DFN-MailSupport https://www.mailsupport.dfn.de/ de Copyright Mon, 10 May 2021 11:04:41 +0200 Mon, 10 May 2021 11:04:41 +0200 TYPO3 news-62 Mon, 26 Apr 2021 10:38:21 +0200 DFN-Mailsupport erneut nach ISO 27001 auf der Basis von IT-Grundschutz zertifiziert https://www.mailsupport.dfn.de/news/dfn-mailsupport-erneut-nach-iso-27001-auf-der-basis-von-it-grundschutz-zertifiziert Nach der erfolgreichen Zertifizierung in 2018 ist das für DFN-MailSupport entworfene Betriebskonzept inklusive der genutzten Infrastruktur erneut erfolgreich nach ISO 27001 auf der Basis von IT-Grundschutz auditiert und zertifiziert worden. Die Zertifikate werden vom BSI grundsätzlich befristet für eine Dauer von 3 Jahren verliehen und müssen anschließend neu absolviert werden.

Den aktualisierten BSI-Button samt Zertifizierungsnummer finden Sie links unter dem Menü auf dieser Webseite.

Wir möchten uns hiermit ausdrücklich bei allen Kolleginnen und Kollegen bedanken, die uns – unbeeinträchtigt vom Pandemiegeschehen – an unseren Daten verarbeitenden Standorten im X-WiN, so herzlich und bestens vorbereitet empfangen und unterstützt haben!

]]>
news-61 Wed, 07 Apr 2021 16:27:04 +0200 Neues interaktives Portal betriebsbereit https://www.mailsupport.dfn.de/news/neues-interaktives-portal-betriebsbereit Wir freuen uns heute, Ihnen mitteilen zu können, dass das neue interaktive Portal zum Dienst DFN-MailSupport nunmehr unter https://portal.mailsupport.dfn.de/ bereitsteht.

Über das Portal können teilnehmende Einrichtungen einige Eckdaten zu ihrem Dienst selbstständig ändern, wie z.B. Maildomains und Mailserver, sowie Black- und Whitelists.

Sollten Sie als teilnehmende Einrichtung noch keinen Zugang (über DFN-AAI) haben, kommen Sie bitte auf uns zu unter hotline@mailsupport.dfn.de.

 

]]>
news-60 Tue, 24 Nov 2020 14:57:44 +0100 Dynamische Blacklisten im Syslog https://www.mailsupport.dfn.de/news/dynamische-blacklisten-im-syslog Ab heute bekommen Sie die Aktionen des dynamischen Blacklistens auch im Syslog-Stream. Näheres hierzu finden sie in der Dokumentation.

]]>
news-59 Wed, 23 Sep 2020 08:24:34 +0200 Aktivierung der TLSA-Records https://www.mailsupport.dfn.de/news/aktivierung-der-tlsa-records Nachdem gestern DNSSEC für unsere Domain dfn.de in Betrieb genommen wurde, haben wir heute die für DANE notwendigen TLSA-Records aktiviert. Damit werden einliefernde Mailserver nun in die Lage versetzt, mittels DANE die TLS-Zertifikate unserer Mailgatways zu verifizieren.

Nähere Informationen rund um DNSSEC, DANE & Co im MailSupport finden Sie hier: https://www.mailsupport.dfn.de/dokumentation/komponenten/dns

 

]]>
news-58 Fri, 04 Sep 2020 14:09:41 +0200 Einführung DNSSEC https://www.mailsupport.dfn.de/news/einfuehrung-dnssec Nach erfolgreichem Abschluß der DNSSEC-Pilotphase werden wir am 22.9.2020 in der DNS-Zone unserer Mailgateways mx.srv.dfn.de DNSSEC aktivieren. Damit einhergehend werden TLSA-Records für die verwendeten Zertifikate veröffentlicht. Mit diesem Schritt wird die Überprüfung unserer Zertifikate mittels DANE für den eingehenden Mailverkehr ermöglicht. Details zu unserem DNS-Setup finden Sie unter  /dokumentation/komponenten/dns.

