DFN-MailSupport https://www.mailsupport.dfn.de/ de Copyright Thu, 08 Jun 2023 22:38:40 +0200 Thu, 08 Jun 2023 22:38:40 +0200 TYPO3 news-70 Wed, 29 Mar 2023 16:34:37 +0200 Update Spamassassin auf die Version 4.0.0 https://www.mailsupport.dfn.de/news/update-spamassassin-auf-die-version-400 Heute abend rollen wir die neueste Version 4.0.0 des Spamassassin auf den Mailgateways aus. Es handelt sich um das erste Major-Release seit sieben Jahren und es wurden etliche Bugfixes, Performanceverbesserungen und neue Features eingebaut. Die bemerkenswertesten Features vor allem hinsichtlich dem Problemfeld Phishing sind:

  • DMARC + ARC
    Diese Checks können Fälschungen der Absenderadresse im Header-From erkennen. Details finden Sie auf unseren neuen Seiten DMARC und ARC.
  • DecodeShortURLs
    Dies ermöglicht ein rekursives Auflösen von Short-URLs bis zur tatsächlichen URL und unterstützt so die Checks gegen URL-Blacklisten.
  • OLEVBMacro
    Die Erkennung von Makros in Office-Dokumenten wurde stark verbessert.

Auf den Spamassassin-Webseiten finden Sie eine Übersicht aller Änderungen.

]]>
news-69 Thu, 16 Mar 2023 18:01:49 +0100 Temporäre Deaktivierung einzelner Virenscanner https://www.mailsupport.dfn.de/news/temporaere-deaktivierung-einzelner-virenscanner Um recht unspezifischen Zustellproblemen auf die Spur zu kommen, schalten wir für die nächsten Tage testweise einen der drei Virenscanner ab. Wir vermuten, dass unter höherer Last dessen Scanzeiten überproportional ansteigen und es dadurch im Zusammenspiel mit einzelnen Mailprovidern zu Effekten wie langen Zustellzeiten und Mailverdoppelungen kommt. Zwei Virenscanner bleiben aber stets im Einsatz, um einen zuverlässigen Virenschutz zu garantieren.

]]>
news-68 Fri, 03 Feb 2023 11:43:11 +0100 Sperrung von Microsoft OneNote-Anhängen https://www.mailsupport.dfn.de/news/sperrung-von-microsoft-onenote-anhaengen OneNote-Anhänge mit der Dateiendung .one werden aktuell massiv für Phishing-Angriffe benutzt und werden daher seit heute von unserem Anhangscheck markiert bzw. abgelehnt. Weiterführende Informationen finden Sie hier:

]]>
news-67 Thu, 08 Dec 2022 15:16:44 +0100 Erweiterung des Amavis-Logzeilenformats https://www.mailsupport.dfn.de/news/erweiterung-des-amavis-logzeilenformats In der Amavis-Syslogzeile, in der er die Filterergebnisse darstellt, werden wir ab morgen Vormittag vor dem letzten Partikel From: ein neues Partikel helo: einfügen. Es enthält den vom einliefernden Mail-Server im SMTP-Protokoll angegebenen HELO- respektive EHLO-String.

Hintergrund dieser Maßnahme ist der Umstand, dass vom Spamassassin auch SPF-Checks auf eben diese HELO-Strings durchgeführt werden, aber bisher mangels Auftauchen letzterer im Syslog das Filterergebnis in zweifelhaften Fällen nicht nachvollzogen und geprüft werden konnte.

]]>
news-66 Thu, 10 Nov 2022 11:47:30 +0100 Erweiterung der Spamhaus-Blacklist https://www.mailsupport.dfn.de/news/vergroesserung-der-spamhaus-blacklist Spamhaus hat angekündigt, ihre CSS-Blacklist, die als Teil der ZEN-Blacklist im DFN-MailSupport verwendet wird, um circa 1,5 Mio Adressen zu erweitern:

https://www.spamhaus.com/resource-center/additional-protection-with-an-expanding-css-dataset/

Spamhaus wird in den nächsten Wochen jeweils pro Tag etwa 50.000 IP-Adressen aufnehmen, da das Auftreten von false positives nicht ganz auszuschließen ist. Falls dies passiert melden Sie sich bitte an unserer Hotline, wir pflegen dann die passenden Whitelisten.

