mailadresse von einem tobit user wurde für virenmail versand genutzt

  • Hallo,

    eine Virenmail mit *.doc Datei war im Umlauf

    Leute mit denen der Tobituser in Emailkontakt war meldeten sich das sie keine Aktien-Anlageempfehlungen möchten und das es wohl eine Virenmail ist.

    Absender der Tobit User.

    Im Header der eingehenden Virenmail steht ein gehacktes hetzner Mailkonto.

    Die Email-Domain, der Tobitserver sind jedoch bei 1und1.

    Ich habe auch eine Mail erhalten, der Mail-Betreff stammt jedoch aus einer ca. 12 monate alten Emaildiskussion.

    Wo ist das Leck?

    Kein EAS im EInsatz aus unbekannten Gründen.

    Es sind nur Port 143 und Webbox Port mit ca. 5 Usern offen (ohne geo-limitierung)

    Die Tobit-Remoteaccess Passwörter lauten ungefähr so: d***2355***

    einfallstor webbox.exe

    Unter DV Admin Webbox Statistiken User-Agents und IP-Adressen sieht man alle Port 82 Besucher der Webbox.


    einfallstor mail-access-server:

    hier sieht man die pop3/imap zugriffe via

    David/Benutzer/Max Mustermann\System/Zugriffsprotokoll

    War es nicht so, dass die Einträge unter dvadmin/Mailaccess-Server gemacht werden damit POP3/IMAP geht?

    Aber, mittels "gehacktem Windows Kennwort" und erfolgreich geratenem Tobitlogin-Name braucht man die Einträge nicht für IMAP?

    Man braucht jedoch das Häckchen bei "Remote Access erlauben" unter Dvadmin/Benutzer/Max Mustermann...


    Es ist Tobit 3139 Rollout 315 Version.

    Unter

    System/David/Ereignisse steht nix auffälliges.

    Info: Unter Dvadmin /System/Sicherheit kann man wegen Passwortsicherheit aktiv werden.

    In einem Satz: Das Leck muss am Tobitserver sein, weil ich auch eine Virenmail erhalten haben mit einem betreff den ich eindeutig zwischen Tobituser und mir zuordnen kann.

    Fazit: noch offen

    IMAP für Smartphones ist nicht mehr zeitgemäß, aber es ist noch nicht gesagt, das es daran lag.

  • Hallo die Mail die du bekommen hast,

    Wer hat die versendet?

    Offenes Relay? Wenn absender/Domain gefaked wird, gibt es für die Server spf ?


    Grüsse

    Tobit FX12 auf W2016 an VMWare vSphere 8 Essentials,
    ActiveSync über Sophos XGS / Reverse Proxy(WAF) - NoSpamProxy Mail Security

  • Ich habe auch eine Mail erhalten, der Mail-Betreff stammt jedoch aus einer ca. 12 monate alten Emaildiskussion.

    Waren an der Diskussion nur interne Nutzer auf Eurem Mailserver beteiligt?

    In den Fällen welche ich bislang mitbekam war das Leck jeweils auf der anderen Seite und meist waren Outlook Nutzer auf der anderen Seite.

    Mails die angeblich von unseren Nutzern kommen haben schon viele bekommen, aber nie über unsere Systeme, sondern stets über gehackte Konten oder offene Relays dritter.
    Unsere autorisierten Mailserver würden solche Mails nicht annehmen und auch nicht weiterleiten.

    Die Mail Adressen haben sich die Absender stets bei irgendwelchen Kommunikationspartnern von uns besorgt, oder aus anderen Quellen wie gekauften Adresslisten.

    Oft steht der angebliche Absender von uns auch gar nicht als From: im Header der SPAM Mails, sondern als angezeigter Name einer gänzlich anderen Absender email Adresse.

    Ich mach mir da keinen mehr Kopf drum, weil jede solche Mail vor dem öffnen als solche erkennbar war und ich das den Empfängern auch stets so erkläre.
    Ich kann sowas auch nicht verhindern, denn schließlich ist keines unserer Systeme daran beteiligt.

