Virusmail en wat te doen nadien

Bij het maken van dit topic had je drie standaard vragen. Ik zie daar maar twee van terug, de belangrijkste mist: namelijk wat je zelf al hebt gedaan om tot een oplossing te komen.

Dus, wat heb je zelf al gevonden en wat voldeed daar niet aan?

Heb je je collega gefeliciteerd dat ie hierdoor een configuratiefout in de exchange server heeft gevonden?
Normaal zou er namelijk een limiet op moeten zitten als in N e-mails per uur.
Zeg 50 per uur is 400 per werkdag en niet 5500

Wat je zou kunnen doen is tijdelijk een autoreply instellen of in laten stellen.

Verder zou ik een duidelijke tekst maken waarin je het een en ander in lekentaal uitlegt wat je gaat antwoorden aan alle mensen die gereageerd hebben met een mail jullie kant op. Dan is het een kwestie van mail selecteren, beantwoorden, plakken, versturen. (en dat een X aantal keren)

jantje123456 schreef op vrijdag 27 september 2019 @ 17:39:

Mijn collega heeft gisteren het geluk gehad om via zijn emailadres 5500 mails te zien vertrekken naar klanten, leveranciers,..... met een virus in.

Is een spoofmail die niet bij postvak verzonden terug te vinden is...

Als het een spoofmail was, die niet vanaf jullie mailserver verzonden was, hoe weet je dan dat het er 5500 waren?

Als het inderdaad spoofmail is gewoon verwijderen en uitzingen. Hebben wij ook al meerdere keren gehad. Meestal is het na een paar dagen over en gaan ze weer over op een ander adres. Neem aan dat spf enzo wel aanstaat, dan worden de meesten er bij het spamfilter er wel uitgefilterd aan de ontvangende kant.

Bij spoofen kan je achteraf niets anders doen dan communiceren bij klachten.

Preventie: zorg dat de eigen collega's spoofs herkennen. Bij twijfel niet openen. Afhankelijk van het soort organisatie: zorg dat normale users geen willekeurige executables kunnen starten.
Zorg hoe dan ook dat alle machines volledig uptodate zijn qua updates, dat gebruikers sowieso standaard niet en afhankelijk van het soort gebruikers helemaal niet adminrechten hebben. Dat er een virusscanner meekijkt. Dat er goede uptodate backups zijn van alles dat belangrijk kan zijn. Etc: standaard maatregelen. Maar dat zijn maatregelen voor de eigen org, niet die van waarnaartoe is gemaild.
En regel SPF en/of DKIM in voor de maildomeinen. Dan zouden spoofinf mails veel minder kans maken. En zorg dus dat iedereen alleen mail verstuurt via de eigen server.

Verder verplaats ik dit even van CSA naar P&B, aangezien het over beveiliging gaat.

De it’er zou, indien het toch wel via de Exchange server is verzonden, dit moeten kunnen zien via de mailflow logs.

Daarnaast kun je ook nog kijken of ze reageren op de inhoud van de mail en deze meesturen, dan zou je in Outlook een regel kunnen instellen die op basis van die inhoud of onderwerp reageert en het mailtje verplaatst naar een aparte map.

Verder zouden de mensen die dit hebben ontvangen, als het niet via jullie server is verzonden hun spamfilter even moeten finetunen, en zou de it’er bij jullie de SPF, DKIM en DMARC in moeten stellen mocht dat nog niet gedaan zijn (zoals hierboven ook al terecht aangegeven) en idd ook de Max waarden instellen per mailbox en domein. Voor de meeste mensen is 50 mails per dag versturen best veel, lijkt me al een ruim limiet. Voorkomt een hoop narigheid achteraf.

Als jouw collega trouwens de mails daadwerkelijk eruit heeft zien gaan had hij tijdens dat proces als eerste direct de netwerkkabel eruit moeten trekken en de it’er moeten waarschuwen. 5500 mails is niet niks en dat duurt wel even voor Outlook dat voor elkaar heeft.

