Mittels Mailspoofing wird gerne versucht, Benutzer dazu zu überreden gefährliche Anhänge in E-Mails zu öffnen. Dabei soll es so aussehen, als käme die Mail von einem Kollegen oder einem Gerät, wie beispielsweise Scanner oder Fax2Mail. Mittels Mailspoofing wird die Absender Adresse gefälscht, sodass es für den Benutzer aussieht, als käme die Mail von einem internen Absender.
Hier mal ein Beispiel:
Es sieht so aus als hätte scanner@frankysweb.de eine Mail an frank@frankysweb.de geschickt, im Anhang befindet sich augenscheinlich ein PDF Dokument.
Für den Benutzer ist an dieser Stelle nicht erkenntlich das die Mail nicht von einem internen Drucker/Scanner kommt und ihm ein Kollege vielleicht nur ein Dokument zugeschickt hat. Der Anhang, also in diesem Fall das PDF ist dann meist ein infiziertes Dokument, welches den Virus/Trojaner enthält oder nachlädt.
Bekommt der Benutzer so eine Mail haben, also schon die vorgeschalteten Sicherheitsmechanismen versagt. Erst im E-Mail Header wird sichtbar, das die Mail über einen Mailserver aus dem Internet an den Benutzer gesendet wurde:
Wie oben gezeigt handelt es sich hier nur um eine Simulation. Wer allerdings den Exchange Server direkt für den Empfang von Mails aus dem Internet konfiguriert, sprich MX-Record zeigt auf die öffentliche IP und ein Router leitet Port 25 ungefiltert an den Exchange Server weiter, sollte prüfen ob die Konfiguration Mail Spoofing ermöglicht:
Kommt die Mail an? Wenn ja, dann beheben!
Die Einstellung findet sich dazu auf den Exchange Empfangsconnectoren. in der Standardeinstellung ermöglicht es Exchange Anonymen Benutzern Mails an die authorativen E-Mails Domains zu senden, wenn auf dem Empfangsconnector die Berechtigungsgruppe „Anonyme Benutzer“ aktiviert werden:
Gesteuert wird es über eine entsprechende Berechtigung im Active Directory:
Get-ReceiveConnector | Get-ADPermission -user "NT-Autorität\Anonymous-Anmeldung" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"}
Ist hier der Empfangsconnector aufgeführt, der auch die Mails aus dem Internet annimmt, wie hier der Fall, kann das Recht mittels Exchange Management Shell entfernt werden. Auf einem Server in deutscher Sprache lautet der Befehl wie folgt:
Get-ReceiveConnector "Name des Empfangsconnectors aus Richtung Internet" | Get-ADPermission -user "NT-Autorität\Anonymous-Anmeldung" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
Und auf einem Server mit englischem Betriebssystem:
Get-ReceiveConnector "Name des Empfangsconnectors aus Richtung Internet" | Get-ADPermission -user "NT AUTHORITY\ANONYMOUS LOGON" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
Jetzt kann noch einmal getestet werden, ob das Problem behoben ist und Mail Spoofing nicht mehr möglich ist.