]]>
news-65 Fri, 17 Jun 2022 15:22:41 +0200 Neuer Check für verschlüsselte Anhänge https://www.mailsupport.dfn.de/news/neuer-check-fuer-verschluesselte-anhaenge Im Zuge der aktuellen Emotet-Welle haben wir einen Check auf verschlüsselte Anhänge aktiviert. Er erkennt verschlüsselte zip- bzw. 7zip-Archive und pdf-Dateien und kann diese wahlweise blocken. Wenden Sie sich hierfür bitte an unsere Hotline. Hier finden Sie die Details zu unseren Anhangschecks.

]]>
news-64 Fri, 04 Mar 2022 16:19:59 +0100 Delivery zu Google erschwert https://www.mailsupport.dfn.de/news/delivery-zu-google-erschwert Seit etwa vier Tagen hat Google (gmail.com) offensichtlich die Filter für den Empfang von Mails verschärft. Es wird nun ein gewisser Prozentsatz der Mails mit:

550-5.7.26 This message does not have authentication information or fails to
           pass authentication checks. To best protect our users from spam, the
           message has been blocked. Please visit

            support.google.com/mail/answer/81126 for more


           information.

abgelehnt. Google hatte bekanntermaßen bereits seit längerer Zeit verschärfte Regeln im IPv6 aktiv, scheint jedoch dies nun auch in den IPv4-Bereich hinein auszudehnen. Der Inhalt der Webseite hinter dem Link in der Meldung deutet darauf hin, dass Google nun SPF und/oder DKIM beim Empfang erzwingen will. Aus einer Analyse des Maillogs kann man jedoch nicht auf ein eindeutiges Verhalten der gmail-Server schließen, Ablehnungen korrelieren nicht mit dem Vorhandensein von SPF-Records oder deren Inhalte, das Verhalten sieht mehr nach einem zufallsbasierten Würfeln aus.

Die Zahlen deuten jedoch darauf hin, dass ein korrekter SPF-Record die Wahrscheinlichkeit etwas erhöht, dass eine Mail nicht abgelehnt wird. Auch gab es bislang noch keinen Fall, in dem eine DKIM-signierte Mail abgelehnt wurde.

Falls Sie solche Probleme bei sich beobachten, raten wir daher zum Einsatz von SPF und/oder DKIM.

]]>
news-63 Fri, 04 Mar 2022 10:12:23 +0100 Einführung von DKIM-Signaturen https://www.mailsupport.dfn.de/news/einfuehrung-von-dkim-signaturen wir freuen uns, den Nutzern des ausgehenden Filterns ein neues Feature anbieten zu können: Auf Wunsch versehen unsere Gateways die ausgehenden Mails nun mit einer DKIM-Signatur. Weitere Details hierzu finden Sie in unserer Dokumentation.

]]>
news-62 Mon, 26 Apr 2021 10:38:21 +0200 DFN-Mailsupport erneut nach ISO 27001 auf der Basis von IT-Grundschutz zertifiziert https://www.mailsupport.dfn.de/news/dfn-mailsupport-erneut-nach-iso-27001-auf-der-basis-von-it-grundschutz-zertifiziert Nach der erfolgreichen Zertifizierung in 2018 ist das für DFN-MailSupport entworfene Betriebskonzept inklusive der genutzten Infrastruktur erneut erfolgreich nach ISO 27001 auf der Basis von IT-Grundschutz auditiert und zertifiziert worden. Die Zertifikate werden vom BSI grundsätzlich befristet für eine Dauer von 3 Jahren verliehen und müssen anschließend neu absolviert werden.

Den aktualisierten BSI-Button samt Zertifizierungsnummer finden Sie links unter dem Menü auf dieser Webseite.

Wir möchten uns hiermit ausdrücklich bei allen Kolleginnen und Kollegen bedanken, die uns – unbeeinträchtigt vom Pandemiegeschehen – an unseren Daten verarbeitenden Standorten im X-WiN, so herzlich und bestens vorbereitet empfangen und unterstützt haben!

