

]]>
news-57 Mon, 29 Jun 2020 09:43:03 +0200 Aktuelle Informationen zum Konfigurationsportal DFN-MailSupport https://www.mailsupport.dfn.de/news/aktuelle-informationen-zum-konfigurationsportal-dfn-mailsupport Das Konfigurationsportal des Dienstes DFN-MailSupport ist seit dem 17. April 2020 außer Betrieb. Wegen eines Sicherheitsvorfalls musste der DFN-Verein das Portal deaktivieren. Bis auf Weiteres werden die Konfigurationswünsche der Teilnehmer über die MailSupport-Hotline (E-Mail) entgegengenommen und umgesetzt. Außerhalb der üblichen Geschäftszeiten (bspw. an Feiertagen und Wochenenden) reagieren wir auf Anfragen per E-Mail im Rahmen unserer Wochenendüberwachung.

 

Nach eingehender Analyse des Sicherheitsvorfalls können wir bestätigen, dass weder personenbezogene Daten abgeflossen sind, noch Konfigurationsänderungen durch unbefugte Dritte vorgenommen wurden. Die Analyse hat ebenfalls ergeben, dass die Sicherheitslücke in der Zuständigkeit des Herstellers der genutzten Web-Umgebung liegt. Der Hersteller verweist auf das baldige Support-Ende und rät zur Migration auf eine neue Version. Da wir jedoch bereits eine Nachfolgelösung in Form eines neuen Portals zusammen mit einem externen Anbieter vorbereiten, und die Migration durch Abhängigkeiten im Source-Code sehr aufwendig ist, haben wir entschieden die Migration nicht mehr durchzuführen. Wir arbeiten intensiv daran, Ihnen wieder die Möglichkeit zu geben, ihren Dienst online zu administrieren.
Über die aktuellen Entwicklungen halten wir sie über diese Web-Seite und per E-Mail auf dem Laufenden.

 

]]>
news-56 Fri, 24 Apr 2020 10:37:44 +0200 Konfigurationsportal außer Betrieb https://www.mailsupport.dfn.de/news/konfigurationsportal-ausser-betrieb Das interaktive Portal für Konfigurationsänderungen unter https://portal.mailsupport.dfn.de/ ist bis auf Weiteres außer Betrieb. Alle Änderungen können selbstverständlich weiterhin - und für die Zeit des Ausfalles ebenfalls am Wochenende - über unsere Hotline beauftragt werden.

Sobald sich dieser Zustand ändert, werden wir Sie hier darüber informieren.

Wir bitten Sie um Ihr Verständnis!

]]>
news-53 Fri, 20 Mar 2020 16:19:00 +0100 Dynamisches Blacklisten https://www.mailsupport.dfn.de/news/dynamisches-blacklisten Die Versuche, gültige Empfängeradressen durch Brute-Force zu erraten, hat über die letzten Monate spürbar zugenommen. Über die  "recipient verification" schlagen diese Versuche auch auf die Mailsysteme unserer Nutzer durch, das eingebaute Caching ist in diesen Fällen wirkungslos.

Um die Last auf den Systemen zu senken haben wir uns daher entschlossen, die SMTP-Rejects 'User unknown' und 'Protocol Errors' mit fail2ban zu erfassen und IP-Adressen, die 5 Fehlversuche in 10 Minuten liefern für 10 Minuten in der Firewall zu sperren.

Log-Analysen haben ergeben, dass nur in ganz wenigen Einzelfällen "gute" Mailsysteme davon betroffen sind, zB wenn diese Mailverteiler bedienen, die viele ungültige Empfänger enthalten. In diesen Fällen kann die Auslieferung um obige Zeiträume verzögert werden.

Zu diesem Check gibt es natürlich eine IP-Whitelist, in der wir Ausnahmen definieren können.

 

]]>
news-52 Tue, 25 Feb 2020 14:27:00 +0100 Diverse Updates: Banned-Rules, Phishing-Check, Attachment-Handling https://www.mailsupport.dfn.de/news/diverse-updates-banned-rules-phishing-check-attachment-handling Folgende Änderungen haben wir in den letzten Wochen vorgenommen:

1. Update Banned-Rule

Unsere Liste der unerwünschten Anhangstypen haben wir an die aktuelle Microsoft-Outlook-Liste angepasst sowie aus weiteren Microsoft-Quellen die Liste erweitert. Folgende Typen wurden neu aufgenommen: aspx cer diagcab dqy htc jnlp msu oqy printerexport psd1 psdm1 py pyc pyo pyw pyz pyzw rqy theme vhd vhdx webpnp website xll

Details finden Sie unter: https://www.mailsupport.dfn.de/dokumentation/checks/anhaenge

2. Neuer Phishing-Check

Die Verschleierung von Buchstaben mittels HTML-Entities ist kein neues Phänomen und der Spamassassin geht damit problemlos um, sie kann aber als Phishing-Indikator eingesetzt werden, sofern die false-positive-Rate gering genug ist. Wir haben einen neuen Check eingeführt, bei dem Verschleierungsversuche von 'http://' und https://' in URLs erkannt und mit 7.0 Spampunkten bewertet werden. Sie erkennen den Hit im Syslog am Spamassassin-Hit DFN_ORU1.