    Einmal editiert, zuletzt von riawie (28. April 2021 um 12:37)

  • Das kommt drauf an was Ihr eingestellt habt.

    Wenn Ihr da das gleiche Kennwort verwendet wie in der Domäne, dann ja, wenn Ihr für Remote Access ein anderes Kennwort eingetragen habt, dann nicht.
    Wenn Ihr den gleichen Nutzernamen für den Remote Zugriff eintragt wie in der Windows Domäne, dann ja, sonst nicht.

    Ich denke Du verwechselst das damit, das der David Server bei EAS oder IMAP Zugriff auch die eMail-Adresse statt des im Remote Access Feld angegebenen Benutzernamen akzeptiert.

    Beim Kennwort wird stets das verlangt was man im Remote Access Feld im David für den jeweiligen Benutzer oder das jeweilige Archiv Eingetragen hat.

  • "Es sind nur Port 143 und Webbox Port mit ca. 5 Usern offen (ohne geo-limitierung)"

    Zitat -

    Bitte hier folgendes bedenken und das Netzwerkdesign überdenken:

    a) IMAP Port 143 ist unverschlüsselt, man kann die Kommunikation somit im Klartext mitlesen.

    Kommandos, Befehle, Benutzername und Kennwort werden textbasiert im Klartext übertragen.

    Daeshalb wird schon viele Jahre über Port 993 SSL/TLS verschlüsselt kommuniziert

    b) Webbox ist ein Webserver der auf Port 80 läuft, in der Standardkonfiguration.

    http Port 80 ist ebenfalls unverschlüsselt. Deshalb Weserver Port 443 Https verschlüsselt.

    Ganz wichtig:
    Ein Server hat mehrere Dienste die über Ports zur Verfügung stellen.

    Geben ich einen Port per einfaches Port forwarding aus dem Internet auf meinen Server frei - was definitiv heutzutage nicht mehr so administriert werden sollte - dann muss ich damit rechnen, dass sich auf Anfragen aus dem Internet nicht nur meine "David" Dienste angesprochen fühlen. Es stehen sozusagen wesentlich mehr Angriffspunkte im Internet.

    Bei vielen kleineren Unternehmen finden wir Installationen, wo ein Server alle Funktionalitäten besitzt (Active Directory, DNS, DHCP, diverse Anwendungen, Mailserver etc.). Dieser "All-in-One" Server steht per Port 80 offen im Internet? - Sicherheit by Design - Strategien und Umsetzungen mussen hier neu entwickelt und umgesetzt werden und das egal in welcher Unternehmensgröße.

    Den David-Server eigenständig in einem eigenen Netzwerk isoliert, Routing zum AD-Server nur AD-Anfragen und Authentifirierung. Aus dem PC Netzwerk nur Port 267 in Richtig David-Server....etc.

    Abhilfe schaffen:
    - Netzwerktrennung ein Muss! Wenn Ihr schon nicht PCs, Server und Drucker trennt, das isoliert wenigst den Mailserver in ein eigene Netzwerk!

    - Wenn Zugriffe von unterwegs (Smartphone etc.) dann per VPN

    - Wenn VPN nicht gewünscht, dann für Web-Server Zugriffe inkl. ActiveSync mindets einen Reverse-Proxy verwenden. Eine UTM Firewall dazwischen vermittelt per Reverse Proxy mit Authentifizierung als "Vermittler" zwischen Server und Anfrage aus dem WEB. Im Proxy kann ich die anfragende Stelle einschränken, die angefragte Stelle beschränken und keine Zugriffe ohne Authentifizierung durchlassen.


    Einzelkämpfer oder kleine Unternehmen:

    Ist das Unternehmen zu klein und der Aufwand ist zu groß - dann lagert diesen Dienst aus in eine Cloud oder stellt ein Cloud-Porstfach zur Verfügung. Auch diese gibt es preiswert inkl. Mailarchivierung.
    Zum Schutz des Kunden.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!