]]>
news-61 Wed, 07 Apr 2021 16:27:04 +0200 Neues interaktives Portal betriebsbereit https://www.mailsupport.dfn.de/news/neues-interaktives-portal-betriebsbereit Wir freuen uns heute, Ihnen mitteilen zu können, dass das neue interaktive Portal zum Dienst DFN-MailSupport nunmehr unter https://portal.mailsupport.dfn.de/ bereitsteht.

Über das Portal können teilnehmende Einrichtungen einige Eckdaten zu ihrem Dienst selbstständig ändern, wie z.B. Maildomains und Mailserver, sowie Black- und Whitelists.

Sollten Sie als teilnehmende Einrichtung noch keinen Zugang (über DFN-AAI) haben, kommen Sie bitte auf uns zu unter hotline@mailsupport.dfn.de.

 

]]>
news-60 Tue, 24 Nov 2020 14:57:44 +0100 Dynamische Blacklisten im Syslog https://www.mailsupport.dfn.de/news/dynamische-blacklisten-im-syslog Ab heute bekommen Sie die Aktionen des dynamischen Blacklistens auch im Syslog-Stream. Näheres hierzu finden sie in der Dokumentation.

]]>
news-59 Wed, 23 Sep 2020 08:24:34 +0200 Aktivierung der TLSA-Records https://www.mailsupport.dfn.de/news/aktivierung-der-tlsa-records Nachdem gestern DNSSEC für unsere Domain dfn.de in Betrieb genommen wurde, haben wir heute die für DANE notwendigen TLSA-Records aktiviert. Damit werden einliefernde Mailserver nun in die Lage versetzt, mittels DANE die TLS-Zertifikate unserer Mailgatways zu verifizieren.

Nähere Informationen rund um DNSSEC, DANE & Co im MailSupport finden Sie hier: https://www.mailsupport.dfn.de/dokumentation/komponenten/dns

 

]]>
news-58 Fri, 04 Sep 2020 14:09:41 +0200 Einführung DNSSEC https://www.mailsupport.dfn.de/news/einfuehrung-dnssec Nach erfolgreichem Abschluß der DNSSEC-Pilotphase werden wir am 22.9.2020 in der DNS-Zone unserer Mailgateways mx.srv.dfn.de DNSSEC aktivieren. Damit einhergehend werden TLSA-Records für die verwendeten Zertifikate veröffentlicht. Mit diesem Schritt wird die Überprüfung unserer Zertifikate mittels DANE für den eingehenden Mailverkehr ermöglicht. Details zu unserem DNS-Setup finden Sie unter  /dokumentation/komponenten/dns.

 

]]>
news-57 Mon, 29 Jun 2020 09:43:03 +0200 Aktuelle Informationen zum Konfigurationsportal DFN-MailSupport https://www.mailsupport.dfn.de/news/aktuelle-informationen-zum-konfigurationsportal-dfn-mailsupport Das Konfigurationsportal des Dienstes DFN-MailSupport ist seit dem 17. April 2020 außer Betrieb. Wegen eines Sicherheitsvorfalls musste der DFN-Verein das Portal deaktivieren. Bis auf Weiteres werden die Konfigurationswünsche der Teilnehmer über die MailSupport-Hotline (E-Mail) entgegengenommen und umgesetzt. Außerhalb der üblichen Geschäftszeiten (bspw. an Feiertagen und Wochenenden) reagieren wir auf Anfragen per E-Mail im Rahmen unserer Wochenendüberwachung.

 

Nach eingehender Analyse des Sicherheitsvorfalls können wir bestätigen, dass weder personenbezogene Daten abgeflossen sind, noch Konfigurationsänderungen durch unbefugte Dritte vorgenommen wurden. Die Analyse hat ebenfalls ergeben, dass die Sicherheitslücke in der Zuständigkeit des Herstellers der genutzten Web-Umgebung liegt. Der Hersteller verweist auf das baldige Support-Ende und rät zur Migration auf eine neue Version. Da wir jedoch bereits eine Nachfolgelösung in Form eines neuen Portals zusammen mit einem externen Anbieter vorbereiten, und die Migration durch Abhängigkeiten im Source-Code sehr aufwendig ist, haben wir entschieden die Migration nicht mehr durchzuführen. Wir arbeiten intensiv daran, Ihnen wieder die Möglichkeit zu geben, ihren Dienst online zu administrieren.
Über die aktuellen Entwicklungen halten wir sie über diese Web-Seite und per E-Mail auf dem Laufenden.