Falls es zu false positives kommt melden Sie bitte diese an unsere Hotline.

3. Neue Option im Attachment-Handling

Wir sind nun in der Lage, Mails mit unerwünschten Anhängen nicht nur markiert weiterzuleiten oder pauschal abzulehnen, sondern können nun auch Attachments herausschneiden und durch einen informativen Text ersetzen.

Bei Interesse melden Sie sich bitte an unserer Hotline.

]]>
news-51 Fri, 17 Jan 2020 13:23:31 +0100 mgw1-erl vorläufig außer Betrieb https://www.mailsupport.dfn.de/news/mgw1-erl-vorlaeufig-ausser-betrieb Der Server mgw1-erl bleibt voraussichtlich für mehrere Tage außer Betrieb, Grund dafür ist ein vermuteter Hardwaredefekt.

]]>
news-50 Thu, 02 Jan 2020 17:04:59 +0100 URLhaus-recent-Liste aktiviert https://www.mailsupport.dfn.de/news/urlhaus-recent-liste-aktiviert Seit heute werden die in den Mails auftauchenden URLs vom Spamassassin auch gegen die URLhaus-recent-Liste
geprüft. Bislang geschah dies nur im Rahmen des ClamAV gegen die URLhaus-active-Liste. Je nach Konfiguration
werden die Mails abgelehnt oder als Spam markiert weitergeleitet. Erkennen können Sie Hits im syslog:

  • active-Liste: ... INFECTED (URLhaus.279542.UNOFFICIAL) ...
  • recent-Liste: ... Tests: [...URLhaus30=15...]

Der Unterschied zwischen den beiden Listen liegt darin, dass die active-Liste nur die
URLs enthält, die in den letzten 48 Stunden in Mails gefunden wurden, während die recent-
Liste alle URLs der letzten 30 Tage enthält. Nähere Infos zu diesen Listen erhalten Sie
unter urlhaus.abuse.ch/api/

 

]]>
news-49 Thu, 14 Nov 2019 10:38:14 +0100 Blacklisten gegen Spear-Phishing-Kampagne https://www.mailsupport.dfn.de/news/blacklisten-gegen-spear-phishing-kampagne Das DFN-Cert unterrichtete uns von einer Spear-Phishing-Kampagne, ausgehend von einer Gruppe, die unter den Namen 'Silent Librarian' oder 'Cobalt Dickens' bekannt ist.

In diesem Zusammenhang erhielten wir zwei Listen von IP-Adressen und Domains, die wir als zusätzliche RBLs verwenden.  Bei Übereinstimmung mit Inhalten dieser Listen lehnen wir die Mails entweder ab oder vergeben 12 Spampunkte.

Bitte beobachten Sie Ihren Mailverkehr bezüglich der Wirksamkeit der Listen und achten Sie auch auf false positives und kommen Sie gegebenenfalls auf uns zu.

Erkennen können Sie Hits entweder an den RBL-URLs cds.spamhaus.org bzw. cdd.spamhaus.org oder an dem Spamassassin-Hit URIBL_CDD_SPAM. Die Verwendung der Domain 'spamhaus.org' hat interne technische Gründe, die Listen existieren bei Spamhaus nicht.

Weitere Informationen dazu und zur Verarbeitung der RBLs generell finden Sie unter "Dokumentation -> Checks -> RBL".

]]>
news-48 Wed, 12 Jun 2019 15:20:24 +0200 fresh.spameatingmonkey vorläufig deaktiviert https://www.mailsupport.dfn.de/news/fresh-spameatingmonkey-vorlaeufig-deaktiviert Seit heute Mittag produziert die Domain-Blacklist <link http: fresh.spameatingmonkey.net>fresh.spameatingmonkey.net extrem viele false positives, so dass wir sie vorläufig außer Betrieb nehmen mussten.

]]>
news-47 Thu, 23 May 2019 15:31:46 +0200 Empfehlung: Blockieren von makrobehafteten Office-Anhängen https://www.mailsupport.dfn.de/news/empfehlung-blockieren-von-makrobehafteten-office-anhaengen Die emotet-Virenwelle läuft auf Hochtouren. Der Schadcode versteckt
sich hierbei in Makros innerhalb der den Mails angehängten Office-
Dokumenten.

Diese Makros werden laufend modifiziert, so dass die AV-Hersteller nur
schwer mit der Bereitstellung von Pattern hinterherkommen. Es wird
daher immer ein gewisser Prozentsatz dieser Mails durch unsere
Virenscanner schlüpfen.