 

]]>
news-57 Mon, 29 Jun 2020 09:43:03 +0200 Aktuelle Informationen zum Konfigurationsportal DFN-MailSupport https://www.mailsupport.dfn.de/news/aktuelle-informationen-zum-konfigurationsportal-dfn-mailsupport Das Konfigurationsportal des Dienstes DFN-MailSupport ist seit dem 17. April 2020 außer Betrieb. Wegen eines Sicherheitsvorfalls musste der DFN-Verein das Portal deaktivieren. Bis auf Weiteres werden die Konfigurationswünsche der Teilnehmer über die MailSupport-Hotline (E-Mail) entgegengenommen und umgesetzt. Außerhalb der üblichen Geschäftszeiten (bspw. an Feiertagen und Wochenenden) reagieren wir auf Anfragen per E-Mail im Rahmen unserer Wochenendüberwachung.

 

Nach eingehender Analyse des Sicherheitsvorfalls können wir bestätigen, dass weder personenbezogene Daten abgeflossen sind, noch Konfigurationsänderungen durch unbefugte Dritte vorgenommen wurden. Die Analyse hat ebenfalls ergeben, dass die Sicherheitslücke in der Zuständigkeit des Herstellers der genutzten Web-Umgebung liegt. Der Hersteller verweist auf das baldige Support-Ende und rät zur Migration auf eine neue Version. Da wir jedoch bereits eine Nachfolgelösung in Form eines neuen Portals zusammen mit einem externen Anbieter vorbereiten, und die Migration durch Abhängigkeiten im Source-Code sehr aufwendig ist, haben wir entschieden die Migration nicht mehr durchzuführen. Wir arbeiten intensiv daran, Ihnen wieder die Möglichkeit zu geben, ihren Dienst online zu administrieren.
Über die aktuellen Entwicklungen halten wir sie über diese Web-Seite und per E-Mail auf dem Laufenden.

 

]]>
news-56 Fri, 24 Apr 2020 10:37:44 +0200 Konfigurationsportal außer Betrieb https://www.mailsupport.dfn.de/news/konfigurationsportal-ausser-betrieb Das interaktive Portal für Konfigurationsänderungen unter https://portal.mailsupport.dfn.de/ ist bis auf Weiteres außer Betrieb. Alle Änderungen können selbstverständlich weiterhin - und für die Zeit des Ausfalles ebenfalls am Wochenende - über unsere Hotline beauftragt werden.

Sobald sich dieser Zustand ändert, werden wir Sie hier darüber informieren.

Wir bitten Sie um Ihr Verständnis!

]]>
news-53 Fri, 20 Mar 2020 16:19:00 +0100 Dynamisches Blacklisten https://www.mailsupport.dfn.de/news/dynamisches-blacklisten Die Versuche, gültige Empfängeradressen durch Brute-Force zu erraten, hat über die letzten Monate spürbar zugenommen. Über die  "recipient verification" schlagen diese Versuche auch auf die Mailsysteme unserer Nutzer durch, das eingebaute Caching ist in diesen Fällen wirkungslos.

Um die Last auf den Systemen zu senken haben wir uns daher entschlossen, die SMTP-Rejects 'User unknown' und 'Protocol Errors' mit fail2ban zu erfassen und IP-Adressen, die 5 Fehlversuche in 10 Minuten liefern für 10 Minuten in der Firewall zu sperren.

Log-Analysen haben ergeben, dass nur in ganz wenigen Einzelfällen "gute" Mailsysteme davon betroffen sind, zB wenn diese Mailverteiler bedienen, die viele ungültige Empfänger enthalten. In diesen Fällen kann die Auslieferung um obige Zeiträume verzögert werden.

Zu diesem Check gibt es natürlich eine IP-Whitelist, in der wir Ausnahmen definieren können.

 

]]>
news-52 Tue, 25 Feb 2020 14:27:00 +0100 Diverse Updates: Banned-Rules, Phishing-Check, Attachment-Handling https://www.mailsupport.dfn.de/news/diverse-updates-banned-rules-phishing-check-attachment-handling Folgende Änderungen haben wir in den letzten Wochen vorgenommen:

1. Update Banned-Rule

Unsere Liste der unerwünschten Anhangstypen haben wir an die aktuelle Microsoft-Outlook-Liste angepasst sowie aus weiteren Microsoft-Quellen die Liste erweitert. Folgende Typen wurden neu aufgenommen: aspx cer diagcab dqy htc jnlp msu oqy printerexport psd1 psdm1 py pyc pyo pyw pyz pyzw rqy theme vhd vhdx webpnp website xll