 

]]>
news-56 Fri, 24 Apr 2020 10:37:44 +0200 Konfigurationsportal außer Betrieb https://www.mailsupport.dfn.de/news/konfigurationsportal-ausser-betrieb Das interaktive Portal für Konfigurationsänderungen unter https://portal.mailsupport.dfn.de/ ist bis auf Weiteres außer Betrieb. Alle Änderungen können selbstverständlich weiterhin - und für die Zeit des Ausfalles ebenfalls am Wochenende - über unsere Hotline beauftragt werden.

Sobald sich dieser Zustand ändert, werden wir Sie hier darüber informieren.

Wir bitten Sie um Ihr Verständnis!

]]>
news-53 Fri, 20 Mar 2020 16:19:00 +0100 Dynamisches Blacklisten https://www.mailsupport.dfn.de/news/dynamisches-blacklisten Die Versuche, gültige Empfängeradressen durch Brute-Force zu erraten, hat über die letzten Monate spürbar zugenommen. Über die  "recipient verification" schlagen diese Versuche auch auf die Mailsysteme unserer Nutzer durch, das eingebaute Caching ist in diesen Fällen wirkungslos.

Um die Last auf den Systemen zu senken haben wir uns daher entschlossen, die SMTP-Rejects 'User unknown' und 'Protocol Errors' mit fail2ban zu erfassen und IP-Adressen, die 5 Fehlversuche in 10 Minuten liefern für 10 Minuten in der Firewall zu sperren.

Log-Analysen haben ergeben, dass nur in ganz wenigen Einzelfällen "gute" Mailsysteme davon betroffen sind, zB wenn diese Mailverteiler bedienen, die viele ungültige Empfänger enthalten. In diesen Fällen kann die Auslieferung um obige Zeiträume verzögert werden.

Zu diesem Check gibt es natürlich eine IP-Whitelist, in der wir Ausnahmen definieren können.

 

]]>
news-52 Tue, 25 Feb 2020 14:27:00 +0100 Diverse Updates: Banned-Rules, Phishing-Check, Attachment-Handling https://www.mailsupport.dfn.de/news/diverse-updates-banned-rules-phishing-check-attachment-handling Folgende Änderungen haben wir in den letzten Wochen vorgenommen:

1. Update Banned-Rule

Unsere Liste der unerwünschten Anhangstypen haben wir an die aktuelle Microsoft-Outlook-Liste angepasst sowie aus weiteren Microsoft-Quellen die Liste erweitert. Folgende Typen wurden neu aufgenommen: aspx cer diagcab dqy htc jnlp msu oqy printerexport psd1 psdm1 py pyc pyo pyw pyz pyzw rqy theme vhd vhdx webpnp website xll

Details finden Sie unter: https://www.mailsupport.dfn.de/dokumentation/checks/anhaenge

2. Neuer Phishing-Check

Die Verschleierung von Buchstaben mittels HTML-Entities ist kein neues Phänomen und der Spamassassin geht damit problemlos um, sie kann aber als Phishing-Indikator eingesetzt werden, sofern die false-positive-Rate gering genug ist. Wir haben einen neuen Check eingeführt, bei dem Verschleierungsversuche von 'http://' und http://https://' in URLs erkannt und mit 7.0 Spampunkten bewertet werden. Sie erkennen den Hit im Syslog am Spamassassin-Hit

DFN_ORU1.

Falls es zu false positives kommt melden Sie bitte diese an unsere Hotline.

3. Neue Option im Attachment-Handling

Wir sind nun in der Lage, Mails mit unerwünschten Anhängen nicht nur markiert weiterzuleiten oder pauschal abzulehnen, sondern können nun auch Attachments herausschneiden und durch einen informativen Text ersetzen.

