RE: OT:podvržené maily

Miroslav Draxal evik na volny.cz
Pátek Červen 1 09:09:30 CEST 2012


Ano, Exchange, takže přihořívá. Jenom jaksi nejsem schopen dát dohromady
pravidlo:

Pokud to přišlo z jiného rozsahu než  196.168.1.xx a má to v sobě doménu
xxx na domena.cz tak to zahoď. 

A je hotovo

 

From: hw-list-bounces na list.hw.cz [mailto:hw-list-bounces na list.hw.cz] On
Behalf Of Jan Kral
Sent: Thursday, May 31, 2012 4:50 PM
To: 'HW-news'
Subject: RE: OT:podvržené maily

 

Rozumim tomu dobre, ze pouzivate jako mailovy server Exchange? Pak by nemel
byt problem si dopsat vlastni filtr, kde se da udelat snad cokoliv, takze
tohle by asi nemel byt problem. Nejaky filtr na prichozi postu jsem uz psal,
tak tohle by snad nemusel byt takovy problem.

 

S pozdravem ing. Jan Kral

 

Dobrý den,

Toto téma už řeším s kolegou Zahradníkem a jaksi jsme konstatovali, že to
nemá kloudné řešení. Proto se obracím sem, jestli někdo nemá nějaké řešení.

Mějme doménu domena.cz na ní běží 2003 smile byznys  server s firewallem
kerio kontrol. Na serveru je mailový server, který je součástí řešení SBS. A
teď:

 

Někdo si zahraje (je to útok, neboť kdysi se někdo nabízel, že tomu umí
zabránit, nebyl vyslyšen, tak dává zatopit) , zasílá maily se změněnou FROM
v hlavičce mailu, kde  se podepisuje jako ředitel firmy, a rozesílá to všem
zaměstnancům. Čili řediteli příjde mail reditel na domena.cz který v životě
nenapsal a je od něj. Jednoduché, ale jak se tomu bránit?

 

Má úvaha je  taková, že pokud přijde na port 25 jakýkoli mail z venkovního
netu, který má ve své hlavičce FROM kohokoli ze zaměstnanců firmy, je to
podvrh. Vše co běhá na vnitřním subnetu je OK. Jenže, existuje něco, kde se
to dá nastavit? Včera jsem projížděl celé kerio kontrol, tam jsem takovou
možnost nenašel, a v SBS mailový server, tam jsem také nic neobjevil. Byl
bych rád, kdybych něco přehlédl. Díky za nápady Míra.

 

PS. Maily s xxx na domena.cz se používají pouze na firmě, a posílají se pouze v
doméně, nebo jdou pouze do netu, nikdy né z netu do domény .



__________ Informace od ESET NOD32 Antivirus, verze databaze 7182 (20120530)
__________

Tuto zpravu proveril ESET NOD32 Antivirus.

http://www.eset.cz



__________ Informace od ESET NOD32 Antivirus, verze databaze 7185 (20120531)
__________

Tuto zpravu proveril ESET NOD32 Antivirus.

http://www.eset.cz

------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20120601/13b4a4f2/attachment-0001.htm>


Další informace o konferenci Hw-list