Details finden Sie unter: https://www.mailsupport.dfn.de/dokumentation/checks/anhaenge

2. Neuer Phishing-Check

Die Verschleierung von Buchstaben mittels HTML-Entities ist kein neues Phänomen und der Spamassassin geht damit problemlos um, sie kann aber als Phishing-Indikator eingesetzt werden, sofern die false-positive-Rate gering genug ist. Wir haben einen neuen Check eingeführt, bei dem Verschleierungsversuche von 'http://' und ' in URLs erkannt und mit 7.0 Spampunkten bewertet werden. Sie erkennen den Hit im Syslog am Spamassassin-Hit DFN_ORU1.

Falls es zu false positives kommt melden Sie bitte diese an unsere Hotline.

3. Neue Option im Attachment-Handling

Wir sind nun in der Lage, Mails mit unerwünschten Anhängen nicht nur markiert weiterzuleiten oder pauschal abzulehnen, sondern können nun auch Attachments herausschneiden und durch einen informativen Text ersetzen.

Bei Interesse melden Sie sich bitte an unserer Hotline.

]]>
news-51 Fri, 17 Jan 2020 13:23:31 +0100 mgw1-erl vorläufig außer Betrieb https://www.mailsupport.dfn.de/news/mgw1-erl-vorlaeufig-ausser-betrieb Der Server mgw1-erl bleibt voraussichtlich für mehrere Tage außer Betrieb, Grund dafür ist ein vermuteter Hardwaredefekt.

]]>
news-50 Thu, 02 Jan 2020 17:04:59 +0100 URLhaus-recent-Liste aktiviert https://www.mailsupport.dfn.de/news/urlhaus-recent-liste-aktiviert Seit heute werden die in den Mails auftauchenden URLs vom Spamassassin auch gegen die URLhaus-recent-Liste
geprüft. Bislang geschah dies nur im Rahmen des ClamAV gegen die URLhaus-active-Liste. Je nach Konfiguration
werden die Mails abgelehnt oder als Spam markiert weitergeleitet. Erkennen können Sie Hits im syslog:

  • active-Liste: ... INFECTED (URLhaus.279542.UNOFFICIAL) ...
  • recent-Liste: ... Tests: [...URLhaus30=15...]

Der Unterschied zwischen den beiden Listen liegt darin, dass die active-Liste nur die
URLs enthält, die in den letzten 48 Stunden in Mails gefunden wurden, während die recent-
Liste alle URLs der letzten 30 Tage enthält. Nähere Infos zu diesen Listen erhalten Sie
unter urlhaus.abuse.ch/api/

 

]]>
news-49 Thu, 14 Nov 2019 10:38:14 +0100 Blacklisten gegen Spear-Phishing-Kampagne https://www.mailsupport.dfn.de/news/blacklisten-gegen-spear-phishing-kampagne Das DFN-Cert unterrichtete uns von einer Spear-Phishing-Kampagne, ausgehend von einer Gruppe, die unter den Namen 'Silent Librarian' oder 'Cobalt Dickens' bekannt ist.

In diesem Zusammenhang erhielten wir zwei Listen von IP-Adressen und Domains, die wir als zusätzliche RBLs verwenden.  Bei Übereinstimmung mit Inhalten dieser Listen lehnen wir die Mails entweder ab oder vergeben 12 Spampunkte.

Bitte beobachten Sie Ihren Mailverkehr bezüglich der Wirksamkeit der Listen und achten Sie auch auf false positives und kommen Sie gegebenenfalls auf uns zu.

Erkennen können Sie Hits entweder an den RBL-URLs cds.spamhaus.org bzw. cdd.spamhaus.org oder an dem Spamassassin-Hit URIBL_CDD_SPAM. Die Verwendung der Domain 'spamhaus.org' hat interne technische Gründe, die Listen existieren bei Spamhaus nicht.

Weitere Informationen dazu und zur Verarbeitung der RBLs generell finden Sie unter "Dokumentation -> Checks -> RBL".

]]>
news-48 Wed, 12 Jun 2019 15:20:24 +0200 fresh.spameatingmonkey vorläufig deaktiviert https://www.mailsupport.dfn.de/news/fresh-spameatingmonkey-vorlaeufig-deaktiviert Seit heute Mittag produziert die Domain-Blacklist fresh.spameatingmonkey.net extrem viele false positives, so dass wir sie vorläufig außer Betrieb nehmen mussten.