Bei Interesse melden Sie sich bitte an unserer Hotline.

]]>
news-51 Fri, 17 Jan 2020 13:23:31 +0100 mgw1-erl vorläufig außer Betrieb https://www.mailsupport.dfn.de/news/mgw1-erl-vorlaeufig-ausser-betrieb Der Server mgw1-erl bleibt voraussichtlich für mehrere Tage außer Betrieb, Grund dafür ist ein vermuteter Hardwaredefekt.

]]>
news-50 Thu, 02 Jan 2020 17:04:59 +0100 URLhaus-recent-Liste aktiviert https://www.mailsupport.dfn.de/news/urlhaus-recent-liste-aktiviert Seit heute werden die in den Mails auftauchenden URLs vom Spamassassin auch gegen die URLhaus-recent-Liste
geprüft. Bislang geschah dies nur im Rahmen des ClamAV gegen die URLhaus-active-Liste. Je nach Konfiguration
werden die Mails abgelehnt oder als Spam markiert weitergeleitet. Erkennen können Sie Hits im syslog:

  • active-Liste: ... INFECTED (URLhaus.279542.UNOFFICIAL) ...
  • recent-Liste: ... Tests: [...URLhaus30=15...]

Der Unterschied zwischen den beiden Listen liegt darin, dass die active-Liste nur die
URLs enthält, die in den letzten 48 Stunden in Mails gefunden wurden, während die recent-
Liste alle URLs der letzten 30 Tage enthält. Nähere Infos zu diesen Listen erhalten Sie

unter urlhaus.abuse.ch/api/

 

]]>
news-49 Thu, 14 Nov 2019 10:38:14 +0100 Blacklisten gegen Spear-Phishing-Kampagne https://www.mailsupport.dfn.de/news/blacklisten-gegen-spear-phishing-kampagne Das DFN-Cert unterrichtete uns von einer Spear-Phishing-Kampagne, ausgehend von einer Gruppe, die unter den Namen 'Silent Librarian' oder 'Cobalt Dickens' bekannt ist.

In diesem Zusammenhang erhielten wir zwei Listen von IP-Adressen und Domains, die wir als zusätzliche RBLs verwenden.  Bei Übereinstimmung mit Inhalten dieser Listen lehnen wir die Mails entweder ab oder vergeben 12 Spampunkte.

Bitte beobachten Sie Ihren Mailverkehr bezüglich der Wirksamkeit der Listen und achten Sie auch auf false positives und kommen Sie gegebenenfalls auf uns zu.

Erkennen können Sie Hits entweder an den RBL-URLs cds.spamhaus.org bzw. cdd.spamhaus.org oder an dem Spamassassin-Hit URIBL_CDD_SPAM. Die Verwendung der Domain 'spamhaus.org' hat interne technische Gründe, die Listen existieren bei Spamhaus nicht.

Weitere Informationen dazu und zur Verarbeitung der RBLs generell finden Sie unter "Dokumentation -> Checks -> RBL".

]]>
news-48 Wed, 12 Jun 2019 15:20:24 +0200 fresh.spameatingmonkey vorläufig deaktiviert https://www.mailsupport.dfn.de/news/fresh-spameatingmonkey-vorlaeufig-deaktiviert Seit heute Mittag produziert die Domain-Blacklist <link http: fresh.spameatingmonkey.net>fresh.spameatingmonkey.net extrem viele false positives, so dass wir sie vorläufig außer Betrieb nehmen mussten.

]]>
news-47 Thu, 23 May 2019 15:31:46 +0200 Empfehlung: Blockieren von makrobehafteten Office-Anhängen https://www.mailsupport.dfn.de/news/empfehlung-blockieren-von-makrobehafteten-office-anhaengen Die emotet-Virenwelle läuft auf Hochtouren. Der Schadcode versteckt
sich hierbei in Makros innerhalb der den Mails angehängten Office-
Dokumenten.

Diese Makros werden laufend modifiziert, so dass die AV-Hersteller nur
schwer mit der Bereitstellung von Pattern hinterherkommen. Es wird
daher immer ein gewisser Prozentsatz dieser Mails durch unsere
Virenscanner schlüpfen.