Hoe dan ook het is een fout van jullie IT'er. Die heeft er dus geen kaas van gegeten. Ten eerste, hij heeft de standaard connector van Exchange aangepast indien het via Exchange is verzonden. Indien het niet via Exchange is verzonden maar via de SMTP server van het bedrijf dan heeft hij daar een configuratie fout. En indien het gespoofd is heeft hij het echt verkloot omdat hij dus geen SPF heeft aangemaakt.

Wim-Bart schreef op zondag 29 september 2019 @ 00:54:
Hoe dan ook het is een fout van jullie IT'er.

Hoeft niet.

Ook ontvangende partijen maken er een potje van.
Zelfs Microsoft heeft SPF/DKIM/etc. niet op orde.
En standaard gebruikt men meestal ~all omdat -all te moeilijk is.
Er zijn redenen, wensen en managers...

DJMaze schreef op maandag 30 september 2019 @ 09:47:
[...]

Hoeft niet.

Ook ontvangende partijen maken er een potje van.
Zelfs Microsoft heeft SPF/DKIM/etc. niet op orde.
En standaard gebruikt men meestal ~all omdat -all te moeilijk is.
Er zijn redenen, wensen en managers...

Ontvanger heb je niks mee te maken. Wanneer je het goed doet, dus niet de ~all dan is je eigen verantwoordelijkheid afgedicht.

Wim-Bart schreef op maandag 30 september 2019 @ 14:20:
Ontvanger heb je niks mee te maken.

Leuk als je facturen niet aankomen bij de ontvanger...
En dat is toch echt eigen verantwoordelijkheid.

Eigenlijk zou e-mail in zijn huidige vorm gewoon overal verboden moeten worden.
De lapmiddelen zijn eindeloos en werken half.

[ Voor 6% gewijzigd door DJMaze op 30-09-2019 14:27 ]

DJMaze schreef op maandag 30 september 2019 @ 14:26:
[...]

Leuk als je facturen niet aankomen bij de ontvanger...
En dat is toch echt eigen verantwoordelijkheid.

Eigenlijk zou e-mail in zijn huidige vorm gewoon overal verboden moeten worden.
De lapmiddelen zijn eindeloos en werken half.

Als je SPF en DKIM goed ingesteld hebt dan maakt dat niet uit. Of de ontvanger controleerd er niet op en je mail kom aan of de ontvanger controleerd er wel op en de mail komt dan alsnog aan omdat je de boel netjes op orde hebt

@jantje123456 Je kan ook één van de ontvangers vragen vanaf welke mailserver (ip) de mail kwam dan zie je snel genoeg of de mail bij jullie vandaan komt.
Zo niet dan kan je er weinig aan doen behalve je SPF, DKIM en DMARC op orde te brengen.

DJMaze schreef op maandag 30 september 2019 @ 14:26:
[...]

Leuk als je facturen niet aankomen bij de ontvanger...
En dat is toch echt eigen verantwoordelijkheid.

Eigenlijk zou e-mail in zijn huidige vorm gewoon overal verboden moeten worden.
De lapmiddelen zijn eindeloos en werken half.

Ik denk dat je nu een denkfout maakt. Wanneer je SPF inzet en er komt geen mail aan dan heb je ergens een behoorlijk issue en ergens wat fout zitten.

SPF goed geconfigureerd. Je mail komt aan bij de ontvanger. SPF niet geconfigureerd, je mail komt aan bij de ontvanger.

SPF met ~all geeft aan dat de beheerders niet weten waar ze mee bezig zijn en niet onder controle hebben waar hun mail allemaal vandaan kan komen. ~all zou eigenlijk de optie "-myitemployeesdonothaveanyclueaboutourmailsystems" moeten heten. Eigenlijk is het een "we moeten een SPF hebben maar god zegene de greep, dus doen we het maar zo".

Het voordeel wanneer je dus ~all niet gebruikt de meeste ontvangers dus alleen mail van jouw servers ontvangen en dat is al de stap naar integere data en communicatie. Je mag als ontvanger van e-mail ook heel duidelijk de vraag stellen, is de verzender wel de echte verzender wanneer je het SPF bekijkt.

Ik kan ook heel makkelijk zeggen: Jullie zeggen een e-mail verzonden te hebben, maar die heb ik genegeerd want iedereen kan het wel verzonden hebben omdat je ~all gebruikt.