]]>
news-47 Thu, 23 May 2019 15:31:46 +0200 Empfehlung: Blockieren von makrobehafteten Office-Anhängen https://www.mailsupport.dfn.de/news/empfehlung-blockieren-von-makrobehafteten-office-anhaengen Die emotet-Virenwelle läuft auf Hochtouren. Der Schadcode versteckt
sich hierbei in Makros innerhalb der den Mails angehängten Office-
Dokumenten.

Diese Makros werden laufend modifiziert, so dass die AV-Hersteller nur
schwer mit der Bereitstellung von Pattern hinterherkommen. Es wird
daher immer ein gewisser Prozentsatz dieser Mails durch unsere
Virenscanner schlüpfen.

Nach unserer Einschätzung wird dieser Zustand noch eine geraume Weile
anhalten, da die Modifikationsmöglichkeiten innerhalb der Office-Makros
sehr vielfältig sind und daher kein Ende für das Hase-und-Igel-Spiel
abzusehen ist.

Unsere Filter können aber zuverlässig erkennen, ob Makros in einem
Dokument enthalten sind. Damit haben Sie die Möglichkeit, den Empfang von
makrobehafteten Office-Dokumenten pauschal zu blocken. Dies führt
zu Einschränkungen für ihre Nutzer! Verweisen Sie deshalb bitte
ausdrücklich auf alternative Formen des Dokumentenaustausches.


Bei Bedarf finden Sie in der DFN-Cloud Cloud-Lösungen im Wissenschaftsnetz,
die auf die besonderen Bedürfnisse von Wissenschaft und Forschung abgestimmt sind.
Weitere Informationen finden Sie unter: https://www.dfn.de/dfn-cloud/syncshare-dienste/

]]>
news-46 Thu, 09 May 2019 16:14:48 +0200 gmail: Verzögerungen ohne DKIM/DMARC/SPF https://www.mailsupport.dfn.de/news/gmail-verzoegerungen-ohne-dkim-dmarc-spf Aktuell hat gmail seine Richtlinien für das Annehmen von Mail verschärft und nimmt Mails über IPV6 ohne DKIM/DMARC/SPF nur verzögert an.

DNS-Konfiguration:

 Versenden Sie Mails über unsere Gateways (ausgehendes Filtern) und setzen SPF-Records für ihre Domains, so müssen sie folgendes Partikel in die SPF-Records aufnehmen:

include:spf.mailsupport.dfn.de

Ein weicher SPF-Record, der Weiterleitungen nicht unterbinden sollte, würde dann zum Beispiel so aussehen:

example.org TXT "v=spf1 include:spf.mailsupport.dfn.de ~all"

Und ein harter SPF-Record, der Weiterleitungen unterbindet, so:

example.org TXT "v=spf1 include:spf.mailsupport.dfn.de -all"

]]>
news-45 Tue, 23 Apr 2019 13:47:24 +0200 .mht Anhänge in die Liste der verdächtigen Attachments aufgenommen https://www.mailsupport.dfn.de/news/mht-anhaenge-in-die-liste-der-verdaechtigen-attachments-aufgenommen Aktuell gibt es einen Zero-Day-Exploit für den Internet Explorer, der sich über .mht-Anhänge überträgt. (s.a. "0day im Internet Explorer: Dateidiebstahl auf Windows-PCs", sowie "Zero-day XML External Entity (XXE) Injection Vulnerability in Internet Explorer Can Let Attackers Steal Files, System Info".

Wir haben die .mht-Anhänge nun in die Liste der verdächtigen Attachments aufgenommen.

Einrichtungen, die Anhänge nur markieren, sehen dies im "X-Amavis-Alert: BANNED"-Header, bei den Einrichtungen, die Attachments ablehnen, finden sich entsprechende Zeilen im Log.

 

]]>
news-44 Mon, 26 Nov 2018 16:14:19 +0100 Hilfe gegen die Makroviren-Welle https://www.mailsupport.dfn.de/news/hilfe-gegen-die-makroviren-welle Bezüglich der anhaltenden Makro-Viren-Welle stellen wir fest, daß jede neue Welle nur zögerlich von den Virenscannern auch erkannt wird.