Nach unserer Einschätzung wird dieser Zustand noch eine geraume Weile
anhalten, da die Modifikationsmöglichkeiten innerhalb der Office-Makros
sehr vielfältig sind und daher kein Ende für das Hase-und-Igel-Spiel
abzusehen ist.

Unsere Filter können aber zuverlässig erkennen, ob Makros in einem
Dokument enthalten sind. Damit haben Sie die Möglichkeit, den Empfang von
makrobehafteten Office-Dokumenten pauschal zu blocken. Dies führt
zu Einschränkungen für ihre Nutzer! Verweisen Sie deshalb bitte
ausdrücklich auf alternative Formen des Dokumentenaustausches.


Bei Bedarf finden Sie in der DFN-Cloud Cloud-Lösungen im Wissenschaftsnetz,
die auf die besonderen Bedürfnisse von Wissenschaft und Forschung abgestimmt sind.
Weitere Informationen finden Sie unter: <link https: www.dfn.de dfn-cloud syncshare-dienste external-link-new-window internal link in current>

www.dfn.de/dfn-cloud/syncshare-dienste/



]]>
news-46 Thu, 09 May 2019 16:14:48 +0200 gmail: Verzögerungen ohne DKIM/DMARC/SPF https://www.mailsupport.dfn.de/news/gmail-verzoegerungen-ohne-dkim-dmarc-spf Aktuell hat gmail seine Richtlinien für das Annehmen von Mail verschärft und nimmt Mails über IPV6 ohne DKIM/DMARC/SPF nur verzögert an.

DNS-Konfiguration:

 Versenden Sie Mails über unsere Gateways (ausgehendes Filtern) und setzen SPF-Records für ihre Domains, so müssen sie folgendes Partikel in die SPF-Records aufnehmen:

include:spf.mailsupport.dfn.de

Ein weicher SPF-Record, der Weiterleitungen nicht unterbinden sollte, würde dann zum Beispiel so aussehen:

example.org TXT "v=spf1 include:spf.mailsupport.dfn.de ~all"

Und ein harter SPF-Record, der Weiterleitungen unterbindet, so:

example.org TXT "v=spf1 include:spf.mailsupport.dfn.de -all"

]]>
news-45 Tue, 23 Apr 2019 13:47:24 +0200 .mht Anhänge in die Liste der verdächtigen Attachments aufgenommen https://www.mailsupport.dfn.de/news/mht-anhaenge-in-die-liste-der-verdaechtigen-attachments-aufgenommen Aktuell gibt es einen Zero-Day-Exploit für den Internet Explorer, der sich über .mht-Anhänge überträgt. (s.a. "0day im Internet Explorer: Dateidiebstahl auf Windows-PCs", sowie "Zero-day XML External Entity (XXE) Injection Vulnerability in Internet Explorer Can Let Attackers Steal Files, System Info".

Wir haben die .mht-Anhänge nun in die Liste der verdächtigen Attachments aufgenommen.

Einrichtungen, die Anhänge nur markieren, sehen dies im "X-Amavis-Alert: BANNED"-Header, bei den Einrichtungen, die Attachments ablehnen, finden sich entsprechende Zeilen im Log.

 

]]>
news-44 Mon, 26 Nov 2018 16:14:19 +0100 Hilfe gegen die Makroviren-Welle https://www.mailsupport.dfn.de/news/hilfe-gegen-die-makroviren-welle Bezüglich der anhaltenden Makro-Viren-Welle stellen wir fest, daß jede neue Welle nur zögerlich von den Virenscannern auch erkannt wird.

DFN-Mailsupport erkennt Makros und gibt dies bei den Checks an:

<link DFN.ContainsMacros.UNOFF>DFN.ContainsMacros.UNOFFICIAL=0.01</link&gt; .

Die Spam-Bewertung mit 0.01 Punkten führt aber idR. nicht dazu, daß die Mail als Spam erkannt, wegsortiert oder abgelehnt wird. Wir haben diese Bewertung nun auf 4 Punkte erhöht.

Zusammen mit anderen Kriterien kann dies schon dazu beitragen, den Spamschwellwert von 6.2 Punkten zu erreichen.

