Posts by tobit-user-24

    Hallo,


    Anruf vom Kunden, das im Transit 100 Fax unbearbeitet sind.

    Ursache: Kunde hatte nicht bemerkt / hatte den Ausgang nicht kontrolliert auf Faxeinträge mit grünem Häkchen


    Ich wollte probieren das zukünftig zu vermeiden.

    Ursache war wohl: Das Häkchen "warten" war irrtümlich im Fax-Sende-Fenster aktiviert.


    Ich hätte jetzt nur die die den Tobit Notifer auch auf den Ausgang zu legen, so dass die User "stutzig" werden müssten, wenn unten rechts nix passiert...


    Sonst kann man da nicht viel machen oder?

    Hi Riawie, gute Idee das mit der Defender Engine, gibt es bei Defender auch eine Quarantäne?
    Zeitgesteuerte mehrmals tägliche Suche im unter David\Archive geht da bestimmt auch.


    Hatte nochmal geprüft unter Tobit/Protokolle VON Internet Access Service: da sind nur unter fünf Zugriff verweigert Meldungen und die IP Adressen decken sich mit den Auslandsreisen.

    Hallo,


    bei diesem Beitrag beantworte ich mittels den Maßnahmen die Frage ja schon größtenteils selbst, ich


    Ein Kunde berichtet wie folgt:


    a) eingehende Phishing email einer ausländischen Bank (bankofbeirut.co.uk) erhalten

    b) in deren Text ist der damalige interne Korrespondenzverlauf (zwischen Bank+Kunde) enthalten .

    c) es ging um Überweisungs-Gebühren.

    d) die Email-Absenderadresse und Anzeige jedoch war "schlecht gefälscht und sozusagen eine Baufirma aus Dubai oder ähnlich)

    Die Anrede in dieser Phishing Email war ebenfalls nicht haargenau auf den Tobit Kunden zugeschnitten, kein wirkliches social Engineering...


    mögliche Schwachstellen:

    e) offene Ports zum Tobit Server sind:

    RDP (ist jetzt zu) war "nur" von einer bestimmten externen festen IP über einen fünfstelligen RDP Port (ja von Bluebeep RDP Schwachstelle habe ich gehört)

    f) 110, 143 MA Server sowie 8080 für die Webbox

    g) unter David/Protokolle sind Bruteforce Attacken sichtbar gewesen für den MA Server, aber das ist ja keine Seltenheit

    h) Geoblocking geht bei der Watchguard XTM 25 leider nicht

    i)es ist leider noch ein Server 2003 mit SL.EXE 11.00a 2378* , d.h DV ADMIN -> Webbox > Bruteforce Sicherheit kann nicht verwendet werden

    j) die Phishing Email enthielt eine DOC Datei die Tobit Virenschutz im Postman und ESET nicht erkannt hat, jedoch Virustotal.com

    k) Mailempfang läuft direkt über Port 25 zum Postman, Versand ebenfalls


    Maßnahmen:-

    -Unverteilt ist für Remote freigegeben, hat jedoch kein Passwort, weil sich ja erst als User angemeldet wird

    -POP3/IMAP/Webbox z.B. nur aus dem Vodafone Mobilfunk IP Bereich erlauben via Watchguard Policy (bei Auslandsreisen dann schwierig)

    -Remotepasswörter ändern

    -Server neues OS

    -klären ob Webbox wirklich gebraucht wird, Protokollmails Zugriff von IP XXXX in den Eingang leiten über Verteilregel

    -DOC Dateien sperren im Watchguard SMTP Proxy bzw. die üblichen gefährlichen Dateiendungen

    -an den PCs über GPO Makros generell deaktivieren

    -Watchguard Webblocker aktivieren über https/http Verbindungen


    Frage:

    Tobit updaten : würde das aktuelle Tobit auch auf Windows Server 2003 laufen, wenn man notfalls auf SQL Suche verzichten würde?)
    Die PCs sind Win10/Win7


    Fazit/Frage2:

    Ein Sicherheitsgewinn kann mittels Tobit Update hergestellt werden.


    Danke für eure Meinung

    Hallo,


    kann man irgendwie rausfinden, ob eine Spammail über den primären MX oder den sekundären MX angekommen ist?