DFN-Mailsupport erkennt Makros und gibt dies bei den Checks an:

DFN.ContainsMacros.UNOFFICIAL=0.01 .

Die Spam-Bewertung mit 0.01 Punkten führt aber idR. nicht dazu, daß die Mail als Spam erkannt, wegsortiert oder abgelehnt wird. Wir haben diese Bewertung nun auf 4 Punkte erhöht.

Zusammen mit anderen Kriterien kann dies schon dazu beitragen, den Spamschwellwert von 6.2 Punkten zu erreichen.

Alternativ kann die Einordnung von Makros pro Einrichtung von "Spam mit 4 Punkten" auf "Virus" geändert werden, was aber in den meisten Fällen zu einer Ablehnung der Mail führen wird. Mitarbeiter, die Dokumente mit Makros austauschen wollen, sollten dies über Cloudlösungen oder Dokumentenserver tun, alternativ die Dokumente in zip-Files  mit Passwort kopieren und dann versenden.

 

Zusätzlich haben wir eine Regel eingeführt, die mehrfach vorkommende spitze Klammernpaare im From: erkennt. In der aktuellen Welle wird hier gern beim angezeigten und tatsächlichem From getrickst. Bei Vorkommen von mehreren spitzen Klammern werden 6 Punkte zur Spambewertung addiert.

]]>
news-43 Tue, 06 Nov 2018 10:29:52 +0100 Makroviren-Welle https://www.mailsupport.dfn.de/news/makroviren-welle Werte Admins im Mailsupport,

seit heute morgen verzeichnen wir eine Makro-Viren-Welle, die bisher von den bei uns eingesetzten Virenscannern nicht erkannt wird. Lediglich die ClamAV Unofficial Pattern erkennen diese.

Derzeit bewerten wir diese wie folgt: AV:DFN.ContainsMacros.UNOFFICIAL=0.01.

Wir werden diese Bewertung ändern, dann werden diese Mails als Virus eingeordnet und abgelehnt bzw. getaggt (die derzeitige Bewertung ist nur eine Spam-Bewertung, die zum Score beiträgt).

Damit verringert sich die Wahrscheinlichkeit, daß unbedarfte Nutzer die Mails anklicken.

Als zweite Möglichkeit bieten wir an, bei den Anhängen .doc zu markieren bzw. Anhänge abzulehnen inkl. doc. Dies kann für Sie innerhalb weniger Minuten geschaltet werden, bitte sprechen Sie uns an unter hotline@mailsupport.dfn.de.

 

Update 08.11.2018, 16:30: die Regel wurde wieder deaktiviert, die Makroviren werden nunmehr vom Virenscanner ClamAV erkannt. Makros werden wieder im Spam-Header mit Score-Punkten versehen.

]]>
news-42 Mon, 29 Oct 2018 12:48:55 +0100 7.11.2018: Betriebsvollversammlung im DFN https://www.mailsupport.dfn.de/news/7-11-2018-betriebsvollversammlung-im-dfn Liebe Administratoren und Nutzer des DFN-Mailsupport,

am Mittwoch, den 7.11.2018 findet im DFN eine ganztägige Betriebsvollversammlung statt. Daher wird die Mailsupport Hotline schwächer besetzt sein als üblich. Wir bitten um Verständnis.

]]>
news-41 Thu, 18 Oct 2018 09:32:57 +0200 DFN-Cert informiert: Phishingwelle mit Ziel Hochschulen und Forschungseinrichtungen https://www.mailsupport.dfn.de/news/dfn-cert-informiert-phishingwelle-mit-ziel-hochschulen-und-forschungseinrichtungen Das DFN-Cert informiert in diesen Tagen über eine Phishing-Welle, die gezielt Hochschulen und Forschungseinrichtungen angreift.

Sollten Ihnen eine derartige Mail vorliegen, lassen Sie uns diese bitte zukommen unter hotline@mailsupport.dfn.de.

 

Hier die Meldung des DFN-Cert:

 

"Betreff: DFN-CERT#2018-1053469774 / Informationen zu einer aktuellen
Spear-Phishing-Kampagne

Liebe Kolleginnen und Kollegen,

wir haben Informationen zu einer aktuellen Spear-Phishing-Kampagne erhalten, deren Ziel
deutsche Hochschulen und Forschungseinrichtungen sind. Die dazu verschickten E-Mails
warnen z.B. vor dem angeblichen Ablauf eines Bibliothekskontos und enthalten Links, über
die möglicherweise auch Schadsoftware verteilt wird.