Nach unserer Einschätzung wird dieser Zustand noch eine geraume Weile
anhalten, da die Modifikationsmöglichkeiten innerhalb der Office-Makros
sehr vielfältig sind und daher kein Ende für das Hase-und-Igel-Spiel
abzusehen ist.

Unsere Filter können aber zuverlässig erkennen, ob Makros in einem
Dokument enthalten sind. Damit haben Sie die Möglichkeit, den Empfang von
makrobehafteten Office-Dokumenten pauschal zu blocken. Dies führt
zu Einschränkungen für ihre Nutzer! Verweisen Sie deshalb bitte
ausdrücklich auf alternative Formen des Dokumentenaustausches.


Bei Bedarf finden Sie in der DFN-Cloud Cloud-Lösungen im Wissenschaftsnetz,
die auf die besonderen Bedürfnisse von Wissenschaft und Forschung abgestimmt sind.
Weitere Informationen finden Sie unter: <link https: www.dfn.de dfn-cloud syncshare-dienste external-link-new-window internal link in current>www.dfn.de/dfn-cloud/syncshare-dienste/

]]>
news-46 Thu, 09 May 2019 16:14:48 +0200 gmail: Verzögerungen ohne DKIM/DMARC/SPF https://www.mailsupport.dfn.de/news/gmail-verzoegerungen-ohne-dkim-dmarc-spf Aktuell hat gmail seine Richtlinien für das Annehmen von Mail verschärft und nimmt Mails über IPV6 ohne DKIM/DMARC/SPF nur verzögert an.

DNS-Konfiguration:

 Versenden Sie Mails über unsere Gateways (ausgehendes Filtern) und setzen SPF-Records für ihre Domains, so müssen sie folgendes Partikel in die SPF-Records aufnehmen:

include:spf.mailsupport.dfn.de

Ein weicher SPF-Record, der Weiterleitungen nicht unterbinden sollte, würde dann zum Beispiel so aussehen:

example.org TXT "v=spf1 include:spf.mailsupport.dfn.de ~all"

Und ein harter SPF-Record, der Weiterleitungen unterbindet, so:

example.org TXT "v=spf1 include:spf.mailsupport.dfn.de -all"

]]>
news-45 Tue, 23 Apr 2019 13:47:24 +0200 .mht Anhänge in die Liste der verdächtigen Attachments aufgenommen https://www.mailsupport.dfn.de/news/mht-anhaenge-in-die-liste-der-verdaechtigen-attachments-aufgenommen Aktuell gibt es einen Zero-Day-Exploit für den Internet Explorer, der sich über .mht-Anhänge überträgt. (s.a. "0day im Internet Explorer: Dateidiebstahl auf Windows-PCs", sowie "Zero-day XML External Entity (XXE) Injection Vulnerability in Internet Explorer Can Let Attackers Steal Files, System Info".

Wir haben die .mht-Anhänge nun in die Liste der verdächtigen Attachments aufgenommen.

Einrichtungen, die Anhänge nur markieren, sehen dies im "X-Amavis-Alert: BANNED"-Header, bei den Einrichtungen, die Attachments ablehnen, finden sich entsprechende Zeilen im Log.

 

]]>
news-44 Mon, 26 Nov 2018 16:14:19 +0100 Hilfe gegen die Makroviren-Welle https://www.mailsupport.dfn.de/news/hilfe-gegen-die-makroviren-welle Bezüglich der anhaltenden Makro-Viren-Welle stellen wir fest, daß jede neue Welle nur zögerlich von den Virenscannern auch erkannt wird.

DFN-Mailsupport erkennt Makros und gibt dies bei den Checks an:

<link DFN.ContainsMacros.UNOFF>DFN.ContainsMacros.UNOFFICIAL=0.01</link&gt; .

Die Spam-Bewertung mit 0.01 Punkten führt aber idR. nicht dazu, daß die Mail als Spam erkannt, wegsortiert oder abgelehnt wird. Wir haben diese Bewertung nun auf 4 Punkte erhöht.

Zusammen mit anderen Kriterien kann dies schon dazu beitragen, den Spamschwellwert von 6.2 Punkten zu erreichen.

Alternativ kann die Einordnung von Makros pro Einrichtung von "Spam mit 4 Punkten" auf "Virus" geändert werden, was aber in den meisten Fällen zu einer Ablehnung der Mail führen wird. Mitarbeiter, die Dokumente mit Makros austauschen wollen, sollten dies über Cloudlösungen oder Dokumentenserver tun, alternativ die Dokumente in zip-Files  mit Passwort kopieren und dann versenden.

 

Zusätzlich haben wir eine Regel eingeführt, die mehrfach vorkommende spitze Klammernpaare im From: erkennt. In der aktuellen Welle wird hier gern beim angezeigten und tatsächlichem From getrickst. Bei Vorkommen von mehreren spitzen Klammern werden 6 Punkte zur Spambewertung addiert.

]]>