    Im Header ist das nicht zu finden würde ich behaupten.


    Status ist: Kunde hat zwei feste IP´s auf "Empfang Port 25 eingehend in der Watchguard"


    Ich wundere mich, das SPAMs angekommen sind in deren Header nix über die Watchguard SMTP Proxy Port 25 SPAM Prüfung steht.


    Vermute ich muss das Watchuguard Traffic Log da mal genauer prüfen.


    Der Watchguard SMTP Proxy lautet auf From: Any-External,d.h. er nimmt über beide Leitung Port 25 eingehend an"

    danke,

    Im Header steht aber trotzdem 192.168.66.1

    Postman wurde neugestartet


    Return-Path: <tobit-user@firma.de>>

    Received: from [david3.firma.de] ([feste öff. IP des Tobit-Servers 217.22.23.2) by mx-ha.web.de (mxweb013 [212.227.15.17]) with ESMTP (Nemesis) id for <testkonto@web.de>; Thu, 14 Mar 2019 08:26:34 +0100

    Received: from david3.firma.de by 192.168.66.1 with David.fx (0499.46484B4....B); 14 Mar 2019 07:26:34 UT

    Hallo,


    gab es nicht ein Postman.ini Schalter der ab Werk nicht mit drin steht um dies zu erreichen?

    Ziel: Der Empfänger soll nicht sehen dürfen welcher IP Kreis intern verwendet wird. (192.168.66.1)

    ;EHLOWITHDOMAIN = FALSE / TRUE wirkt nicht.


    DNS-A / PTR ist vorh. für 217.22.23.2 auf david3.firma.de



    Return-Path: <tobit-user@firma.de>>

    Received: from [david3.firma.de] ([feste öff. IP des Tobit-Servers 217.22.23.2) by mx-ha.web.de (mxweb013 [212.227.15.17]) with ESMTP (Nemesis) id for <testkonto@web.de>; Thu, 14 Mar 2019 08:26:34 +0100

    Received: from david3.firma.de by 192.168.66.1 with David.fx (0499.46484B4....B); 14 Mar 2019 07:26:34 UT

    From: "tobit" <tobit-user@firma.de>

    Subject:

    To: <testkonto@web.de>

    Date: Thu, 14 Mar 2019 07:26:34 +0000

    Priority: normal

    X-Priority: 3 (Normal)


    ++++++++++++


    ;David PostMan Initialization File. Refer manual for details.


    ;IP = 0.0.0.0

    ; Default is 0.0.0.0

    ; Specifies the machine IP to use

    ; The default setting means automatic IP detection

    ; Use this setting only, if you run more than one IP on your David server


    ;Port = 25

    ; Default is 25

    ; Specifies the TCP port to listen on, for incoming SMTP connections

    ; Do not change this setting


    ;MinResolvedIPs = 8

    ; Default is 8

    ; Defines how many SMTP forwarder Postman has to find at least


    ;WatchdogDelay = 55

    ; Default is 55 seconds

    ; Specifies the maximum time to wait for incoming data blocks


    ;SendThreadCount = 5

    ; Default is 5 threads


    ;MinDiskSpace = 10

    ; Default is 10 MB

    ; Specifies the minimum disk space (MB) required to receive mails.

    ; If the real value is lower than the value defined, no further

    ; mails will be accepted until more disk space is available.


    ;NoRecipientList = FALSE

    ; Default = FALSE

    ; If set to TRUE, no To and Cc information will be displayed

    ; in the SMTP Header of eMails sent.


    ;EHLOWITHDOMAIN = FALSE

    ; Default = FALSE

    ; Specifies which reply is to be given by PostMan to the EHLO/HELO SMTP command

    ; when sending eMails via a provider. When set to FALSE PostMan will return the

    ; local IP Address of the DvISE server. When set to TRUE PostMan will use the

    ; domain name entered as "SMTP Host Name" in the PostMan system configuration.


    ;SLSMAXERRORCOUNT = 180

    ; Default = 180

    ; Specifies the number of subsequent SLS connection errors that will cause

    ; the Server Locator Services to be disabled. If the connection interval is

    ; set to 1 minute the Server Locator Services will be disabled after at least

    ; three hours of unsuccessful connection attempts.