Die E-Mails stammen vermeintlich von einem validen E-Mail-Account einer Hochschule, werden
aber von einem französischen Server versendet.

Weiterhin enthalten die E-Mails eine gefälschte Signatur der Universitätsbibliothek mit
der Registrierungsnummer „SC014336“.
Der Empfänger einer solchen E-Mail wird darüber in Kenntnis gesetzt, dass sein
Bibliothekskonto bald ablaufe und zur weiteren Nutzung und Aktivierung aufgefordert, den
Link „Mein Bibliothekskonto“ aufzurufen und sich anzumelden. Bei diesem Link handelt es
sich um eine vom Angreifer kontrollierte Internetpräsenz.

Die Angreifer zielen wahrscheinlich darauf ab, das Netzwerk der jeweiligen Universität
bzw. Forschungseinrichtung mit den erlangten Credentials zu infiltrieren.
Die gesamte Vorgehensweise lässt einen gezielten Angriff auf Angehörige der jeweiligen
Universität bzw. Forschungseinrichtung vermuten.

Bitte sensibilisieren Sie ggf. den betreffenden Personenkreis ihrer Einrichtung.

Wir bearbeiten diesen Vorfall unter der Nummer im Betreff und stehen Ihnen für Nachfragen
gerne zur Verfügung.

Viele Grüße aus Hamburg,
    Ihr DFN-CERT

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone  +49 40 808077-590 Sitz /
Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.:  DE 232129737 Sachsenstrasse 5, 20097
Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski"

]]>
news-40 Mon, 11 Jun 2018 13:42:40 +0200 Erweiterung der Black- und Whitelisten sowie der Rejectlevel https://www.mailsupport.dfn.de/news/erweiterung-der-black-und-whitelisten-sowie-der-rejectlevel Wir haben die Konfigurationsmöglichkeiten erweitert, folgende Optionen sind nun hinzugekommen:

  1. Innerhalb einer Konfigurationsgruppe sind nun weitere Einstellungen spezifisch pro Empfänger-Maildomain bzw -Mailadresse möglich:
    • Grenzwerte für das Markieren und Ablehnen vom Mails durch den Spamfilter
    • Regeln für das Ablehnen von Anhängen
    • Black- und Whitelist im Spamfilter für bestimmte Absenderadressen
  2. Alle Black- und Whitelisten lassen sich nun über das Portal pflegen, die Varianten finden Sie hier

 

]]>
news-39 Tue, 29 May 2018 16:22:33 +0200 DFN-Mailsupport nun zertifiziert nach ISO 27001 auf der Basis von IT-Grundschutz https://www.mailsupport.dfn.de/news/dfn-mailsupport-nun-zertifiziert-nach-iso-27001-auf-der-basis-von-it-grundschutz Nach dem Erreichen der Einstiegstufe (2014) und der Aufbaustufe (2016) hat das für DFN-MailSupport entworfene Betriebskonzept inklusive der genutzten Infrastruktur die Zertifikatssufe ebenfalls erfolgreich absolviert.

Den Zertifikatsnachweis samt Zertifizierungsnummer finden Sie unter: https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Managementsystemzertifizierung/Zertifizierung27001/ErteilteZertifikate/iso27001zertifikate_node.html

Ein ausführlicher Bericht zum Zertifizierungsprozess ist nunmehr in der aktuellen Ausgabe der DFN-Mitteilungen (#93) veröffentlicht.

Wir möchten uns hiermit noch einmal bei allen Mitarbeitern und Kollegen bedanken, die uns an allen Daten verarbeitenden Standorten im X-WiN, so herzlich und bestens vorbereitet empfangen und unterstützt haben!

 

]]>
news-38 Mon, 14 May 2018 11:12:24 +0200 Neues Webseitendesign https://www.mailsupport.dfn.de/news/neues-webseitendesign Die Webseite www.mailsupport.dfn.de die umfänglich über den Dienst DFN-Mailsupport informiert, wurde heute in das neue DFN-Design überführt, wie es schon auf www.dfn.de sichtbar ist. Die Inhalte sind unverändert. Bei Fehlern oder ungewöhnlichem Verhalten sprechen Sie uns bitte an.

