URL-Checks

Phishing von Passwörtern, Download von Malware und sonstige Betrugsversuche werden oft über vom Angreifer erstellte Webseiten durchgeführt, deren URLs in Emails an die Opfer versendet werden. Zunehmend werden auch Webauftritte von Onlineshops, Firmen, etc. hierfür mißbraucht, deren Contentmanagementsysteme Bugs aufweisen. Weiterhin werden zur Verschleierung Short-URL-Provider benutzt, um die tatsächliche URL vor dem Opfer zu verstecken. Folgende Mechanismen werden im DFN-MailSupport eingesetzt, um böswillige URLs in Emails zu erkennen:

Name Typ Quelle
blurl.ndb, jurlbl.ndb, jurlbla.ndb, urlhaus.ndb,
winnow_phish_complete_url.ndb, bofhland_cracked_URL.ndb,
bofhland_malware_URL.ndb,
bofhland_phishing_URL.ndb
 
ClamAV-Pattern http://sanesecurity.com/usage/signatures/
uribl.spameatingmonkey.net RBL-Abfragen durch Spamassassin https://spameatingmonkey.com/services
DBL, ZRD RBL-Abfragen durch Spamassassin https://www.spamhaus.com/dataset/content-blocklists/
CERT phishing URLs Spamassassin-Rules manueller Feed vom DFN-CERT
Cobalt Dickens Liste  RBL-Abfragen durch postfix https://www.dfn-cert.de/aktuell/silent-librarian.html
Heuristiken diverse Spamassassin-Rules https://cwiki.apache.org/confluence/display/SPAMASSASSIN/RuleUpdates
DecodeShortURLs Auflösung von Short-URLs https://github.com/smfreegard/DecodeShortURLs

Schließlich interpretieren offensichtlich diverse Mailclients das in böswilligen HTML-Emails enthaltene Javascript, die der Verschleierung von URLs dienen. Wir bieten auch grobe Checks an, die Javascript erkennen und pauschal blocken, diese können allerdings u.U. False Positives verursachen. Wenden Sie sich hierfür bitte an die Hotline.