[Postfixbuch-users] Phishing Mails und kompromittierte Passworte

[Sandy Drobic]

Am 11.06.2012 21:52, schrieb Jan Behrend:
> Hallo Liste,
> 
> zur Zeit haben wir einmal wieder mit Phishing-Mails zu kämpfen, und ... manche
> Mitarbeiter fallen darauf herein.
> 
> Wenn man das Postfix-Log anschaut, wie ich es gerne un häufig tue, dann fallen
> die ungewöhlichen Mails natürlich auf.  Auch ist der Füllstand der Mailqueue,
> oder die rapide Änderung desselben ein gutes Indiz dafür.
> 
> Anschließend dann Account sperren, ggf. auch client_access, sender_access,
> angenommene Mails auf HOLD-Status setzen, etc. und hoffen, dass man schnell
> genug reagiert hat, um nicht auf diversen Blacklisten zu landen :-/
> 
> Gibt es Möglichkeiten wie Postfix sich selbst gegen solche Attacken schützen
> kann?  Wie reagieren andere Postmaster auf dieser Liste auf solche Angriffe?

Da gibt es kein allgemeines Rezept für. Im Prinzip kannst du nur deine eigenen
Besonderheiten berücksichtigen, um zu entscheiden, was Spam/Phishing ist oder
nicht.
Wenn Mails mit vielen Empfängern selten sind, könntest du diese auf HOLD
setzen und nachfragen.
Wenn ungewöhnlich viele Mails von einem einzigen User kommen, kann ein
Policy-Daemon diese auf HOLD setzen.

Das grundsätzliche Problem bei Phishing ist, dass es nicht gegen die
Sicherheit von Postfix gerichtet ist, sondern gegen die Vernunft und Skepsis
von den Anwendern, wo früher oder später immer eine reinfällt.
Deshalb kannst du dies nicht verhindern, sondern nur erschweren und zusätzlich
Maßnahmen ergreifen, im Problemfall die Folgen abzumildern.

Dies wäre etwa eine zweite IP, welche für die Zeit des Blacklistings der
primären IP verwendet wird.

Welche Maßnahmen sinnvoll sind, richtet sich nach deinem Anforderungsprofil.

Erschwerende Maßnahmen sind z.B die Phishingsignaturen bei Clamav zu
aktivieren, aber auch die Fortbildung der Mitarbeiter, wenn dies möglich ist.

Sandy