Alternativ kann die Einordnung von Makros pro Einrichtung von "Spam mit 4 Punkten" auf "Virus" geändert werden, was aber in den meisten Fällen zu einer Ablehnung der Mail führen wird. Mitarbeiter, die Dokumente mit Makros austauschen wollen, sollten dies über Cloudlösungen oder Dokumentenserver tun, alternativ die Dokumente in zip-Files  mit Passwort kopieren und dann versenden.

 

Zusätzlich haben wir eine Regel eingeführt, die mehrfach vorkommende spitze Klammernpaare im From: erkennt. In der aktuellen Welle wird hier gern beim angezeigten und tatsächlichem From getrickst. Bei Vorkommen von mehreren spitzen Klammern werden 6 Punkte zur Spambewertung addiert.

]]>
news-43 Tue, 06 Nov 2018 10:29:52 +0100 Makroviren-Welle https://www.mailsupport.dfn.de/news/makroviren-welle Werte Admins im Mailsupport,

seit heute morgen verzeichnen wir eine Makro-Viren-Welle, die bisher von den bei uns eingesetzten Virenscannern nicht erkannt wird. Lediglich die ClamAV Unofficial Pattern erkennen diese.

Derzeit bewerten wir diese wie folgt: <link http://http://DFN.ContainsMacros.UNOFF&gt;AV:DFN.ContainsMacros.UNOFFICIAL=0.01.&lt;/link&gt;

Wir werden diese Bewertung ändern, dann werden diese Mails als Virus eingeordnet und abgelehnt bzw. getaggt (die derzeitige Bewertung ist nur eine Spam-Bewertung, die zum Score beiträgt).

Damit verringert sich die Wahrscheinlichkeit, daß unbedarfte Nutzer die Mails anklicken.

Als zweite Möglichkeit bieten wir an, bei den Anhängen .doc zu markieren bzw. Anhänge abzulehnen inkl. doc. Dies kann für Sie innerhalb weniger Minuten geschaltet werden, bitte sprechen Sie uns an unter <link hotline@mailsupport.dfn.de>hotline@mailsupport.dfn.de.</link>

 

Update 08.11.2018, 16:30: die Regel wurde wieder deaktiviert, die Makroviren werden nunmehr vom Virenscanner ClamAV erkannt. Makros werden wieder im Spam-Header mit Score-Punkten versehen.

]]>
news-42 Mon, 29 Oct 2018 12:48:55 +0100 7.11.2018: Betriebsvollversammlung im DFN https://www.mailsupport.dfn.de/news/7-11-2018-betriebsvollversammlung-im-dfn Liebe Administratoren und Nutzer des DFN-Mailsupport,

am Mittwoch, den 7.11.2018 findet im DFN eine ganztägige Betriebsvollversammlung statt. Daher wird die Mailsupport Hotline schwächer besetzt sein als üblich. Wir bitten um Verständnis.

]]>
news-41 Thu, 18 Oct 2018 09:32:57 +0200 DFN-Cert informiert: Phishingwelle mit Ziel Hochschulen und Forschungseinrichtungen https://www.mailsupport.dfn.de/news/dfn-cert-informiert-phishingwelle-mit-ziel-hochschulen-und-forschungseinrichtungen Das DFN-Cert informiert in diesen Tagen über eine Phishing-Welle, die gezielt Hochschulen und Forschungseinrichtungen angreift.

Sollten Ihnen eine derartige Mail vorliegen, lassen Sie uns diese bitte zukommen unter <link hotline@mailsupport.dfn.de>hotline@mailsupport.dfn.de. </link>

 

Hier die Meldung des DFN-Cert:

 

"Betreff: DFN-CERT#2018-1053469774 / Informationen zu einer aktuellen
Spear-Phishing-Kampagne

Liebe Kolleginnen und Kollegen,

wir haben Informationen zu einer aktuellen Spear-Phishing-Kampagne erhalten, deren Ziel
deutsche Hochschulen und Forschungseinrichtungen sind. Die dazu verschickten E-Mails
warnen z.B. vor dem angeblichen Ablauf eines Bibliothekskontos und enthalten Links, über
die möglicherweise auch Schadsoftware verteilt wird.