]]>
news-37 Tue, 27 Feb 2018 15:03:29 +0100 Test der Blacklisten von uribl.com https://www.mailsupport.dfn.de/news/test-der-blacklisten-von-uribl-com Wir führen vom 27.2.2018 bis 31.3.2018 einen Test der von uribl.com angebotenen Blacklisten durch. Sie erkennen Hits im syslog an den Rules:

  • URIBL_RED
  • URIBL_BLACK
  • URIBL_GREY      
  • URIBL_GOLD      
  • URIBL_WHITE     
  • URIBL_BLACK_NS  
  • URIBL_BLACK_NSIP
  • URIBL_BLACK_A

In den Blacklisten sind Domains gelistet, die in URLs im Text von Spam- und Phishing-Mails auftauchen. Weiterhin gibt es Listen mit Nameservern, die überwiegend solche Domains hosten. Anhand dieser werden auch ungelistete Domains erkannt. Nach Abschluss der Tests werden wir entscheiden, ob wir diesen kostenpflichtigen Dienst zukünftig in Anspruch nehmen.

Wenn Sie den Eindruck bekommen, dass sich durch diese Rules die Anzahl False Positives erhöht, wenden Sie sich bitte an unsere Hotline.

]]>
news-36 Thu, 26 Oct 2017 10:59:35 +0200 Empfehlung: From-Adresse im Mailprogramm anzeigen lassen https://www.mailsupport.dfn.de/news/empfehlung-from-adresse-im-mailprogramm-anzeigen-lassen Durch die Phishingwelle der vergangen Wochen fiel auf, daß viele Mailprogramme aus vermeintlichen Komfortgründen für den Nutzer im "From:" nur das anzeigen, was üblicherweise als "Real Name/Klarname" bezeichnet wird. Die eigentliche From-Mailadresse wird ausgeblendet.

Genau das machten sich die Spammer zunutze: im "Real Name" zeigten sie eine (meist existente) Adresse von Hochschulen und Forschungseinrichtungen an, die echte From-Adresse des Spammer blieb verborgen.

Wir empfehlen daher, Mailprogramme, soweit möglich, so einzustellen, daß Real Name UND From-Mailadresse angezeigt werden. So fällt Spam/Phishing dem Nutzer leichter auf.

Für den gängigen Mailclient Thunderbird zeigen wir die Stelle, an der dies eingestellt wird, in anderen Mailclients geht dies sicher ähnlich (z.B. für Mac Mail: Mail > Preferences > Viewing > "Use smart addresses” ausschalten).

 

 

]]>
news-35 Thu, 12 Oct 2017 13:11:41 +0200 Aktuelle Phishingwelle 9/10 2017 https://www.mailsupport.dfn.de/news/aktuelle-phishingwelle-9-10-2017 In Reaktion auf die aktuelle Phising-Welle wurden am Dienstag, 10.10.2017, gegen 16 Uhr neue Pattern in die Amavis-Konfiguration des DFN-Mailsupport eingepflegt.


Diese haben im Wesentlichen die Funktion, Mails zu taggen, bei denen im "Real Name" der Mail eine (universitäre) Mailadresse sichtbar ist, die eigentliche Mailadresse jedoch abweicht. Desweiteren erfassen die Pattern Mailinhalte  wie "Rechnung Scan Bestellung", sowie die englischen Varianten dessen.


Ein Training des Bayes-Filters war bisher schwierig, weil der Mailinhalt an sich nur wenige Zeilen umfasst.
Die Pattern werden im Spam-Score-Header gekennzeichnet mit "DFN_P1017_*" und es werden dem Score 7 Punkte hinzugefügt.


Bei Auffälligkeiten und auch false positives bitten wir Sie, uns (am besten mit Beispielmails) über die Hotline zu benachrichtigen.

]]>
news-34 Thu, 29 Dec 2016 10:29:00 +0100 Erkennung von Makros in Office-Dokumenten https://www.mailsupport.dfn.de/news/erkennung-von-makros-in-office-dokumenten Der Verschlüsselungstrojaner Goldeneye ist seit ca. Anfang Dezember 2016 in Umlauf. Er tarnt sich als Bewerbung, kommt als Excel-Datei und fordert den Leser zunächst auf, die "Bearbeitungsfunktion" (also ausführbare Makros) zu aktivieren und tritt sodann in Aktion.

