SMTP-Mails sind beliebig konfigurier- und manipulierbar. Es gibt mittlerweile wohl keinen Spammer mehr, der unter seiner echten Absenderadresse E-Mails versendet. Diese Fakemails oder Spoofingmails können durch unterschiedliche Maßnahmen mit der iQ.Suite als Spam erkannt und gefiltert werden.
E-Mails, die als Absenderdomäne die eigene SMTP-Domäne haben, sind ein Fall, der sich einfach prüfen lässt. Wenn dies zutrifft, so ist eine solche Mail typischerweise eine Spammail mit gefälschtem („faked“, „spoofed“) Absender. Um dies zu verstehen und zu unseren Zwecken nutzen zu können, müssen wir uns zunächst die grundsätzliche Arbeitsweise der iQ.Suite ansehen:
Alle Adressinformationen aus einer E-Mail (also Sender- und Empfängeradressen) werden vor der Prüfung an das NAB gegeben. Dort wird versucht, einen passenden Eintrag zu finden und diesen zu „normalisieren“. Eine E-Mail mit der ursprünglichen SMTP-Empfängeradresse „admin@training.local“ wird dann zu „domino admin/training@training“. Es gibt also jemanden im NAB, der die o. g. SMTP-Mailadresse hat.
Im Absenderfall ist die ursprüngliche Adresse typischerweise der Common Name des Absenders, z. B. „CN=Domino Admin/O=training@training“. Auch in diesem Fall wird normalisiert: Die Adresse, die es zu vergleichen gilt, ist dann „domino admin/training@training“.
Im Normalfall kommt eine E-Mail von einem internen Absender also niemals mit einer SMTP-Adresse an. Von „admin@training.local“ kann es nicht geben. Auch hier gehen wir wieder von der Standardarchitektur aus: Interne E-Mails werden in Form von Notesmails versandt.
In manchen Umgebungen ist dies teilweise oder nicht gegeben. Die folgenden Maßnahmen werden in diesen Fällen ungewollte Ergebnisse liefern! Wenn Sie sich nicht sicher sind, ob interne E-Mails nicht ausschließlich in Form von Notesmails versendet werden, so sollten Sie die folgende Konfiguration erst nach Absprache mit einem unserer Consultants realisieren!
E-Mails, die angeblich von unserer eigenen SMTP-Domäne kommen, sind also typischerweise Spammails. Sie lassen sich vergleichsweise leicht filtern.
Um E-Mails von Absendern der eigenen SMTP-Domäne zu blocken, gehen Sie wie folgt vor:
Konfigurieren Sie eine Mail-Adressregel „Spoofed Sender“ (Global – Mail-Regeln – Neu):
Absender – in Absenderliste
Absenderbedingung – enthalten
Absenderliste – ~*@training.local
Anstatt training.local müssen Sie natürlich Ihre eigene SMTP-Domäne einsetzen.
Wichtig hierbei ist, dass Sie die Tilde ~ nicht vergessen!
Basics
Konfigurieren Sie einen einfachen Wall-Mailjob (Wall – Mail-Jobs – Neu – Wall Mail Job):
Priorität: Passen Sie die Prioriät an Ihre Umgebung an. Dieser Job kann recht „früh“ laufen, im Rahmen der Antispam-Jobs, auf jeden Fall nach dem Virenscan.
Läuft auf: Ausgewählte Mails
Unter Bearbeitung der Regeln klicken Sie auf Auswahl und nehmen die Regel Spoofed Sender in die Liste der positiven Regeln auf (oberes Fenster).
Gültig für Absender: Alle
Operations - Denied Recipients
- Aktion bei Alarm: Mail löschen
- Kategorie in Quarantäne-Bericht: spoofed (oder SPAM)
- Liste Empfänger: Alle in Liste: *@*
Misc
Quarantänekonfiguration: DEFAULT – Quarantine configuration
Alle anderen Einstellungen können Sie so belassen, wie sie im Job per Default eingestellt sind.