Die E-Mails stammen vermeintlich von einem validen E-Mail-Account einer Hochschule, werden
aber von einem französischen Server versendet.

Weiterhin enthalten die E-Mails eine gefälschte Signatur der Universitätsbibliothek mit
der Registrierungsnummer „SC014336“.
Der Empfänger einer solchen E-Mail wird darüber in Kenntnis gesetzt, dass sein
Bibliothekskonto bald ablaufe und zur weiteren Nutzung und Aktivierung aufgefordert, den
Link „Mein Bibliothekskonto“ aufzurufen und sich anzumelden. Bei diesem Link handelt es
sich um eine vom Angreifer kontrollierte Internetpräsenz.

Die Angreifer zielen wahrscheinlich darauf ab, das Netzwerk der jeweiligen Universität
bzw. Forschungseinrichtung mit den erlangten Credentials zu infiltrieren.
Die gesamte Vorgehensweise lässt einen gezielten Angriff auf Angehörige der jeweiligen
Universität bzw. Forschungseinrichtung vermuten.

Bitte sensibilisieren Sie ggf. den betreffenden Personenkreis ihrer Einrichtung.

Wir bearbeiten diesen Vorfall unter der Nummer im Betreff und stehen Ihnen für Nachfragen
gerne zur Verfügung.

Viele Grüße aus Hamburg,
    Ihr DFN-CERT

DFN-CERT Services GmbH, <link www.dfn-cert.de _blank - www.dfn-cert.de&gt;https://www.dfn-cert.de</link>, Phone  +49 40 808077-590 Sitz /


Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.:  DE 232129737 Sachsenstrasse 5, 20097
Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski"]]>
news-40 Mon, 11 Jun 2018 13:42:40 +0200 Erweiterung der Black- und Whitelisten sowie der Rejectlevel https://www.mailsupport.dfn.de/news/erweiterung-der-black-und-whitelisten-sowie-der-rejectlevel Wir haben die Konfigurationsmöglichkeiten erweitert, folgende Optionen sind nun hinzugekommen:

  1. Innerhalb einer Konfigurationsgruppe sind nun weitere Einstellungen spezifisch pro Empfänger-Maildomain bzw -Mailadresse möglich:
    • Grenzwerte für das Markieren und Ablehnen vom Mails durch den Spamfilter
    • Regeln für das Ablehnen von Anhängen
    • Black- und Whitelist im Spamfilter für bestimmte Absenderadressen
  2. Alle Black- und Whitelisten lassen sich nun über das Portal pflegen, die Varianten finden Sie hier

 

]]>
news-39 Tue, 29 May 2018 16:22:33 +0200 DFN-Mailsupport nun zertifiziert nach ISO 27001 auf der Basis von IT-Grundschutz https://www.mailsupport.dfn.de/news/dfn-mailsupport-nun-zertifiziert-nach-iso-27001-auf-der-basis-von-it-grundschutz Nach dem Erreichen der Einstiegstufe (2014) und der Aufbaustufe (2016) hat das für DFN-MailSupport entworfene Betriebskonzept inklusive der genutzten Infrastruktur die Zertifikatssufe ebenfalls erfolgreich absolviert.

Den Zertifikatsnachweis samt Zertifizierungsnummer finden Sie unter: <link www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Managementsystemzertifizierung/Zertifizierung27001/ErteilteZertifikate/iso27001zertifikate_node.html - external-link-new-window "Opens external link in new window">https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Managementsystemzertifizierung/Zertifizierung27001/ErteilteZertifikate/iso27001zertifikate_node.html</link>

Ein ausführlicher Bericht zum Zertifizierungsprozess ist nunmehr in der <link www.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_93_download_.pdf - external-link-new-window "Opens external link in new window">aktuellen Ausgabe der DFN-Mitteilungen</link> (#93) veröffentlicht.

Wir möchten uns hiermit noch einmal bei allen Mitarbeitern und Kollegen bedanken, die uns an allen Daten verarbeitenden Standorten im X-WiN, so herzlich und bestens vorbereitet empfangen und unterstützt haben!

 

]]>