Hieraus ergibt sich der Wunsch, Makros in Officedokumenten zu erkennen.

Dies ist nunmehr möglich, indem wir dem Virenscanner ClamAV eigene Pattern zur Makroerkennnung hinzugefügt haben.
 

Erkennbar sind die Makros nunmehr im Header X-Spam-Status als "AV:DFN.ContainsMacros.UNOFFICIAL".

Unabhängig davon wird weiterhin mit den offiziellen Pattern nach Malware-Makros gesucht und Treffer entsprechend der Konfiguration entweder abgelehnt oder als virenbefallen markiert und zugestellt.

]]>
news-33 Wed, 28 Dec 2016 14:08:00 +0100 Umsetzung von SPF-Regeln im DNS für eigene Domains https://www.mailsupport.dfn.de/news/umsetzung-von-spf-regeln-im-dns-fuer-eigene-domains Für die eingehenden Mails kann der Dienst Mailsupport seit Dezember 2016 nun so konfiguriert werden, daß die SPF-Records für eigene Domains überprüft und berücksichtigt werden (SPF für fremde Domains wird ausdrücklich nicht ausgewertet).

Mails mit Absenderdomains der Einrichtungen werden dann nur noch angenommen, wenn sie von den im DNS definierten Mailservern kommen.
Mails, die über andere Wege zu der Einrichtung gelangen, werden abgelehnt. So soll verhindert werden, daß die Maildomains einer Einrichtung als Spam-Absender mißbraucht werden.

Auch ohne SPF-Records ist eine solche Regelung möglich: hier muß der Mailsupport Hotline bekanntgegeben werden, aus welchen IP-Netzen reguläre Mails empfangen werden sollen.

Einrichtungen, die sich für diese Ergänzung des Dienstes interessieren, werden gebeten, ihre Logs einige Zeit daraufhin zu prüfen, aus welchen Netzen/von welchen Mailservern korrekte Mails kommen. Bitte berücksichtigen Sie auch Dinge wie z.B. ausgelagerte Bibliotheksserver oder Home-Office-Lösungen.

]]>
news-32 Thu, 29 Sep 2016 10:03:00 +0200 Ausfall der Spamerkennung https://www.mailsupport.dfn.de/news/ausfall-der-spamerkennung Für den Zeitraum zwischen Mittwoch abend, 28.9.2016 und Donnerstag, 29.9.2016, 10:05 kam es zu einem Ausfall des Dienstes DFN-MailSupport.
Seit der Fehlerbehebung und Reaktivierung der Amavis-Daemons werden die Queues entleert und damit alle bislang aufgestauten Mails nach und nach zugestellt.

Vorausgegangen waren am Vortag notwendige Updates auf den Mailgateways.
Mehrere Stunden danach wiesen die inhaltsbasierten Scanner eine Fehlfunktion auf, die aber erst am Morgen behoben werden konnte.

Wenn möglich werden in Zukunft die Updates der georedundanten Standorte zeitversetzt durchgeführt, um solche Fehlfunktionen besser entdecken zu können und für Ausfallsicherheit zu sorgen.

Es sind keine Inhalte verlorengegangen, alle Mails wurden - wenn auch verspätet - zugestellt. In allen Fällen wurde der Absender mithilfe einer eindeutigen Fehlermeldung über das Fehlverhalten informiert.

]]>
news-31 Mon, 08 Aug 2016 11:32:00 +0200 Teilweiser Syslog-Ausfall vom 6.8. bis 8.8. https://www.mailsupport.dfn.de/news/teilweiser-syslog-ausfall-vom-6-8-bis-8-8 Aufgrund von DNS-Server-Ausfällen auf Seiten eines Teilnehmers am DFN-Mailsupport konnten unsere syslog-Daemons den Namen eines Syslog-Servers nicht auflösen und stellten am Wochenende zeitweise ihren Dienst ein. Sie müssen daher leider mit Lücken in ihren Mail-Logs rechnen. Dies betraf auch unsere eigenen Logs, so dass wir fehlende Einträge leider auch nicht nachliefern können.

]]>