    ;WRITEEMAILADDRCHECKLOG = FALSE

    ; Default = FALSE

    ; If set to TRUE, the To and From addresses of all eMails rejected

    ; by PostMan due to an unknown receiver address will be listed in

    ; the EMAILADDRCHK.LOG file in the \DAVID\POSTMAN\CODE directory.


    ;CheckUTF8Charset = TRUE

    ; Default is FALSE


    ;PlainTextThreshold = 70

    ; Default is 70


    ;HTMLThreshold = 10

    ; Default is 10

    ; These three parameters are valid with activated Messages

    ; Identification Services (MIS) only.

    ; If CheckUTF8Charset = TRUE is set, the content of UTF-8 coded

    ; incoming eMails will be be checked for Asian or Cyrillic characters.

    ; If the percentage of these foreign characters exeeds defined

    ; values ('PlainTextThreshold' for plain text eMails, 'HTMLThreshold'

    ; for HTML formatted eMails), the corresponding eMails will be

    ; classified accordingly (CharDetect method).


    ;LOGRECIPIENTREJECTED = TRUE

    ; Default = TRUE

    ; Specifies if rejected forward jobs are to be recorded in the david®

    ; Event Log ("System/David/Events" folder in the david® Client). If set

    ; to FALSE, no log entries will be created when rejecting forward jobs.


    file=40

    Hi Patrick


    hat der Provider einen IMAP importer? oder Nutzt du z.B. IMAPSize dafür?

    Also brauchen die User drahtlos Sync für (gruppen)Adressen, (gruppen)Kalender

    Was machst du wenn in 2,5 Jahren alle Postfächer 5 GB groß sind, macht das bei IMAP kein Ärger?

    Viren/Spam wird erst am Endpoint nochmal gescannt.

    Tobit-Epost Brief und Fax ist im Nischen nicht selten im Einsatz

    Hallo,


    auf Grund einer Thematik das ein SMARTHOST (externer SMTP Provider) im POSTMAN als Fehlerquelle ausgeschlossen werden soll, muss der POSTMAN nun alles direkt versenden. Über Sendemethode ginge auch,das mir klar.


    Sehe ich das richtig das dies die richtige Checkliste ist?


    a) Postman rechtsklick konfigurieren erste Zeile: SMTP Hostname muss die feste öffentliche IP oder DNS-A_Record mail.firma.de beinhalten.

    Beides sollte bestenfalls ein erfolgreichen PTR-Record haben. (beim VDSL Telekom-Kundencenterportal)


    b) Häkchen "Verteilerliste anfügen" kann nicht schaden, kostet glaub ich nur mehr Speicherplatz (dafür immer Header vollständig)


    c) SPF Eintrag beim Domainprovider setzen auf die feste IP und vielleicht die Homepage (falls Hompagekontaktformular vorhanden)


    d) TLS für Versand + Empfang am besten via SIDECARE mit Letz Encrypt (selbst generiertes TLS Zertifikat für POSTMAN geht auch, kann aber Nachteile birgen)


    e) wegen a) müßte hier TRUE rein?

    ;EHLOWITHDOMAIN = FALSE

    ; Default = FALSE

    ; Specifies which reply is to be given by PostMan to the EHLO/HELO SMTP command

    ; when sending eMails via a provider. When set to FALSE PostMan will return the

    ; local IP Address of the DvISE server. When set to TRUE PostMan will use the

    ; domain name entered as "SMTP Host Name" in the PostMan system configuration.


    vielen Dank!

    Hallo,

    ein lokaler Tobit David Server ist im Einsatz.


    Ein Teil der Firma arbeitet jedoch mit der gleichen Email-Domäne mit O365 Hosted Exchange.


    Nun gibt es SPF Fehler-Rückmeldungen. (der SPF besagt z.Z. das nur Microsoft erlaubt ist soweit ich weiß)


    Der MX zeigt noch auf das POP3 Postfach beim Provider und Tobit holt die Mails ab und "relayed mit der Original-Absenderadresse" an das jeweilige o365 Konto *@onmicrosoft...


    >>>Kann man im Tobit Postman auch die o365 SMTP Server eintragen und das würde funktionieren?